1、第 4 章 金融安全认证4.1 金融安全认证概述4.2 安全认证技术-PKI4.3 中国金融认证中心 CFCA4.4CFCA 支持的应用4.5 金融认证中心的证书业务规则4.6 电子商务参与方的法律关系第 4 章 金融安全认证(一)电子商务对网上安全交易的要求身份鉴别:在交易前,首先要确认对方的身份,不能是假冒或伪装。交易各方有商户、持卡人和银行。机密性:对敏感信息要加密,获取后难以破解。完整性:要求收方能验证接收的信息是完整的。不可抵赖性:交易达成,发送方或接收方都 不能否认其发送的信息或收到的信息。在安全性上除采用加密措施外,还必须建立一种信任及信任验证机制,使交易一方可确认其他各方的身份
2、。可验证的身份标识。是一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业务的各种认证需求提供证书服务。包括电子商务、网上银行、支付系统和管理信息系统等。组织参与网上交易规则的制定,确立相应的技术标准。4.2 安全认证技术PKI1、PKI 是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,是电子商务的关键和基础技术。2、PKI 的基本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术,在网络间解释和管理这些信息。4、PKI 的核心是信任关系的管理,为了解决信任关系问题,引入了第三方信任和数字证书概念。2、PKI 的理论基础密码体制:从原理上可分为单钥体制
3、(One-key System)和公钥体制(Two-key System)对称加密 单钥加密对称加密过程发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文公钥体制:加密密钥和解密密钥不相同,是一种非对称加密体制。1. 加密模式:加密模式过程发送方用接收方公开密钥对要发送的信息进行加密。发送方将加密后的信息通过网络传送给接收方。接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文。2. 验证模式:验证模式过程发送方用自己的私有密钥对要发送的信息进行加密。发送方将加密后的信息通过
4、网络传送给接收方。接收方用发送方公开密钥对接收到的加密信息进行解密,得到信息明文。3. 加密与验证模式的结合保障信息机密性 & 验证发送方的身份使用过程:4. 对称和非对称两种加密方法的联合使用两种密码体制的比较(2) 数字签名(1)签名不同:手写签名是签署文件的物理组成部分; 不是组成(2)验证不同:手写签名比对;公开验证算法(3)复制不同:手写签名不易复制;相反3、认证中心 CA认证机构 CA 签发数字证书网络用户电子身份证明,如同护照。按照第三方信任原则,相信持有证明的用户。CA 要防伪造和篡改。具有灵活性各种 CA 产品兼容,遵循通用的国际标准。颁发证书:生成证书并签名,以适当方式发给
5、用户。管理证书:记录已颁发证书和撤消的证书。用户管理:新提交的申请与现存标识名比较拒绝重复。吊销证书:在证书有效期内使其无效,发布 CRL (Certificate Revocation List )验证申请者身份:必要的身份验证保护证书服务器:证书服务器安全制定政策:公布制定 CA 的政策CA 的证书验证是逐级进行,沿着信任树一直到公认的信任组织,确认证书是有效的。4、数字证书证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。ITU(International Telecommunications Uni
6、on,国际电信同盟)在 1988 年制定的 X.500 系列标准中的 X.509 就是被广泛采用的标准。 X.509 标准与公钥基础设施密切相关,它定义了公开密钥与密钥主体的结合,由此实现通信实体鉴别机制,并规定了实体鉴别中所使用的方法和数据接口,即证书。() 集中生成模式:密钥对全部由生成;生成的公钥提供给软件生成证书,生成的证书和私钥发给申请者;离线分发:以磁盘或 IC 卡形式提供给用户在线分发:用户使用浏览器与 CA 的 Web 服务器相连申请证书,生成后 CA 用电子邮件通知用户如何以安全方式取得证书。()分布式生成模式:密钥对由申请者自己的客户端软件生成,然后将公钥和个人资料发给,由
7、生成证书签名发给申请者;PKI 的基本组成:1、证书申请者:(Subscriber)2、证书申请审核中心:3、认证中心:4、证书库 :5、证书信任方:1、易用性:屏蔽密码服务的实现细节2、可扩展性:体系结构可扩展;发行证书可满足不同应用要求。3、互操作性:不同企业单位的 PKI 实现可能不同。4、支持多应用、多平台:各种应用和各种操作系统1、Baltmore 公司的 UniCERT: Baltmore 公司主要从事网络安全领域的产品开发,总部在爱尔兰, UniCERT 是目前世界最先进的 PKI 产品之一,是策略驱动、模块化的。其特点:灵活;易用;策略支持;可扩展;开放;安全2、Entrust
8、/PKI: Entrust 公司总部在美国的得克萨斯, Entrust 电子商务安全产品处于全球领先地位,占 35% 市场份额。其特点:灵活性;完善的数据库功能;安全性及易用性;无缝更新密钥对降低系统使用成本;完善密钥备份和恢复系统;不可否认性,策略选择自由;可扩展性;互用性。3、VerSign 公司的 OnSite: VerSign 公司不仅提供认证服务,还提供 PKI 产品。OnSite 被用来企业互联网、外部网、VPN 及电子商务应用。4.12 我国 PKI 体系1998 年上海 CA 中心成立,国内有 70 多个电子认证服务机构,可分为区域型、行业型、商业型和企业型。我国 PKI 处于
9、起步阶段,有不少急待解决的问题。服务于国家各级机构、组织和部门的内部电子政务业务。由政务根中心、政务认证中心、注册机构组成。服务于各种公众网上业务(包括电子商务业务、政府面向公众服务的电子政务业务和其他信息化应用)采用网状信任模型,由国家桥中心、地区桥中心、公众服务认证中心 SCA 和注册机构组成。4.3 中国金融认证中心(CFCA)99 年 2 月启动, 2000 年 6 月投入运行。根据电子商务发展需要,由人行牵头,十二家商行联合建设的一个权威的、可信赖的、公正的第三方信任机构。专门为电子商务的各种认证需求提供证书服务。组织并参与了有关网上交易规则的制定,相应的技术标准,提供网上支付和跨行
10、网上支付的相互认证等。建立了 SET CA 和 Non-Set CA 两套系统, SET CA 由 IBM 承建,Non-Set CA 由Entrust/SUN/德达承建。 统一规划,联合共建。试点先行,逐步扩展。技术先进,功能全面。落实应用,快字为先。标准和开放:符合国际标准,支持多家公司的支付网关。建立 SET CA 和 Non-Set CA 两大体系。向各种用户颁发不同种类的电子证书,支持电子商务应用、网上银行及其他安全管理业务的应用。 SET CA 主要用于电子商务中的 B2C 业务模式的身份认证; Non-Set CA 可同时支持 B2B 和 B2C 两种模式的身份认证; 每年发放
11、Non-Set 证书 15 万, SET 证书 10 万SET CA 和 Non-Set CA 是两各不同的体系,但都基于 PKI 机制,两套系统设计均为三层结构。第一层 CA:根 CA(RCA)设在中国人民银行总行它负责制定和审批总体政策,确定每层 CA 的功能和职责,给自己签发证书,并签发和管理第二层 CA 的证书及其他根 CA 的交叉认证。第二层 CA:(品牌 CA 或政策 CA)对于 Set CA 体系称为品牌 CA,用来颁发地域 CA、支付网关 CA、商家 CA、持卡人CA 的证书。对于 Non-Set CA 体系称为政策 PCA,根据 RCA 的各种规定,制定具体政策、管理制度及各
12、地规范,签发第三层 CA 的证书,管理其发放的证书及 CRL。第三层 CA:(用户 CA)根据 CA 制定的政策和第二层 CA 的具体规定,直接给最终用户(持卡人、商家 、企业、支付网关)发放各种应用的数字证书,并管理其发放的证书及 CRL。Set CA 体系结构Non-Set CA 体系结构 PKI CA 系统中国金融 CA 系统分为证书操作子系统 CA 和业务受理审核子系统 RA。核心部分 CA 是集中管理,RA 是分布在各银行管理。RA 按照 RCA 制定的政策和管理规范的规定对用户的资信进行审查;向第三层 CA 申请为用户签发证书,根据需要设置下一级审核机构 LRA,并管理受理点 LR
13、A。受理点 LRA 对用户提交的资料进行审核,决定是否发放证书。功能有接收用户的申请,录入用户资料;审核用户申请资料,批准或否决;为用户发放证书介质。SET 证书类型:持卡人证书、商户证书、支付网关证书Non-SET 证书类型:个人普通证书、个人高级证书、企业高级证书、服务器站点证书离线申请方式;在线申请方式;Entrust/PKI Web 证书申请:在线或离线Entrust/PKI 企业证书申请:面对面方式离线审核方式;将手工录入的用户信息进行人工审核在线审核方式;将手工录入的用户信息与银行原有信息进行自动审查核对。用户的密钥及有关证书的所有数据信息,都要进行归档处理以便查询。使用目录服务器
14、系统存储证书和 CRL,保存期为 7 年。上级 CA 对下级 CA 的管理功能。拥有完善的管理手段和管理界面。具有远程管理和维护功能。自身证书的查询。CRL 查询操作日志查询统计报表输出5 金融 CA 系统的安全体系金融 CA 系统的安全体系组成1.环境安全 :是系统安全的基础,要选择适当设施位置,考虑水灾、地震、电磁干扰与辐射、人为因素、电源等因素。2.物理安全 :CA 系统中微机和主机、LAN 服务器等资源要严格管理,要授权和监控。3.网络安全 :根 CA 和第二层要离线操作,不连接互联网。将网络划分为公共区、操作区和“军事区”,层层加防火墙和实时监控。4.主机安全 :在金融系统中,主机系
15、统有 CA 服务器、目录服务器、Web 服务器等。有双机备份,自动恢复和检测。5.CA 产品安全:Entrust 的 PKI 产品6.操作安全规则:制定相应 CA 规则对 CA 签发证书、RA 审核证书的操作7.人员管理安全:直接威胁内部人员,操作不当或信息失密,管理员密码双登录。8.安全策略 :管理安全策略:建立严格的管理规程。 数据安全策略:最重要是 CA的私钥,其次是用户数据。系统安全策略:制定安全可靠的认证证书操作说明书(CPS)即认证实施说明,定义 CA 的政策和规范,出现争端时提供法律保护。第四节 CFCA 支持的应用传统的浏览器与服务器之间进行信息传递时不安全问题:支持的 SSL
16、 协议对中国只提供了 40 位密钥 DES 算法。几秒破译SSL 证书协议没提供数字签名,所以不抗否认性。不能在线进行 CRL 自动查询。没有完善的证书管理功能。如证书有效期及密钥管理。2.网上购物2.网上购物CFCA 支持 B2B 网上购物时对三方的要求:采购用户 要有一台 Web 浏览器,装有 Direct Client 软件,称为客户端软件(Proxy) 。客户端软件其作用是负责与 Web 服务器建立安全通信,提供对客户端和服务器端的安全性和密钥管理功能,专为 Server Proxy 提供加密和签名信息。在企业用户端要下载 CFCA的根证书,同时还装有企业级证书。2.网上购物供应商 要
17、有一台 Web 服务器,装有 Direct Server 软件,称为服务器端软件(Proxy) 。服务器端软件作用是与客户端建立安全通信,提供对客户端和服务器端的安全性和密钥管理功能,进行双方认证,接收客户端的信息并进行处理;支持客户端和服务器端的在线自动 CRL 检查。在商家的服务器端装有 CFCA 的根证书,同时还装有企业级证书。2.网上购物银行提供支付结算功能。在银行网络前端设置一台支付服务器 Payment Server支付服务器作用是将商家传送来的信息进行通信格式的转换,并与银行客户信息数据库联接,完成划转账任务。银行的支付服务器端装有 CFCA 的根证书,同时还装有企业级证书。B2
18、B 交易流程1.企业客户下载安装 CFCA 根证书和企业证书后,可访问商家的 Web 主页。2.企业客户选择物品,填写订单及支付账号。3.商家将客户端的支付信息传给银行支付服务器。4.银行支付服务器进行交易处理。5.银行支付服务器将扣款转账信息返给商家;6.商家的 Web Server 把交易成功信息给用户,表示支付已接受。B2B 交易模式的特点1.双方认证2.完整的密钥和证书管理体系3.对用户有通用性和透明性4.客户端和服务器端自动进行 CRL 查询5.强大的密码机制6.双重密钥对机制,具有不可否认性3、网上银行B2B 模式的网上银行是将传统的银行对公业务转移到网上进行,主要面向大客户的交易
19、双方。上述的 B2B 网上购物涉及到三方交易,相当于完成两个 B2B 交易。而网上银行是端对端交易,即客户对银行,只涉及到交易双方。网上银行运行模式一方为企业级用户,有浏览器,装有 Direct Client 软件,其作用是与 Web 服务器之间建立安全会话;装有 CFCA 的根证书及 Direct 企业级证书。另一方为银行,在传统银行业务之前装有一台网上银行应用服务器,装有 Direct Server 软件,与 Direct Client 软件实现安全通信;并装有与传统银行信息系统相联的接口程序。网上银行运行流程1、用户通过浏览器访问银行 Web 服务器的主页,选择交易类别。2、银行的网上银
20、行应用服务器接收验证用户的交易申请,并转换格式到后台。3、银行后台的账务处理系统将交易结果送到应用服务器;4、银行的网上银行应用服务器将交易结果回送到用户,说明该交易已完成。第四节 CFCA 支持的应用B2C 应用有 SET B2C 网上购物和 Non-SET 网上购物 PKI 系统。持卡人客户在其浏览器中装有电子钱包软件 E-Wallet,并从 SET CA 申请下载 Card holder 证书;商家装有 E-pos 软件及商场应用软件,并从 SET CA 下载 Merchant 证书;收单行的支付网关装有 E-Payment Gateway 软件及支付应用软件,并从 SET CA 下载
21、E-Payment Gateway 证书;Non-SET B2C 模式网上购物采用借记卡、信用卡作为支付工具;与 SET 系统区别不是三方交易,是做两次端对端交易;与 Non-SET B2B 模式不同是,商家对客户端是服务器,商家对银行支付服务器是银行客户。商家同时装有客户端和服务器端代理软件。商家要进行浏览器、服务器双方;商家使用两个证书:一个是 Web Server 证书,一个是企业(高级)证书;商家与客户之间是 B2C 模式,商家与银行之间是 B2B 模式;Web Server 可自动进行 CRL 检查Non-SET B2C 网上银行个人用户有两类;一类作网上账务及信息查询,一类作银行对
22、私业务交易。网上账务及信息查询。客户在浏览器中只要下载 CFCA 的根证书,实现客户端对服务器的单方认证,采用 SSL 协议;对私业务交易。客户在浏览器中要下载 CFCA 的根证书和 SSL 用户证书,与 Web 服务器之间实现双方认证,采用 SSL 协议,128 位 DES 算法。1.用户访问银行 Web 服务器,进行双方认证,用户浏览网银所提供的功能和交易。2.用户选择交易各类(如转账、支付等) ;3.应用服务器进行格式转换,把交易转给银行后台应用系统,并进行账户更新;4.后台应用系统将结果送应用服务器。5.应用服务器将结果送给用户,并加以显示。1.交易流程简单2.双方认证;3.完全性没有
23、 B2B 网上银行交易安全性高;4.Web 服务器实现自动的 CRL 查询 。4.5 金融认证中心的证书业务规则中国金融认证中心制定证书实施说明,其核心是金融认证服务的业务规则。金融认证服务的主要业务规则有四个内容 :1、银行网关业务规则2、商户的业务规则3、持卡人的业务规则4、中介机构业务规则 持卡人业务规则分为 SET 标准持卡人业务规则和 Non-SET 标准卡人业务规则;Non-SET 标准卡人业务规则根据风险不同可分为个人普通证书和个人高级证书。持卡人的业务规则1.持卡人(个人)基本资格要求 身份证 EmailSET 系统有银行卡,Non-SET 银行账号 联系电话 通信地址(含邮编
24、) 持卡人的业务规则3.持卡人(个人)证书申请、审核参考流程 (1 )网上数字证书申请、审核参考流程 SET 标准持卡人证书申请、审核参考流程 通过 CFCA 主页访问银行的 Web 登记服务器进行证书申请;申请信息导入银行总行的 RA 服务器,分发给分行,交给指定人员审批;审批未通过拒绝并记录原因;通过密码信封邮件申请人Non-SET 标准个人普通证书申请、审核参考流程 持卡人的业务规则3.持卡人(个人)证书申请、审核参考流程 (2 )面对面数字证书申请、审核参考流程 SET 标准持卡人证书面对面申请、审核参考流程 Non-SET 标准个人普通证书面对面申请、审核参考流程 Non-SET 标
25、准个人高级证书面对面申请、审核参考流程 持卡人的业务规则4.持卡人(个人)证书的使用方式(1)SET 标准持卡人证书的使用方式(2)Non-SET 标准个人普通(高级)证书的使用方式5. 持卡人(个人)软件要求 (1 )SET 系统的商户软件要求 (2 )Non-SET 系统的软件要求 4.6 电子商务参与方的法律关系一、网上交易客户间的法律关系1.买方的义务:按网络交易规定方式支付货款的义务。按合同规定时间、地点和方式接受标的物的义务。承担对标的物验收的义务。3.买卖双方不履行合同义务的救济:买方救济方法: 卖方救济方法:二、网上交易客户与银行间的法律关系银行承担责任:返回资金,支付利息;补
26、足差额,偿还余额;偿还汇率波动导致的损失。三、认证中心与电子商务参与方的法律关系1.认证中心对参与者进行严格审查与认证;发布及时可靠的认证信息;2. 认证用户(商家、消费者)报出本身准确的相关信息;及时检查证书内容和信息;妥善保管私有密钥;及时汇报出现的问题。三、认证中心与电子商务参与方的法律关系3.参与者(银行等其他相关方)检查证书的合法性;进行证书失效性检查确认证书的可靠性;保证业务 24 小时正常运行;四、各方责任1.认证中心负有的责任违反管理要求;违反认证中心控制要求;违反认证控制要求;违反撤消控制要求违反用户信息控制要求违反系统和设备要求四、各方责任2.用户负有的责任用户信息出现问题的损失;个人密钥丢失没有及时通知 CA 引起的损失;证书不全时进行交易产生的损失;非法使用证书造成的损失五、网上纠纷的处理1.问题申诉程序:向主管部门提交仲裁申请,一式三份,3 日内送达被告,7 日内交付书面答辩。2.银行协调方法:双方同意可进行协调,15 内未达成和解进行仲裁程序。3.仲裁:双方各选定一仲裁员,两仲裁员选定第三位仲裁员,仲裁不超过 30 天可延至 40天。4.上诉法院:不服方 30 天内可上诉当地最高法院。_
