网上电子支付与结算第七章 中国金融认证中心

图7-5 Non-SET CA系统
（2）政策保证方面的优势。 ① 中国金融CA遵循了统一规划联合共建， 先作试点逐步发展，技术先进功能全面，落 实应用快字当先的原则。 ② 证书是一种权威性的电子文档。
③ 建立CFCA也包括制定“证书运作管 理规范”（CPS），它应由人民银行支 付与科技司批准，在中国目前电子商务 法律环境尚不健全的情况下，CPS的制 定就显得异常重要，CPS实际上是认证 中心的法规。
（6）Subject （7）Subject Public Key Information （8）Issuer Unique ID （9）Subject Unique ID （10）Extensions （11）Authority Key Identifier
（12）Cert Issuer （13）Sublet Key Identifier （14）CRL Distribution Point （15）Key Usage （16）Private Key Usage Period （17）Certificate Policies
2．卖方义务
（1）卖方承担按合同规定提交定标物和相关 单据的义务。 （2）卖方承担对定标物权利担保的义务。 （3）卖方承担对定标物的质量担保的义务。
3．发生违约时的补救措施
（1）卖方不履行合同的行为表现在，不 提交或不按时提交标定物和单据；提交 的标定物和单据不符合合同规定；第三 人存在对标定物的权利或主张。
第三节 CFCA认证的管理
一、CFCA认证管理的特点
第一，认证中心所做的CA数字化 证书是打破地域或部门限制的网络化工 作。
第二，认证中心是进行网上合法身 份、合法交易的权威证明机构，它将依 据国家相关的法律法规开展工作，坚持 公平、公正原则，维护网络金融信誉， 防止金融诈骗行为的产生。
第三，认证中心是独立的业务部门， 不允许商家、用户或检查方参与、证明网 上交易的合法性及有效性。 而认证中心本身也不准介入商业买卖 和银行业务，必须履行国家相关法律、法 规指示和宏观管理下的一种接近企业的专 门业务行为。
第一，要求卖方真正履行合同义务， 送回替代物或对其整修并合理补偿或减付 价款。 第二，对迟送或不履行合同要求可要 求赔偿损失。 第三，解除合同并要求赔偿损失。
（2）买方不履行合同表现为，买方不按 合同规定付款或不按规定收取货物，此 时卖方可选用以下措施。 第一，要求买方付款、收纳货物或 履行相关义务。 第二，要求买方支付合同价格或补 齐转售差价。 第三，解除合同。
2．Non-SET系统
Non-SETCA系统分为三层结构，第一 层为根CA，第二层为政策CA，第三层为 运营CA。 其中第三层运营CA直接为各商业银行 用户发证，它直接与RA连接。 Non-SETCA，系统架构如图7-5所示。
3．Non-SET证书的优势
（1）技术优势。 ① CFCA的Doll-SETCA系统是引入当今 世界先进水平的加拿大Entrust公司的产 品。
（5）CFCA证书的有效期限。 （6）CFCA证书主体名称。 （7）被证明的公钥信息，包括公钥算法、 公钥的位字符串表示。 （8）包含额外信息的特别扩展。
2．发行CFCA证书的CA签名
四、安全处理
第一，CFCA证书没有过期；第二， 密钥没有修改，不论出于任何理由，被 修改的密钥无效；第三，用户仍然有权 使用此密钥；第四，CA负责回收CFCA 证书，发行无效CFCA证书清单。
图77cfca系统流程cfcacfcacfca第一认证中心所做的ca数字化证书是打破地域或部门限制的网络化工第二认证中心是进行网上合法身份合法交易的权威证明机构它将依据国家相关的法律法规开展工作坚持公平公正原则维护网络金融信誉防止金融诈骗行为的产生
第七章 中国金融认证中心
教学要求
引导案例
第一节 CFCA证书格式标准
六、网上交易的一般过程
第一，消费者在网上浏览、查询商 品，确定了销售商后，从认证机构查询 并获得公开密钥（PK），就好像得到唯 一的姓名、地址、电话号码、电子邮件 地址一样。
第二，买方形成一个私有的密钥（SK）， 同时CA获得卖方公开密钥，用来对私有密钥加 密，（SK与PK是成对出现的，但不能依据PK 得到SK）之后，再通过网络传输通知卖方。
二、交易双方与银行间的法律关系
在电子商务中，银行既是卖方的资 金接受行又是买方资金发送行，资金的 划拨流程如图7-8所示。
图7-8 资金的划拨流程
银行承担的责任如下。 第一，返回资金，支付利息。 第二，不足差额，偿还余额。 第三，偿还汇率波动所致的损失。
三、认证中心与电子交易参与方的法律关系
Entrust公司具有15年的PKI开发经 验，经过激烈竞争，是目前世界仅存的3 家繁荣的CA公司（Entrust，Verisign， Baltimore）之一，所以CFCA的Entrust 公司的高级/企业级证书是目前世界领先 的BTB工具。
② Direct高级/企业级证书具有双密钥机 制，具有数字签名和加解密两对密钥。 ③ 在浏览器与服务器间实现双方认证， 提高身份认证的安全性，为访问控制提 供可能。
第三，卖方接到买方的传输通知后， 用公开密钥解密，获得买方私有密钥。 第四，买方再通过网络向卖方传输用 私有密钥加密的自己的文件。
第五，卖方接到买方发来的文件后， 再使用买方的私有密钥解密而获得买方的 文件明文信息。 第六，卖方再向买方发送使用私人密 钥加密的文件。
七、CFCA认证的任务
CFCA认证中心的任务实际是解决 虚拟现实环境的身份确认问题、信息的 保密制度和技术问题、审计制度等责任 分割问题并做好认证服务。
（5）CRL发布时间（This Update） （6）预计下一个CRL更新时间（Next Update） （7）撤销证书信息目录（Revoked Certificates）
（8）CRL扩展（CRL Extension） （9）CA的公钥标识（AuthorityKeyldentifier） （10）CRL号（CRL Number）
六、 CFCA售后服务内容与流程
第一，日常咨询。 第二，服务方案。 第三，安全通告。 第四，变更配合。 第五，紧急响应。
CFCA对所有的售后服务内容都有 详细的过程记录文档。 对于安全工程的售后支持请求和处 理结果均将备案并定期向客户提交。 图7-7为CFCA系统流程。
图7-7 CFCA系统流程
一、CFCA证书标准
数字CFCA证书作为网上交易双方 真实身份证明的依据，是一个经CFCA 证书授权中心数字签名的、包含CFCA 证书申请者个人信息及其公开密钥的文 件，基于公开密钥体制的数字CFCA证 书是电子商务安全体系的核心。
图7-1 数字CFCA证书的内容
二、报文格式
CFCA证书格式定义在X.509标准里，根 据这项标准，CFCA证书包括：申请CFCA证 书个人的信息和发行CFCA证书的认证中心 的信息，如图7-2和图7-3所示。
④ CFCA在安全方面具有突出优势。 ⑤ 完整的网络安全策略。
4．RA系统
RA（Registration Authority）是CA的 延伸和组成部分。 RA分为本地RA和远程RA。 本地RA审批有关CA一级的证书、接受 远程RA提交的已审批的资料。
远程RA根据商业银行的管理体系可 分为三级结构，即总行——分行——受 理点。 其系统组成如图7-6所示。
图7-2 数字CFCA证书的标示
图7-3 X.509 V3 CFCA证书的内容
三、CFCA证书管理
CFCA证书由证书数据和证书签名两 部分组成。
1．CFCA证书数据
（1）版本信息:用来与X.509的将来版本兼 容。
（2）CFCA证书序列号，每一个由认证中 心发行的CFCA证书必须有一个唯一的序 列号。 （3）CA所使用的签名算法。 （4）发行CFCA证书CA的名称。
⑦ 客户端、服务器端实现双向认证，实现 自动在线CRL查询。 ⑧ 签字公钥可自动置于目录服务器中，实 现用户自动检索。 ⑨ 完整的证书管理功能。 ⑩ 存储历史文档，支持全程的审计功能。
提供时间戳功能。 证书除存放在机器硬盘、随身软盘而 外，也可存放于IC卡（CPU卡）中，以 保证证书的本身的安全。
④ 增强浏览器与服务器之间数据传输加 密强度，由原本40位对称算法加密提高 到了128位，并且提供了改变算法的函数 库。 ⑤ 具有数字签名功能，实现传送者对信 息的签名，提供抗否认性。
⑥ 浏览器与客户代理之间，服务器与服 务器代理之间采用HTTP连接，而两个代 理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之 间的无缝连接，提高了数据传输的安全 性。SPKM协议现已成为国际标准。
第四，认证机构可以是相关政府机 构的部分实体，也可以是相关的事业单 位，经政府管理部门审批而成立。
二、认证机构资格审批的依据
认证机构资格审批的依据包括：申 请单位的条件、申请单位的内部管理机 构组织情况、申请单位的注册资金、申 请单位的技术保证、申请单位的技术力 量及安全保障。
三、认证的载体与流程
四、CFCA的内容及用途
CFCA所发放的证书均遵循X.509 V3 标准，其基本格式及其用途如下。 （1）Certificate Format Version （2）Certificate Serial Number （3）Signature Algorithm Identifier （4）Issuer （5）Validity Period
第一，情况登记。 第二，资格审查。 第三，认证批准。 第四，认证发放。
四、认证的变更管理
第一，用户申请。 第二，临时失败。 第三，失效审查。 第四，证书撤销。
五、CFCA认证管理制度
1．技术 2．制度 3．操作及规则
（1）机构规则。 （2）认证系统配置。 （3）管理规则。 （4）审核规程。
4．环境与保障
1．SET系统
SET系统为三层结构，第一层为根CA， 第二层为品牌CA，第三层根据证书使用者的 不同分为CCA（持卡人CA）、MCA（商户 CA）、PCA（网关CA）。
根据今ቤተ መጻሕፍቲ ባይዱ的发展可在第二层CA和第 三层CA之间扩展出GCA（地区CA）。 SETCA系统如图7-4所示。
图7-4 SETCA系统
（18）Policy Mappings （19）Subject Ah Name （20）Issuer Alt Name： （21）Basic Constraints （22）Subject Directory Attributes
五、CRL数据定义
（1）版本（Version） （2）签名（Signature） （3）算法标识（Algorithm ldentifier） （4）CRL的签发者（Issuer）
图7-6 RA系统
三、CFCA的功能
第一，证书的申请方式有离线申请 方式和在线申请方式。 第二，证书的审批有离线审核方式 和在线审核方式。 第三，证书的发放——证书库有离 线方式发放和在线方式发放。 第四，证书的归档。 第五，证书的撤销。
第六，证书的（密钥）更新有人工密钥 更新和自动密钥更新。 第七，证书废止列表的管理功能（CRL证书库）包括：证书废止原因编码、CRL的 产生及其发布、高级证书CRL在线查询服务 等功能。 第八，密钥的备份和恢复。第九，CA自 身密钥的管理功能。
第二节 中国金融认证中心的建设
中国金融认证中心作为一个权威的、可 信赖的、公正的第三方信任机构，专门负责 为金融业的各种认证需求者提供证书服务， 包括电子商务、网上银行、支付系统和管理 信息系统等，为参与网上交易的各方提供安 全的基础，建立彼此信任的机制。
一、中国金融认证中心的目标 二、中国金融CA的结构
1．认证中心
（1）认证中心必须对参与方进行严格认 证和审查，认证的信用程度，主要取决 于申请人提供信息的真实性，及其得到 公开密钥的肯定性。
第四节 电子交易法律
一、买卖双方的法律关系
1．买方义务
（1）买方承担按网上交易规定付款的义 务，按数字货币，如信用卡、智能卡等 遵守交易的支付方式。
（2）买方承担按合同规定时间、地点和 方式取纳定标物的义务。如买方自己提 取，应在卖方通知时间内到预定地点提 取；若由卖方代办，买方应照承运人通 知按时提取；若由卖方运送，买方应做 好接收准备，如拖延接收，买方负有拖 延责任。 （3）买方负有对所接收定标物按期限验 收的义务。