《认证中心》PPT课件.ppt

网上支付结算网上支付结算10 10 认证中心认证中心1.1.数字证书数字证书2.2.认证中心（认证中心（CACA）3.3.中国金融认证中心（中国金融认证中心（CFCACFCA）4.4.证书格式标准证书格式标准5.5.认证管理及相关法规认证管理及相关法规在传统商务与电子商务中，均存在对贸易伙在传统商务与电子商务中，均存在对贸易伙伴身份的确定与认证问题。只有清楚贸易伙伴身份的确定与认证问题。只有清楚贸易伙伴的真实身份，商务才有进一步开展的基础。伴的真实身份，商务才有进一步开展的基础。特别是在电子商务中，由于网络上是非面对特别是在电子商务中，由于网络上是非面对面的交易，那么验证贸易对方的身份就显得面的交易，那么验证贸易对方的身份就显得十分必要。比如在网上支付中对收款人或付十分必要。比如在网上支付中对收款人或付款人身份的认证，若客户把钱付给了一个假款人身份的认证，若客户把钱付给了一个假冒的工商银行，自己还不知道被骗了，就会冒的工商银行，自己还不知道被骗了，就会带来损失。如何在带来损失。如何在InternetInternet上识别对方身份，上识别对方身份，是电子商务交易中重要的一环，更是网上支是电子商务交易中重要的一环，更是网上支付安全开展的首要问题。付安全开展的首要问题。网络诈骗资料网上订票 谨防钓鱼网站.mp4资料网络购物小心“钓鱼”网站.f4v资料钓鱼网站视频.mp41.1.数字证书数字证书1.1.1.1.数字证书的定义与工作原理数字证书的定义与工作原理传统的个人身份证明一般通过检验传统的个人身份证明一般通过检验“物理物品物理物品”的有的有效性来确认持有者的身份。这类效性来确认持有者的身份。这类“物理物品物理物品”可以是可以是身份证、护照、工作证、信用卡、驾驶执照、徽章等，身份证、护照、工作证、信用卡、驾驶执照、徽章等，其上往往含有与个人真实身份相关的易于识别的照片、其上往往含有与个人真实身份相关的易于识别的照片、指纹、视网膜影像等，并且具有权威机构（如公安机指纹、视网膜影像等，并且具有权威机构（如公安机关）等发证机构的盖章。对于企业的身份，如在我国，关）等发证机构的盖章。对于企业的身份，如在我国，则有工商局颁发的营业证书及印章等，只有通过工商则有工商局颁发的营业证书及印章等，只有通过工商局认定的企业才是合法经营者。局认定的企业才是合法经营者。在电子商务中，网络业务是面向全球的，要求验证的对象数在电子商务中，网络业务是面向全球的，要求验证的对象数量以及区域范围也非常之大，因而增加了商务参与者身份验量以及区域范围也非常之大，因而增加了商务参与者身份验证的复杂性和实现的困难性。比如，在网络通信双方使用公证的复杂性和实现的困难性。比如，在网络通信双方使用公开密钥加密之前，须先确认得到的公开密钥确实是对方的，开密钥加密之前，须先确认得到的公开密钥确实是对方的，也就是有一个身份确认的问题。最好的办法是双方面对面交也就是有一个身份确认的问题。最好的办法是双方面对面交换公开密钥，但这在实际中是不可行的，就像在前面的例子换公开密钥，但这在实际中是不可行的，就像在前面的例子中，一个商家不可能和几百万个消费者都面对面地交换公开中，一个商家不可能和几百万个消费者都面对面地交换公开密钥。密钥。为能确认双方的身份，必须由网络上双方都信任的第三方机为能确认双方的身份，必须由网络上双方都信任的第三方机构（这个机构就是后面所述的数字证书认证中心构（这个机构就是后面所述的数字证书认证中心CACA）发行的）发行的一个特殊证书来认证。在电子商务中，通常是把传统的身份一个特殊证书来认证。在电子商务中，通常是把传统的身份证书改成数字信息形式，由双方都信任的第三方机构发行和证书改成数字信息形式，由双方都信任的第三方机构发行和管理，以方便在网络社会上的传递与使用，进行身份认证，管理，以方便在网络社会上的传递与使用，进行身份认证，这就是数字证书。这就是数字证书。所谓数字证书，英文为所谓数字证书，英文为Digital CertificationDigital Certification，是，是指利用电子信息技术手段，确认、鉴定、认证指利用电子信息技术手段，确认、鉴定、认证InternetInternet上信息交流参与者的身份或服务器的身份，上信息交流参与者的身份或服务器的身份，是一个担保个人、计算机系统或者组织（企业或政是一个担保个人、计算机系统或者组织（企业或政府部门）的身份，并且发布加密算法类别、公开密府部门）的身份，并且发布加密算法类别、公开密钥及其所有权的电子文档。钥及其所有权的电子文档。可以说，数字证书是模拟传统证书（如个人身份证、可以说，数字证书是模拟传统证书（如个人身份证、企业营业证书等）的特殊数字信息文档。客户的数企业营业证书等）的特殊数字信息文档。客户的数字证书可以证实该客户拥有一个特别的公钥，服务字证书可以证实该客户拥有一个特别的公钥，服务器证书则证实某个特定的公钥属于这个服务器。器证书则证实某个特定的公钥属于这个服务器。数字证书的工作原理，就是信息接收方在网上收到发送方发数字证书的工作原理，就是信息接收方在网上收到发送方发来的业务信息的同时，还收到发送方的数字证书，这时通过来的业务信息的同时，还收到发送方的数字证书，这时通过对其数字证书的验证，可以确认发送方的真实身份。在发送对其数字证书的验证，可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时，双方得到对方的公开密钥。方与接收方交换数字证书的同时，双方得到对方的公开密钥。由于公开密钥是包含在数字证书中的，且借助证书上数字摘由于公开密钥是包含在数字证书中的，且借助证书上数字摘要（缩略图）的验证，确信收到的公开密钥肯定是对方的。要（缩略图）的验证，确信收到的公开密钥肯定是对方的。通过这个公开密钥，双方就可完成数据传送中的加通过这个公开密钥，双方就可完成数据传送中的加/解密工解密工作。作。数字证书由发证机构数字证书由发证机构-数字证书认证中心（数字证书认证中心（CACA）发行。该机）发行。该机构负责在发行数字证书之前，证实个人或组织的身份和密钥构负责在发行数字证书之前，证实个人或组织的身份和密钥所有权。一般情况下，证书要由社会上公认的公正的第三方所有权。一般情况下，证书要由社会上公认的公正的第三方的可靠组织发行。如果它签发的证书造成不恰当的信任关系，的可靠组织发行。如果它签发的证书造成不恰当的信任关系，该组织就要承担责任。该组织就要承担责任。在网上支付结算中，必须认证结算各方的真实身份以及行为，在网上支付结算中，必须认证结算各方的真实身份以及行为，否则会直接带来经济上的损失，因此数字证书在其中起着关否则会直接带来经济上的损失，因此数字证书在其中起着关键的作用。键的作用。1.2.1.2.数字证书的内容数字证书的内容数字证书的具体内容与格式遵循国际流行的标准，数字证书的具体内容与格式遵循国际流行的标准，其内容主要由基本数据信息和发行数据证书的其内容主要由基本数据信息和发行数据证书的CACA签签名与签名算法两部分组成。名与签名算法两部分组成。（1 1）数字证书的基本数据信息（）数字证书的基本数据信息（8 8项）项）版本信息（版本信息（VersionVersion）。用来区分）。用来区分X.509X.509证书格式证书格式的版本。的版本。证书序列号（证书序列号（Serial NumberSerial Number）。每个由）。每个由CACA发行的发行的数字证书必须有一个惟一的序列号，用于识别该证数字证书必须有一个惟一的序列号，用于识别该证书。书。CACA使用的签名算法（使用的签名算法（Algorithm IdentifierAlgorithm Identifier）。）。CACA的数字摘要与公开密钥加密体制算法。的数字摘要与公开密钥加密体制算法。证书颁发者信息（证书颁发者信息（Issuer Unique IdentifierIssuer Unique Identifier）。）。发此证书者的发此证书者的CACA信息。信息。有效使用期限（有效使用期限（Period of ValidityPeriod of Validity）。本证书）。本证书的有效期，包括起始、结束日期。的有效期，包括起始、结束日期。证书主题或使用者（证书主题或使用者（SubjectSubject）。证书与公钥的使）。证书与公钥的使用者的相关信息。用者的相关信息。公钥信息（公钥信息（Public Key InformationPublic Key Information）。公开密）。公开密钥加密体制的算法名称、公钥的字符串表示（只适钥加密体制的算法名称、公钥的字符串表示（只适用于用于RSARSA加密体制）。加密体制）。其他额外的特别扩展信息。如增强型密钥用法信其他额外的特别扩展信息。如增强型密钥用法信息、息、CRLCRL分发点信息等。分发点信息等。（2 2）发行数字证书的）发行数字证书的CACA签名与签名算法签名与签名算法数字证书的内容还包括发行证书的数字证书的内容还包括发行证书的CACA机构的机构的数字签名和用来生成数字签名的签名算法，数字签名和用来生成数字签名的签名算法，即缩略图算法部分、缩略图。应用这个缩略即缩略图算法部分、缩略图。应用这个缩略图算法与缩略图数据，任何人收到这份数字图算法与缩略图数据，任何人收到这份数字证书后都能使用签名算法，验证数字证书是证书后都能使用签名算法，验证数字证书是否是由该否是由该CACA的签名密钥签署的，以保证证书的签名密钥签署的，以保证证书的真实性与内容的真实性。的真实性与内容的真实性。1.3.1.3.与网上支付相关的数字证书与网上支付相关的数字证书数字证书颁发机构（如认证中心数字证书颁发机构（如认证中心CACA）在检验确认申）在检验确认申请用户的身份后，向用户（政府部门、企业、个人请用户的身份后，向用户（政府部门、企业、个人等）颁发数字证书，数字证书中包括上述用户基本等）颁发数字证书，数字证书中包括上述用户基本数据信息，以及用户的公开密钥等重要信息，并由数据信息，以及用户的公开密钥等重要信息，并由CACA进行数字签名，以保证是真实的。进行数字签名，以保证是真实的。目前网络上各种业务活动很多，数字证书几乎应用目前网络上各种业务活动很多，数字证书几乎应用在所有的网上业务领域。这与网络业务与生活越来在所有的网上业务领域。这与网络业务与生活越来越普及、越来越被人们所接受相关，而数字证书是越普及、越来越被人们所接受相关，而数字证书是保证这些网络业务可以安全可靠进行的重要手段。保证这些网络业务可以安全可靠进行的重要手段。例如，安全电子交易协议、电子邮件安全协议都是例如，安全电子交易协议、电子邮件安全协议都是以数字证书为技术基础的。以数字证书为技术基础的。在电子商务网上支付结算中，数字证书在保证网上在电子商务网上支付结算中，数字证书在保证网上支付安全中是不可缺少和不可替代的。像信用卡、支付安全中是不可缺少和不可替代的。像信用卡、电子支票、网络银行等这些网上支付方式的应用安电子支票、网络银行等这些网上支付方式的应用安全都需要数字证书的参与。下面简单介绍四种数字全都需要数字证书的参与。下面简单介绍四种数字证书。证书。（1 1）个人证书（客户证书）个人证书（客户证书）个人证书即客户证书，它主要证实客户（如一个使个人证书即客户证书，它主要证实客户（如一个使用用IEIE浏览器进行支付的客户）的身份和密钥所有权。浏览器进行支付的客户）的身份和密钥所有权。在网上支付时，服务器可能在建立在网上支付时，服务器可能在建立SSLSSL连接时，要求连接时，要求客户证书证实客户身份。为了取得客户证书，用户客户证书证实客户身份。为了取得客户证书，用户可向某个可向某个CACA中心申请，中心申请，CACA经过审查后决定是否向客经过审查后决定是否向客户颁发客户证书。例如，工商银行直接向自己的网户颁发客户证书。例如，工商银行直接向自己的网络银行客户颁发客户证书，其证书中包含客户的身络银行客户颁发客户证书，其证书中包含客户的身份信息、公开密钥及工商银行的签名，并可以存储份信息、公开密钥及工商银行的签名，并可以存储在软盘、硬盘、在软盘、硬盘、ICIC卡、卡、USBUSB盘中。盘中。（2 2）服务器证书）服务器证书服务器证书即网络站点证书，它主要证实银行或商服务器证书即网络站点证书，它主要证实银行或商家业务服务器的身份和公开密钥。例如，网络银行家业务服务器的身份和公开密钥。例如，网络银行服务器在与客户建立服务器在与客户建立SSLSSL连接时，服务器就将它的证连接时，服务器就将它的证书传送给客户。当客户收到证书后，客户检查证书书传送给客户。当客户收到证书后，客户检查证书是由哪家是由哪家CACA中心发行的，这家中心发行的，这家CACA是否被客户所信任。是否被客户所信任。如果客户不信任这家如果客户不信任这家CACA，浏览器提示用户接受或拒，浏览器提示用户接受或拒绝这个证书。绝这个证书。在在IEIE浏览器里，客户可以设置总是接受某个站点的浏览器里，客户可以设置总是接受某个站点的证书，如你的开户网络银行的证书。这样，该站点证书，如你的开户网络银行的证书。这样，该站点的证书被存放在客户计算机的数据库里，客户可以的证书被存放在客户计算机的数据库里，客户可以随时查看这些证书。随时查看这些证书。（3 3）支付网关证书）支付网关证书如果在网上支付时利用第三方的支付网关，如果在网上支付时利用第三方的支付网关，那么这个第三方要为支付网关申请一个数字那么这个第三方要为支付网关申请一个数字证书，以证实自己的身份。如在证书，以证实自己的身份。如在SETSET协议机制协议机制中，必须有支付网关的证书。中，必须有支付网关的证书。（4 4）认证中心）认证中心CACA证书证书发行数字证书的认证中心发行数字证书的认证中心CACA是安全网上支付是安全网上支付的核心，如果它不可靠，那问题就严重了。的核心，如果它不可靠，那问题就严重了。所以，认证中心所以，认证中心CACA一样需要拥有自己的数字一样需要拥有自己的数字证书，证实其证书，证实其CACA的真实身份。在的真实身份。在IEIE浏览器里，浏览器里，用户可以看到浏览器所接受的用户可以看到浏览器所接受的CACA证书，也可证书，也可选择是否信任这些证书。在服务器端，管理选择是否信任这些证书。在服务器端，管理员可以看到服务器所接受的员可以看到服务器所接受的CACA证书，也可选证书，也可选择是否信任这些证书。择是否信任这些证书。1.4.1.4.数字证书的使用与有效性数字证书的使用与有效性严格来讲，只有下列三个条件都为真实时，严格来讲，只有下列三个条件都为真实时，数字证书才是有效的。数字证书才是有效的。（1 1）证书没有过期。所有的证书都有期限，）证书没有过期。所有的证书都有期限，可用检查证书的期限来决定证书是否有效。可用检查证书的期限来决定证书是否有效。（2 2）密钥没有被修改。如果密钥被修改，就）密钥没有被修改。如果密钥被修改，就不应该继续使用，密钥对应的证书应被视为不应该继续使用，密钥对应的证书应被视为无效。这可通过证书上的缩略图及其算法检无效。这可通过证书上的缩略图及其算法检验。验。（3 3）有可信任的相应的颁发机构）有可信任的相应的颁发机构CACA及时管理及时管理与回收无效证书，并且发行无效证书清单。与回收无效证书，并且发行无效证书清单。有效的数字证书在使用前都要有认证的过程，即当有效的数字证书在使用前都要有认证的过程，即当颁发的数字证书传送给某人或某站点时，数字证书颁发的数字证书传送给某人或某站点时，数字证书颁发机构将上面的相关内容信息用自己的私人密钥颁发机构将上面的相关内容信息用自己的私人密钥加密，以使接收者能用证书里的公钥证实颁发机构加密，以使接收者能用证书里的公钥证实颁发机构的真实身份，判断证书的有效性。的真实身份，判断证书的有效性。数字证书通常需要写入一定的存储介质内，确保用数字证书通常需要写入一定的存储介质内，确保用户信息不被非法读取及篡改，如安全性较强的户信息不被非法读取及篡改，如安全性较强的ICIC卡卡等。现在商业银行的网络银行服务，如招商银行的等。现在商业银行的网络银行服务，如招商银行的企业网络银行以及个人网络银行专业版的数字证书企业网络银行以及个人网络银行专业版的数字证书就采用了就采用了ICIC卡方式，它需要配置专门的读卡设备，卡方式，它需要配置专门的读卡设备，并且另设密码控制，因而是相当安全的。并且另设密码控制，因而是相当安全的。目前，由于数字证书采用高精尖的加密技术，因此目前，由于数字证书采用高精尖的加密技术，因此非常安全。截至非常安全。截至20032003年，国内外银行、网络银行年，国内外银行、网络银行（包括电子商务），还没有一例由于数字证书被攻（包括电子商务），还没有一例由于数字证书被攻破而让不法分子得逞的案例发生。破而让不法分子得逞的案例发生。的定义的定义在传统商务中，用来认证商家或客户身份的认证证在传统商务中，用来认证商家或客户身份的认证证书大多是被认为公正的第三方机构（如政府部门）书大多是被认为公正的第三方机构（如政府部门）颁发的。为了保证传统商务中每个商务实体的合法颁发的。为了保证传统商务中每个商务实体的合法性，做到有证可循，中国国家工商行政管理总局作性，做到有证可循，中国国家工商行政管理总局作为一个政府组织部门，是商务的第三方并且是公正为一个政府组织部门，是商务的第三方并且是公正的，它发行并且管理着营业证书。而作为电子商务的，它发行并且管理着营业证书。而作为电子商务平台的平台的InternetInternet上是没有上是没有“政府政府”的，那该由谁来的，那该由谁来管理并认证、规范管理并认证、规范InternetInternet上的电子商务参与者的上的电子商务参与者的行为呢？这就需要在网上建立一个类似中国国家工行为呢？这就需要在网上建立一个类似中国国家工商行政管理总局职能的第三方公正的认证中心机构，商行政管理总局职能的第三方公正的认证中心机构，负责颁发数字证书和检验网上商家身份真实的工作。负责颁发数字证书和检验网上商家身份真实的工作。这个就是网上认证中心。这个就是网上认证中心。2.2.认证中心（认证中心（CACA）所谓认证中心，也称数字证书认证中心，英文为所谓认证中心，也称数字证书认证中心，英文为Certification AuthorityCertification Authority，简称，简称CACA，是基于，是基于InternetInternet平台建立的一个公正的、有权威性的、独平台建立的一个公正的、有权威性的、独立的（第三方的）和广受信赖的组织机构，主要负立的（第三方的）和广受信赖的组织机构，主要负责数字证书的发行、管理以及认证服务，以保证网责数字证书的发行、管理以及认证服务，以保证网上业务安全可靠地进行。上业务安全可靠地进行。一个完整安全的电子商务活动，如在网上支付结算一个完整安全的电子商务活动，如在网上支付结算中，必须要有中，必须要有CACA的参与，这在网上支付体系构成中的参与，这在网上支付体系构成中有所阐述。为了促进网上支付结算的发展，在社会有所阐述。为了促进网上支付结算的发展，在社会上必须建立具有绝对权威性的认证中心上必须建立具有绝对权威性的认证中心CACA，由电子，由电子商务的参与各方（客户、商家、银行、政府机构等）商务的参与各方（客户、商家、银行、政府机构等）实体上网注册，加入已有的认证中心，如此，认证实体上网注册，加入已有的认证中心，如此，认证中心就能确保所有网上支付与结算过程以及各方的中心就能确保所有网上支付与结算过程以及各方的安全性，从而开展安全的网上支付。安全性，从而开展安全的网上支付。2.2.2.2.的技术基础的技术基础CACA的角色是重要的，但并不是任何一个组织的角色是重要的，但并不是任何一个组织想建立就能建立起来的。想建立就能建立起来的。除了上述的第三方要求并且保持公正、具备除了上述的第三方要求并且保持公正、具备良好信誉之外，关键是良好信誉之外，关键是CACA的建立与运作需要的建立与运作需要强大的技术支撑，因为它涉及许多先进的密强大的技术支撑，因为它涉及许多先进的密码技术。码技术。比如，比如，CACA提供的公开密钥与数字摘要机制等提供的公开密钥与数字摘要机制等必须是先进的，密钥的位数必须达到一定长必须是先进的，密钥的位数必须达到一定长度，以保证度，以保证CACA及其发行的证书的安全可靠，及其发行的证书的安全可靠，并且在服务质量与认证速度、管理机制上均并且在服务质量与认证速度、管理机制上均需达到很高的水平。需达到很高的水平。CACA的技术基础是的技术基础是PKIPKI体系。体系。PKIPKI就是利用公钥就是利用公钥理论和技术建立的提供网络安全服务的基础理论和技术建立的提供网络安全服务的基础设施。设施。PKIPKI技术是信息安全技术的核心，也是技术是信息安全技术的核心，也是电子商务交易与网上支付的关键和基础技术。电子商务交易与网上支付的关键和基础技术。PKIPKI的基础技术包括加密、数字签名、数字摘的基础技术包括加密、数字签名、数字摘要、数字信封、双重数字签名等。一个完整要、数字信封、双重数字签名等。一个完整的的PKIPKI系统的基本构成包括权威的认证中心系统的基本构成包括权威的认证中心CACA、数字证书库、密钥备份及恢复系统、证书、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（作废系统、应用接口（APIAPI）等。）等。其中，其中，CACA作为数字证书的签发与管理机构，公开密作为数字证书的签发与管理机构，公开密钥的承载者，是钥的承载者，是PKIPKI的核心部分。构建密码服务系统的核心部分。构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一的核心内容是如何实现密钥管理。公钥体制涉及一对密钥，私人密钥只由用户独立掌握，无需在网上对密钥，私人密钥只由用户独立掌握，无需在网上传输；而公开密钥则是公开的，需要在网上传送。传输；而公开密钥则是公开的，需要在网上传送。故公钥体制的密钥管理主要是针对公钥的管理问题，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书这种密钥管理媒介。目前较好的解决方案是数字证书这种密钥管理媒介。PKIPKI的详细内容既可在的详细内容既可在“电子商务安全电子商务安全”相关教材中相关教材中学习，也可在相关密码技术的专业书籍中查看，这学习，也可在相关密码技术的专业书籍中查看，这是开发一个安全网上支付体系的基础。是开发一个安全网上支付体系的基础。CACA认证数字证书采用一种树形验证结构。在双方通认证数字证书采用一种树形验证结构。在双方通信时，通过出示由某个信时，通过出示由某个CACA签发的证书证明自己的身签发的证书证明自己的身份。如果对签发证书的份。如果对签发证书的CACA本身不信任，则可验证本身不信任，则可验证CACA的真实身份，依此类推，一直到公认的权威的真实身份，依此类推，一直到公认的权威CACA处，处，才可确信证书的有效性。才可确信证书的有效性。SETSET安全交易协议中商务各安全交易协议中商务各方的数字证书正是通过这种信任层次逐级验证的。方的数字证书正是通过这种信任层次逐级验证的。每个证书均与数字化签发证书的实体签名证书相关每个证书均与数字化签发证书的实体签名证书相关联。沿着信任树直到一个公认的信任组织，就可确联。沿着信任树直到一个公认的信任组织，就可确认该证书是有效的。例如，认该证书是有效的。例如，C C的证书是由名称为的证书是由名称为B B的的CACA签发的，而签发的，而B B的证书又由名称为的证书又由名称为A A的的CACA签发的，签发的，A A是是权威的机构，通常称为权威的机构，通常称为Root CARoot CA。验证到了。验证到了Root CARoot CA处，就可确信处，就可确信C C的证书是合法的。的证书是合法的。2.3.2.3.的功能的功能概括地说，认证中心（概括地说，认证中心（CACA）的功能有：证书发放、）的功能有：证书发放、证书更新、证书撤销和证书验证。证书更新、证书撤销和证书验证。CACA的核心功能就的核心功能就是发放和管理数字证书，具体描述如下：是发放和管理数字证书，具体描述如下：（1 1）生成密钥对及）生成密钥对及CACA证书证书CACA要向交易各方颁发证书，必须生成公钥体系中自要向交易各方颁发证书，必须生成公钥体系中自己的密钥对，并对私钥进行有效的保护，以利于签己的密钥对，并对私钥进行有效的保护，以利于签名的使用。作为自成体系的、封闭的名的使用。作为自成体系的、封闭的CACA系统，系统，CACA必必须生成自己的根密钥对，且在此基础上生成根证书，须生成自己的根密钥对，且在此基础上生成根证书，就可以为各级就可以为各级CACA以及客户生成证书，保证证书持有以及客户生成证书，保证证书持有者有不同的密钥对。者有不同的密钥对。（2 2）验证申请人身份）验证申请人身份网上支付的交易各方，如持卡人、商家、支网上支付的交易各方，如持卡人、商家、支付网关等，在向付网关等，在向CACA申请数字证书时，申请数字证书时，CACA必须必须对其真实的身份进行认证，防止数字证书被对其真实的身份进行认证，防止数字证书被冒领。因此冒领。因此CACA必须建立一套严密的身份认证必须建立一套严密的身份认证流程。流程。（3 3）颁发数字证书）颁发数字证书CACA系统的主要任务就是向网上交易各方颁发系统的主要任务就是向网上交易各方颁发数字证书。数字证书。CACA系统必须能在系统必须能在InternetInternet上接收上接收交易各方的证书申请，在签名验证申请者的交易各方的证书申请，在签名验证申请者的真实身份并且通过资格检查后，有真实身份并且通过资格检查后，有CACA签名的签名的申请者的数字证书将在线发送给申请者。申请者的数字证书将在线发送给申请者。证书的发放也有通过离线方式的，比如证书的发放也有通过离线方式的，比如CACA将将申请者的数字证书加密后放入软盘或申请者的数字证书加密后放入软盘或ICIC卡等卡等载体，由证书申请者亲自到载体，由证书申请者亲自到CACA机构领取，再机构领取，再用特定的方法，将数字证书装入自己的计算用特定的方法，将数字证书装入自己的计算机应用系统中。如招商银行的企业网络银行机应用系统中。如招商银行的企业网络银行目前采用的目前采用的ICIC卡证书方式就非常不错。卡证书方式就非常不错。（4 4）证书以及持有者身份认证查询）证书以及持有者身份认证查询借助借助CACA服务器，可在线查询证书的生成情况，服务器，可在线查询证书的生成情况，也可在线认证证书持有者，也可在线认证证书持有者，CACA必须保证必须保证2424（小时）（小时）365365（天）的跨区域服务，且需拥（天）的跨区域服务，且需拥有足够的带宽，以保证较快的查询速度。有足够的带宽，以保证较快的查询速度。（5 5）证书管理及更新）证书管理及更新及时记录所有颁发的证书以及所有被吊销的及时记录所有颁发的证书以及所有被吊销的证书，使得能在交易各方的证书失效以后，证书，使得能在交易各方的证书失效以后，及时更新数字证书。及时更新数字证书。（6 6）吊销证书）吊销证书CACA根据证书持有者的应用情况，可在数字证书有效根据证书持有者的应用情况，可在数字证书有效期内使其无效，并且公布于众。期内使其无效，并且公布于众。CACA系统必须具有证系统必须具有证书黑名单的生成与管理功能，证书黑名单中只包括书黑名单的生成与管理功能，证书黑名单中只包括废除的分支废除的分支CACA和网关的数字证书。这些证书黑名单和网关的数字证书。这些证书黑名单和黑名单管理文件通过各级和黑名单管理文件通过各级CACA及网关，在与商家及及网关，在与商家及客户交换消息时分发出去。客户交换消息时分发出去。（7 7）制定相关政策）制定相关政策CACA的政策越公开越好，信息发布越及时越好。普通的政策越公开越好，信息发布越及时越好。普通用户信任一个用户信任一个CACA，除了拥有先进的技术和雄厚的实，除了拥有先进的技术和雄厚的实力这些因素之外，另一个极为重要的因素就是力这些因素之外，另一个极为重要的因素就是CACA的的政策。政策。CACA的政策是指的政策是指CACA必须对信任它的事务各方负必须对信任它的事务各方负责，它的责任大部分体现在政策的制定和实施上。责，它的责任大部分体现在政策的制定和实施上。（8 8）有能力保护数字证书服务器的安全）有能力保护数字证书服务器的安全数字证书服务器必须是十分安全的，数字证书服务器必须是十分安全的，CACA应当应当采取相应措施保证其安全性，如加强对系统采取相应措施保证其安全性，如加强对系统管理员的管理，加强对防火墙的保护等。否管理员的管理，加强对防火墙的保护等。否则，连则，连CACA都不安全了，由其提供的数字证书都不安全了，由其提供的数字证书服务的安全就无从说起。服务的安全就无从说起。2.4.CA2.4.CA认证中心功能的实现认证中心功能的实现认证中心主要通过以下三个组成部分实现其功能：认证中心主要通过以下三个组成部分实现其功能：（1 1）注册服务器）注册服务器通过通过Web ServerWeb Server建立的站点，可为客户提供每日建立的站点，可为客户提供每日2424小时的服小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，没有排队等候等烦恼，而且方便快捷，写相应的证书申请表，没有排队等候等烦恼，而且方便快捷，可以免去在办理手续过程中因人为疏忽或误会造成的损失。可以免去在办理手续过程中因人为疏忽或误会造成的损失。（2 2）证书申请受理和审核机构）证书申请受理和审核机构负责证书的申请和审核。它的主要功能是接受客户证书申请负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核，确认接受或拒绝证书申请。并进行审核，确认接受或拒绝证书申请。（3 3）认证中心服务器）认证中心服务器是数字证书生成、发放的运行实体，同时提供发放证书的管是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（理、证书废止列表（CRLCRL）的生成和处理等服务。）的生成和处理等服务。2.5.2.5.的组成框架与数字证书的申请流程的组成框架与数字证书的申请流程证书的发放过程实际上由两大部分组成证书的发放过程实际上由两大部分组成:一一部分是证书的申请、制作、发放；另一部分部分是证书的申请、制作、发放；另一部分是用户的身份认证。这两部分工作实际上是是用户的身份认证。这两部分工作实际上是由由CACA中两个不同的部门来完成的。这样，就中两个不同的部门来完成的。这样，就将将CACA分成分成CACA（证书服务中心）和（证书服务中心）和RARA（审核受（审核受理处）两部分，由理处）两部分，由CACA完成接收证书请求及发完成接收证书请求及发证的工作，而由证的工作，而由RARA完成身份认定工作，完成身份认定工作，CACA与与RARA之间一般通过专线连接。之间一般通过专线连接。RARA一般由能够认定用户身份的单位来担任一般由能够认定用户身份的单位来担任（如持卡人（如持卡人RARA由发卡银行担任，商家的由发卡银行担任，商家的RARA由由收单银行担任）。收单银行担任）。CACA收到用户的证书请求后，收到用户的证书请求后，向向RARA要求证明用户的合法与真实性；要求证明用户的合法与真实性；得到证明后，得到证明后，CACA向用户颁发证书。也可以让向用户颁发证书。也可以让用户先到用户先到RARA当面申请填表，当面申请填表，RARA批准后，将信批准后，将信息传送到息传送到CACA；CACA在收到用户的证书请求后，在收到用户的证书请求后，就能立即给予答复。就能立即给予答复。CACA还能进一步分成还能进一步分成RSRS（证书业务受理中心）（证书业务受理中心）与与CPCP（证书制作中心）两部分。由（证书制作中心）两部分。由RSRS负责接负责接收用户的证书申请、发放等与用户打交道的收用户的证书申请、发放等与用户打交道的工作，工作，CPCP则进行证书的制作、记录等内部工则进行证书的制作、记录等内部工作。用户为获得数字证书，必须上网，进入作。用户为获得数字证书，必须上网，进入CACA网站，实际就是进入了网站，实际就是进入了RSRS网站，向网站，向RSRS申请申请证书；证书；RSRS与用户对话后，可以获得用户的申与用户对话后，可以获得用户的申请信息，然后传送给请信息，然后传送给CPCP；CPCP与与RARA进行联系，进行联系，并从并从RARA处获得用户的身份认证信息后，由处获得用户的身份认证信息后，由CPCP为用户制作证书，交给为用户制作证书，交给RSRS；当用户再上网要；当用户再上网要求获取证书时，求获取证书时，RSRS将制作好的证书传送给用将制作好的证书传送给用户。户。在在SETSET安全网上支付中，参与的每家银行都要安全网上支付中，参与的每家银行都要建立自己的建立自己的RARA。面对众多的用户，光有一个。面对众多的用户，光有一个RARA是无法完成任务的。是无法完成任务的。RARA下必须设立许多业下必须设立许多业务受理点，接待用户，进行申请登记工作。务受理点，接待用户，进行申请登记工作。RARA作为身份认证与审核部门，通过专线与各作为身份认证与审核部门，通过专线与各业务受理点连接。各业务受理点接收用户的业务受理点连接。各业务受理点接收用户的申请，审查用户的身份证件，通过专线与申请，审查用户的身份证件，通过专线与RARA交换信息，完成用户的身份认证工作。交换信息，完成用户的身份认证工作。（1 1）CACA的组成框架的组成框架基于以上的业务过程，一个功能较为完整的基于以上的业务过程，一个功能较为完整的CACA组成组成框架如下图所示。框架如下图所示。借助各地的业务受理点以及借助各地的业务受理点以及InternetInternet，CACA公司可以公司可以跨区域为用户提供数字证书服务。例如，跨区域为用户提供数字证书服务。例如，CACA收到外收到外地区用户的证书请求后，通过网络专线到当地的地区用户的证书请求后，通过网络专线到当地的RARA获得身份认定，就可以向申请用户颁发数字证书。获得身份认定，就可以向申请用户颁发数字证书。当然，当然，CACA本身还可作为世界上更加权威的本身还可作为世界上更加权威的CACA中心如中心如VeriSignVeriSign的分支的分支CACA，CACA本身需要一个由上级本身需要一个由上级CACA颁发颁发的数字证书。例如，北京天威诚信电子商务服务有的数字证书。例如，北京天威诚信电子商务服务有限公司，作为成立于限公司，作为成立于20002000年年9 9月且经信息产业部批准月且经信息产业部批准的第一家开展商业性的第一家开展商业性PKI/CAPKI/CA服务的试点企业，其证服务的试点企业，其证书就是由书就是由VeriSignVeriSign颁发的数字证书，因而成为颁发的数字证书，因而成为VeriSignVeriSign在中国的业务合作伙伴。在中国的业务合作伙伴。（2 2）数字证书的申请流程）数字证书的申请流程基于上述的基于上述的CACA组成框架，一般数字证书的申组成框架，一般数字证书的申请操作流程如下请操作流程如下:用户带相关证明到证书业务受理中心用户带相关证明到证书业务受理中心RSRS申申请证书；请证书；用户在线填写证书申请表格和证书申请协用户在线填写证书申请表格和证书申请协议书；议书；RSRS业务人员取得用户申请数据后，与业务人员取得用户申请数据后，与RARA中中心联系，要求用户身份认证；心联系，要求用户身份认证；RARA下属的业务受理点审核员通过离线方式下属的业务受理点审核员通过离线方式（面对面）审核申请者的身份、能力和信誉（面对面）审核申请者的身份、能力和信誉等；等；审核通过后，审核通过后，RARA中心向中心向CACA中心转发证书的中心转发证书的申请请求；申请请求；CACA中心响应中心响应RARA中心的证书请求，为该用户中心的证书请求，为该用户制作、签发证书，并且交给制作、签发证书，并且交给RSRS；当用户再次上网要求获取证书时，当用