统一金融认证体系安全为重

该文是论文目录专业证书论文范文，主要论述了证书相关毕业论文参考文献格式,与统一金融认证体系安全为重相关论文范本，适合证书及商业银行及结构方面的的大学硕士和本科毕业论文以及证书相关开题报告范文和职称论文写作参考文献资料下载。

（CFCA李晓峰关振胜）在金融行业间,客户与银行、银行与银行在网上是如何相互取得信任?这必定需要一套统一的信任体系.

建立中国金融行业中统一的PKI体系是必要的,也是可行的.几年前,CFCA（中国金融认证中心）与工商银行已签约,要建立工商银行的子CA,将工行的网银数字证书,逐渐迁移到CFCA PKI体系中.经过一年的开发、改造和应用测试,现已上线.这就是说,建立中国统一的PKI体系的时机已经成熟,这是经过几年实践的经验和教训所得出的结论.

那么,中国的PKI体系该如何构建才是合理的,并且方便用户使用?换句话说,在众多银行之间,其客户与银行、银行与银行之间在网上是如何互相取得信任的?这种PKI的交叉认证和互联互通的信任模型应该如何构建呢?通过对各种信任模型的比较分析,我们认为目前最适合中国金融统一PKI认证模型结构的是严格层次模型.

在严格层次结构模型中,以CFCA根为金融统一根CA,各个商业商行的CA体系作为二级子CA机构.

安全特点

严格层次结构实际上是集中方式的树状结构,即以CFCA根CA作为全国金融认证中心的根CA,而各大型商业银行成为独立的子CA,其他中、小商业银行集中组成一个集中式CA.层次结构是最典型的PKI结构.在此结构下,存在一个信任锚,也是同一个信任起点,即“根证书中心（Root CA）”.RootCA向各家商业银行的子CA颁发根证书,这样商业银行的子CA就带着RootCA根证书,向它们的用户签发数字证书,形成了一个证书信任链,提供PKI安全服务.

层次结构的PKI/CA系统的优点包括:

1.可以达到金融统一认证体系的目的,利用CFCA现有的资源优势,将CFCA的一级CA作为全国金融CA的统一品牌的根CA.做到资源的最大利用,实现到跨行认证,从而达到跨行交易,

2.可以通过策略上的设置,在逻辑上区分不同银行的CA、确保各银行的自身业务特点,也可以塑造统一的品牌形象.同时,利用CFCA的强大技术优势,为目前现在没有条件建设CA的金融系统客户提供服务,

3.具有一个信任起点,互通互信过程简单,可以实现跨行交易,如跨行转账、跨行基金买卖,跨行通存通兑等,

4.层次结构的PKI系统易于维护和升级、易于增加新的商业银行的子CA认证中心,从而扩大网上银行的用户群,

5.证书路径简单的、明确,路径也相对较短.最长的路径等于树的深度加一: 每个从属CA的证书路径加上用户的证书,

6.在层次结构中,认证不一定要验证到根,如果是商业银行行内交易,则只需要认证到商业银行自己根CA的位置.就像现在各大商业银行的用户使用的证书,认证到该银行的根CA证书即可已取得信任一样.

层次结构的PKI也有一些缺点,如下:

1.它依赖于一个单一的信任起点,即“根CA” .根CA是每个用户的信任起点,它的安全性极为重要.根CA服务器在向各子CA签发根证书之后,它处于脱机工作状态,私钥不出加密卡,安全保管是极其重要的,一旦出现问题,后果是灾难性的,

2.其次,由于PKI/CA的安全策略所规定,根CA证书的私钥的生命周期是有限的.在规定的时间内,更换根CA私钥要有一套严密的安全过程.根CA密钥的更换会导致整个PKI系统的根证书密钥的更换.

逻辑构成

统一金融PKI系统的层次逻辑结构如图一所示.

金融统一认证体系的总体框架设计为结构.第一级为金融系统通用证书中心即全国金融根CA中心, 第二级为商业银行的二级营业子CA,根据加入银行的不同可设多个.四大商业银行可在逻辑上和物理上,独立设置CA服务器,各中小银行可逻辑上和物理上集中设置一个CA服务器.但是,无论独立和集中的子CA,必须设置在其总行审核的受理中心RA（Registration Authority）和RA体系的第二级结构――业务受理点LRA（Local Registration Authority.作为商业银行来说可设置在地市行或业务网点,根据业务量的需求可设多个.

各个银行建立的子CA可以根据自己的历史及现实情况,选择适当机制的CA结构产品,有时还要做必要的修改和优化.

图一是一个完整的严格层次结构逻辑结构,根CA之下是多个二级子CA,他们之间组成层次结构, RA是CA的延伸机构,在RA之下可连接多个LRA,RA与LRA之间也组成层次结构.他们是一个完整的PKI体系.这种结构特别适合中国金融界交易和资金清算的现状.

物理结构

因为金融统一认证体系在逻辑上是层次结构,但在物理上各个签发数字证书的运行CA可以是独立的.其物理结构大致相同,即包含签发服务器、证书库、密钥管理中心（KMC）和目录服务器.

根CA 在向各子CA颁发根证书后,它就脱机工作了.所以,各子CA在签发数字证书时之间是没有联系的,每个CA的物理结构是独立的体系.如果有跨行交易的需求,那它们是靠目录服务器连接起来的,见图二.

金融CA是典型的CA物理组成.它包括证书签发服务器,负责向客户签发数字证书, 数据库服务器是存储客户的数据和证书信息, 每个CA必须具备自己的加密机模块,产生本CA的公私密钥对和对称密钥,私钥不出卡, CA还包括一个目录服务器,用以证书和CRL的发布,以便供应用时查询,此外就是供操作员用的管理终端.

目录结构

金融CA的目录服务器是极其重要的,因为它是24×7小时的应用.金融CA的目录服务器是一个树状结构.根据目前情况组成二级结构即可,第一级为根CA的主目录,第二级为各商业银行的运行CA目录,其结构如图三所示.

金融统一CA的目录结构,首先支持各商业银行自己内部网银交易查询,在实现跨行交易后,可实现各目录之间智能化自动查询.

证书标准化问题

建设金融CA统一认证应用体系,除上述CA的合理结构、合理机制之外,还有数字证书统一标准的问题,以便实现证书通用.金融CA统一签发的证书,即能在本行系统内交易使用,也可在跨行交易中使用.其中,关键问题是证书DN的标准化设计问题.

成员行识别标志

针对不同的成员行要有不同的标识.各家商业银行要建统一机制的RA系统,才能保证RA系统用统一、规范的DN标准.如果DN不规范,DN不统一,会影响到证书的规范管理和跨行业应用.因此,DN标准化是非常必要的.

DN标准化的基本要求: 充分考虑各行RA所采用的DN标准,加以综合, 充分考虑到证书跨行应用对DN的要求, 尽量减少对现有证书用户的影响, 目前,要兼容各行CA证书和统一CA证书.

DN的技术说明

DN（Distinguished Name）: 唯一名,在数字证书的主体名称域中,用来唯一标识用户的X.500名称,通常包括CN、OU、O、C等组成部分.

CN（Common Name）: 公用名,在DN中常用来表示用户名.

OU（Organization Unit）: 组织单元,在DN中常用来表示部门,在同一CA系统中,可有多个OU,分别表示各商业银行RA申请签发的证书类型.

O（Organization）: 组织,在DN中常用来表示权威机构,在统一金融CA系统中表示统一金融CA,即CFCA.

C（Country）: 国家,在DN中用来表示国别,在我国即表示国家根CA.

DN标准的设计

类型编码: 在CN中表示的是用户唯一标识,所以,除有单位和个人唯一实名外,还必须具有与其对应的及其编码.N中所包含的类型通过一个字符的编码形式来体现.

DN构成: DN的具体内容依次由CN、OU、OU、O、C五部分组成.其中CN用来表示用户名,OU用来表示证书类型,OU用来表示各商业银行的RA的英文/拼音名简称,O用来表示CA名称、C用来表示国家.

DN规则: 目前已有RA系统所颁发的用户证书包括个人普通证书、个人高级证书、企业普通证书、企业高级证书、WWW服务器证书、LRA操作员证书、代码签名证书.

此种方案的优点是: 可以通过DN区分是否为其成员, 保持证书的规范化, 满足了成员单位的证书标志的要求, 户投资少见效快, 好管理, 资金投入少,系统安全性高.

背景

资料

早在1998年6月,中国人民银行、中国工商银行、中国银行成立了首都电子商务工程领导小组.同年10月领导小组会议决定,由中国人民银行联合各家商业银行,负责建设金融认证中心和支付网关.

在中国人民银行的领导下,组织成立了金融CA工程项目组.当时有工行、农行、中行、建行、交行、招行等12家商业银行以书面形式要求成为金融CA的发起行,并派人加入了项目小组.项目小组做了大量的需求调研工作,完成了“金融认证中心需求分析”、“金融认证中心工程实施方案”.

人民银行金融信息化领导小组通过了上述两个文件,并成立了项目小组,从1999年经过国内外招标、阅标、评标,最后确定系统提供商.经过不到一年时间的安装、调试和开发,于2000年6月正式开通运行,中心正式命名为“中国金融认证中心”（CFCA）.