PKI技术及应用.pptx

1、介绍内容1 1 CFCACFCA介绍介绍2 2 CFCACFCA技术架构及技术架构及PKIPKI基本知识基本知识3 CFCA3 CFCA的业务拓展及典型应用案例的业务拓展及典型应用案例4 4 当前纠纷处理、电子签名法当前纠纷处理、电子签名法5 5 A&QA&QCFCA公司介绍CFCACFCACFCACFCA背景背景背景背景中国金融认证中心（China China Financial Financial Certification Certification Authority Authority，英文缩写CFCACFCA）是国内全面支持电子商务安全支付业务的国家级网上信任服务机构。作为金融界唯

2、一的、权威的、第三方认证机构，CFCA致力于保障网上跨行支付安全，通过以数字证书为核心的信任和安全服务，实现互联网上各方身份真实性、信息保密性和完整性、网上交易行为的不可否认性，为网上银行、电子商务提供安全保障。CFCA认证体系基于双密钥机制，具有完善的证书管理功能，能够提供证书申请、审核、生成、颁发、存储、查询、废止等全程自动审计服务，并已通过了国家信息安全产品测评认证中心的安全评测。目前CFCA已在银行、证券公司、政府机构建成覆盖全国的认证服务体系，同时针对企业、个人提供包括普通、高级、Web站点、手机证书等在内的15种证书和多种信息安全服务，以满足社会各界用户的应用需求，证书应用遍及银行

3、证券、税务、保险、政府机构、企业集团等金融和非金融领域。CFCA公司介绍合格的资质合格的资质合格的资质合格的资质CFCA公司介绍作为国家级专业第三方信任机构，CFCA在力求卓越与创新的同时，以贴近客户的专业化定制服务，不断强化着她业已树立的品牌，使CFCA在所涉及的各个领域始终保持着生生不息的活力。目前CFCA已在国内十余家核心商业银行、近20家券商建成覆盖全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业。广泛的客户群广泛的客户群广泛的客户群广泛的客户群CFCA公司介绍银行银行中国工商银行、中国农业银行、中国建设银行、交通银行、中

4、信实业银行、中国光大银行、华夏银行、广东发展银行、深圳发展银行、中国民生银行、福建兴业银行、华一银行（合资银行）等12家银行B-B/B-C网上银行系统证券证券港澳证券、蔚深证券、中信证券、山西证券、黄河证券、闽发证券、江门证券、湘财证券、华鑫证券、中富证券、国都证券、金信证券、兴业证券、新华证券等14家券商的网上证券交易系统；华安、华夏、国泰、长盛、中融、博时等6家开放式基金的网上数据管理系统其它金融机构其它金融机构中央国债登记系统；中国银联网上差错查询系统；厦门卡中心网上认证系统；大连市信用卡中心/大连市信息产业局网上认证系统；北京票据清算中心数据管理系统；深圳金融电子结算中心网上认证系统；

5、中国人民银行武汉分行国库系统税务税务北京国税、无锡国税、大连地税（网上申报缴税系统）电子政务电子政务人民银行天津分行金融监管；上海外汇管理局网上外汇申报系统企业集团企业集团攀钢、鞍钢、中石油、联想、一汽、万向、用友等企业集团财务 广泛的客户群广泛的客户群广泛的客户群广泛的客户群CFCA技术架构及技术架构及PKI基本知识基本知识灵活的构架灵活的构架灵活的构架灵活的构架 PKI公共密钥基础结构是一种遵循标准的密钥管理平台，它能够为所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理，它是信息安全技术的核心，也是电子商务的关键和基础技术。CA可以为多层或单层结构，一般包括CA中

6、心和证书注册审批机构（RA）两大部分。CACA系统：系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，不直接面对用户 RARA系统：系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般可以设置在直接面对最终用户的柜台、营业点、分公司等等。CA认证系统要在满足安全性、易用性、扩展性等需求的同时，从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面按严格标准制定相应的安全策略；要有专业化的技术支持力量和完善的服务系统，保证系统7X24小时高效、稳定运行。完善的完善的完善的完善的PKIPKIPKIPKI

7、服务服务服务服务CFCA技术架构及技术架构及PKI基本知识基本知识PKI完善的服务支持不可否认性支持不可否认性 双密钥对双密钥对 时间戳时间戳 证书查询证书查询 交叉认证交叉认证 证书的注册审批发放证书的注册审批发放 密钥自动更新密钥自动更新 证书废止列表查询证书废止列表查询 密钥备份与恢复密钥备份与恢复 密钥历史记录密钥历史记录 PKI完善的服务 一个典型完整的PKI是由一系列服务和组件所组成：PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。-实体鉴别、数据的保密性

8、数据的真实性和完整性、不可否认性、证书审批发放、-密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证从技术路线上来区分CFCA证书及应用分为高级高级高级高级和普通普通普通普通两大类高级证书：指的双密钥对证书及其应用普通证书：标准的x.509证书及其应用证书密钥协议管理功能自动更新CA管理普通单对ssl密钥不托管没有不完善高级双对spkm加密密钥对托管自动更新比较完善CFCA技术架构及技术架构及PKI基本知识基本知识常用PKI名词说明1 1：PKIPKIPublic Key Infrastructure Public Key Infrastructure 公钥基础

9、设施是一种遵循标准遵循标准的利用公钥加密技术公钥加密技术为电子商务提供一套安全基础平台的技术安全基础平台的技术和规规范。范。当前互联网上的安全认证解决方案广泛采用安全先进的PKI技术和规范。2 2：CACACertificate Authority 证书管理和认证的机构，即认证中心3 3：RARARegistration Authority 证书注册审批机构 4 4：数字证书数字证书CA用其私钥进行了数字签名的包含用户身份、公开密钥、有效期等许多相关信息的权威性的电子文件，是各实体在网上的电子身份证。5 5：公钥：公钥/私钥私钥可以认为是一种加密/解密的算法凭证，公钥可以公开获得，私钥是私密的

10、保存6 6：数字签名：数字签名基于数字证书的一种信息技术处理，类似与传统的手写签名保证信息的不可抵赖性常用PKI名词说明7：SSLSecure Socket Layer 安全套接字层(SSL)是一个工业标准协议，对应于七层网络模型中的会话层，它使得公开密钥技术在其中发挥了重要作用。8：SET是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。9 9：对称加密算法对称加密算法对称加密算法中解密和解密使用的是同一个密钥。对称密钥密码体制是从传统的简单置换、替代密码发展而来的，对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类：

11、常用的对称加密算法有：RC4、RC2、IDEA、CAST。1010：非对称加密算法非对称加密算法非对称加密算法又被称之为公开密钥算法，因为算法要求公开公私钥对中的公钥给他人。它要求密钥成对出现，一个为公开密钥，一个为私有密钥，而且不可能从公开密钥推导出私有密钥，用公开密钥加密的信息只能用私有密钥解密，反之亦然。除加密功能之外，公钥系统还可提供数字签名。公钥加密算法主要有：RSA、Fertezza、ECC(椭圆曲线)等。PKI基本技术手段标准信息：证书的版本号证书的序列号签名算法标识符发证机关信息：（略）证书有效期 开始日期 终止日期申请人信息：（略）申请人公钥发证机关签名 申请人公钥发证机关签

12、名扩充信息：证书专门用途、种类、等级等。注解：申请人公钥包括两部分：l 公钥算法l 公钥信息 机关签名包括两部分l 签名算法l 签名文件数字证书的格式（数字证书的格式（数字证书的格式（数字证书的格式（X.509v3X.509v3标准）标准）标准）标准）证书版本号证书版本号，用来指定证书采用的标准格式（如X.509）的版本号。证书序列号证书序列号，用来指定证书的唯一序列号，标识CA（认证中心）发出的所有公钥证书序列。签名算法标识签名算法标识，根据现代密码学的“算法公开，密钥保密”的基本原则，这里列出该CA（认证中心）所使用的签名算法标识名。证书有效期、起始日期、终止日期证书有效期、起始日期、终止

13、日期，用来指定证书的起始日期和终止日期。用户信息用户信息，用来指定证书用户的唯一标识名DN用户公钥信息用户公钥信息，用来指定公钥使用的算法和本证书拥有的公钥信息本身。发证机关签名发证机关签名，CA（认证中心）用自己的密钥和本证书的信息通过上述签名算法获得的数字签名信息。PKI基本技术手段加密算法加密算法加密算法加密算法 加密是指使用密码算法密码算法对数据做变换，使得只有密码持有人才能恢复数据面貌，其目的是防止信息的非授权泄露。对称加密算法对称加密算法对称密码算法是加密密钥和解密密钥相同，其优点是保密强度高、计算开销小、处理速度快，但密钥管理困难。对称密钥密码体制是从传统的简单置换、替代密码发展

14、而来的，对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类，常用的对称加密算法有：RC4、RC2、IDEA、CAST。摘要算法摘要算法也称杂凑（HASH）算法，特点是很容易把明文变成密文，但很难把密文转成明文，该密文称HASH值，或称“数据摘要”。摘要算法的核心是单向散列函数，这种函数可以将任意长度的信息转变为固定长度的散列值，而通过输出的信息求取输入的信息是办不到的。单向散列函数除了不可逆性之外，还具有无碰撞性，任意两个信息的散列值几乎不可能一样。摘要算法主要运用在保护信息的完整性上，常用的摘要算法有MD2、MD5、SHA等。PKI基本技术手段非对称加密算法非对称加密算法非对称密码算

15、法是加密密钥和解密密钥不同，它要求密钥成对出现，每个用户都有两个密钥，一个为公开密钥，一个为私有密钥，因为算法要求公开公私钥对中的公钥给他人，而且不可能从公开密钥推导出私有密钥，用公开密钥加密的信息只能用私有密钥解密，反之亦然。该算法的计算开销大、处理速度慢，但其优点是便于密钥的分发和管理，便于数字签名（用公钥加密，用私钥解密，可实现多个用户的加密信息只能由一个用户解读，这用于保密通信；若以私钥加密，公钥解密，可实现一个用户的加密信息而由多个用户解密，是用于数字签名）。公钥加密算法主要有：RSA、Fertezza、ECC(椭圆曲线)等 PKI基本技术手段身份认证身份认证身份认证身份认证保险门户

16、保险门户口令信息签名验证签名用户的私钥用户的私钥用户的公钥用户的公钥CACA认证中心认证中心用户用户门户对用户身份的识别门户对用户身份的识别 身份认证：身份认证：即确认实体为自己所声明的身份，鉴别身份的真伪。如上图，双方建立安全连接，互换证书，彼此去CA公开的目录服务器验证证书的有效性，确认后，用户将自己的用户名、密码等用自己的私钥签名送给保险门户，保险门户用获得的用户的证书所含的公钥来验证用户的数字签名，如果该签名谈过验证，则证明用户所声明的身份是确实无误的。PKI基本技术手段数据完整性和数据保密性数据完整性和数据保密性数据完整性和数据保密性数据完整性和数据保密性 数据完整性：数据完整性：就

17、是确保数据在传输或者存储的过程中没有别修改，利用摘要算法数字签名来实现。先对信息进行摘要处理，然后对摘要的值作数字签名附在原始数据后面一起发送。如果数据被篡改，验证就会失败，反之则说明数据完整。数据保密性：数据保密性：数据保密性服务目标是除了指定的实体外，其它没有经过授权的人不能读出或者看得懂该数据。这里采用的“数字信封”机制，特点是讲对称加密的快速和非对称加密的方便很好的结合了起来。发送方先产生一个对称密钥，并利用该对称密钥加密敏感数据，同时，发送方利用接受方的公钥加密此对称密钥，好像装入了一个“数字信封”里面，然后将被加密的对称密钥和被此对称密钥加密的敏感数据一起发送给接受方，接受方先用自

18、己的私钥解开数字信封得到对称密钥，然后在用对称密钥解开加密的数据，其它没有授权的人没有拆开数字信封的私钥所以看不见或者读不懂数据，这就起到了数据保密性的作用。PKI基本技术手段数字签名技术不可抵赖性数字签名技术不可抵赖性数字签名技术不可抵赖性数字签名技术不可抵赖性 数字签名技术：数字签名技术：一般A用HASH算法对一段信息进行加工产生HASH值（即摘要信息），再用数字签名规定的算法进行私钥加密形成数字签名，将该段信息原文与数字签名一起传到B，B用A的公钥对A的数字签名进行解密产生原文的HASH值，B同时用HASH算法对传送过来的原文求HASH值（即摘要信息），用两个HASH值进行比较验证数字签

19、名；另一种数字签名方法是对需保密的短信息，A用私钥对原文通过签名规定的加密算法产生数字签名信息和时间戳一起传到B，B用A的公钥解密，加上时间戳来验证数字签名。从上可以看出，每次数字签名都与该次信息结合，不能移到另一段信息上。需要注意的是，数字签名能保证数据来源的不可抵赖，保证了数据没有被未经授权的人修改过，但是不能够保证数据不被未经授权的人阅读。PKI基本技术手段SSL SSL 简要介绍简要介绍简要介绍简要介绍 SSL是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP协议来传输数据。它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET等)，这些应用层协议可以透明使地用

20、SSL协议。SSL协议可以协商一个对称加密算法和会话密钥，同时可以在通信之前认证服务器的合法性。SSL协议提供了一种“管道式安全”，它具有三个特征：l 管道是保密的，保密性是通过使用加密技术来保证的，在通过一个简单的握手过程之后获得一个共同的密钥，作为对称加密算法的密钥。l 管道是认证过的，服务器端总是需要把自己的证书递交给客户端，以便客户端对服务器进行认证。服务器可以选择是否需要客户端递交证书。l 管道是可靠的，消息的传输包含了消息完整性检查。SSL协议实际上由两个协议构成，位于下面的一层为SSL记录协议（SSL Record Protocol），其上为SSL控制协议(SSL Control

21、 Protocols)，SSL记录协议用于封装上层发送和接收的所有数据，当然包括 SSL控制协议的数据，SSL控制协议包含：SSL握手协议(SSL Handshake Protocol)SSL密钥交换协议(SSL Change Ciphers Specification)SSL报警协议(SSL Alert Protocol)PKI基本技术手段SSL SSL 简要介绍简要介绍简要介绍简要介绍 SSL的握手过程是建立SSL的主要加密和安全参数的过程，它是SSL的控制协议执行的控制功能。握手过程体现在浏览器使用HTTPS访问WEB服务器时，包括以下步骤：1 浏览器向安全WEB服务器发出一个HTTPS

22、的请求，比如：https:/。2 该WEB服务器将它的证书递交给浏览器的SSL模块。3 浏览器检查服务器递交的证书的有效性，比如有效日期和证书的签名等。如果该证书不是被一个浏览器已经信任的发证结构（CA）签发的证书，浏览器将弹出一个对话框来提示用户是否信任该WEB站点证书。如果用户选择不信任该证书，浏览器会选择自动中止该连接。4 浏览器将把从WEB站点证书里取得的站点名称和浏览器的URL 里的域名相对照，如果相符，浏览器将认为站点为真正的站点。5 浏览器将自己支持的一系列算法发送给服务器。6 如果服务器需要客户端递交证书，浏览器将把自己的证书发送给服务器，服务器检查递交的证书，并且检查该证书是

23、否为自己已经信任的发证机构（CA）发放的证书。如果不是，服务器将自动中止该次连接。7 7 服务器端选择自己和客户端共同支持的加密算法，然后发送给客户端。8浏览器产生一个会话密钥，然后把该密钥通过服务器的公钥加密后传给服务器。9服务器接收到该加过密的会话密钥后用自己的私钥解密，得到会话密钥的明文。1010 客户端和服务器使用刚才协商的会话密钥对应用层的数据进行加解密，对传输的数据进行安全保护。不同CA及产品的特点国内的国内的国内的国内的CACACACA现状现状现状现状国内CA发展过热，大小建设有70多家，有实在应用的也就家左右全国性的CA有金融、电信、海关等；地方性的有北京、上海、福建、山东等；

24、各自的应用领域不尽相同多数采用的都是国内厂商的技术，CFCA采用的是加拿大Entrust公司的技术，核心加密部分是国产化；目前来看国外的安全技术依然高出国内相当水平多数目前所发放的都是单密钥对的证书，以SSL安全协议为基础的较多 CA发展过热的原因：高估了电子商务发展的速度 ：误解了CA（认证中心）的作用：低估了CA（认证中心）运行的难度 不同CA及产品的特点国内的国内的国内的国内的CACACACA现状现状现状现状CACA的共同点：的共同点：证书基本都是采用X.509v3的标准，但证书的等的定义格式没有标准：普通证书和基于SSL安全协议的使用为多：基本上都采用的CA/RA结构，证书的审核发放都

25、是通过RA来完成的：目前所有的CA互相都不能够实现交叉认证，有技术和市场的两种因素：普遍规模较小，服务不够完善一些一些CACA的特点：的特点：海关CA：相对封闭的系统，开放性灵活性不足，需要专用的IC卡读卡器等，主要为海关各应用系统服务，严格意义应该说不是个独立的第三方CA电信CA：建设的非常早，原来除了给电信提供服务还给证券等提供服务，现在主要是系统内部应用，其采用的是国内的技术，提供服务的方式不够灵活上海CA：相对成熟的CA，国内的技术，可以满足证券、一般企业应用、网上税务申报等安全性要求不高的领域金融CA：权威的第三方CA，国外的技术，有高级和普通证书两类产品，支持的应用范围广泛 CFC

26、A的特点：第三方的权威的CA，立足于银行，为社会各界提供PKI服务：技术水平领先，国际主流技术，核心加密模块本地化：灵活多样的证书和应用支持普通证书/高级证书等适应不同的应用环境高级证书的安全代理Direct应用完全基于浏览器和SSL协议基础上改进的Truepass应用方便用户开放集成的Toolkits工具提供各种环境的证书应用API 合作伙伴众多完善的PKI服务支持：较好的解决了电子商务中的安全问题和支付问题：良好的背景和用户群CFCACFCACFCACFCA的特点的特点的特点的特点CFCA典型应用案例网上银行应用网上银行应用网上银行应用网上银行应用CFCA典型应用案例网上银行应用网上银行应

27、用网上银行应用网上银行应用 网上银行业务是指商业银行将其传统的柜台业务拓展到INTERNET上，用户访问其Web Server进行在线的实现查询、转帐、汇款、支付等业务。用户对其发出的指令用其签名私钥进行签名，银行校验签名，并且保存此次签名，从而使银行用户所发出的指令具有不可抵赖性，签名及校验的过程保证了用户指令的真实性和完整性；用户发出的交易内容用指定银行的公钥进行加密，银行用银行私钥才能解秘，此环节保证了银行指令信息的私密性。这样在整个交易的过程中确保了网上信息安全。网银的证书应用也分证书管理和证书应用两部分 RA一般设立在银行的总部，也是多层的结构，其证书管理使用操作员证书进行证书相关的

28、管理操作。证书应用是和其网银应用结合在一起，将安全部分嵌入到网银中，这中间包括互相交换证书、验证身份、建立安全通道、加密、数字签名等等应用操作 在网上银行的证书应用模式当中，大同小异，真正的差别还是在于其业务的应用CFCA典型应用案例网上银行应用网上银行应用网上银行应用网上银行应用n客户端和银行服务器端各自自动进行黑名单（CRL）查询，减少交易风险。n双重密钥（加密密钥、签名密钥），支持数字签名的不可否认性n高强度加密机制（对称128位，非对称1024位），数据传输保密性强。n具有完善的密钥和证书生命周期管理，客户端证书到期前，可自动进行更新，不需人工办理任何手续，极大的方便了用户。n客户端、

29、服务器端操作简便，透明性强。CFCA典型应用案例网上证券交易网上证券交易网上证券交易网上证券交易CFCA典型应用案例网上证券交易网上证券交易网上证券交易网上证券交易 网上证券交易可分为网上炒股和网上银证转帐，网上炒股是股民和证券公司之间发生的两方交易。网上银证转帐是指股民通过INTERNET将资金在银行股民帐户和证券公司帐户之间划入或划出，是涉及到股民、证券公司、银行的三方交易。股民在使用证书进行网上交易时，对其网上交易指令也要进行加密和签名，以确保交易数据的有效性、机密性、完整性和不可抵赖性。网上证券交易对交易的实时性和方便性要求比较高，应用CFCA证书可以较好的解决安全和效率之间的矛盾。实

30、际的做法是在证券公司总部设立RA,将证书的申请、使用、管理等功能集成到客户端软件中去。客户申请开通网上交易并下载使用证书后，在一定的时间去签署一份书面的协议即可正常使用。CFCA典型应用案例税务网上申报缴税税务网上申报缴税税务网上申报缴税税务网上申报缴税CFCA典型应用案例税务网上申报缴税税务网上申报缴税税务网上申报缴税税务网上申报缴税证书签发中心CA与国税系统的网络连接采用DDN专线的方式证书发放管理由操作员(LRA)来进行，只要具有操作员证书及可以上网的条件就可以安全的连接到RA系统大致的制证流程如下操作员安全登录到RA系统输入需要制作证书的纳税人识别号RA系统将相关的请求发送到国税发行平

31、台查询并返回相关信息CA系统接收制证请求并签发证书操作员获得证书存放到软盘中封装并准备分发 CFCA典型应用案例企业集团内部电子结算平台企业集团内部电子结算平台企业集团内部电子结算平台企业集团内部电子结算平台CFCA典型应用案例企业集团内部电子结算平台企业集团内部电子结算平台企业集团内部电子结算平台企业集团内部电子结算平台认证中心子系统：实现数字证书的发放与管理证书管理系统（RA）：负责定制认证中心的全部或部分安全策略、证书管理流程等关键部分，是最终用户、管理员和CA系统交流的纽带。证书应用平台（NetSafe/NetSign）：实现通信中的身份认证、加密和数字签名 CFCA提供一整套基于PK

32、I体系的应用安全解决方案，使用户能够使用硬件存储方式的证书（USB KEY或IC卡等）实现身份认证、访问控制、信息通信的保密性、信息的完整性和抗抵赖性，并支持常用的浏览器，B/S架构，与业务无缝结合，操作简单、透明。身份认证、访问控制、信息通信的保密性通过CFCA的SSL安全代理通道产品NetSafe Server来实现，而信息的完整性和抗抵赖性则通过CFCA的数字签名产品NetSign来实现的。CPS、电子签名法、争议处理电子签名法、争议处理证书运作策略证书运作策略证书运作策略证书运作策略-CPSCPSCPSCPS为了规范金融认证中心的管理，保障认证体系的可靠，维护金融认证的权威性，有效地防

33、范金融安全风险，金融认证策略管理委员会（FPMC）制订了证书策略（CP），对金融认证体系，管理要求，运行要求和系统与设施要求等内容作出了相关的规定。金融认证策略管理委员会（FPMC）制订的证书策略（CP）不对注册审批机构的职能与运作模式、交叉认证策略、证书的格式与证书撤销列表的格式作具体规定，具体由中国金融认证中心（CFCA）制定的CPS（Certificate Practice Statement，即证书实施说明）规定。第三方认证机构（CFCA）保存有证书用户的状态和证书废止列表等信息可以供用户查询。交易双方在交易之前需要验证各自身份，通过查CFCA的CRL和验证用户使用自己证书和私钥的密码

34、的方式来证明用户的身份和资格。关于“CACA对对证证书书主主体体的的鉴鉴证证和和操操作作策策略略、安安全全控控制制手手段段”等内容参见CPS中3.2证书管理、4.1-4.3证书服务业务规则、6.1-6.7安全策略；关于“证证书书主主体体的的义义务务”等内容参见CPS中2.2证书服务对象的权利和义务、10.1.1.3证书用户的责任；关于“CACA中心的义务中心的义务”等内容参见CPS中2.1金融CA系统内部的权利和义务；CPS、电子签名法、争议处理电子签名法、争议处理依据CFCA的CPS即证书运作规范参考相关的法律法规CPS大致包括以下内容：金融认证中心概况 金融认证中心证书管理策略 金融认证服

35、务相关业务规则 金融认证中心密钥安全管理策略 安全策略 CPS的管理 法律责任及争议的解决 纠纷处理机制纠纷处理机制纠纷处理机制纠纷处理机制参考材料：电子签名法（征求意见稿）w数据电文及电子签名的内容w第三方认证的要求w电子商务中的消费者权益保护 w网络服务提供者的特别规定 w法律责任 w附 则这其中特别规定了第三方CA应具有的合法资格和各方的责任，以及电子签名的法律效力CPS、电子签名法、争议处理电子签名法、争议处理 证书使用各方和CFCA的责任及义务，在CFCA发布的CPS中已有明确的定义，CPS的描述，视为CFCA对证书运作规则（包含电子签名合法性）的申明。视为CFCA对证书运作规则（包

36、签名合法性）的申明。发生否认性纠纷时，证书应用单位向客户发生否认性纠纷时，证书应用单位向客户和仲裁及执法部门出示的证据应包括：和仲裁及执法部门出示的证据应包括：1 1、客户对此次交易进行确认的数字签名、交易时间戳。2 2、该客户的数字证书。3 3、应用单位对该客户的数字证书申请和审核的原始材料。4 4、如果客户的证书已被注销，应用单位提供对该张客户证书注销的原始材料（含注销时间）。5 5、仲裁及执法部门要求出示的其它证据 CACA应提供的资料应提供的资料:1 1、签发该张客户证书的CA证书。2 2、该张证书在交易发生时，在或不在CFCA 发布的证书废止列表内的证明。3 3、为交易提供时间戳服务

37、的时间服务器证书CFCACFCA应承担的技术义务应承担的技术义务:1 1、协助使用单位对证书、数字签名、时间戳的真实性、有效性进行技术确认2 2、为仲裁及执法部门提供第1点所述的技术义务3 3、为仲裁及执法部门提供其所需且应由CFCA承担的其它技术义务。纠纷处理机制纠纷处理机制纠纷处理机制纠纷处理机制CPS、电子签名法、争议处理电子签名法、争议处理每一张数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认可的根认证中心（根CA）。各级CA认证机构的存在组成了整个电子商务的信任链。CA的权威性、公正性和可信赖性保证用户证书的合法性CFCA具有权威性、公正性和可信赖性

38、电子签名法的通过将使CFCA的权威性将得到进一步的法律保障 CACACACA的合法性及认证权利的合法性及认证权利的合法性及认证权利的合法性及认证权利CPS、电子签名法、争议处理电子签名法、争议处理证书本身的唯一性 证书和用户应用系统ID绑定 查黑名单消除怀疑认证建立的过程防止了认证错误私钥保护认证的唯一性及防止错误认证的唯一性及防止错误认证的唯一性及防止错误认证的唯一性及防止错误CPS、电子签名法、争议处理电子签名法、争议处理 证书使用各方的权利义务关系 围绕证书的使用，本项目中主要涉及三方当事人：CFCA、应用提供者及最终用户。其中，CFCA是一个权威、可信的第三方，负责提供证书服务。对于应

39、用提供者有两个角色，一是作为CFCA证书的申请审批机构，即RA，主要负责核实最终用户的身份，并向CFCA提交证书申请；二是作为证书用户，申请服务器证书保证应用提供者网站安全。对于最终用户，是一般证书用户，要保证提交真实的证书申请信息，在拿到证书后应保护好证书口令并通过证书进行网上交易 CFCA和应用提供者RA，除了通过有关RA的申请、建设、验收等规范来保证证书发放的安全性外，双方的权利义务关系是在CPS基础上通过签定CFCA RA协议（见7.3）来确定的。CFCA和证书最终用户之间也有一系列申请、使用、撤消、恢复等标准流程，双方的权利义务关系也是在遵循CPS基础上通过CFCA数字证书责任书（7

40、5）来规定的。如果三方之间就证书使用出现争议，解决办法参见5.3.6争议解决及赔偿。各方的权利义务各方的权利义务各方的权利义务各方的权利义务CFCA相关附件证书责任书证书责任书证书责任书证书责任书数字证书责任书数字证书责任书银联金融认证中心有限公司（以下简称CFCA）作为权威的第三方数字证书认证机构，通过设在CFCA的数字证书审批受理点为用户发放数字证书。数字证书是一个包含用户身份信息以及公开密钥等相关信息的电子文件，是各实体在网上进行信息交流及商务活动的电子身份证。CFCA通过对数字证书进行数字签名保证其正确性与唯一性，并通过基于数字证书的密码机制为各种网上交易提供信息安全保障。使用CFC

41、A数字证书的用户应遵守并享有下述义务和权利：一、用户在申请数字证书时请遵照CFCA的规程办理手续。用户一旦接受数字证书，即表明用户同意本责任书的所有规定。二、用户应遵循诚实、信用原则，提供真实的资料。因故意或过失提供不真实资料，即用户未能公开实质性的事实，导致CFCA签发的数字证书不实，由此造成的损失CFCA不承担相关责任。三、在经过CFCA的证书受理人员审核、录入后，用户即可获得供数字证书下载用的密码信封。用户应妥善保管密码信封，亲自打开并用其中的密码从CFCA下载数字证书。四、用户获得的供数字证书下载用的密码信封中，密码的有效期为14天。如果在规定时间内没有下载数字证书，用户需要到CFCA

42、重新办理。五、申请数字证书的用户须使用经合法途径获得的应用软件。否则因此引起的后果，CFCA不承担相关责任。六、CFCA发放的数字证书只能用于授权的和合法的目的，若用户的数字证书用于其它用途，CFCA不承担相关的任何责任。CFCA相关附件证书责任书证书责任书证书责任书证书责任书 七、用户应当妥善保管CFCA中心所签发的数字证书和密码，不得泄漏或交付他人。如因故意或过失导致他人知道、盗用、冒用数字证书和密码时，CFCA不承担相关责任。八、如发生数字证书和密码泄漏或丢失，或者用户不希望继续使用数字证书时，用户应当立即到CFCA申请暂停使用或废止该数字证书，废除手续遵循CFCA的规定。CFCA收到用

43、户的废止申请后，在24小时之内废止用户数字证书。在用户提出废止申请之后的24小时内，该数字证书造成的损失，CFCA不承担责任。九、随技术的进步，CFCA有权要求用户更换数字证书。用户在收到数字证书更换通知时，应在规定的期限内到CFCA更换数字证书。若用户逾期没有更换数字证书，所引起的后果CFCA不承担责任。十、对于使用普通数字证书的用户，数字证书的有效期为二年，自用户下载之日起计算。用户必须在证书到期之前及时向CFCA提出数字证书更新请求。对于使用高级数字证书的用户，数字证书自动进行更新，用户感觉不到有效期的限制，不存在用户更新的问题。CFCA对过期数字证书不负任何责任。十一、使用CFCA数字

44、证书的用户有按期缴纳数字证书服务费的义务。十二、如果由于不可抗力因素导致CFCA暂停或终止全部或部分数字证书服务，CFCA不承担赔偿责任。十三、CFCA对于下列情况之一，将主动废止所签发的数字证书：1.申请数字证书时，提供不真实材料，一经查实；2.没有按照规定缴纳数字证书费用；3.违反国家法律、其他规章制度或本责任书应承担的义务；4.用户要求作废数字证书；5.用户消亡；CFCA相关附件证书责任书证书责任书证书责任书证书责任书 6.数字证书中的相关信息变更；7.数字证书的用途变更；8.CFCA的私钥泄露；9.其他情况。这些情况可以是因法律或政策的要求CFCA采取的作废措施。十四、使用CFCA颁发

45、的数字证书引起争议时的解决：1、争议解决的通知：当争议发生时，在采取任何解决途径之前，用户应首先通知CFCA。2、争议解决的方式：如果争议在最初通知10个工作日内未被解决，CFCA将召集由3名安全认证专家组成的专家小组。该小组以协助解决争议为目的，收集相关事实。专家小组应在接到争议后21个工作日内（除非当事人同意将此段时限延长至一特定时段）完成建议并向当事人传达。专家小组的建议对当事人无约束力。3、正式争议解决：在专家小组提出建议后，或未能在时限内提出建议后，当事人有权将争议提交北京仲裁委员会仲裁。十五、本协议如有修改而涉及用户权利、义务时，CFCA会以电子邮件/网站公告/客户端公告的形式通知用户。用户如果因此需要废除数字证书的，应当于收到公告之日起十四日之内，向CFCA提出申请。如果逾期没有提出，则视为同意依本协议书修订所引起的变更的权利和义务。A&Q谢谢大家！谢谢大家！谢谢大家！谢谢大家！