第4章金融安全认证
4.1金融安全认证概述
4.2安全认证技术--PKI
4.3中国金融认证中心CFCA
4.4CFCA支持的应用
4.5金融认证中心的证书业务规则
4.6电子商务参与方的法律关系
第4章金融安全认证
(一)电子商务对网上安全交易的要求
?身份鉴别:在交易前,首先要确认对方的身份,不能是假冒或伪装。交易各方有商户、持卡人和银行。
?机密性:对敏感信息要加密,获取后难以破解。
?完整性:要求收方能验证接收的信息是完整的。
?不可抵赖性:交易达成,发送方或接收方都不能否认其发送的信息或收到的信息。
?在安全性上除采用加密措施外,还必须建立一种信任及信任验证机制,使交易一方可确认其他各方的身份。可验证的身份标识。
?是一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业务的各种认证需求提供证书服务。
?包括电子商务、网上银行、支付系统和管理信息系统等。
?组织参与网上交易规则的制定,确立相应的技术标准。
4.2安全认证技术—PKI
?1、PKI是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,是电子商务的关键和基础技术。
?2、PKI的基本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术,在网络间解释和管理这些信息。
?4、PKI的核心是信任关系的管理,为了解决信任关系问题,引入了第三方信任和数字证书概念。
2、PKI的理论基础
?密码体制:从原理上可分为单钥体制(One-key System)和公钥体制(Two-key System)
?对称加密?a?a单钥加密
?对称加密过程
发送方用自己的私有密钥对要发送的信息进行加密
发送方将加密后的信息通过网络传送给接收方
接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文
?公钥体制:加密密钥和解密密钥不相同,是一种非对称加密体制。
?1. 加密模式:加密模式过程
?发送方用接收方公开密钥对要发送的信息进行加密。
?发送方将加密后的信息通过网络传送给接收方。
?接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文。
?2. 验证模式:验证模式过程
?发送方用自己的私有密钥对要发送的信息进行加密。
?发送方将加密后的信息通过网络传送给接收方。
?接收方用发送方公开密钥对接收到的加密信息进行解密,得到信息明文。
?3. 加密与验证模式的结合
?保障信息机密性& 验证发送方的身份
?使用过程:
?4. 对称和非对称两种加密方法的联合使用
?两种密码体制的比较
(2)数字签名
?(1)签名不同:手写签名是签署文件的物理组成部分;不是组成
?(2)验证不同:手写签名比对;公开验证算法
?(3)复制不同:手写签名不易复制;相反
3、认证中心CA
?认证机构CA签发数字证书—网络用户电子身份证明,如同护照。
?按照第三方信任原则,相信持有证明的用户。
?CA要防伪造和篡改。具有灵活性各种CA产品兼容,遵循通用的国际标准。
?颁发证书:生成证书并签名,以适当方式发给用户。
?管理证书:记录已颁发证书和撤消的证书。
?用户管理:新提交的申请与现存标识名比较拒绝重复。
?吊销证书:在证书有效期内使其无效,发布CRL (Certificate Revocation List)
?验证申请者身份:必要的身份验证
?保护证书服务器:证书服务器安全
?制定政策:公布制定CA的政策
?CA的证书验证是逐级进行,沿着信任树一直到公认的信任组织,确认证书是有效的。
4、数字证书
?证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。
?ITU(International Telecommunications Union,国际电信同盟)在1988年制定的X.500系列标准中的X.509就是被广泛采用的标准。X.509标准与公钥基础设施密切相关,它定义了公开密钥与密钥主体的结合,由此实现通信实体鉴别机制,并规定了实体鉴别中所使用的方法和数据接口,即证书。
?(1) 集中生成模式:密钥对全部由CA生成;生成的公钥提供给CA软件生成证书,生成的证书和私钥发给申请者;
?离线分发:以磁盘或IC卡形式提供给用户
?在线分发:用户使用浏览器与CA的Web服务器相连申请证书,生成后CA用电子邮件通知用户如何以安全方式取得证书。
?(2)分布式生成模式:密钥对由申请者自己的客户端软件生成,然后将公钥和个人资料发给CA,由CA生成证书签名发给申请者;
?PKI的基本组成:
?1、证书申请者:(Subscriber)
?2、证书申请审核中心:
?3、认证中心:
?4、证书库:
?5、证书信任方:
?1、易用性:屏蔽密码服务的实现细节
?2、可扩展性:体系结构可扩展;发行证书可满足不同应用要求。
?3、互操作性:不同企业单位的PKI实现可能不同。
?4、支持多应用、多平台:各种应用和各种操作系统
?1、Baltmore公司的UniCERT:Baltmore公司主要从事网络安全领域的产品开发,总部在爱尔兰,UniCERT是目前世界最先进的PKI产品之一,是策略驱动、模块化的。
?其特点:灵活;易用;策略支持;可扩展;开放;安全
?2、Entrust/PKI:Entrust公司总部在美国的得克萨斯,Entrust电子商务安全产品处于全球领先地位,占35% 市场份额。
?其特点:灵活性;完善的数据库功能;安全性及易用性;无缝更新密钥对降低系统使用成本;完善密钥备份和恢复系统;不可否认性,策略选择自由;可扩展性;互用性。
?3、VerSign公司的OnSite:VerSign公司不仅提供认证服务,还提供PKI产品。
?OnSite被用来企业互联网、外部网、VPN及电子商务应用。
4.12 我国PKI体系
?1998年上海CA中心成立,国内有70多个电子认证服务机构,可分为区域型、行业型、商业型和企业型。
?我国PKI处于起步阶段,有不少急待解决的问题。
?服务于国家各级机构、组织和部门的内部电子政务业务。
?由政务根中心、政务认证中心、注册机构组成。
?服务于各种公众网上业务(包括电子商务业务、政府面向公众服务的电子政务业务和其他信息化应用)
?采用网状信任模型,由国家桥中心、地区桥中心、公众服务认证中心SCA和注册机构组成。
4.3中国金融认证中心(CFCA)
?99年2月启动,2000年6月投入运行。
?根据电子商务发展需要,由人行牵头,十二家商行联合建设的一个权威的、可信赖的、公正的第三方信任机构。专门为电子商务的各种认证需求提供证书服务。
?组织并参与了有关网上交易规则的制定,相应的技术标准,提供网上支付和跨行网上支付的相互认证等。
?建立了SET CA 和Non-Set CA两套系统,SET CA由IBM承建,Non-Set CA由Entrust/SUN/德达承建。
?统一规划,联合共建。
?试点先行,逐步扩展。
?技术先进,功能全面。
?落实应用,快字为先。
?标准和开放:符合国际标准,支持多家公司的支付网关。
?建立SET CA 和Non-Set CA 两大体系。
?向各种用户颁发不同种类的电子证书,支持电子商务应用、网上银行及其他安全管理业务的应用。SET CA 主要用于电子商务中的B2C业务模式的身份认证;Non-Set CA 可同时支持B2B和B2C两种模式的身份认证;
?每年发放Non-Set证书15万,SET 证书10万
?SET CA 和Non-Set CA 是两各不同的体系,但都基于PKI机制,两套系统设计均为三层结构。
?第一层CA:
?根CA(RCA)设在中国人民银行总行它负责制定和审批总体政策,确定每层CA的功能和职责,给自己签发证书,并签发和管理第二层CA的证书及其他根CA的交叉认证。
?第二层CA:(品牌CA或政策CA)
?对于Set CA 体系称为品牌CA,用来颁发地域CA、支付网关CA、商家CA、持卡人CA 的证书。
?对于Non-Set CA 体系称为政策PCA,根据RCA的各种规定,制定具体政策、管理制度及各地规范,签发第三层CA的证书,管理其发放的证书及CRL。
?第三层CA:(用户CA)
?根据CA制定的政策和第二层CA的具体规定,直接给最终用户(持卡人、商家、企业、支付网关)发放各种应用的数字证书,并管理其发放的证书及CRL。
?Set CA 体系结构
?Non-Set CA 体系结构PKI CA系统
?中国金融CA系统分为证书操作子系统CA和业务受理审核子系统RA。
?核心部分CA是集中管理,RA是分布在各银行管理。
?RA按照RCA制定的政策和管理规范的规定对用户的资信进行审查;
?向第三层CA申请为用户签发证书,
?根据需要设置下一级审核机构LRA,并管理受理点LRA。
?受理点LRA对用户提交的资料进行审核,决定是否发放证书。
?功能有接收用户的申请,录入用户资料;审核用户申请资料,批准或否决;为用户发放证书介质。
?SET证书类型:持卡人证书、商户证书、支付网关证书
?Non-SET证书类型:个人普通证书、个人高级证书、企业高级证书、服务器站点证书
?离线申请方式;
?在线申请方式;
?Entrust/PKI Web 证书申请:在线或离线
?Entrust/PKI 企业证书申请:面对面方式
?离线审核方式;将手工录入的用户信息进行人工审核
?在线审核方式;将手工录入的用户信息与银行原有信息进行自动审查核对。
?用户的密钥及有关证书的所有数据信息,都要进行归档处理以便查询。
?使用目录服务器系统存储证书和CRL,保存期为7年。
?上级CA对下级CA的管理功能。
?拥有完善的管理手段和管理界面。
?具有远程管理和维护功能。
?自身证书的查询。
?CRL查询
?操作日志查询
?统计报表输出
5 金融CA系统的安全体系
?金融CA系统的安全体系组成
?1.环境安全:是系统安全的基础,要选择适当设施位置,考虑水灾、地震、电磁干扰与辐射、人为因素、电源等因素。
?2.物理安全:CA系统中微机和主机、LAN服务器等资源要严格管理,要授权和监控。
?3.网络安全:根CA和第二层要离线操作,不连接互联网。将网络划分为公共区、操作区和“军事区”,层层加防火墙和实时监控。
?4.主机安全:在金融系统中,主机系统有CA服务器、目录服务器、Web服务器等。有双机备份,自动恢复和检测。
?5.CA产品安全:Entrust的PKI产品
?6.操作安全规则:制定相应CA规则对CA签发证书、RA审核证书的操作
?7.人员管理安全:直接威胁内部人员,操作不当或信息失密,管理员密码双登录。
?8.安全策略:①管理安全策略:建立严格的管理规程。②数据安全策略:最重要是CA 的私钥,其次是用户数据。③系统安全策略:制定安全可靠的认证证书操作说明书(CPS)即认证实施说明,定义CA的政策和规范,出现争端时提供法律保护。
第四节CFCA支持的应用
?传统的浏览器与服务器之间进行信息传递时不安全问题:
?支持的SSL协议对中国只提供了40位密钥DES算法。几秒破译
?SSL证书协议没提供数字签名,所以不抗否认性。
?不能在线进行CRL自动查询。
?没有完善的证书管理功能。如证书有效期及密钥管理。
2.网上购物
2.网上购物
?CFCA支持B2B网上购物时对三方的要求:
?采购用户要有一台Web浏览器,装有Direct Client软件,称为客户端软件(Proxy)。
?客户端软件其作用是负责与Web服务器建立安全通信,提供对客户端和服务器端的安全性和密钥管理功能,专为Server Proxy提供加密和签名信息。在企业用户端要下载CFCA的根证书,同时还装有企业级证书。
2.网上购物
?供应商要有一台Web服务器,装有Direct Server软件,称为服务器端软件(Proxy)。
?服务器端软件作用是与客户端建立安全通信,提供对客户端和服务器端的安全性和密钥管理功能,进行双方认证,接收客户端的信息并进行处理;支持客户端和服务器端的在线自动CRL检查。在商家的服务器端装有CFCA的根证书,同时还装有企业级证书。
2.网上购物
?银行提供支付结算功能。在银行网络前端设置一台支付服务器Payment Server
?支付服务器作用是将商家传送来的信息进行通信格式的转换,并与银行客户信息数据库联接,完成划转账任务。银行的支付服务器端装有CFCA的根证书,同时还装有企业级证书。B2B交易流程
?1.企业客户下载安装CFCA根证书和企业证书后,可访问商家的Web主页。
?2.企业客户选择物品,填写订单及支付账号。
?3.商家将客户端的支付信息传给银行支付服务器。
?4.银行支付服务器进行交易处理。
?5.银行支付服务器将扣款转账信息返给商家;
?6.商家的Web Server把交易成功信息给用户,表示支付已接受。
B2B交易模式的特点
?1.双方认证
?2.完整的密钥和证书管理体系
?3.对用户有通用性和透明性
?4.客户端和服务器端自动进行CRL查询
?5.强大的密码机制
?6.双重密钥对机制,具有不可否认性
3、网上银行
?B2B模式的网上银行是将传统的银行对公业务转移到网上进行,主要面向大客户的交易双方。
?上述的B2B网上购物涉及到三方交易,相当于完成两个B2B交易。而网上银行是端对端交易,即客户对银行,只涉及到交易双方。
网上银行运行模式
?一方为企业级用户,有浏览器,装有Direct Client 软件,其作用是与Web服务器之间建立安全会话;装有CFCA的根证书及Direct 企业级证书。
?另一方为银行,在传统银行业务之前装有一台网上银行应用服务器,装有Direct Server 软件,与Direct Client 软件实现安全通信;并装有与传统银行信息系统相联的接口程序。
网上银行运行流程
?1、用户通过浏览器访问银行Web服务器的主页,选择交易类别。
?2、银行的网上银行应用服务器接收验证用户的交易申请,并转换格式到后台。
?3、银行后台的账务处理系统将交易结果送到应用服务器;
?4、银行的网上银行应用服务器将交易结果回送到用户,说明该交易已完成。
第四节CFCA支持的应用
?B2C应用有SET B2C网上购物和Non-SET网上购物PKI系统。
?持卡人客户在其浏览器中装有电子钱包软件E-Wallet,并从SET CA申请下载Card holder 证书;
?商家装有E-pos软件及商场应用软件,并从SET CA下载Merchant证书;
?收单行的支付网关装有E-Payment Gateway软件及支付应用软件,并从SET CA下载E-Payment Gateway证书;
?Non-SET B2C模式网上购物采用借记卡、信用卡作为支付工具;
?与SET系统区别不是三方交易,是做两次端对端交易;
?与Non-SET B2B模式不同是,商家对客户端是服务器,商家对银行支付服务器是银行客户。商家同时装有客户端和服务器端代理软件。
?商家要进行浏览器、服务器双方;
?商家使用两个证书:一个是Web Server证书,一个是企业(高级)证书;
?商家与客户之间是B2C模式,商家与银行之间是B2B模式;
?Web Server可自动进行CRL检查
?Non-SET B2C网上银行个人用户有两类;一类作网上账务及信息查询,一类作银行对私业务交易。
?网上账务及信息查询。客户在浏览器中只要下载CFCA的根证书,实现客户端对服务器的单方认证,采用SSL协议;
?对私业务交易。客户在浏览器中要下载CFCA的根证书和SSL用户证书,与Web服务器之间实现双方认证,采用SSL协议,128位DES算法。
?1.用户访问银行Web服务器,进行双方认证,用户浏览网银所提供的功能和交易。
?2.用户选择交易各类(如转账、支付等);
?3.应用服务器进行格式转换,把交易转给银行后台应用系统,并进行账户更新;
?4.后台应用系统将结果送应用服务器。
?5.应用服务器将结果送给用户,并加以显示。
?1.交易流程简单
?2.双方认证;
?3.完全性没有B2B网上银行交易安全性高;
?4.Web服务器实现自动的CRL查询。
4.5金融认证中心的证书业务规则
?中国金融认证中心制定证书实施说明,其核心是金融认证服务的业务规则。
?金融认证服务的主要业务规则有四个内容:
?1、银行网关业务规则
?2、商户的业务规则
?3、持卡人的业务规则
?4、中介机构业务规则
持卡人业务规则分为SET标准持卡人业务规则和Non-SET标准卡人业务规则;
Non-SET标准卡人业务规则根据风险不同可分为个人普通证书和个人高级证书。
持卡人的业务规则
?1.持卡人(个人)基本资格要求
身份证
SET 系统有银行卡,Non-SET 银行账号
联系电话
通信地址(含邮编)
持卡人的业务规则
?3.持卡人(个人)证书申请、审核参考流程
(1 )网上数字证书申请、审核参考流程
①SET 标准持卡人证书申请、审核参考流程
通过CFCA 主页访问银行的Web 登记服务器进行证书申请;申请信息导入银行总行的RA 服务器,分发给分行,交给指定人员审批;审批未通过拒绝并记录原因;通过密码信封邮件申请人…
②Non-SET 标准个人普通证书申请、审核参考流程
持卡人的业务规则
?3.持卡人(个人)证书申请、审核参考流程
(2 )面对面数字证书申请、审核参考流程
①SET 标准持卡人证书面对面申请、审核参考流程
②Non-SET 标准个人普通证书面对面申请、审核参考流程
③Non-SET 标准个人高级证书面对面申请、审核参考流程持卡人的业务规则
?4.持卡人(个人)证书的使用方式
(1)SET标准持卡人证书的使用方式
(2)Non-SET标准个人普通(高级)证书的使用方式
?5. 持卡人(个人)软件要求
(1 )SET 系统的商户软件要求
(2 )Non-SET 系统的软件要求
4.6电子商务参与方的法律关系
?一、网上交易客户间的法律关系
?1.买方的义务:
?①按网络交易规定方式支付货款的义务。
?②按合同规定时间、地点和方式接受标的物的义务。
?③承担对标的物验收的义务。
?3.买卖双方不履行合同义务的救济:
?买方救济方法:卖方救济方法:
二、网上交易客户与银行间的法律关系
?银行承担责任:
?①返回资金,支付利息;
?②补足差额,偿还余额;
?③偿还汇率波动导致的损失。
三、认证中心与电子商务参与方的法律关系
?1.认证中心
?①对参与者进行严格审查与认证;
?②发布及时可靠的认证信息;
?2. 认证用户(商家、消费者)
?①报出本身准确的相关信息;
?②及时检查证书内容和信息;
?③妥善保管私有密钥;
?④及时汇报出现的问题。
三、认证中心与电子商务参与方的法律关系
?3.参与者(银行等其他相关方)
?①检查证书的合法性;
?②进行证书失效性检查确认证书的可靠性;
?③保证业务24小时正常运行;
四、各方责任
?1.认证中心负有的责任
?①违反管理要求;
?②违反认证中心控制要求;
?③违反认证控制要求;
?④违反撤消控制要求
?⑤违反用户信息控制要求
?⑥违反系统和设备要求
四、各方责任
?2.用户负有的责任
?①用户信息出现问题的损失;
?②个人密钥丢失没有及时通知CA引起的损失;
?③证书不全时进行交易产生的损失;
?④非法使用证书造成的损失
五、网上纠纷的处理
?1.问题申诉程序:向主管部门提交仲裁申请,一式三份,3日内送达被告,7日内交付书面答辩。
?2.银行协调方法:双方同意可进行协调,15内未达成和解进行仲裁程序。
?3.仲裁:双方各选定一仲裁员,两仲裁员选定第三位仲裁员,仲裁不超过30天可延至40天。
?4.上诉法院:不服方30天内可上诉当地最高法院。
__