网上支付的安全.ppt

《网上支付的安全.ppt》由会员分享，可在线阅读，更多相关《网上支付的安全.ppt（41页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网上支付的安全 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望7.1.1网上支付所面临的安全问题（1）交易支付信息被篡改。）交易支付信息被篡改。（2）交易支付信息被截获和窃取。）交易支付信息被截获和窃取。（3）交易信息假冒。）交易信息假冒。（4）交易抵赖。）交易抵赖。7.1.2网上支付安全的主要内容电子商务安全从整体上分为两大部分：电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。计算机网络安全和商务交易安全。计算机网络安全的内容主要包括计算机网络设

2、备安全、计计算机网络安全的内容主要包括计算机网络设备安全、计计算机网络安全的内容主要包括计算机网络设备安全、计计算机网络安全的内容主要包括计算机网络设备安全、计算机网络系统安全、数据库安全等。算机网络系统安全、数据库安全等。算机网络系统安全、数据库安全等。算机网络系统安全、数据库安全等。其特点是针对计算机网络本身可能存在的安全问题问题，其特点是针对计算机网络本身可能存在的安全问题问题，其特点是针对计算机网络本身可能存在的安全问题问题，其特点是针对计算机网络本身可能存在的安全问题问题，实施网络安全增强方案，以保证计算机网络自身的安全性实施网络安全增强方案，以保证计算机网络自身的安全性实施网络安全

3、增强方案，以保证计算机网络自身的安全性实施网络安全增强方案，以保证计算机网络自身的安全性为目标。为目标。为目标。为目标。商务交易安全是指在计算机网络安全的基础上，商务交易安全是指在计算机网络安全的基础上，商务交易安全是指在计算机网络安全的基础上，商务交易安全是指在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，实现电子商如何保障电子商务过程的顺利进行，实现电子商如何保障电子商务过程的顺利进行，实现电子商如何保障电子商务过程的顺利进行，实现电子商务交易支付结算的保密性、完整性、可鉴别性、务交易支付结算的保密性、完整性、可鉴别性、务交易支付结算的保密性、完整性、可鉴别性、务交易支付结算的保

4、密性、完整性、可鉴别性、不可伪造性和不可抵赖性。不可伪造性和不可抵赖性。不可伪造性和不可抵赖性。不可伪造性和不可抵赖性。包括交易支付过程中的各种交易安全技术，包括交易支付过程中的各种交易安全技术，包括交易支付过程中的各种交易安全技术，包括交易支付过程中的各种交易安全技术，如如如如SETSET、SSLSSL、安全认证手段和、安全认证手段和、安全认证手段和、安全认证手段和CACA体系等。体系等。体系等。体系等。72网上支付安全协议7.2.1SSL协议协议SSL协议（协议（SecureSocketLayer）是由网景是由网景（Netscape）公司）公司1994年设计开发推出的一种年设计开发推出的一

5、种安全通信协议，主要用于提高应用程序之间的数安全通信协议，主要用于提高应用程序之间的数据的安全系数，它能够对信用卡和个人信息提供据的安全系数，它能够对信用卡和个人信息提供较强的保护，也是目前使用最广泛的安全协议。较强的保护，也是目前使用最广泛的安全协议。1 1 1 1)SSL SSL SSL SSL协议提供的基本服务协议提供的基本服务协议提供的基本服务协议提供的基本服务（1 1 1 1）认证用户和服务器，使得它们能够确信数据将）认证用户和服务器，使得它们能够确信数据将）认证用户和服务器，使得它们能够确信数据将）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器。被发送到正确的

6、客户机和服务器。被发送到正确的客户机和服务器。被发送到正确的客户机和服务器。（2 2 2 2）加密数据以隐藏被传送的数据。）加密数据以隐藏被传送的数据。）加密数据以隐藏被传送的数据。）加密数据以隐藏被传送的数据。（3 3 3 3）维护数据的完整性，确保数据在传输过程中不）维护数据的完整性，确保数据在传输过程中不）维护数据的完整性，确保数据在传输过程中不）维护数据的完整性，确保数据在传输过程中不被改变。被改变。被改变。被改变。2)SSL协议的运行步骤协议的运行步骤（1）接通阶段。）接通阶段。（2）密码交换阶段。）密码交换阶段。（3）会谈密码阶段。）会谈密码阶段。（4）检验阶段。）检验阶段。（5）

7、客户认证阶段。）客户认证阶段。（6）结束阶段。）结束阶段。3 3)SSLSSL协议的应用协议的应用SSLSSL协议是国际上最早应用于电子商务的一种网络协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用，也安全协议，至今仍然有许多网上商店在使用，也经常应用于点对点的网上银行业务。经常应用于点对点的网上银行业务。世界上一些大型公司，如世界上一些大型公司，如MicrosoftMicrosoft、IBMIBM等提供等提供的客户机、服务器以及相关的软件都支持的客户机、服务器以及相关的软件都支持SSLSSL协议，协议，它已经成为一个事实上的工业标准。它已经成为一个事实上的工业标

8、准。SSL协议与电子支付SSL协议下的电子交易过程客户商家银行（）客户购买信息发往商家；（）客户购买信息发往商家；（）商家在将信息转发银行；（）商家在将信息转发银行；（）银行验证客户信息合法性；（）银行验证客户信息合法性；（）银行通知商家付款成功；（）银行通知商家付款成功；（）商家通知客户购买成功。（）商家通知客户购买成功。SSL协议交易流程的缺陷协议交易流程的缺陷客户的银行资料信息先送到商家，让商家阅客户的银行资料信息先送到商家，让商家阅读，故客户银行资料的安全性得不到保证。读，故客户银行资料的安全性得不到保证。SS只能保证资料传递过程的安全，而传输只能保证资料传递过程的安全，而传输过程是否

9、有人截取就无法保障。过程是否有人截取就无法保障。7.2.2SET协议SET协议协议(SecureElectronicTransaction),安全电子交易安全电子交易协议，是由世界上两大信用卡公司协议，是由世界上两大信用卡公司VISA和和MaterCard联联合推出的网上信用卡交易的模型和规范。合推出的网上信用卡交易的模型和规范。SET是开放的，是开放的，SET主要是为了解决用户、商家和银行之主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可密、支付过程的完整、商

10、户及持卡人的合法身份，以及可操作性。操作性。SET中的核心技术主要有密钥加密、电子数字签名、电子中的核心技术主要有密钥加密、电子数字签名、电子信封、电子安全认证等。信封、电子安全认证等。1)SET协议的研发与应用协议的研发与应用在开放的互联网上处理电子商务，如何保证买卖双方传输数在开放的互联网上处理电子商务，如何保证买卖双方传输数据的安全已经成为电子商务能否顺利实现的最重要的问题据的安全已经成为电子商务能否顺利实现的最重要的问题之一。之一。1995年信用卡国际组织、资讯业者及网络安全专业团体等开年信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟，共同研发用于电子商务的安全交易系统。

11、始组成策略联盟，共同研发用于电子商务的安全交易系统。1996年，年，MarsterCard和和Visa国际信用卡组织与技术合作国际信用卡组织与技术合作伙伴伙伴GTE、Netscape、IBM、TerisaSystem、Versign、Microsoft、SAIC等一批跨国公司共同开发了安全电子规等一批跨国公司共同开发了安全电子规范（范（SET协议）。协议）。2 2)SET SET协议运行的目标协议运行的目标（1 1）保证信息在互联网上安全传输，防止数据被黑客或被）保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取。内部人员窃取。（2 2）保证电子商务参与者信息的相互隔离。）保证电子商务

12、参与者信息的相互隔离。（3 3）解决多方认证的问题。）解决多方认证的问题。（4 4）保证网上交易的实时性，使所有支付过程都是在线的。）保证网上交易的实时性，使所有支付过程都是在线的。（5 5）达到全球市场的接受性，在容易使用与对特约商店、）达到全球市场的接受性，在容易使用与对特约商店、持卡人影响最小的前提下，达到全球普遍性。持卡人影响最小的前提下，达到全球普遍性。（6 6）确定应用的互通性，提供一个开放式的标准，明确定）确定应用的互通性，提供一个开放式的标准，明确定义细节，以确保不同厂商开发的应用程序可共同运作，促义细节，以确保不同厂商开发的应用程序可共同运作，促成软件互通。成软件互通。3)S

13、ET协议涉及的范围协议涉及的范围SET最主要的使用对象在消费者与商店，商店与收单银行最主要的使用对象在消费者与商店，商店与收单银行（付款银行）之间。（付款银行）之间。一项一项SET交易涉及的对象有：交易涉及的对象有：（1）持卡人。）持卡人。（2）在线商店。）在线商店。（3）收单银行。）收单银行。（4）支付网关。）支付网关。（5）发卡人，即客户的金融机构。）发卡人，即客户的金融机构。（6）认证中心（）认证中心（CA）。）。4 4)SET SET协议的工作原理协议的工作原理根据根据SET协议的工作流程，可将整个工作程序如下：协议的工作流程，可将整个工作程序如下：（1）消息）消息1和消息和消息2是交

14、易初始设置，客户与商家相互交换身份是交易初始设置，客户与商家相互交换身份证书，建立一个交易证书，建立一个交易ID号；号；（2）在消息）在消息3的客户购买消息中，包含商品或服务名、客户签的客户购买消息中，包含商品或服务名、客户签名、加密的客户信用卡信息；名、加密的客户信用卡信息；（3）消息）消息4是商家对用户购买订单的确认；是商家对用户购买订单的确认；（4）消息）消息5和消息和消息6是商家对客户支付信息合法性的验证，在商是商家对客户支付信息合法性的验证，在商家与银行（或其代理）间进行；家与银行（或其代理）间进行；（5）消息）消息7和消息和消息8使用户对交易内容、状态有查询的能力；使用户对交易内容

15、、状态有查询的能力；（6）消息）消息9和消息和消息10是商家与银行间的兑现和平帐过程。是商家与银行间的兑现和平帐过程。SET的特征的特征(1)信息的机密性信息的机密性(2)数据的完整性数据的完整性(3)消费者账户的认证消费者账户的认证(4)卖方认证卖方认证(5)互可操作性互可操作性5 5)SETSET的主要应用的主要应用（1 1）生成和安全保存符合）生成和安全保存符合SETSET协议要求的属于根认证机构的协议要求的属于根认证机构的公、私密钥。公、私密钥。（2 2）生成和自行签署符合）生成和自行签署符合SETSET协议要求的根证书及其数字签协议要求的根证书及其数字签名。名。（3 3）处理品牌认证

16、机构的申请，生成、验证品牌证书并在）处理品牌认证机构的申请，生成、验证品牌证书并在品牌证书上进行数字签名。品牌证书上进行数字签名。（4 4）生成品牌证书撤销清单。）生成品牌证书撤销清单。（5 5）运行跨域交叉认证。）运行跨域交叉认证。（6 6）制定安全认证政策。）制定安全认证政策。1)SET协议与协议与SSL协议的区别协议的区别SSL是基于传输层的通用安全协议，它只占电子商务体系中是基于传输层的通用安全协议，它只占电子商务体系中一部分，可以看做其中由于传输的那部分技术规范。从电一部分，可以看做其中由于传输的那部分技术规范。从电子商务特性来讲，它并不具备商务性、服务性、协调性和子商务特性来讲，它

17、并不具备商务性、服务性、协调性和集成性。集成性。SET协议位于应用层，它对网络上其他各层也有所涉及。协议位于应用层，它对网络上其他各层也有所涉及。SET中规范了整个商务的活动流程，从信用卡持卡人到商中规范了整个商务的活动流程，从信用卡持卡人到商家，到支付网关，到认证中心及信用卡结算中心之间的信家，到支付网关，到认证中心及信用卡结算中心之间的信息流向及必须参与的加密，认证都制定了严密的标准，从息流向及必须参与的加密，认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。而最大限度地保证了商务性、服务性、协调性和集成性。SET与与SSL的主要区别见表的主要区别见表。7.2.3

18、SET7.2.3SET协议与协议与协议与协议与SSLSSL协议的区别协议的区别协议的区别协议的区别2)SET协议的缺陷协议的缺陷（1）SET只支持信用卡消费。只支持信用卡消费。（2）SET涉及的实体较多。涉及的实体较多。（3）SET技术规范没有提及在事务处理完成后，如何技术规范没有提及在事务处理完成后，如何安全地保存或销毁这些数据，是否应当将数据保存安全地保存或销毁这些数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。在消费者、在线商店或收单银行的计算机里。（4）在完成一个）在完成一个SET协议交易过程中，需验证电子证协议交易过程中，需验证电子证书书9次，验证数字签名次，验证数字

19、签名6次，传递证书次，传递证书7次，进行次，进行5次次签名、签名、4次对称加密和次对称加密和4次非对称加密。次非对称加密。（5）安全是相对的。）安全是相对的。73金融安全认证金融安全认证05年：银监会国内各银行的网银业务拥有的用户中懂得使用中国金融认证中心安全证书的用户不到三成。能窃取账号、密码和验证码的黑客软件“网银大盗”；“假银行网站事件”在网银信誉面临考验的情况下，中国金融认证中心联合全国16家商业银行一起发起了“放心安全用网银”宣传活动中国金融认证中心总经理李晓峰指出，除了最易被攻破的“账号加密码”的简单方式外，网上身份认证机制还有更好的选择数字证书认证机制，不法分子即使窃取了账号和密

20、码也取不到钱。已在工行、建行、交行、中信实业等20多家商业银行建立了证书注册审批系统。如果发生安全问题，中国金融认证中心承诺对网银用户进行赔付：对企业高级证书用户赔付上限为人民币80万元，对企业普通用户赔付上限为50万元，对个人用户赔付上限为2万元。1)数字签名数字签名数字签名技术是公开密钥加密技术和报文分解函数数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同，数字签名的目的是相结合的产物。与加密不同，数字签名的目的是为了保证信息的完整性和真实性。为了保证信息的完整性和真实性。数字签名必须保证以下数字签名必须保证以下3点：点：（1）接受者能够核实发送者对消息的签名；）接受者

21、能够核实发送者对消息的签名；（2）发送者事后不能低赖对消息的签名；）发送者事后不能低赖对消息的签名；（3）接受者不能伪造对消息的签名。）接受者不能伪造对消息的签名。2 2)数字证书数字证书（1 1）Digital Certificate,Digital Certificate,又称公开密钥证书或又称公开密钥证书或“数数字标识（字标识（Digital IDDigital ID）”，是由权威的、可信赖的、，是由权威的、可信赖的、公正的第三方机构公正的第三方机构认证中心颁发给网上用户的一认证中心颁发给网上用户的一段包含用户身份信息、密钥信息以及认证中心数字签段包含用户身份信息、密钥信息以及认证中心数

22、字签名的数据，它把第一个特定的公开密钥与它的所属者名的数据，它把第一个特定的公开密钥与它的所属者的描述信息进行绑定，其包含的信息可建立使用者在的描述信息进行绑定，其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，所以网络上进行交易或从事活动时的身份识别功能，所以常把它比喻为电子身份证。常把它比喻为电子身份证。（2 2）数字证书的内部格式是由国际电信联盟）数字证书的内部格式是由国际电信联盟X.509X.509国际标准国际标准所规定的，它必须包含以下几点：所规定的，它必须包含以下几点：证书的版本号；证书的版本号；数字证书的序列号；数字证书的序列号；证书拥有者的姓名；证书拥有者的姓

23、名；证书拥有者的分开密钥；证书拥有者的分开密钥；公开密钥的有效期；公开密钥的有效期；签名算法；签名算法；办理数字证书的单位；办理数字证书的单位；办理数字证书的单位的数字签名。办理数字证书的单位的数字签名。（3）数字证书的种类。）数字证书的种类。目前我国的认证中心提供的数字证书类型有：目前我国的认证中心提供的数字证书类型有：个人身份证书个人身份证书机构证书（机构身份证书、机构部门证书及机构员工证书）机构证书（机构身份证书、机构部门证书及机构员工证书）安全电子邮件证书（个人电子邮件证书及机构电子邮件证书）安全电子邮件证书（个人电子邮件证书及机构电子邮件证书）设备证书（应用服务器证书、设备证书（应用

24、服务器证书、Web服务器证书、服务器证书、VPN网关证网关证书及书及VPN客户端证书）客户端证书）代码签名证书（个人代码签名证书、企业代码签名证书）及无代码签名证书（个人代码签名证书、企业代码签名证书）及无线应用证书（网关证书及客户端证书）。线应用证书（网关证书及客户端证书）。3)认证中心（认证中心（CA）在电子商务交易过程中，无论是数字签名还是数字证书的发在电子商务交易过程中，无论是数字签名还是数字证书的发放都不是由交易双方自己来完成的，必须有一个具有权威放都不是由交易双方自己来完成的，必须有一个具有权威性和公开性的第三方来完成。性和公开性的第三方来完成。CA（CertificateAuth

25、ority），承担网上安全电子交易认证），承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。服务，能签发数字证书，并能确认用户身份的服务机构。认证中心是认证中心是PKI体系中的核心，是由一组计算机硬件、软体系中的核心，是由一组计算机硬件、软件以及管理人员组成的，扮演着如同现实世界中的派出所件以及管理人员组成的，扮演着如同现实世界中的派出所的户藉管理机构这样的角色。的户藉管理机构这样的角色。（1）CA机构组成。机构组成。证书授权中心作为电子商务交易中受信任和具有权证书授权中心作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检威性的第三方，承担公钥体

26、系中公钥的合法性检验的责任。验的责任。电子商务认证授权机构（电子商务认证授权机构（CA），也称为电子商务认），也称为电子商务认证中心，是负责发放和管理数字证书的权威。证中心，是负责发放和管理数字证书的权威。CA体系由证书审批部门和证书操作部门组成。体系由证书审批部门和证书操作部门组成。目前CA认证系统主要由以下三部分组成：在客户端面向证书用户的数字证书申请、查询和下载系统；在RA端由RA管理员对证书申请进行审批的证书授权系统；在CA控制台，签发用户证书的证书签发系统。CA就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于

27、各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。（2）CA认证中心有五项功能。认证中心有五项功能。证书发放功能。证书发放功能。中心接收、验证用户中心接收、验证用户(包括下级认证中心和最终用户包括下级认证中心和最终用户)的数字证的数字证书的申请，将申请的内容进行备案，并根据申请的内容确书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名

28、以后，发送到目录服务器供用户下载认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。信息都要使用认证中心的签名。证书更新功能。证书更新功能。认证中心可以定期更新所有用户的证书，或者根据用户的请认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。求来更新用户的证书。证书查询功能。证书查询功能。证书的查询可以分为两类，其一是证书申请的查询，认证中证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；心根据

29、用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。目录服务器根据用户的请求返回适当的证书。证书撤销功能。证书撤销功能。当用户的私钥由于泄密等原因造成用户证书需要申请作废时，当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自动

30、将该证书作废。情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表认证中心通过维护证书作废列表(CertificateRevocationList,CRL)来完成上述功能。来完成上述功能。归档功能。归档功能。证书具有一定的有效期，证书过了有效期之后就将作废，但证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考虑，认证中心还应们就需要查

31、询作废的证书。基于此类考虑，认证中心还应当具备管理作废证书和作废私钥的功能当具备管理作废证书和作废私钥的功能74中国金融认证中心中国金融认证中心中国金融认证中心中国金融认证中心CFCA（ChinaFinancialCertificationAuthority）于）于2000年年6月月29日正式挂牌成日正式挂牌成立，是经中国人民银行和国家信息安全管理机构批准成立立，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是全基础设施之一，也是中华人民共和国电子签名法中华人民共和国电子签名法

32、颁颁布后，国内首批获得电子认证服务许可的布后，国内首批获得电子认证服务许可的CA之一。之一。CFCA作为权威、公正的第三方安全认证机构，通过发放数字证作为权威、公正的第三方安全认证机构，通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务，书为网上银行、电子商务、电子政务提供安全认证服务，确保网上信息传递双方身份的真实性、信息的保密性和完确保网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。整性、以及网上交易的不可否认性。1 1)中国金融认证中心认证体系中国金融认证中心认证体系CFCACFCA采用国际主流的采用国际主流的PKIPKI（Public Key

33、InfrastructurePublic Key Infrastructure公钥公钥基础设施）技术，提供适用于企业、个人、基础设施）技术，提供适用于企业、个人、WebWeb站点、站点、VPNVPN、安全安全E-mailE-mail、手机应用等在内的十多种证书和各种信息安、手机应用等在内的十多种证书和各种信息安全服务，确保网上银行、网上证券、网上保险、网上税务、全服务，确保网上银行、网上证券、网上保险、网上税务、电子商务、电子政务、企业集团等的信息安全。电子商务、电子政务、企业集团等的信息安全。CFCA认证系统采用国际领先的认证系统采用国际领先的PKI技术，总体为三层技术，总体为三层CA结结构

34、，第一层为根构，第一层为根CA；第二层为政策；第二层为政策CA，可向不同行业、，可向不同行业、领域扩展信用范围；第三层为运营领域扩展信用范围；第三层为运营CA，根据证书运作规范，根据证书运作规范（CPS）发放证书。运营）发放证书。运营CA由由CA系统和证书注册审批机系统和证书注册审批机构（构（RA）两大部分组成：）两大部分组成：2 2)CFCACFCA的主要功能的主要功能（1 1）受理用户的数字证书申请。）受理用户的数字证书申请。（2 2）审批用户的申请和发放数字证书。）审批用户的申请和发放数字证书。（3 3）归档、撤销以及更新用户的数字证书。）归档、撤销以及更新用户的数字证书。（4 4）证书

35、作废原因编码、证书作废列表（）证书作废原因编码、证书作废列表（CRLCRL）产）产生及其发布和查询管理。生及其发布和查询管理。（5 5）认证中心的管理。）认证中心的管理。（6 6）认证中心自身密钥的管理。）认证中心自身密钥的管理。3)CFCA建立注册中心的程序建立注册中心的程序（1）申请与审批。）申请与审批。第一步是拟建立注册中心的单位向第一步是拟建立注册中心的单位向CFCA提交提交建立建立RA申请申请书书及其他文档；第二步是及其他文档；第二步是FACA审核审核申请书申请书。（2）CFCA与申请建立注册中心的单位签署意向书。与申请建立注册中心的单位签署意向书。（3）注册中心系统建设。）注册中心

36、系统建设。（4）注册中心系统测试。）注册中心系统测试。（5）CFCA与申请建立注册中心的单位签署协议。与申请建立注册中心的单位签署协议。（6）系统运行。）系统运行。4)CFCA签发的数字证书签发的数字证书（1）企业高级证书，主要供网上交易金额较大的企业来进行）企业高级证书，主要供网上交易金额较大的企业来进行数字签名和加密信息，安全级别较高。数字签名和加密信息，安全级别较高。（2）企业普通证书，主要供网上交易金额较小、采用基于）企业普通证书，主要供网上交易金额较小、采用基于SSL、S/MIME安全协议系统的企业选用，安全级别较低。安全协议系统的企业选用，安全级别较低。（3）个人高级证书，主要供网

37、上交易金额较大的个人用来进）个人高级证书，主要供网上交易金额较大的个人用来进行数字签名和加密信息，安全级别较高。行数字签名和加密信息，安全级别较高。（4）个人普通证书，主要供网上交易金额较小，采用基于）个人普通证书，主要供网上交易金额较小，采用基于SSL、S/MIME安全协议系统的个人选用，安全级别较低。安全协议系统的个人选用，安全级别较低。（5）Web服务器证书，主要供网上交易金额较小的服务器证书，主要供网上交易金额较小的Web服务服务器选用。器选用。（6）DirectServer服务器证书，主要用于企业从事服务器证书，主要用于企业从事B2B交易交易时对时对Web服务器进行保护。服务器进行保

38、护。5)在在CFCA体系中，体系中，SET持卡人或商户证书申请和审批流程持卡人或商户证书申请和审批流程（1）持卡人或商户填写申请表并提交给银行的受理点。）持卡人或商户填写申请表并提交给银行的受理点。（2）银行审核持卡人或商户资格，并将审核通过的证书申）银行审核持卡人或商户资格，并将审核通过的证书申请信息发送给请信息发送给CFCA认证中心。认证中心。（3）CFCA认证中心签发证书，将产生的参考号、授权码发认证中心签发证书，将产生的参考号、授权码发送给银行。送给银行。（4）银行注册中心管理员将授权码打印在密码信封里当面）银行注册中心管理员将授权码打印在密码信封里当面交给持卡人或商户，并将参考号发送

39、到持卡人或商户的电交给持卡人或商户，并将参考号发送到持卡人或商户的电子邮箱里。子邮箱里。（5）持卡人下载并安装电子钱包；商户下载并安装）持卡人下载并安装电子钱包；商户下载并安装SET商商户软件。户软件。（6）持卡人下载并把数字证书安装到电子钱包中，商户下）持卡人下载并把数字证书安装到电子钱包中，商户下载并把数字证书安装到载并把数字证书安装到SET商户软件中。商户软件中。6)在在CFCA体系中，体系中，Non-SET企业普通、个人普通、企业普通、个人普通、Web服服务器证书申请和审批流程务器证书申请和审批流程（1）企业或个人填写申请表并提交给银行的受理点。）企业或个人填写申请表并提交给银行的受理

40、点。（2）银行审核企业或个人资格，并将审核通过的证书申请）银行审核企业或个人资格，并将审核通过的证书申请信息发送给信息发送给CFCA认证中心。认证中心。（3）CFCA认证中心签发证书，将产生的参考号及授权码发认证中心签发证书，将产生的参考号及授权码发送给银行。送给银行。（4）银行注册中心管理员将其中授权码打印在密码信封里）银行注册中心管理员将其中授权码打印在密码信封里当面交给企业或个人，并将参考号发送到企业或个人的电当面交给企业或个人，并将参考号发送到企业或个人的电子邮箱里。子邮箱里。（5）企业或个人下载并安装数字证书）企业或个人下载并安装数字证书。7)在在CFCA体系中，体系中，Non-SE

41、T企业高级企业高级/个人高级个人高级/DirectServer证书申请和审批流程证书申请和审批流程（1）企业或个人填写申请表并提交给银行的受理点。）企业或个人填写申请表并提交给银行的受理点。（2）银行审核企业或个人的资格，并将审核通过的证书申请信）银行审核企业或个人的资格，并将审核通过的证书申请信息发送给息发送给CFCA认证中心。认证中心。（3）CFCA认证中心签发证书，将产生的参考号及授权码发送认证中心签发证书，将产生的参考号及授权码发送给银行。给银行。（4）银行注册中心管理员将授权码打印在密码信封里当面交给）银行注册中心管理员将授权码打印在密码信封里当面交给企业或个人，并将参考号发送到企业

42、或个人的电子邮箱里。企业或个人，并将参考号发送到企业或个人的电子邮箱里。（5）企业或个人下载并安装客户端软件。）企业或个人下载并安装客户端软件。（6）企业或个人下载并把数字证书安装到客户端软件中。）企业或个人下载并把数字证书安装到客户端软件中。本章小结本章小结网上支付的安全是当今电子商务交易过程中所面临的重大网上支付的安全是当今电子商务交易过程中所面临的重大问题，也是电子商务可以顺利发展的必要保障。问题，也是电子商务可以顺利发展的必要保障。SSL与与SET协议成为安全交易协议的两种重要形式，从不协议成为安全交易协议的两种重要形式，从不同的角度对网上交易提供了安全的保障。加密技术、数字同的角度对网上交易提供了安全的保障。加密技术、数字签名和数字证书等为主体的认证技术得到了广泛的应用，签名和数字证书等为主体的认证技术得到了广泛的应用，基本上解决了电子商务交易所必须的技术手段。基本上解决了电子商务交易所必须的技术手段。认证中心（认证中心（CA）承担了数字证书的发放与相关的管理工）承担了数字证书的发放与相关的管理工作。中国金融认证中心就是国内从事认证工作的一个企业作。中国金融认证中心就是国内从事认证工作的一个企业化的认证中心，对推动中国网上交易安全发挥了重要作用。化的认证中心，对推动中国网上交易安全发挥了重要作用。