3.2.1 认证中心概述
认证中心(简称CA),是实现网上交易和网上支付的重要安全保障,是承担网上安全电子交易认证服务、签发数字证书、确认用户身份等工作的具有权威性和公正性的第三方服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发以及对数字证书的管理。
认证中心主要包括下列组成部分:
1)注册服务器(RS):用于接收用户证书申请。
2)注册管理机构(RA):负责审核申请人的资格,决定是否发放证书。
3)证书管理机构(CA):具体发放证书的操作部门。
4)证书作废列表(CRL):记录作废或过期的证书。
5)业务受理点:为用户提供证书申请和发放的窗口。
6)证书使用者:认证中心的用户,包括:个人用户、企业用户和服务器用户。
目前,国内常见的认证中心有:
中国公共安全认证网,中国电信CA安全认证中心CTCA。
中国金融认证中心(www。cfca。com。cn),支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。
中国数字认证网(www。ca365.com),支持数字认证、数字签名、CA认证、CA证书、数字证书、安全电子商务。
北京国富安电子商务安全认证中心(www。cacenter。com。cn),是专业从事电子商务及信息安全的高技术公司。
广东省电子商务认证中心(www。cnca。net),提供电子商务认证、安全产品和解决方案,制作、颁发、管理数字证书。
3.2.2 认证中心的功能
认证中心的主要功能包括:证书申请受理、证书颁发、证书更新、证书撤消、证书查询和证书归档管理等。
1)证书的颁发
认证中心接收认证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请,则进一步确定给用户颁发哪一种类型的证书。将新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。为了保证信息的完整性,返回给用户的所有应答信息都要使用认证中心的签名。
2)证书的更新
认证中心可以定期更新所有用户(包括下级认证中心和最终用户)的证书,或者根据用户的请求和需要更新用户的证书。
3)证书的查询
证书的查询可以分为两类:
一是证书申请的查询,是指认证中心根据用户的查询请求返回当前用户证书申请的处理过程。二是用户证书的查询,是由目录服务器来完成,目录服务器根据用户的请求返回相应的证书。
4)证书的作废
其也有两种情况,一种情况是由于用户的私钥泄密等原因造成用户证书出了问题,需要申请证书作废,用户要向认证中心提出证书作废请求,认证中心根据用户的请求确定是否将该证书作废。
另一种是证书已经过了有效期,需要作废的情况。这时,通常是认证中心自动将该证书作废。
认证中心通过维护证书作废列表(Certificate Revocation List, CRL)来完成各种情况下的证书作废的管理程序。
5)证书的归档
所有证书必须全部归档,包括所有已经作废的证书,形成历史档案,以备查用。因为有时我们可能需要认证以前的、在某个交易过程中产生的数字签名,这时就需要查询作废的证书。
3.2.3 认证中心的分级验证
结构认证中心是采用树型分级结构,分层分级进行认证服务和证书业务管理。上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。在双方通信时,通过认证中心签发的数字证书证实对方的身份,如果对签发证书的认证中心本身有怀疑,可以由签发该认证中心证书的认证中心机构验证该认证中心的身份,这样逐级认证,一直到公认的权威认证中心,形成一种树型验证结构,最权威的认证中心称为根认证中心。
例如某商家的证书是由湖北省电子商务认证中心(HBECA)签发的,而HBECA的证书是由中国南方电子商务中心签发的,类似的,海南省电子商务认证中心(HNCA)的证书也是中国南方电子商务中心签发的,这样构成树型结构由HBECA和HNCA签发的证书1~证书4,最终都由中国南方电子商务中心认证。
3.2.4 中国金融认证中心介绍
1)中国金融认证中心(www。cfca。com。cn)的认证体系结构
中国金融认证中心(简称CFCA)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
CFCA采用国际主流的PKI(PublicKey
Infrastructure,公钥基础设施)技术,提供适用于企业、个人、Web站点、VPN、电子邮件、手机应用等在内的十多种数字证书服务和安全电子印章、时间戳、动态口令、网上银行托管、安全评估、IT审计、安全产品测评、安全集成开发等多种信息安全服务。
CFCA认证系统为三层CA结构,第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成:
CA系统:承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定,CA系统设在CFCA本部,不直接面对用户。
RA系统:直接面向用户,负责用户身份申请审核,并向CA申请为用户转发证书;一般设置在商业银行的总行、证券公司、保险公司总部及其他应用证书的机构总部,受理点(LRA)设置在商业银行的分/支行、证券、保险营业部及其他应用证书机构的分支机构,RA系统可方便集成到其业务应用系统。
2)CFCA提供的服务产品
其中,CFCA提供的常用数字证书包括:
个人证书,面向个人用户,在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。
企业证书,面向企业用户,在网上信息传递过程中提供身份验证、信息加密和数字签名等功能。相对于个人证书而言,CFCA企业证书提供更高的安全性和更完善的支持服务。
Web
Server证书,包含了网站的域名信息,用户能够通过该证书对网站的真实性进行检查。同时,利用服务器证书的加密机制将用户浏览器和服务器之间传输的信息进行加密。加密后的信息只有对应的服务器才能解密。
3)数字证书的申请流程。
4)数字证书的使用
下面以网上企业购销(B2B)交易为例,说明CFCA证书的使用范围。
在B2B交易中,供货方和购货方之间、购货方和交易平台之间、交易平台和银行之间均需要双向的身份认证。CFCA可以为上述交易各方提供相关的认证证书。交易各方进入CFCA下载交易对象的数字证书验证其合法性。
另外,订单、发票、各种声明等作为商业机密文件,要进行数字签名、加密保护,以防篡改、抵赖行为发生。CFCA可以为证书申请各方提供公钥和私钥。
在交易过程中不同的交易支付指令发给不同的对象,银行不能知道企业交易信息,交易平台不能知道支付信息,这些通过采用不同对象的公钥加密来保证。
交易平台为交易双方提供交易信息,撮合交易,对交易过程进行监督,最大限度避免交易欺诈,为日后纠纷提供公正评判。