电子商务认证中心

来自中文百科专业版
跳转至: 导航搜索

认证中心概述

  认证中心(简称 CA),是实现网上交易和网上支付的重要安全保障。是承担网上安全电子交易认证服务、签发数字证书、确认用户身份等工作的具有权威性和公正性的第三方服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发以及对数字证书的管理。

  认证中心主要包括下列组成部分:

  • 注册服务器(RS):用于接收用户证书申请
  • 注册管理机构(RA):负责审核申请人的资格,决定是否发放证书。
  • 证书管理机构(CA):具体发放证书的操作部门。
  • 证书作废列表(CRL):记录作废或过期的证书。
  • 业务受理点:为用户提供证书申请和发放的窗口。
  • 证书使用者:认证中心的用户,包括:个人用户、企业用户和服务器用户。

  目前,中国常见的认证中心有:

  • 中国商务在线sinacol(www.sinacol.corn),中国电信CA安全认证中心CTCA。
  • 中国电子邮政安全证书管理中心(www.chinapost.com.cn),发放并管理参与网上信息交换的各方所需的安全数字证书。
  • 中国金融认证中心(www.cfca.com.cn),支持网上银行、网上证券交易、网上购物以及安全电子文件传递等应用。
  • 中国数字认证网(www.ca365.com),数字认证,数字签名,CA认证,CA证书,数字证书,安全电子商务。
  • 北京国富安电子商务安全认证中心,(www.cacenter.com.cn),专业从事电子商务及信息安全的高技术公司。
  • 广东省电子商务认证中心(www.cnca.net),提供电子商务认证、安全产品和解决方案,制作、颁发、管理数字证书。

认证中心的功能

  认证中心的主要功能包括:证书申请受理、证书颁发、证书更新、证书撤消、证书查询和证书归档管理等。

证书的颁发

  认证中心接收认证用户(包括下级认证中心和最终用户)的数字证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请,则进一步确定给用户颁发哪一种类型的证书。将新证书用认证中心的私钥签名以后,发送到目录服务器供用户下载和查询。为了保证信息的完整性,返回给用户的所有应答信息都要使用认证中心的签名。

证书的更新

  认证中心可以定期更新所有用户(包括下级认证中心和最终用户)的证书,或者根据用户的请求和需要更新用户的证书。

证书的查询

  证书的查询可以分为两类:

  1. 证书申请的查询,是指认证中心根据用户的查询请求返回当前用户证书申请的处理过程。
  2. 用户证书的查询,是由目录服务器来完成,目录服务器根据用户的请求返回相应的证书。

证书的作废

  有两种情况:

  1. 由于用户的私钥泄密等原因造成用户证书出了问题,需要申请证书作废,用户要向认证中心提出证书作废请求,认证中心根据用户的请求确定是否将该证书作废。
  2. 证书已经过了有效期,需要作废的情况。这时,通常是认证中心自动将该证书作废。

  认证中心通过维护证书作废列表(Certificate Revocation List,CRL)来完成各种情况下的证书作废的管理程序。

证书的归档

  所有证书必须全部归档,包括所有已经作废的证书,形成历史档案,以备查用。因为有时我们可能需要认证以前的、在某个交易过程中产生的数字签名,这时就需要查询作废的证书。

认证中心的分级验证结构

  认证中心是采用树型分级结构,分层分级进行认证服务和证书业务管理。上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。在双方通信时,通过认证中心签发的数字证书证实对方的身份,如果对签发证书的认证中心本身有怀疑,可以由签发该认证中心证书的认证中心机构验证该认证中心的身份,这样逐级认证,一直到公认的权威认证中心,形成一种树形验证结构,最权威的认证中心称为根认证中心。

  例如某商家的证书是由湖北省电子商务认证中心(HBECA)签发的,而HBECA的证书是由中国南方电子商务中心签发的,类似的,海南省电子商务认证中心(HNCA)的证书也是中国南方电子商务中心签发的,这样构成树形结构见下图,由HBECA和HNCA签发的证书1-证书4,最终都由中国南方电子商务中心认证。

认证中心的分级验证结构(树形结构)示意图
认证中心的分级验证结构(树形结构)示意图

中国金融认证中心

中国金融认证中心的认证体系结构

  中国金融认证中心(简称CFCA),是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。

  CFCA采用国际主流的PKI(Public Key Infrastructure:公钥基础设施)技术,提供适用于企业、个人、Web站点、VPN、安全E-mail、手机应用等在内的十多种证书和各种信息安全服务,确保网上银行、网上证券、网上保险、网上税务、电子商务、电子政务、企业集团等的信息安全。

  CFCA认证系统为三层CA结构(见下图),

CFCA认证系统—认证体系结构示意图
CFCA认证系统—认证体系结构示意图

  第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成:

  CA系统:承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定,CA系统设在CFCA本部,不直接面对用户;

  RA系统:直接面向用户,负责用户身份申请审核,并向CA申请为用户转发证书;一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部,受理点(LRA)设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构,RA系统可方便集成到其业务应用系统。如图3-18所示。

CFCA提供的证书种类及用途

  除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,CFCA提供下列证书:

  • 企业高级证书 适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。
  • 企业普通证书 适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。
  • 个人高级证书 适用于个人作金额较大的网上交易,安全级别较高,可用于数字签名和信息加密。
  • 个人普通证书 适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于小额的网上银行和网上购物。
  • Web Server证书 适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请Direct Server证书,并配合Direct Server软件来保证它的安全性。
  • Direct Server证书 用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对Web Server的保护使用。

数字证书的使用

  下面以网上企业购销(B2B)交易为例,说明CFCA证书的使用范围。

  在B2B交易中,供货方和购货方之间、购货方和交易平台之间、交易平台和银行之间均需要双向的身份认证。CFCA可以为上述交易各方提供相关的认证证书。交易各方进入CFCA下载交易对象的数字证书验证其合法性。

  另外,订单、发票、各种声明等作为商业机密文件,要进行数字签名、加密保护,以防篡改、抵赖行为发生。CFCA可以为证书申请各方提供公钥和私钥。

  在交易过程中不同的交易支付指令发给不同的对象,银行不能知道企业交易信息,交易平台不能知道支付信息,这些通过采用不同对象的公钥加密来保证。

  交易平台为交易双方提供交易信息,撮合交易,对交易过程进行监督,最大限度避免交易欺诈,为日后纠纷提供公正评判。