模块7 一、名词解释 认证中心(CA):也称数字证书认证中心,类似于公证人的角色。是基于Internet平 台建立的一个公正的、有权威的、独立的(第三方的)广泛信赖的组织机构,作为电子商务 交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,主要负责数字证书的发 行、管理以及认证服务,以保证电子交易支付安全可靠的运行。 中国金融认证中心:简称CCM,成立于2000年6月,由中国人民银行牵头,联合浦发 银行等十四家商业银行参加建设,是国内全面支持电子商务安全支付业务的第三方网上专业 信任服务机构。中国金融认证中心作为国家级权威的、可信赖的、公正的第三方信任机构, 专门负责为金龄业的各种认证需求提供证书假务,包括电子商务、网上银行、支付系统和管 理信息系统等。为参与网上交易的各方建立相互信的机制,提供安全的保障,以实现互联网 上电子交易信息传递的保密性、真实性、完整性和不和否认性。同时组织参与相关网上安 交易规则的制定,确立相应技术、运作等标准,特别是网上跨行支付的相互认证等服务。C℉CA 的目标是要建立SET CA及Non-SET CA两大体系,发放SET和Non-SET两大类电子证书, 以金融行业的权威性、可信赖性及公正性支持中国电子商务、网上银行业务及其他安全管理 业条的应用。 数字证书:数字证书又称为数字标识,是标识网络用户身份信息的一系列数据,用于 证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文 档,由权威公正的第三方机构,即CA中心签发。其作用主要表现在:访问需要客户验证的 全Internet站点:用对方的数字证书向对方发送加密的邮件:给对方发送带自己签名的邮 件 二、选择题 1,认证机构就是承担(ABC)的服务机构。 A,承担安全电子交易认证 B。答发数字证书 C.确认用户身份 D.提供商务信息 2.采用数字签名和加密技术相结合的方法,可以很好的解决信息传输过程中的(BD) 等问题。 A.有效性B.防抵赖性C.功能性D.完整性 3.电子认证具有以下功能(C)。 A.担保功能R转术中立功能 C.防止否认功能D.功能等同功能 4.认证中心具有以下特征(ABCD A.它是一个独立的法律实体 B.它是一个具有中立性与可靠性的服务机构 C.它是用户数据电文的传递中心D.其营业目的是提供安全、公正的交易环境 5。广义的电子签名就是指各种电子手段在内的电子签名,通过签名,实现的目的是 AC B。鉴别数据电文收件人的身份 三、简答题 1.CA认证中心的作用与特点是什么? 答:所谓认证中心(Certification Authority,CA)也称数字证书认证中心,类似于
模块 7 一、名词解释 认证中心(CA ): 也称数字证书认证中心,类似于公证人的角色。是基于 Internet 平 台建立的一个公正的、有权威的、独立的(第三方的)广泛信赖的组织机构,作为电子商务 交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,主要负责数字证书的发 行、管理以及认证服务,以保证电子交易支付安全可靠的运行。 中国金融认证中心:简称 CFCA,成立于 2000 年 6 月,由中国人民银行牵头,联合浦发 银行等十四家商业银行参加建设,是国内全面支持电子商务安全支付业务的第三方网上专业 信任服务机构。中国金融认证中心作为国家级权威的、可信赖的、公正的第三方信任机构, 专门负责为金融业的各种认证需求提供证书服务,包括电子商务、网上银行、支付系统和管 理信息系统等。为参与网上交易的各方建立相互信的机制,提供安全的保障,以实现互联网 上电子交易信息传递的保密性、真实性、完整性和不和否认性。同时组织参与相关网上安全 交易规则的制定,确立相应技术、运作等标准,特别是网上跨行支付的相互认证等服务。CFCA 的目标是要建立 SET CA 及 Non-SET CA 两大体系,发放 SET 和 Non-SET 两大类电子证书, 以金融行业的权威性、可信赖性及公正性支持中国电子商务、网上银行业务及其他安全管理 业务的应用。 数字证书: 数字证书又称为数字标识,是标识网络用户身份信息的一系列数据,用于 证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文 档,由权威公正的第三方机构,即 CA 中心签发。其作用主要表现在:访问需要客户验证的 安全 Internet 站点;用对方的数字证书向对方发送加密的邮件;给对方发送带自己签名的邮 件。 二、选择题 1.认证机构就是承担(ABC )的服务机构。 A.承担安全电子交易认证 B.签发数字证书 C.确认用户身份 D.提供商务信息 2.采用数字签名和加密技术相结合的方法,可以很好的解决信息传输过程中的(ABD ) 等问题。 A.有效性 B.防抵赖性 C.功能性 D.完整性 3.电子认证具有以下功能( C )。 A.担保功能 B.技术中立功能 C.防止否认功能 D.功能等同功能 4. 认证中心具有以下特征(ABCD ): A.它是一个独立的法律实体 B.它是一个具有中立性与可靠性的服务机构 C.它是用户数据电文的传递中心 D.其营业目的是提供安全、公正的交易环境 5. 广义的电子签名就是指各种电子手段在内的电子签名,通过签名,实现的目的是 ( AC ) A.鉴别数据电文发送人的身份 B.鉴别数据电文收件人的身份 C.签署人与数据电文的内容具有法律关系 D.数据电文的内容具有合法性 三、简答题 1.CA 认证中心的作用与特点是什么? 答:所谓认证中心(Certification Authority,CA)也称数字证书认证中心,类似于
公证人的角色。是基于Internet平台建立的一个公正的、有权威的、独立的(第三方的) 广泛信赖的组织机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性 检验的责任,主要负责数字证书的发行、管理以及认证服务,以保证电子交易支付安全可结 的运行 认证中心是建立在电子签名技术之上的组织保障,其作用主要表现在两个方面:对外酚 止欺诈,对内防止否认。防止欺诈,就是防范交易当事人以外的人,故意入侵而造成的危害: 而防止否认,则是针对交易当事人之间可能产牛的误解或抵境而设置的,其目的是预防纠纷 降低风 认证中心具有以下特征:①它是 个独立的法律实体,负有对资料保密和存储的法定的 义务,对未发出通知、通知有误、认证人虚假认证等承担相应的民事法律责任。②它是一个 具有中立性与可靠性的服务机构.③它是用户数据电文的传递中心,被交易的当事人所接受。 ④其营业的目的是提供安全、公正的交易环境 2。国内主要认证机构有哪些?它们是如何分类的 答:北京数字证书认证中心(BJC),中国金融认证中心及上海电子商务安全证书管理 中心、广东省电子商务认证中心、山西省电子商务安全认证中心等一些区域认证机构。另外, 我国还有其他一些省市和企业也在着手建立自己的电子商务认证中心,当前比较知名的认证 中心如下所示 ●北京数字证书认证中心:httD://ww,bica.org,cn ●深圳市电子商务认证中心:http:/小ww,s2ca.gov.cn ●广东省电子商务认证中心:http://www,cnca.net ●海南省电子商务认证中心:http:/ww.hnca.net ●湖北省电子商务认证中心:http:w,hbeca..comc四 ●上海电子商务安全证书管理中心:http://www.sheca.coa ●中国数字认证网:http:/w,ca365.co四 ●山西省电子商务安全认证中心:http:/w,sxca.comc四 ●中国金认证中心httD://wwg.cfca.com.cn ●天津电子商务运作中心:ttp:/mm.ectj.net/cg ●天威诚信CA认证中心:http:/ww,itus,coc 随着电子商务对网络安全要求的日益提高,网上交易秩序和交易环节越来越规范,同 也带来了巨大的商业机会,自1998年国内第一家以实体形式运营的上海CA中心成立以来 全国各地、各行业纷纷仿效,现已建成百家CA认证中心。从CA中心建设的背景来看,国内 的CA中心大体可以分为三类:第一类是行业性CA,如中国金融认证中心(CFCA、海关CA、 商务部CA(国富安CA)等,这些CA是由相应行业的主管部门牵头建立的:第二类是地方性 CA,如北京CA、 上海CA、浙江CA等, 这些CA是由当地政府牵头建立的 第三类是商业性 CA,如天威诚信CA,这类CA通常进行商业化经营,不从属于任何行业或地域,但它们也必 须具有良好的公信力,一般要经过国家主管部门审批才能投入运营。从CA中心的技术来源 划分,CA中心还可分为引进国外技术与完全自主开发两类。CCA和天威诚信属于前者,广 东CA和上海CA则属于后者:CFCA的SET系统由IBM公司承建,No-SET系统由德达 /S/Entrust集团承建,天威诚信的技术平台来自Verisign。.但它们的密码模块却都是由 国内自主开发,经国家安全部门认可的。各类CA认证中心的存在组成了整个电子商务的信
公证人的角色。是基于 Internet 平台建立的一个公正的、有权威的、独立的(第三方的) 广泛信赖的组织机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性 检验的责任,主要负责数字证书的发行、管理以及认证服务,以保证电子交易支付安全可靠 的运行。 认证中心是建立在电子签名技术之上的组织保障,其作用主要表现在两个方面:对外防 止欺诈,对内防止否认。防止欺诈,就是防范交易当事人以外的人,故意入侵而造成的危害; 而防止否认,则是针对交易当事人之间可能产生的误解或抵赖而设置的,其目的是预防纠纷, 降低风险。 认证中心具有以下特征:①它是一个独立的法律实体,负有对资料保密和存储的法定的 义务,对未发出通知、通知有误、认证人虚假认证等承担相应的民事法律责任。②它是一个 具有中立性与可靠性的服务机构。③它是用户数据电文的传递中心,被交易的当事人所接受。 ④其营业的目的是提供安全、公正的交易环境。 2.国内主要认证机构有哪些?它们是如何分类的? 答:北京数字证书认证中心(BJCA), 中国金融认证中心及上海电子商务安全证书管理 中心、广东省电子商务认证中心、山西省电子商务安全认证中心等一些区域认证机构。另外, 我国还有其他一些省市和企业也在着手建立自己的电子商务认证中心,当前比较知名的认证 中心如下所示。 ● 北京数字证书认证中心: http://www.bjca.org.cn ● 深圳市电子商务认证中心:http://www.szca.gov.cn ● 广东省电子商务认证中心:http://www.cnca.net ● 海南省电子商务认证中心:http://www.hnca.net ● 湖北省电子商务认证中心:http://www.hbeca.com.cn ● 上海电子商务安全证书管理中心:http://www.sheca.com ● 中国数字认证网:http://www.ca365.com ● 山西省电子商务安全认证中心:http://www.sxca.com.cn ● 中国金融认证中心:http://www.cfca.com.cn ● 天津电子商务运作中心:http://www.ectj.net/ca ● 天威诚信 CA 认证中心:http://www.itrus.com.cn 随着电子商务对网络安全要求的日益提高,网上交易秩序和交易环节越来越规范,同时 也带来了巨大的商业机会,自 1998 年国内第一家以实体形式运营的上海 CA 中心成立以来, 全国各地、各行业纷纷仿效,现已建成百家 CA 认证中心。从 CA 中心建设的背景来看,国内 的 CA 中心大体可以分为三类:第一类是行业性 CA,如中国金融认证中心(CFCA)、海关 CA、 商务部 CA(国富安 CA)等,这些 CA 是由相应行业的主管部门牵头建立的;第二类是地方性 CA,如北京 CA、上海 CA、浙江 CA 等,这些 CA 是由当地政府牵头建立的;第三类是商业性 CA,如天威诚信 CA,这类 CA 通常进行商业化经营,不从属于任何行业或地域,但它们也必 须具有良好的公信力,一般要经过国家主管部门审批才能投入运营。从 CA 中心的技术来源 划分,CA 中心还可分为引进国外技术与完全自主开发两类。CFCA 和天威诚信属于前者,广 东 CA 和上海 CA 则属于后者;CFCA 的 SET 系统由 IBM 公司承建,Non-SET 系统由德达 /SUN/Entrust 集团承建,天威诚信的技术平台来自 Verisign。但它们的密码模块却都是由 国内自主开发,经国家安全部门认可的。各类 CA 认证中心的存在组成了整个电子商务的信
任链 3.CA证书管理的内容有哪些 CA的主要任务是管理证书,具体表现在生成密钥对及证书、证书颜发、密钥备份与恢复、 证书查询、证书更新、证书的撤销、证书归档等以下几个方面: (1)生成密钥对及证书 CA向交易各方须发证书,必须生成公钥体系中自己的密钥对,并对私钥进行有效保护 以便数 名使用 ,作为自成体系的 到闭的CA系 ,CA必须生 成自己的根密钥对,并在 此基础上生成自己的根证书,方可以为各级CA以及客户生成证书。 (2)证书颁发 当网上支付交易的各方向CA申请数字证书时,CA通常要经过一套严格的身份认证流程, 对其直实的身份讲行认证、备案,以确信核实确实由其发送而来。 CA在核实确认用户身份之后,将须发给用户一个数字证书。该证书内包含用户的个人 信总和他的公钥信总,同时还附有认证中心的签名信息。之后,用户便可使用自己的数字证 书放心地在网上开展作业。数字证书通常由独立的证书发行机构发布。数字证书也各不相同, 每种证书可提供不同级别的可信度,用户可以从证书发行机构获得自己需要的数字证书。颜 发证书可以在线发送给申请者,也可以采用离线方式。 (3)密钥备份与恢复 在一些情况下 如果用户丢失了用于解密数据的密钥,数据将无法被解密,这些数据 旦不能恢复,可能会对用户的某项业务造成严重的损苦。为避免类似情况的发生,CA提供 备份与恢复密钥的机制就能够解决上述问题。但须注意,密钥备份与恢复只能针对解密密钥, 签名私钥为确保其唯一性而不能够作备份。 (4)证书查询 证书的查询分为对证书申请的查询和对用户证书状态及相关信息的查询。其中对证书申 请的查询是指CA根据用户的查询请求,返回该用户的数字证书申请的处理过程,查询数 证书申请情况:对用户证书状态及相关信总的查询则由目录服务器来完成,目录服务器根据 用户的请求返回所查询的证书。为保证证书查询CA必须保证无间断的跨区域服务,且需拥 省足够的带宽以确保较快的杏询谏度。 (5)证书更新 基于理论原因或其他一些因素 个证书的使用往往是有一定期限的。通常CA会定期记 录所有顾发的证书和所被吊销的证书,以便交易各方的证书失效以后能得到及时更新使用。 (6)证书的撇销 证书的撒销一般分为两种情况:一是当用户的私钥泄密等原因造成用户证书需要申请撒 销时,CA会根据用户的请求确定是否将该证书撤撒销: 一是数字证书己经时了右效期限,C 会自动将该证书作废。 通常CA会通过维护并定期发布证书撤销列表CL来完成此项操作 让用户查询证书状态来了解证书撇销的情况。 (7)证书归档 作废的证书不能随便丢弃。因为有些时候可能会遇到需要验证以前某个交易过程中产生 的数字签名等情况,所以CA会将作废证书和作废密钥进行归档,以便日后查询。 (8)制定相关的政策 必须对信任它的交易各方负责,其贵任主要体现在政策的制定和实施上。例如,在 实现认证操作之前,必须生成各种认证策略以指导认证过程。策略主要包括操纵策略、签发 策略等。 (9)保障证书的安全
任链。 3.CA 证书管理的内容有哪些? CA 的主要任务是管理证书,具体表现在生成密钥对及证书、证书颁发、密钥备份与恢复、 证书查询、证书更新、证书的撤销、证书归档等以下几个方面: (1)生成密钥对及证书 CA 向交易各方颁发证书,必须生成公钥体系中自己的密钥对,并对私钥进行有效保护, 以便数字签名使用。作为自成体系的、封闭的 CA 系统,CA 必须生成自己的根密钥对,并在 此基础上生成自己的根证书,方可以为各级 CA 以及客户生成证书。 (2)证书颁发 当网上支付交易的各方向 CA 申请数字证书时,CA 通常要经过一套严格的身份认证流程, 对其真实的身份进行认证、备案,以确信核实确实由其发送而来。 CA 在核实确认用户身份之后,将颁发给用户一个数字证书。该证书内包含用户的个人 信息和他的公钥信息,同时还附有认证中心的签名信息。之后,用户便可使用自己的数字证 书放心地在网上开展作业。数字证书通常由独立的证书发行机构发布。数字证书也各不相同, 每种证书可提供不同级别的可信度,用户可以从证书发行机构获得自己需要的数字证书。颁 发证书可以在线发送给申请者,也可以采用离线方式。 (3)密钥备份与恢复 在一些情况下,如果用户丢失了用于解密数据的密钥,数据将无法被解密,这些数据一 旦不能恢复,可能会对用户的某项业务造成严重的损害。为避免类似情况的发生,CA 提供 备份与恢复密钥的机制就能够解决上述问题。但须注意,密钥备份与恢复只能针对解密密钥, 签名私钥为确保其唯一性而不能够作备份。 (4)证书查询 证书的查询分为对证书申请的查询和对用户证书状态及相关信息的查询。其中对证书申 请的查询是指 CA 根据用户的查询请求,返回该用户的数字证书申请的处理过程,查询数字 证书申请情况;对用户证书状态及相关信息的查询则由目录服务器来完成,目录服务器根据 用户的请求返回所查询的证书。为保证证书查询 CA 必须保证无间断的跨区域服务,且需拥 有足够的带宽以确保较快的查询速度。 (5)证书更新 基于理论原因或其他一些因素,一个证书的使用往往是有一定期限的。通常 CA 会定期记 录所有颁发的证书和所被吊销的证书,以便交易各方的证书失效以后能得到及时更新使用。 (6)证书的撤销 证书的撤销一般分为两种情况:一是当用户的私钥泄密等原因造成用户证书需要申请撤 销时,CA 会根据用户的请求确定是否将该证书撤销;二是数字证书已经过了有效期限, CA 会自动将该证书作废。通常 CA 会通过维护并定期发布证书撤销列表 CRL 来完成此项操作, 让用户查询证书状态来了解证书撤销的情况。 (7)证书归档 作废的证书不能随便丢弃。因为有些时候可能会遇到需要验证以前某个交易过程中产生 的数字签名等情况,所以 CA 会将作废证书和作废密钥进行归档,以便日后查询。 (8)制定相关的政策 CA 必须对信任它的交易各方负责,其责任主要体现在政策的制定和实施上。例如,在 实现认证操作之前,必须生成各种认证策略以指导认证过程。策略主要包括操纵策略、签发 策略等。 (9)保障证书的安全
CA需要对数字证书服务器的安全采取相应保护措施,例如加强对系统管理人员的教有 与管理、对防火墙实施保护等,以保障数字证书安全。 4.CFCA的主要功能有哪些 答:C℉CA采用目前国内外先进技术,按国际通用标准开发建设,能够提供具有世界先 进水平认证中心的全部服务,以满足不同客户的需求。它具有对CA系统的管理功能、对CA 自身密细的管理功能以及对用户证书的管理功能。以上功能中最面要的是对用户证书的管理 功能,具体表现如 (1)实体鉴别与验证 通过C℉CA签发的数字证书,使电子交易各方都具有了合法的身份。由此交易各方无论在 交易的各个环节都可验证对方数字证书的真实性,从而有效解决彼此的信任问题。 (2)确保电子交易中信息的保密性 俑常情识下 电子交易双方的信息均有保密要求。信息在传递过程中一旦外露,商家就 有可能丧失商机。因此在电子商务的信息传播牛 般都要有加密的设置以确保信息的保密 性 (3)保证电子交易中数据真实性和完整性 电子交易信总在网络传输过程中,可能会被他人非法窃取篡改、删除等,针对上述问题, 数字安全证书提供了一种在网上哈证身份的方式。在使用数字证书时,领讨运用对称和非表 称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外 不被其它人窃取:信息在传输过程中不被篡改:发送方能够通过数字证书来确认接收方的身 份:发送方对于自己的信息不能抵赖。 (4)支持不可否认性 市场商情千变万化,交易一且达成即不可否认,否则会给对方带来重大损失。因此申了 交易通信过程的各个环节必须是不可否认的。C℉CA高级证书中使用了一套专门用来进行签 名/险证的密钥对来支持电子交往中的不可否认性。由于只有发文者拥有私钥, 所以其无法 否认该电子文件非由其所发送。 (5)密钥历史记求 C℉CA能无缝地管理密钥历史记录,并能检索以前加密的数据,并能透明地使用其相应 的密钥进行解密,因此企业用户再也不必担心无法访问其历史数据或信息。 (6)密钥 备份与恢复 C℉CA可根据客户的需要为其提供密钥托管服务,备份和管理客户的加密密钥对。当客户 需要时可以从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密 的信息。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有 任何风险和不安全因素。同时,CA中心也有一套备份库,避免密钥数据库的意外毁坏而无 法恢复客户私钥。 (7)密钥的自动更新 密钥更新通常有以下两种情况:密钥对到期、密钥漫露后需要启用新的密钥对。针对以 上两种情况,CFCA的Non-SET系统能实现完全透明的、自动的密钥更换以及新证书的分发。 (8)CRI杏 C礼查询即证书作废止列表查询,用以检查用户的证书是否己经作废。当用户证书因私 钥泄密等原因需要废 止时 应及时向CA声明作废。CA会适时地通过LDAP标准协议向证书 库中以X500的格式进行发布,以供用户进行开放式查询。在此系统中,证书作废是自动完 成的,并且对用户是透明的。CL通常不存放作废证书的全部内容,而只存放作废证书的序 列号,以便提高检索速度
CA 需要对数字证书服务器的安全采取相应保护措施,例如加强对系统管理人员的教育 与管理、对防火墙实施保护等,以保障数字证书安全。 4.CFCA 的主要功能有哪些? 答:CFCA 采用目前国内外先进技术,按国际通用标准开发建设,能够提供具有世界先 进水平认证中心的全部服务,以满足不同客户的需求。它具有对 CA 系统的管理功能、对 CA 自身密钥的管理功能以及对用户证书的管理功能。以上功能中最重要的是对用户证书的管理 功能,具体表现如下。 (1)实体鉴别与验证 通过 CFCA 签发的数字证书,使电子交易各方都具有了合法的身份。由此交易各方无论在 交易的各个环节都可验证对方数字证书的真实性,从而有效解决彼此的信任问题。 (2)确保电子交易中信息的保密性 通常情况下,电子交易双方的信息均有保密要求。信息在传递过程中一旦外露,商家就 有可能丧失商机。因此在电子商务的信息传播中一般都要有加密的设置以确保信息的保密 性。 (3)保证电子交易中数据真实性和完整性 电子交易信息在网络传输过程中,可能会被他人非法窃取篡改、删除等,针对上述问题, 数字安全证书提供了一种在网上验证身份的方式。在使用数字证书时,通过运用对称和非对 称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外 不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身 份;发送方对于自己的信息不能抵赖。 (4)支持不可否认性 市场商情千变万化,交易一旦达成即不可否认,否则会给对方带来重大损失。因此电子 交易通信过程的各个环节必须是不可否认的。CFCA 高级证书中使用了一套专门用来进行签 名/验证的密钥对来支持电子交往中的不可否认性。由于只有发文者拥有私钥,所以其无法 否认该电子文件非由其所发送。 (5)密钥历史记录 CFCA 能无缝地管理密钥历史记录,并能检索以前加密的数据,并能透明地使用其相应 的密钥进行解密,因此企业用户再也不必担心无法访问其历史数据或信息。 (6)密钥的备份与恢复 CFCA 可根据客户的需要为其提供密钥托管服务,备份和管理客户的加密密钥对。当客户 需要时可以从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密 的信息。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有 任何风险和不安全因素。同时,CA 中心也有一套备份库,避免密钥数据库的意外毁坏而无 法恢复客户私钥。 (7)密钥的自动更新 密钥更新通常有以下两种情况:密钥对到期、密钥泄露后需要启用新的密钥对。针对以 上两种情况,CFCA 的 Non-SET 系统能实现完全透明的、自动的密钥更换以及新证书的分发。 (8)CRL 查询 CRL 查询即证书作废止列表查询,用以检查用户的证书是否已经作废。当用户证书因私 钥泄密等原因需要废止时,应及时向 CA 声明作废。CA 会适时地通过 LDAP 标准协议向证书 库中以 X.500 的格式进行发布,以供用户进行开放式查询。在此系统中,证书作废是自动完 成的,并且对用户是透明的。CRL 通常不存放作废证书的全部内容,而只存放作废证书的序 列号,以便提高检索速度
(9)时间戳 支持时间戳功能,确保所有用户的时间一致 (10)交叉认证 CFCA的No-SET系统中所采用的网络信任域模型,使得单位除了可完全控制自己的信 任域之外,也可通过接纳其他单位而扩充自己的信任域。 CFCA证书的种类及用途 答:中国金融认证中心(CFCA)采用国际主流的PKI(Public Key Infrastructure,.公钥 基础设施)技术,能够提供多种证书及信息安全服务。其发布的证书除了根CA、政策 CA、运营CA等各级CA的证书外,对于最终用户,按照证书使用对象及功能的不同, 又可以分为以下类型: 人证书:也称客户数字证书,主要用于标识数字证书持有人的身份,证书中包含了 个人的身份信息和个人的公钥,如用户姓名、证件号码、身份类型等,用于个人网上安全交 易操作,如合同签定、定单、录入审核、操作权限、支付信息等活动。 ②企业或机构证书:主要用于标识数字证书机构所有人的身份,包含企业的相关信息及 其公钥,如:企业名称、组织机构代码等,用于企业在电子商务、电子攻务应用中讲行合同 签定、网上支付、行政审批、网上办公等各类活动。在ST中,企业可以持有一个或多个 字证书。 ③网关证书:是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解 密的主要工具,用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务 (Internet上各种安全协议与银行现有网络数据格式的转换)。该证书只能在有效状态下使用 通常不可被申请者转 ④服务器证书 主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信那 务器的真实身份。证书中包含服务器信息和服务器的公钥。证书主要颁发给胃b站点或其他 需要安全鉴别的服务器,证明服务器的真实身份信息。服务器软件利用证书机制保证与其他 服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 ⑤安全Ema证书:用于安全子邮件或向需要客户验证的Wb服务器表明身份。安 全电子邮件证书可以确保邮件的真实性和保密性。申请后通常是安装在客片 的刘监器中使 用, 可以用它来发送签名或加密的安全电子郎件 ⑥代码签名证书:又称代码数字证书,包含了软件提供者的身份信息及其公钥,主要用 于证明软件发布者所发行的软件代码来源于一个真实软件发布者,可以有效防止软件代码被 篡改。 四、论述题 中国金融认证中心对电子商务发展的作用, 答:中国金融认证中心,简称CFCA,是国内全面支持电子商务安全支付业务的国家级 网上信任服务机构。作为金融界唯一的、权威的、第三方认证机构,C℉CA致力于保障网上跨 行支付安全,通过以数字证书为核心的信任和安全那务,实现互联网上各方身份直实性、信 息保密性和完整性、网上交易行为的不可否认性,为网上银行、电子商务提供安全保障,CCA 认证体系基于双密钥机制,具有完善的证书管理功能,能够提供证书申请、审核、生成 、 发、存储、查询、废止等全程自动审计服务,并已通过了国家信总安全产品测评认证中心的 安全评测。在中国电子商务发展中,它也组织并参与有关网上交易规则的制定,以及确立相 应的技术标准等
(9)时间戳 支持时间戳功能,确保所有用户的时间一致。 (10)交叉认证 CFCA 的 Non-SET 系统中所采用的网络信任域模型,使得单位除了可完全控制自己的信 任域之外,也可通过接纳其他单位而扩充自己的信任域。 5.简述 CFCA 证书的种类及用途。 答:中国金融认证中心(CFCA)采用国际主流的 PKI(Public Key Infrastructure,公钥 基础设施)技术,能够提供多种证书及信息安全服务。其发布的证书除了根 CA、政策 CA、运营 CA 等各级 CA 的证书外,对于最终用户,按照证书使用对象及功能的不同, 又可以分为以下类型: ①个人证书:也称客户数字证书,主要用于标识数字证书持有人的身份,证书中包含了 个人的身份信息和个人的公钥,如用户姓名、证件号码、身份类型等,用于个人网上安全交 易操作,如合同签定、定单、录入审核、操作权限、支付信息等活动。 ②企业或机构证书:主要用于标识数字证书机构所有人的身份,包含企业的相关信息及 其公钥,如:企业名称、组织机构代码等,用于企业在电子商务、电子政务应用中进行合同 签定、网上支付、行政审批、网上办公等各类活动。在 SET 中,企业可以持有一个或多个数 字证书。 ③网关证书:是证书签发中心针对支付网关签发的数字证书,是支付网关实现数据加解 密的主要工具,用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务 (Internet 上各种安全协议与银行现有网络数据格式的转换)。该证书只能在有效状态下使用, 通常不可被申请者转让。 ④服务器证书:主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信服 务器的真实身份。证书中包含服务器信息和服务器的公钥。证书主要颁发给 Web 站点或其他 需要安全鉴别的服务器,证明服务器的真实身份信息。服务器软件利用证书机制保证与其他 服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 ⑤安全 E-mail 证书:用于安全电子邮件或向需要客户验证的 Web 服务器表明身份。安 全电子邮件证书可以确保邮件的真实性和保密性。申请后通常是安装在客户的浏览器中使 用,可以用它来发送签名或加密的安全电子邮件。 ⑥代码签名证书:又称代码数字证书,包含了软件提供者的身份信息及其公钥,主要用 于证明软件发布者所发行的软件代码来源于一个真实软件发布者,可以有效防止软件代码被 篡改。 四、论述题 1.中国金融认证中心对电子商务发展的作用。 答: 中国金融认证中心,简称 CFCA,是国内全面支持电子商务安全支付业务的国家级 网上信任服务机构。作为金融界唯一的、权威的、第三方认证机构,CFCA 致力于保障网上跨 行支付安全,通过以数字证书为核心的信任和安全服务,实现互联网上各方身份真实性、信 息保密性和完整性、网上交易行为的不可否认性,为网上银行、电子商务提供安全保障。CFCA 认证体系基于双密钥机制,具有完善的证书管理功能,能够提供证书申请、审核、生成、颁 发、存储、查询、废止等全程自动审计服务,并已通过了国家信息安全产品测评认证中心的 安全评测。在中国电子商务发展中,它也组织并参与有关网上交易规则的制定,以及确立相 应的技术标准等
目前C℉CA已在银行、证券公司、政府机构建成覆盖全国的认证服务体系,同时针对企 业、个人提供句括业通、高级、Wh站占、手机证书等在内的15种证书和多种信息安全服 务,以满足社会各界用户的应用需求,证书应用及银 政府机构 企业集团等金酸和非金融领域,对推动我国电子商务的发展起到了积极地作用。 2.当前我国认证中心,(CA)存在的主要问期是什么?如何讲一步加强建设? 答:近几年来我国申子商务得到了快速发展,CA的概今已深入到申子商务的名个层面,但 其应用仍就不容乐观,还存在以下问题:在应月 用层面上 些CA认证机构对证书的发放和 审核不够严谨。例如 内相关的CA 心在 颁 证书时虽然竭力进行真实身份的审核 于参审的人员多是CA中心所属工作人员或其委托人员,从法理上讲不具备法律要求的审核 证明人资格:另一方面,一些CA中心本身也是交易或合同的一方,难免存在不公正性。在 技术层面上,由于受到美国出口限制的影响,国内的C以认证技术大多靠自己研发,由于参 与部门多,致使标准不统一,缺乏统筹和协调,这必将导致交叉认证过程中出现“各自为政 独立发展 的局面 在分布格局上,很多CA认证机 依然存在明显的地域性和行业性 法满足充当面向全社会的第三方权威认证机构的基本要求,就互联网而言不应该也不可能有 在地域限制。在立法方面,行业整体缺乏有效的监督规范,相关法律还不够健全。随着《电 子签名法》和《电子认证服务管理办法》的出台,中国电子商务的发展环境将得到一定的改 善。 在电子商务迅速发展的今天,保证商务交易安全是实现电子商务的关键,CA体系的建 立是保证电子商务安全的重要环节,针对认证系统建设中出现的问题,玫府部门应积极加以 引导,逐步改善,促使中国的CA体系有序渐进的向更加理性、更切实际的方向发展
目前 CFCA 已在银行、证券公司、政府机构建成覆盖全国的认证服务体系,同时针对企 业、个人提供包括普通、高级、Web 站点、手机证书等在内的 15 种证书和多种信息安全服 务,以满足社会各界用户的应用需求,证书应用遍及银行、证券、税务、保险、政府机构、 企业集团等金融和非金融领域,对推动我国电子商务的发展起到了积极地作用。 2.当前我国认证中心(CA)存在的主要问题是什么?如何进一步加强建设? 答:近几年来我国电子商务得到了快速发展,CA 的概念已深入到电子商务的各个层面,但 其应用仍就不容乐观,还存在以下问题:在应用层面上,一些 CA 认证机构对证书的发放和 审核不够严谨。例如国内相关的 CA 中心在颁发证书时虽然竭力进行真实身份的审核,但由 于参审的人员多是 CA 中心所属工作人员或其委托人员,从法理上讲不具备法律要求的审核 证明人资格;另一方面,一些 CA 中心本身也是交易或合同的一方,难免存在不公正性。在 技术层面上,由于受到美国出口限制的影响,国内的 CA 认证技术大多靠自己研发,由于参 与部门多,致使标准不统一,缺乏统筹和协调,这必将导致交叉认证过程中出现“各自为政、 独立发展”的局面。在分布格局上,很多 CA 认证机构依然存在明显的地域性和行业性,无 法满足充当面向全社会的第三方权威认证机构的基本要求,就互联网而言不应该也不可能存 在地域限制。在立法方面,行业整体缺乏有效的监督规范,相关法律还不够健全。随着《电 子签名法》和《电子认证服务管理办法》的出台,中国电子商务的发展环境将得到一定的改 善。 在电子商务迅速发展的今天,保证商务交易安全是实现电子商务的关键,CA 体系的建 立是保证电子商务安全的重要环节。针对认证系统建设中出现的问题,政府部门应积极加以 引导,逐步改善,促使中国的 CA 体系有序渐进的向更加理性、更切实际的方向发展