网络支付的安全技术.ppt

资源描述

第六章网络支付的安全技术 1 网络支付的安全问题与需求 2 网络支付的安全策略及解决方法 3 网络支付平台的安全及防火墙技术 4 病毒的防治和管理 5 数据机密性技术 6 数字证书 7 公钥基础PKI 目录 CONTENTS 一网络支付的安全问题与需求 1 网络支付面临的安全问题 1 电子商务的主要安全隐患1 系统的中断与瘫痪2 信息被盗听3 信息被篡改4 信息被伪造5 对交易行为抵赖一网络支付的安全问题与需求 1 网络支付面临的安全问题 2 网络支付的主要安全隐患1 支付账号和密码等隐私支付信息被盗取或盗用2 支付金额被更改3 无法有效验证收款方的身份4 对支付行为进行抵赖修改或否认5 网络支付系统瘫痪一网络支付的安全问题与需求 2 网络支付的安全需求网络上资金流数据的保密性相关网络支付结算数据的完整性网络上资金结算双方身份的认定不可抵赖性保证网络支付系统的运行可靠快捷做好数据备份与灾难恢复功能建立共同的网络支付行为规范进行相关立法以强制力手段要求网络支付相关各方严格遵守二网络支付的安全策略及解决方法 1 网络支付安全策略制定的目的涵义和原则 1 制定网络支付安全策略的目的保障相关支付结算信息的机密性完整性认证性不可否认性不可拒绝性和访问控制性不被破坏能够有序地经常地鉴别和测试安全状态能够对可能的风险做基本评估系统的安全被破坏后的恢复工作应用相应法律法规来保护安全利益二网络支付的安全策略及解决方法 2 网络支付安全策略的涵义安全策略必须包含对安全问题的多方面考虑因素安全策略一般要包含以下内容认证访问控制保密数据完整性法律法规等审计 1 网络支付安全策略制定的目的涵义和原则二网络支付的安全策略及解决方法 3 制定网络支付安全策略的基本原则 1 预防为主 2 必须根据网络支付结算的安全需要和目标来制定安全策略 3 根据掌握的实际信息分析 1 网络支付安全策略制定的目的涵义和原则二网络支付的安全策略及解决方法 2 网络支付安全策略的主要内容 1 定义实现安全的网络支付结算的保护资源金融机构公正第三方税务等政府机构安全的通信通道交易方A 机密支付信息交易方B 机密支付信息安全的网络支付系统组成示意图安全策略具体内容中要定义保护的资源要定义保护的风险要吃透电子商务安全的法律法规最后要建立安全策略和确定一套安全机制 2 定义保护的风险每一新的网络支付方式推出与应用均有一定的风险因为绝对安全的支付手段是没有的要进行相关风险分析还要注意网络支付工具使用安全与使用便利快捷之间的辩证关系 3 完全理解遵循和利用有关电子商务安全与网络支付安全的法律法规 4 建立相关安全策略和确定一套安全机制安全策略中最后要根据定义的保护资源定义的保护风险电子商务安全的法律法规建立安全策略和确定一套安全机制安全策略是由个人或组织针对网络支付结算安全全面制定的安全机制是实现安全策略的手段或技术整套规则和决策二网络支付的安全策略及解决方法 3 保证网络支付安全的解决方法 1 交易方身份认证 2 网络支付数据流内容保密 3 网络支付数据流内容完整性 4 保证对网络支付行为内容的不可否认性 5 处理多方贸易业务的多边支付问题 6 网络支付系统软件支撑网络平台的正常运行 7 政府支持相关管理机构的建立和电子商务法律的制定三网络支付平台的安全及防火墙技术 1 网络平台系统的构成及其主要安全威胁网络平台系统的构成 Intranet电子商务服务器银行专网 Internet 客户机支付网关支持网络支付的Internet网络平台系统组成示意图三网络支付平台的安全及防火墙技术公共通信通道Internet的安全威胁截断堵塞如切断通讯线路毁坏硬件病毒瘫痪软件系统垃圾信息堵塞网络通道等伪造伪造客户或商家信息假冒身份以骗取财物篡改为某目的对相关网络支付信息进行篡改介入利用特殊软件工具提取Internet上通信的数据以期破解信息或进行信息流量分析对信息的流动情况进行分析或非法进入系统或数据库进行破坏 COPY等 1 网络平台系统的构成及其主要安全威胁三网络支付平台的安全及防火墙技术 Intranet的最基本安全需求网络边界的安全内部网络的安全身份验证授权管理数据的保密性和完整性完整的审计记录备份机制以便分析处理 1 网络平台系统的构成及其主要安全威胁三网络支付平台的安全及防火墙技术 2 Internet网络平台系统的安全措施Internet网络平台上安全措施主要从保护网络安全保护应用的安全和保护系统安全三个方面来叙述 1 保护网络安全全面规划网络平台的安全策略制定网络安全管理措施使用防火墙尽量记录网络上的一切活动注意对设备的物理保护检查网络平台系统脆弱性可靠的识别和鉴别 2 保护应用的安全应用安全是针对特定应用如Web服务器网络支付专用软件系统中所建立的安全防护措施独立于任何网络的安全措施网络支付协议就很复杂它涉及购货人零售商和银行之间的转账不同参与者之间的通信需要不同水平的保护需要在应用层上处理由于现在电子商务中的应用层对安全的要求最严格最复杂因此更倾向于在应用层而不是在网络层采取各种安全措施应用层上的安全业务可以涉及认证访问控制机密性数据完整性不可否认性 Web安全性 EDI和网络支付等应用的安全性 3 保护系统安全系统安全性是指从整体系统的角度来进行保护它与网络系统硬件平台操作系统各种应用软件等互相关联涉及网络支付结算的系统安全包含下述一些措施 1 检查和确认安装软件中未知的安全漏洞 2 使系统具有最小穿透风险性 3 对入侵进行检测审计追踪三网络支付平台的安全及防火墙技术 3 防火墙技术与应用 1 防火墙的定义防火墙 Firewall 是一种由计算机软件和硬件组成的隔离系统设备用于在Intranet和Internet之间构筑一道防护屏障能按设置的条件进行区分实现内外有别其主要目标是保护Intranet中的信息资源等不受来自Internet中非法用户的侵犯它控制Intranet与Internet之间的所有数据流量 2 防火墙的应用示意图为三网络支付平台的安全及防火墙技术 2 防火墙的功能实现安全策略创建一个阻塞点记录网络活动限制网络暴露VPN网关 3 防火墙技术与应用三网络支付平台的安全及防火墙技术 3 防火墙的种类数据包过滤性防火墙应用级网关型防火墙代理服务器型防火墙复合型防火墙 3 防火墙技术与应用三网络支付平台的安全及防火墙技术 5 防火墙的类型按防火墙采用的技术分类主要有包过滤式防火墙应用级网关和状态检测防火墙数据包过滤式防火墙 Internet 数据包过滤防火墙路由器 Internet 优点对用户来说是透明的处理速度快易于维护进行网络及维护缺点不能鉴别不同的用户和防止IP地址盗用配置繁琐数据包过滤式的防火墙应用原理示意图 3 防火墙技术与应用应用级防火墙通常是运行在防火墙上的运行代理服务器软件部分又名称为应用网关应用级网关 Internet 优点比包过滤式防火墙更为安全可靠详细记录所有访问状态信息缺点速度慢不允许用户直接访问网络透明性差 Intranet 内部服务器等代理服务器路由器应用级网关的应用原理示意图三网络支付平台的安全及防火墙技术 4 防火墙的优缺点优点遏制来自Internet各种路线的攻击借助网络服务选择保护网络中脆弱的易受攻击的服务监视整个网络的安全性具有实时报警提醒功能作为部署NAT的逻辑地址增强内部网中资源的保密性强化私有权 3 防火墙技术与应用三网络支付平台的安全及防火墙技术缺点限制了一些有用的网络服务的使用降低了网络性能只能限制内部用户对外的访问无法防护来自内部网络用户的攻击不能完全防止传送感染病毒的软件或文件特别是一些数据驱动型的攻击数据被动防守不能防备新的网络安全问题 4 防火墙的优缺点 3 防火墙技术与应用四病毒的防治和管理死机黑屏蓝屏或者非法运行应用软件不能运行计算机速度明显下降设备被禁用数据不能保存局域网环境下能造成网络堵塞服务器不能正常工作 1 计算机病毒的发作现象系统病毒蠕虫病毒木马病毒脚本病毒宏病毒后门病毒病毒种植程序病毒破坏性病毒玩笑病毒捆绑机病毒 2 计算机病毒的种类四病毒的防治和管理防病毒软件查漏补缺Windowsupdate自动更新防止下载病毒 3 计算机病毒的防治方法四病毒的防治和管理五数据机密性技术 1 私有密钥加密法 1 私用密钥加密法的定义与应用原理信息发送方用一个密钥对要发送的数据进行加密信息的接收方能用同样的密钥解密而且只能用这一密钥解密由于双方所用加密和解密的密钥相同所以叫作对称密钥加密法对称密钥密码体系的优点是加密解密速度很快高效但缺点也很明显密钥难于共享需太多密钥目前比较著名的对称密码加密算法有 DES和IDEA 2 私用密钥加密法的使用过程乙银行有一笔20000元资金转帐至贵行12345账号上甲银行乙银行有一笔20000元资金转帐至贵行12345账号上甲银行密钥A 密钥A 加密解密信息明文信息明文信息密文信息密文网络传输甲银行乙银行五数据机密性技术 1 私有密钥加密法五数据机密性技术 2 公开密钥加密法 1 公开密钥加密法的定义与应用原理原理共用2个密钥在数学上相关称作密钥对用密钥对中任何一个密钥加密可以用另一个密钥解密而且只能用此密钥对中的另一个密钥解密商家采用某种算法秘钥生成程序生成了这2个密钥后将其中一个保存好叫做私人密钥 PrivateKey 将另一个密钥公开散发出去叫做公开密钥 PublicKey 非对称密钥技术的优点是易于实现使用灵活密钥较少弱点在于要取得较好的加密效果和强度必须使用较长的密钥 2 公开密钥加密法的使用过程乙银行有一笔20000元资金转帐至贵行12345账号上客户甲乙银行有一笔20000元资金转帐至贵行12345账号上客户甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文网络传输客户甲乙银行公钥私钥 B A 实现了定点保密通知五数据机密性技术 2 公开密钥加密法客户甲本行已将20000元资金从你账号转移至12345账号上乙银行解密加密支付确认明文支付确认明文支付确认密文支付确认密文网络传输客户甲乙银行公钥私钥 B A 网络银行不能否认或抵赖客户甲本行已将20000元资金从你账号转移至12345账号上乙银行 2 公开密钥加密法的使用过程五数据机密性技术 2 公开密钥加密法五数据机密性技术 3 私有密钥加密法和公开密钥加密法的比较五数据机密性技术 4 数字信封 1 数字信封的定义和应用原理对需传送的信息如电子合同支付指令的加密采用对称密钥加密法但密钥不先由双方约定而是在加密前由发送方随机产生用此随机产生的对称密钥对信息进行加密然后将此对称密钥用接收方的公开密钥加密准备定点加密发送给接受方这就好比用信封封装起来所以称作数字信封封装的是里面的对称密钥接收方收到信息后用自己的私人密钥解密打开数字信封取出随机产生的对称密钥用此对称密钥再对所收到的密文解密得到原来的信息 2 数字信封在网络支付中的应用示例银行乙的公钥B 客户甲随即产生的私钥P 银行乙的私钥A 网络传送1 银行乙从数字信封中取出私钥P 乙银行有一笔200元资金转帐至贵行12345账号上客户甲支付通知明文网络传送2 加密支付通知明文乙银行有一笔200元资金转帐至贵行12345账号上客户甲支付确认密文支付确认密文客户甲乙银行解密 3 数字信封的优点加密解密速度快可以满足即时处理需要RSA和DES相结合不用为交换DES密钥周折减小了DES泄密的风险具有数字签名和认证功能密钥管理方便保证通信的安全五数据完整性技术 1 数字摘要技术 1 数字摘要的定义和应用原理通讯双方在互相传送消息时不仅要对数据进行保密不让第三者知道还要能够知道数据在传输过程中没有被别人改变也就是要保证数据的完整性用某种算法对被传送的数据生成一个完整性值将此完整性值与原始数据一起传送给接收者接收者用此完整性值来检验消息在传送过程中有没有发生改变这个值由原始数据通过某一加密算法产生的一个特殊的数字信息串比原始数据短小能代表原始数据所以称作数字摘要 DigitalDigest 2 数字摘要的产生示例银行乙请将200元资金从本帐号转移至12345账号上客户甲 Hash算法数字摘要生成器 Abcddabc347698jdf74 kxs 支付通知支付通知的数字摘要 2 数字签名技术 1 数字签名的定义和应用原理在传统商务的合同或支付信件中平时人们用笔签名这个签名通常有两个作用可以证明信件是由签名者发送并认可的不可抵赖保证信件的真实性非伪造非篡改数字签名及原理 Digita1Signature 就是指利用数字加密技术实现在网络传送信息文件时附加个人标记完成传统上手书签名或印章的作用以表示确认负责经手真实等或数字签名就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据个人标记而且这段数据是原消息数据加密转换生成的用来证明消息是由发送者发来的 2 数字签名的特点 1 信息是由签名者发送的 2 信息自签发后到收到为止未曾做过任何修改 3 如果A否认对信息的签名可以通过仲裁解决A和B之间的争议 4 数字签名又不同于手写签名数字签名随文本的变化而变化手写签字反映某个人个性特征是不变的数字签名与文本信息是不可分割的而用手写签字是附加在文本之后的与文本信息是分离的 3 数字签名的形式化定义数字签名系指在数据电文中以电子形式所含所附或在逻辑上与数据电文有联系的数据和与数据电文有关的任何方法它可用于数据电文有关的签字持有人和表明此人认可数据电文所含信息 4 数字签名的功能 1 身份认证收方通过发方的电子签名能够确认发方的确切身份但无法伪造 2 保密双方的通信内容高度保密第三方无从知晓 3 完整性通信的内容无法被篡改 4 不可抵赖发方一旦将电子签字的信息发出就不能再否认数字签名与数据加密完全独立数据可以只签名或只加密也可既签名又加密当然也可以既不签名也不加密 2 数字签名技术 5 数字签名与手写签名的区别数字签名与手书签名的区别在于手书签名是模拟的且因人而异数字签名是0和1的数字串因消息而异数字签名与消息认证的区别在于消息认证使收方能验证消息发送者及所发消息内容是否被篡改过当收者和发者之间有利害冲突时单纯用消息认证技术就无法解决他们之间的纠纷此时须借助满足前述要求的数字签名技术任何一种产生签名的算法或函数都应当提供这两种信息而且从公开的信息很难推测出用于产生签名的机密信息任何一种数字签名的实现都有赖于精心设计的通信协议客户甲银行乙发送的支付通知M 收到的的支付通知M 银行乙将200元资金 345北交帐号上客户甲银行乙将元资金北交帐号上客户甲 0F812DDF64DB ABFF45ADIAA 0F812DDF64DB ABFF45ADIAA ABFF45 DB AD 数字摘要D 数字摘要D 数字摘要D 数字签名加密客户甲的私钥B 网络传送客户甲的公钥 SHAR1 SHAR1 比较如果D与D 一样说明信息是真实的若不一样说明信息是伪造或篡改过的 2 数字签名技术数字签名可以解决下述网络支付中的安全鉴别问题接收方伪造接收方伪造一份文件并声称这是发送方发送的付款单据等发送者或接收者否认发送者或接收者事后不承认自己曾经发送或接收过支付单据第三方冒充网上的第三方用户冒充发送或接收消息如信用卡密码接收方篡改接收方对收到的文件如支付金额进行改动 2 数字签名技术作用与常见类型 3 身份认证技术 1 身份认证的概念身份认证又叫身份识别它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径身份认证的几个相关概念 1 认证 Authentication 在做任何动作之前必须要有方法来识别动作执行者的真实身份认证又称为鉴别确认身份认证主要是通过标识和鉴别用户的身份防止攻击者假冒合法用户获取访问权限 2 授权 Authorization 授权是指当用户身份被确认合法后赋予该用户进行文件和数据等操作的权限这种权限包括读写执行及从属权等 3 审计 Auditing 每一个人都应该为自己所做的操作负责所以在做完事情之后都要审计身份认证分为单向认证和双向认证如果通信的双方只需要一方被另一方鉴别身份这样的认证过程就是一种单向认证在双向认证过程中通信双方需要互相认证对方的身份 3 身份认证技术身份认证的主要方法口令识别法 1 根据用户知道什么来判断如果用户能说出正确的口令则说明他是真的如经典的UNIX口令系统 2 根据用户拥有什么来判断如果用户能提供正确的物理钥匙则说明他是真的如普通的门钥匙和磁卡钥匙 3 根据用户是什么来判断如果用户生理特征与记录相符则说明他是真的如指纹声音视网膜等 1 不安全口令的分析 1 使用用户名账号作为口令 2 使用用户名账名的变换形式作为口令 3 使用自己或者亲友的生日作为口令 4 使用学号身份证号单位内的员工号码等作为口令 5 使用常用的英文单词作为口令 3 身份认证技术静态密码智能卡短信密码动态口令个人特征识别法签名识别法指纹识别技术 3 身份认证技术身份认证的主要方法六数据证书与认证中心CA 1 数字证书 1 数字证书的定义和应用原理数字证书指用数字技术手段确认鉴定认证Internet上信息交流参与者身份或服务器身份是一个担保个人计算机系统或者组织的身份和密钥所有权的电子文档工作原理接收方在网上收到发送方业务信息的同时还收到发送方的数字证书通过对其数字证书的验证可以确认发送方的身份在交换数字证书的同时双方都得到了对方的公开密钥由于公开密钥是包含在数字证书中的可以确信收到的公开密钥肯定是对方的从而完成数据传送中的加解密工作数字证书数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限是一个经证书授权中心CA CertificateAuthority 数字签名的包含证书申请者个人消息及其公开密钥的文件 1 2 3 个人证书 PersonalDigitalID 企业服务器证书 ServerID 软件开发者证书 DeveloperID 2 数字证书的内容证书的版号证书的序列号证书拥有者的姓名证书拥有者的公共密钥公共密钥的有效期6 证书的有效期7 颁发证书的单位 CCTTT 509国际标准 X 509数字证书包含 2 数字证书的内容 3 与网络支付有关的数字证书的类型 1 个人证书客户证书证实客户例如一个使用IE的个人身份和密钥所有权 2 服务器证书证实银行或商家业务服务器的身份和公钥 3 支付网关证书如果在网络支付时利用第三方支付网关那么第三方要为支付网关申请一个数字证书 4 认证中心CA证书证实CA身份和CA的签名密钥签名密钥被用来签署它所发行的证书 4 数字证书的有效性与使用数字证书必须同时满足以下三个条件才是有效的 1 证书没有过期 2 密钥没有被修改 3 有可信任的相应的颁发机构CA及时管理与回收无效证书并且发行无效证书清单如果数字证书记载的网址与你正在浏览的网址不一致就说明这张证书可能被冒用浏览器会发出警告如果这张数字证书不是由受信任的机构颁发的浏览器会发出另一种警告七公钥基础设施PKI 1 什么是公钥PKI 公钥PKI 公钥基础设施 publickeyinfrastructure PKI 是一种遵循既定标准的密钥管理平台它可以为各种网络应用透明地提供采用加密和数字签名等密码服务及所必需的密钥和证书管理体系密钥管理是一门综合性的技术涉及密钥的产生检验分配传递保管使用销毁的全过程还与密钥的行政管理制度以及人员的素质密切相关七公钥基础设施PKI 1 公钥PKI的组成公钥PKI 1 认证中心CA 2 X 500目录服务器 3 具有高强度密码算法的安全 4 Web安全通信平台 5 自身开发安全应用系统七公钥基础设施PKI 2 PKI的基本概念和所要处理的问题公钥PKI PKI是一套利用非对称密码公钥密码技术为安全通信提供服务的基础平台的技术和规范它规定了该安全基础平台应遵循的标准 PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务包括身份证书和密钥管理机密性完整性身份认证和数字签名等因此用户可利用PKI平台提供的服务进行电子商务和电子政务应用七公钥基础设施PKI 2 PKI的基本概念和所要处理的问题公钥PKI PKI是一套利用非对称密码公钥密码技术为安全通信提供服务的基础平台的技术和规范它规定了该安全基础平台应遵循的标准 PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务包括身份证书和密钥管理机密性完整性身份认证和数字签名等因此用户可利用PKI平台提供的服务进行电子商务和电子政务应用密钥的安全生成密钥的安全归档和恢复信任关系的建立和管理签名和时间戳的产生证书及相关信息的发布证书的颁发更新和终止初始身份的确认证书的有效性检查七公钥基础设施PKI 2 PKI必须处理的问题七公钥基础设施PKI 3 PKI的功能七公钥基础设施PKI 4 PKI的主要流程七公钥基础设施PKI 5 公钥PKI的优势公钥PKI 1 采用公开密码密钥技术 2 保护机密性 3 由于数字证书的作用有巨量的用户基础 4 PKI提供了证书撤销机制使其应用领域不受限制 5 PKI具有极强的互联功能第7章认证中心CA 认证中心CA简介 1 认证中心CA的技术基础 2 认证中心CA的功能 3 认证中心CA的组成框架 4 目录 CONTENTS 认证中心CA简介 1 认证中心CA的技术基础 2 认证中心CA的功能 3 认证中心CA的组成框架 4 目录 CONTENTS 如何确认彼此的身份网上应用系统服务器用户数据库假冒的站点假冒的用户互联网应用存在信息安全隐患在传统的商务中用来认证商家或客户真实身份的认证证书大多是被认为公正的第三方机构如政府部门颁发的中国工商行政管理总局保证发行管理营业证书合法性而作为电子商务平台的Internet是没有政府的那由谁来验证商家的真实性呢一什么是认证中心CA CA CertificateAuthority 是数字证书认证中心的简称是指发放管理废除数字证书的机构 CA的作用是检查证书持有者身份的合法性并签发证书在证书上签字以防证书被伪造或篡改以及对证书和密钥进行管理 CA必须是各行业各部门及公众共同信任的认可的权威的不参与交易的第三方网上身份认证机构 CA是PKI的核心组成部分认证中心CA简介 1 认证中心CA的作用 2 认证中心CA的功能 3 认证中心CA的组成框架 4 目录 CONTENTS 二 CA的作用 CA提供的安全技术对网上的数据信息发送方接收方进行身份确认以保证各方信息传递的安全性完整性可靠性和交易的不可抵赖性交易信息的安全性交易信息的完整性交易者身份的可靠性交易信息的不可抵赖性认证中心CA简介 1 认证中心CA的技术基础 2 认证中心CA的功能 3 认证中心CA的组成框架 4 目录 CONTENTS 三认证中心CA的功能 CA的核心功能就是发放和管理数字证书 CA认证中心的功能主要有证书发放证书更新证书撤销和证书验证具体描述如下 1 生成密钥对及CA证书2 验证申请人身份3 颁发数字证书4 证书以及持有者身份认证查询5 吊销证书6 证书管理与更新7 制定相关政策8 有能力保护数字证书服务器的安全 CA可以分为RS 证书业务受理中心和CP 证书制作中心两部分 RS负责接收用户的证书申请发放等与用户打交道的外部工作 CP负责证书的制作记录等内部工作用户如果要获得数字证书必须上网进入CA网站实际就是进入了RS网站向RS申请证书 RS与用户对话后可以获得用户的申请信息然后传递给CP CP与RA进行联系并从RA处获得用户的身份认证信息后由CP为用户制作证书交给RS 当用户再上网要求获取证书时 RS将制作好的证书传给用户三 CA证书的功管理 CA简介 1 CA的技术基础 2 CA的功能 3 CA的组成框架 4 目录 CONTENTS 四 CA的组成框架 CA可以分为RS 证书业务受理中心和CP 证书制作中心两部分 RS负责接收用户的证书申请发放等与用户打交道的外部工作 CP负责证书的制作记录等内部工作用户如果要获得数字证书必须上网进入CA网站实际就是进入了RS网站向RS申请证书 RS与用户对话后可以获得用户的申请信息然后传递给CP CP与RA进行联系并从RA处获得用户的身份认证信息后由CP为用户制作证书交给RS 当用户再上网要求获取证书时 RS将制作好的证书传给用户 RA的作用在网上支付中参与的每家银行都要建立自己的RA 面对众多的用户光有一个RA是无法完成任务的因此 RA下必须设立许多业务受理点接待用户进行申请登记工作 RA作为身份认证与审核部门通过专线与各业务受理点连接各业务受理点接收用户的申请审查用户的身份证件通过专线与RA交换信息完成用户的身份认证工作证书服务中心 CP CRL 黑名单库 RS RA RA 业务受理点业务受理点业务受理点业务受理点证书用户证书用户证书用户证书的发放证书的发放包括两部分一证书的申请制作发放二用户的身份认证 CA 证书服务中心完成第一部分工作 RA 审核受理处则完成第二部分工作对于RA 持卡人RA由发卡银行商家的RA由收单银行等能够认证用户身份的单位来担任证书的申请流程一用户带相关证明到正是业务受理中心RS申请证书二用户在线填写证书申请表格和证书申请协议书三 RS业务人员取得用户申请数据后与RA中心联系要求用户身份认证四 RA下属的业务受理点审核员通过离线方式面对面审核申请者的身份能力和信誉等五审核通过后 RA中心向CA中心转发证书的申请要求六 CA中心响应RA中心的证书请求为该用户制作签发证书并且交给RS 七当用户再次上网要求获取证书时 RS将制作好的证书传给用户如果证书介质是IC卡方式则RS业务人员打印好相关密码信封传给用户通知用户到相关业务受理点领取八用户根据收到的用户应用指南使用相关的证书业务国内外主要CA机构世界上较早的数字证书认证中心处于领导地位和全球最大的PKI CA运营商是美国VeriSign公司该公司成立于1995年4月位于美国的加利福尼亚州它为全世界50个国家提供数字证书服务有超过45000个互联网服务器接受该公司的服务器数字证书使用它提供的个人数字凭证的人数也已经超过200万另外一家著名的公司是加拿大的ENTRUST 威瑞信提供的服务包括DNS服务数字证书安全服务支付服务欺诈检测服务威瑞信的数字信任服务通过域名登记数字认证和网上支付三大核心业务在全球范围内建立起了一个可信的虚拟环境使任何人在任何地点都能放心地进行数字交易和沟通威瑞信的DNS服务的主要业务有管理世界13台根服务器中的2台 A与J 顶级域名中的 com和 net 北美最大的SS7信号网络中的一个 EPCglobal委托的射频识别目录我国安全认证体系 CA 可分为金融CA与非金融CA两种类型来处理在金融CA方面根证书由中国人民银行管理根认证管理一般是脱机管理品牌认证中心采用统一品牌联合建设的方针进行在非金融CA方面最初主要由中国电信负责建设五我国认证中心现状金融CA为CFCA 中国金融认证中心系统分为 1 SET系统 2 Non SET系统 3 RA系统五我国认证中心现状 CFCA的功能 1 实体鉴别与验证 2 确保电子交易的保密性 3 支持不可否认性 4 密钥历史记录 5 密钥备份与恢复 6 密钥自动更新 7 交叉认证五我国认证中心现状我国的CA又可分为行业性CA和区域性CA两大类行业性CA 中国金融认证中心 CFCA 和中国电信认证中心 CTCA 是行业性CA中影响最大的两家区域性CA 大多以地方政府为背景以公司机制来运作如广东CA中心 CNCA 上海CA中心 SHECA 深圳CA中心 SZCA 其中影响最大的是广东CA中心 CNCA 和上海CA中心 SHECA 如果按照技术来源划分 CA中心还可分为引进国外技术与完全自主开发两类 CFCA和天威诚信属于前者广东CA和上海CA都属于后者深圳CA与广东南海CACFCA的SET系统由IBM公司承建 NON SET系统由德达 SUN Entrust集团承建天威诚信的技术平台来自VeriSign 但它们的密码模块却都是由国内自主开发经国家安全部门认可的中国金融认证中心 CFCA CFCA是全国唯一的金融根认证中心由中国人民银行负责统一规划管理中国工商银行中国银行中国农业银行中国建设银行交通银行招商银行中信实业银行华夏银行广东发展银行深圳发展银行光大银行民生银行和福建兴业银行共十三家商业银行联合建设由银行卡信息交换总中心承建建立了SETCA和Non SETCA两套系统于2000年6月29日正式开始为全国的用户提供证书服务广东CA及网证通 NETCA 系统广东省电子商务认证中心是国家电子商务的试点工程其前身是中国电信南方电子商务中心创立于1998年 2001年1月广东省电子商务认证中心的网证通电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测被认定为安全可信的产品 2001年8月国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心成为国内提供网络安全认证服务的重要力量

展开阅读全文