电子商务金融 第4章 金融安全认证
网络支付安全技术
第四章网络支付安全技术知识要点:网络支付的安全性问题对称密钥和非对称密钥数字摘要与数字签名数字证书与CA认证SSL与SET协议中国金融认证中心第一节网络支付安全性问题概述网络支付以其快捷、方便的网络支付方式适应了电子商务的发展。
由于电子商务的远距离网络操作不同于面对面的传统支付方式,安全问题已经成为大家关注电子商务运行安全的首要方面。
完成电子商务中资金流的网络支付涉及商务实体最敏感的资金流动,所以是最需要保证安全的方面,也是最容易出现安全问题的地方,如信用卡密码被盗、支付金额被篡改、收款抵赖等。
因此保证电子商务的安全其实很大部分就是保证电子商务过程中网络支付与结算流程的安全,这正是银行与商家,特别是客户关心的焦点问题。
一、网上支付面临的安全问题因特网环境下的网络支付结算涉及到客户、商家、银行及相关管理认证部门等多方机构及他们之间的配合。
网络支付与结算由于涉及到资金的问题,保证安全是推广应用网络支付结算的基础。
目前网络支付结算面临的主要安全问题可以归纳为如下几个方面:1. 支付账号和密码等隐私信息在网络上传送过程中被窃取或盗用,如信用卡号码和密码被窃取盗用给购物者造成损失。
2. 支付金额被更改。
如本来总支付额为250美元,结果支付命令在网上发出后,由于未知的原因从账号中划去了1250美元,给网上交易一方造成了困惑。
3. 支付方不知商家到底是谁,商家不能清晰确定如信用卡等网络支付工具是否真实、资金何时入账等;一些不法商家或个人利用互连网站点的开放性和不确定性,进行欺骗。
4. 随意否认支付行为的发生及发生金额,或更改发生金额等,某方对支付行为及内容的随意抵赖、修改和否认。
5. 网络支付系统故意被攻击、网络支付被故意延迟等如病毒等造成网络支付系统的错误或瘫痪、网络病毒造成网络支付结算过程被故意拖延等,造成客户或商家的损失或流失等。
二、网络支付安全策略电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合系统。
习题册参考答案-《电子商务法律法规习题册》-A24-4046.docx
第 1 章电子支付法律法规第 1 节电子支付法律关系及立法现状一、填空题1.电子支付法律必须以电子商务法律为基础。
2.电子支付中交易人各方之间不存在不平等的命令与服从、管理与被管理的隶属关系。
3.当电子支付法律关系受到破坏时,国家会动用强制力进行矫正或恢复。
4.银行之所以接受付款或收款指令,是因为付款人和收款人与银行之间存在有关电子支付的金融服务合同关系。
5.银行起草并作为开户的条件交给付款人和收款人,银行在整个电子支付活动中起到资金结算的中介作用。
6.电子认证机构参与电子支付活动是付款人、收款人和银行能够安全顺利完成电子支付全过程的保障。
7.电子支付的当事人申请证书是要约方,而承诺方一般是认证机构。
8.付款人即整个电子支付过程中第一个发出资金支付指令的人,通常为消费者或买方。
9.电子认证机构负责认证、签发、管理证书,是电子支付中的付款人、收款人和银行真实身份的鉴定人。
10.《计算机信息系统安全保护条例》保护了计算机信息系统的顺利发展,为电子支付的环境安全创造了条件。
二、单项选择题1. 电子支付法律关系中付款人与收款人之间是()关系。
A. 债务债权B.债权债务C.中介D.银行与客户2. 收款人也称受益人,一般是()。
A. 债权人B.债务人C.银行经理D.出资人3.根据我国《民法通则》第九十二条的规定:“没有合法根据,取得不当利益,造成他人损失的,应当将取得的不当利益返还()。
”A. 受损失的人B.银行C.受益人D.国家4. 电子支付法律关系是以国家()作为保障的社会关系1A. 强制力B.银行C.行业规范D.道德规范三、判断题1.电子支付法律关系是电子支付主体真实意思的表示。
(√ )2.电子支付法律不要靠国家强制力来保证。
(× )3.电子支付法律关系的当事人就是电子支付法律关系的主体。
(√ )4.电子认证机构有权向付款人和收款人收取一定金额的服务费。
(√ )5.银行或金融机构需使用配备安全系统的交易手段执行客户指令。
《电子商务与金融》实践考核复习资料
《电子商务与金融》实践考核复习资料一.单项选择题1.信用卡支付较为平安的方法是在Internet环境下通过以下什么协议进行网络支付〔B〕A.SSLB.SET.C.ATMD.POS2.PKIS全部的功能,都集中表达在以下哪一项〔B〕A.如何爱护证书申请者的私钥B. 如何爱护证书申请者提供效劳C.如何提高证书的检验效率D. 如何提高加密效率3.金融CA体系结构中,位于同一层的是〔D 〕A.RCA与BCAB.BCA与ECAC.BCA与MCAD.MCA与CCA4.国内第一家将传统银行效劳延伸到互联网领域的商业银行是〔B〕A.招商银行B.中国银行C. 中国建设银行D. 中国工商银行5.中国银行推出的网上支付效劳——“支付网上行〞采纳的网络平安协议是〔A〕A.SET协议.B.SST协议C.S/MIME协议D.HTTP协议6.目前因特网上购物首选的支付工具是〔C 〕A.智能卡B.银行卡C.电子钱包D.电子转帐7.在目前的平安证书体制中,为了保证交易平安性主要采纳了〔C 〕A.公钥密码体制B.对称密码加密C数字签名 D. 数字信封技术8.银行之间的资金收、付交易,必须经过哪个部门进行资金清算,才能完成支付过程〔C〕A.人民银行B.财政部C.国家授权的中央银行D. .国家授权的商业银行9.CFCA签发的效劳器站点证书支持的交易模式是〔A〕A.B2CB.B2BC.B2GD.C2C10.国内第一家金融证券网站,同时是我过最大的金融互联网根底设施提供商的是〔B 〕A.和讯网B.证券之星C.盛润政权202X网站D.中国证券网11.以下不属于电子支票类的支付工具是〔D〕A.电子汇票B.电子汇款C. 电子划款D.电子钱包12.银行卡最主要的功能是〔A〕A.转帐结算B.储蓄C.汇兑D.消费贷款13.电子现金与传统现金相比所具有的特点是〔D〕A.匿名性B.可跟踪C.适与小额支付D.电子传输14.信用卡结算时,如果收单行与发卡行不是同一银行,则清算须经过的两个过程为〔B 〕A交换和授权 B.交换和清算 C.授权和清算 D.清算和注销15.以智能卡为电子钱包的电子现金系统是〔D 〕A.DigiCashCashC.eCashD.Mondex16.目前,网上银行的系统体系结构大多采纳的结构模式为〔C 〕A.网站——网银中心B. 网站——网银中心——CA认证中心C.网银中心——传统业务处理系统D.网银中心——CA认证中心——传统业务处理系统17.〔B 〕是目前我国最大的商业银行A.中国银行B.中国工商银行C.中国建设银行D.中国农业银行18.以下关于电子支付问题的说法正确的选项是〔A〕A.电子支付的平安是基于计算机平安技术手段完成的;B.平安电子支付要求其标准是不能放开的;C.公共计算机网络平安体系是基于技术手段和非手段构成的;D.在电子商务环境中,银行是作为商业运作的辅助机构参与到电子交易中的。
4《电子商务概论》第四章 教案
《电子商务概论》教案第四章传统企业及行业转型授课教师:张小艳课时:3课时一、知识点回顾(5分钟)◆电子商务模式的定义及其分类◆电子商务的不同细分模式◆电子商务的创新及盈利模式◆移动和跨境电子商务二、课程导入(2分钟)我们一直在学习电子商务的相关知识,电子商务的应用也越来也广泛,但是中间肯定会有一个传统行业到电子商务的转型,下面我们就来通过本章的学习去了解这个转型的过程吧。
三、本章目的:◆掌握企业的业务流程重组◆了解传统企业的转型◆掌握“互联网+”背景下的行业转型四、本章重点:◆电子商务与企业业务流程再造◆“互联网+”背景下的行业转型五、本章难点:◆“互联网+”背景下的行业转型六、授课流程(一)知识点讲解知识点1 电子商务与企业业务流程重组(30分钟)1.1业务流程重组1.企业业务流程企业业务流程是企业为顾客创造价值而又相互关联的活动,是将业务过程描述为一个价值链,对价值链各个环节进行有效管理,是企业获得竟争力的有效途径。
在20世纪八九十年代,美国通用电气公司在当时董事长兼CEO韦尔奇的带领下,对公司的业务流程进行了彻底的改造,使通用电气成为世界上最具有价值的公司之一。
2.业务流程重组业务流程重组是以业务流程为改造对象和中心,以关系客户的需求和满意度为目标,对现有的业务流程进行根本的再思考和彻底的再设计,利用先进的制造技术、信息技术以及现代化的管理手段最大限度地实现技术上的功能集成和管理上的职能集成,以打破传统的职能型组织结构,建立全新的过程型组织结构,从而实现企业经营在成本、质量、服务和速度等方面的改善。
1.2 传统企业业务流程方面的常见问题很多传统企业的业务流程已经无法支撑企业运行,其常见问题如下:1.部门职责不清部门责任不清晰会导致业务部门之间的业务争夺,造成企业资源浪费。
2.业务衔接不畅如果业务流程中相互紧密衔接的两个环节分别属于两个部门,而且两个部门对于各业务订单的重要性排岸判断存在差界,那么,在业务链的链接过程中往往会出现资源调度和日程安排的冲突,并导致部门间矛盾的产生。
电子商务概论第四章
在网络层提供的信息传输线路上,根据一系列传输协议来发布传输文本、数据、声 音、图像、动画、电影等信息。
3)一般商业服务层
一般商业服务层实现标准的网上商务活动服务,如标准的商品目录服务、电子支付、 商业信息安全传送、客户服务、电子认证等。
3.1.2 电子商务应用的4个支柱
• 1)公共政策 • 2)技术标准 • 3)网络安全 • 4)法律规范
4.1.3 在线电子支付方式
• 1)银行卡
• 2)电子现金 • 3)电子支票 • 4)智能卡
谢谢大家!
电子商务概论第四章
格式转换 翻译 通信
通信 翻译 格式转换
A
B
公
EDI
司
平
标
网
格
面
准
式
文
报
络
单
件
文
EDI 标 准 报 文
平 面 文 件
公 司 格 式 单
证
证
• 图2.5.1 EDI的实现过程
第三章 电子商务的应用框架与交易模式
3.1 电子商务的应用框架
法律
网
公
技
络
应用服务层
共
术
安
政
规范
标
全
策
信息发布与传输层
第四章 电子商务支付系统
4.1 电子商务支付系统概述
4.1.1 电子支付的概念
电子支付(Electronic payment)是 以计算机和通信技术为手段,通过计算机 网络系统以电子信息传递形式实现的货币 支付与资金流通。
4.1.2 网上电子支付系统
• 1)电子货币系统
• 2)支付清算系统 • 3)银行卡支付系统
电商行业:电商供应链金融服务方案
电商行业:电商供应链金融服务方案第1章电商供应链金融概述 (4)1.1 电商供应链金融的发展背景 (4)1.2 电商供应链金融的核心要素 (4)1.3 电商供应链金融的创新模式 (5)第2章电商供应链金融的需求分析 (5)2.1 电商平台的需求 (5)2.1.1 流动资金管理:电商平台在运营过程中,需应对大量订单的支付、退款、结算等环节,对流动资金的需求量巨大。
供应链金融服务可以帮助电商平台有效管理流动资金,提高资金使用效率。
(5)2.1.2 风险控制:电商平台需要应对供应商、物流企业等合作伙伴的信用风险。
通过供应链金融,电商平台可以对合作伙伴进行信用评估,降低交易风险。
(5)2.1.3 增强竞争力:电商平台通过提供供应链金融服务,可以吸引优质供应商和物流企业合作,提高供应链整体效率,从而增强市场竞争力。
(5)2.2 供应商的需求 (5)2.2.1 融资需求:供应商在生产、备货等环节需要大量资金支持,而传统融资渠道受限。
供应链金融可以解决供应商融资难题,降低融资成本。
(6)2.2.2 回款周期优化:供应商在与电商平台、物流企业合作过程中,回款周期较长,影响资金流转。
供应链金融可以提高回款效率,缓解供应商资金压力。
(6)2.2.3 降低经营风险:通过供应链金融,供应商可以对下游企业的信用进行评估,降低坏账风险,提高经营安全。
(6)2.3 物流企业的需求 (6)2.3.1 资金周转:物流企业在运营过程中,需承担运输、仓储等成本,资金周转压力大。
供应链金融可以提高物流企业资金周转效率,降低运营成本。
(6)2.3.2 业务拓展:物流企业可通过供应链金融,获取更多合作机会,拓展业务范围,提高市场份额。
(6)2.3.3 风险管理:物流企业面临合作伙伴的信用风险、运输风险等,供应链金融可以帮助企业识别、评估和管理风险。
(6)2.4 消费者的需求 (6)2.4.1 优惠活动:电商平台通过供应链金融获得资金支持,可以推出更多优惠活动,让消费者受益。
电子商务安全(作业3)
电子商务安全(作业3)《电子商务安全》作业3一、选择题1.CA的中文含义是( D )。
A. 电子中心B. 金融中心C. 银行中心D. 认证中心2. 以下关于身份鉴别叙述不正确的是(B)。
A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制3. KDC的中文含义是(D )。
A. 共享密钥B. 公钥基础设施C. 会话密钥D. 密钥分配中心4.(C )是一个对称DES加密系统,它使用一个集中式的专钥密码功能,系统的核心是KDC。
A. TicketB. GrantC. KerberosD. PKI5. (B )负责签发证书、验证证书、管理已颁发证书,以及制定政策和具体步骤来验证、识别用户身份。
A. RAB. CAC. PKID. LDAP6.MAC的中文含义是(B )。
A. 消息鉴别码B. 消息认证码C. 消息摘要D. 媒体存取码7. PIN的中文含义是(B)。
A. 消息信息码B. 身份识别码C. 个人信息码D. 身份证号码8.(D)是通信双方判定消息完整性的参数依据,散列函数是计算的重要函数,该函数的输入与输出能够反应消息的特征。
A. 消息信息码B. 消息验证码C. 消息加密D. 消息摘要9. (C )是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信对象的身份。
A. 消息验证B. 身份认证C. 数字证书D. 消息摘要10.“公钥基础设施”的英文缩写是(C )。
A. RAB. CAC. PKID. MD11. PKI支持的服务不包括(D)。
A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务12. PKI的主要组成不包括(B )。
A. 证书授权CAB. SSLC. 注册授权RAD. 证书存储库CR13. PKI管理对象不包括(A )。
A. ID和口令B. 证书C. 密钥D. 证书撤消14. 下面不属于PKI组成部分的是(D)。
国家开放大学《互联网金融概论》形成性考核试题1-4参考答案
国家开放大学《互联网金融概论》形成性考核试题1-4参考答案形成性考核试题(一)(满分:100分;考核范围:第一章——第三章)一、名词解释题(每题4分,共40分)1.金融——指货币的发行、流通和回笼,贷款的发放和收回,存款的存入和提取,汇兑的往来等经济活动。
2.互联网金融——是指狭义上的概念,即指通过计算机连接终端和网络服务平台所提供的所有金融服务与金融产品所形成的虚拟金融市场。
3.监管套利——是指各种金融市场参与主体通过注册地转换、金融产品异地销售等途径,从监管要求较高的市场转移到监管要求较低的市场,从而全部或者部分地规避监管、牟取超额利益的行为。
4.规模经济——是指由于生产规模的适度扩大,使生产要素得到更有效的配置,引起产品平均成本降低,进而获得更大的经济效益。
相反,如果因生产规模过大或过小,生产要素不能得到合理配置,造成经济效率损失,则成为规模不经济。
5.长尾理论——指只要产品的存储和流通的渠道足够大,需求不旺或销量不佳的产品所共同占据的市场份额可以和那些少数热销产品所占据的市场份额相匹敌甚至更大,即众多小市场汇聚成可产生与主流相匹敌的市场能量。
6.网络效应——在经济学中,网络效应是一种现象,用户从某种商品或服务中获得的价值或效用取决于兼容产品的用户数量。
7.信息不对称——是指交易一方对交易另一方的了解不充分,双方处于不平等地位的一种状态。
8.存款货币——是一种特殊类型的信用货币,信用货币creditmoney是指以货币发行人信用为担保的货币,而存款货币是以发行该存款的储蓄机构的信用状况作为担保的信用货币。
9.数字货币——就是以数字形式承载纸币、硬币同等货币价值的一种国家法定钱币。
10.区块链——是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。
二、问答题(每题10分,共60分)1.互联网金融的本质是什么?答:互联网金融的本质是金融基础设施,是与金融机构和金融市场相同的金融基础设施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章金融安全认证4.1金融安全认证概述4.2安全认证技术--PKI4.3中国金融认证中心CFCA4.4CFCA支持的应用4.5金融认证中心的证书业务规则4.6电子商务参与方的法律关系第4章金融安全认证(一)电子商务对网上安全交易的要求❖身份鉴别:在交易前,首先要确认对方的身份,不能是假冒或伪装。
交易各方有商户、持卡人和银行。
❖机密性:对敏感信息要加密,获取后难以破解。
❖完整性:要求收方能验证接收的信息是完整的。
❖不可抵赖性:交易达成,发送方或接收方都不能否认其发送的信息或收到的信息。
❖在安全性上除采用加密措施外,还必须建立一种信任及信任验证机制,使交易一方可确认其他各方的身份。
可验证的身份标识。
❖是一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业务的各种认证需求提供证书服务。
❖包括电子商务、网上银行、支付系统和管理信息系统等。
❖组织参与网上交易规则的制定,确立相应的技术标准。
4.2安全认证技术—PKI❖1、PKI是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心,是电子商务的关键和基础技术。
❖2、PKI的基本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术,在网络间解释和管理这些信息。
❖4、PKI的核心是信任关系的管理,为了解决信任关系问题,引入了第三方信任和数字证书概念。
2、PKI的理论基础❖密码体制:从原理上可分为单钥体制(One-key System)和公钥体制(Two-key System)❖对称加密¡ª¡ª单钥加密❖对称加密过程发送方用自己的私有密钥对要发送的信息进行加密发送方将加密后的信息通过网络传送给接收方接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密,得到信息明文❖公钥体制:加密密钥和解密密钥不相同,是一种非对称加密体制。
❖1. 加密模式:加密模式过程❖发送方用接收方公开密钥对要发送的信息进行加密。
❖发送方将加密后的信息通过网络传送给接收方。
❖接收方用自己的私有密钥对接收到的加密信息进行解密,得到信息明文。
❖2. 验证模式:验证模式过程❖发送方用自己的私有密钥对要发送的信息进行加密。
❖发送方将加密后的信息通过网络传送给接收方。
❖接收方用发送方公开密钥对接收到的加密信息进行解密,得到信息明文。
❖3. 加密与验证模式的结合❖保障信息机密性& 验证发送方的身份❖使用过程:❖4. 对称和非对称两种加密方法的联合使用❖两种密码体制的比较(2)数字签名❖(1)签名不同:手写签名是签署文件的物理组成部分;不是组成❖(2)验证不同:手写签名比对;公开验证算法❖(3)复制不同:手写签名不易复制;相反3、认证中心CA❖认证机构CA签发数字证书—网络用户电子身份证明,如同护照。
❖按照第三方信任原则,相信持有证明的用户。
❖CA要防伪造和篡改。
具有灵活性各种CA产品兼容,遵循通用的国际标准。
❖颁发证书:生成证书并签名,以适当方式发给用户。
❖管理证书:记录已颁发证书和撤消的证书。
❖用户管理:新提交的申请与现存标识名比较拒绝重复。
❖吊销证书:在证书有效期内使其无效,发布CRL (Certificate Revocation List)❖验证申请者身份:必要的身份验证❖保护证书服务器:证书服务器安全❖制定政策:公布制定CA的政策❖CA的证书验证是逐级进行,沿着信任树一直到公认的信任组织,确认证书是有效的。
4、数字证书❖证书是公开密钥体制的一种密钥管理媒介。
它是一种权威性的电子文档,形同网络环境中的一种身份证,用于证明某一主体的身份以及其公开密钥的合法性。
❖ITU(International Telecommunications Union,国际电信同盟)在1988年制定的X.500系列标准中的X.509就是被广泛采用的标准。
X.509标准与公钥基础设施密切相关,它定义了公开密钥与密钥主体的结合,由此实现通信实体鉴别机制,并规定了实体鉴别中所使用的方法和数据接口,即证书。
❖(1) 集中生成模式:密钥对全部由CA生成;生成的公钥提供给CA软件生成证书,生成的证书和私钥发给申请者;❖离线分发:以磁盘或IC卡形式提供给用户❖在线分发:用户使用浏览器与CA的Web服务器相连申请证书,生成后CA用电子邮件通知用户如何以安全方式取得证书。
❖(2)分布式生成模式:密钥对由申请者自己的客户端软件生成,然后将公钥和个人资料发给CA,由CA生成证书签名发给申请者;❖PKI的基本组成:❖1、证书申请者:(Subscriber)❖2、证书申请审核中心:❖3、认证中心:❖4、证书库:❖5、证书信任方:❖1、易用性:屏蔽密码服务的实现细节❖2、可扩展性:体系结构可扩展;发行证书可满足不同应用要求。
❖3、互操作性:不同企业单位的PKI实现可能不同。
❖4、支持多应用、多平台:各种应用和各种操作系统❖1、Baltmore公司的UniCERT:Baltmore公司主要从事网络安全领域的产品开发,总部在爱尔兰,UniCERT是目前世界最先进的PKI产品之一,是策略驱动、模块化的。
❖其特点:灵活;易用;策略支持;可扩展;开放;安全❖2、Entrust/PKI:Entrust公司总部在美国的得克萨斯,Entrust电子商务安全产品处于全球领先地位,占35% 市场份额。
❖其特点:灵活性;完善的数据库功能;安全性及易用性;无缝更新密钥对降低系统使用成本;完善密钥备份和恢复系统;不可否认性,策略选择自由;可扩展性;互用性。
❖3、VerSign公司的OnSite:VerSign公司不仅提供认证服务,还提供PKI产品。
❖OnSite被用来企业互联网、外部网、VPN及电子商务应用。
4.12 我国PKI体系❖1998年上海CA中心成立,国内有70多个电子认证服务机构,可分为区域型、行业型、商业型和企业型。
❖我国PKI处于起步阶段,有不少急待解决的问题。
❖服务于国家各级机构、组织和部门的内部电子政务业务。
❖由政务根中心、政务认证中心、注册机构组成。
❖服务于各种公众网上业务(包括电子商务业务、政府面向公众服务的电子政务业务和其他信息化应用)❖采用网状信任模型,由国家桥中心、地区桥中心、公众服务认证中心SCA和注册机构组成。
4.3中国金融认证中心(CFCA)❖99年2月启动,2000年6月投入运行。
❖根据电子商务发展需要,由人行牵头,十二家商行联合建设的一个权威的、可信赖的、公正的第三方信任机构。
专门为电子商务的各种认证需求提供证书服务。
❖组织并参与了有关网上交易规则的制定,相应的技术标准,提供网上支付和跨行网上支付的相互认证等。
❖建立了SET CA 和Non-Set CA两套系统,SET CA由IBM承建,Non-Set CA由Entrust/SUN/德达承建。
❖统一规划,联合共建。
❖试点先行,逐步扩展。
❖技术先进,功能全面。
❖落实应用,快字为先。
❖标准和开放:符合国际标准,支持多家公司的支付网关。
❖建立SET CA 和Non-Set CA 两大体系。
❖向各种用户颁发不同种类的电子证书,支持电子商务应用、网上银行及其他安全管理业务的应用。
SET CA 主要用于电子商务中的B2C业务模式的身份认证;Non-Set CA 可同时支持B2B和B2C两种模式的身份认证;❖每年发放Non-Set证书15万,SET 证书10万❖SET CA 和Non-Set CA 是两各不同的体系,但都基于PKI机制,两套系统设计均为三层结构。
❖第一层CA:❖根CA(RCA)设在中国人民银行总行它负责制定和审批总体政策,确定每层CA的功能和职责,给自己签发证书,并签发和管理第二层CA的证书及其他根CA的交叉认证。
❖第二层CA:(品牌CA或政策CA)❖对于Set CA 体系称为品牌CA,用来颁发地域CA、支付网关CA、商家CA、持卡人CA 的证书。
❖对于Non-Set CA 体系称为政策PCA,根据RCA的各种规定,制定具体政策、管理制度及各地规范,签发第三层CA的证书,管理其发放的证书及CRL。
❖第三层CA:(用户CA)❖根据CA制定的政策和第二层CA的具体规定,直接给最终用户(持卡人、商家、企业、支付网关)发放各种应用的数字证书,并管理其发放的证书及CRL。
❖Set CA 体系结构❖Non-Set CA 体系结构PKI CA系统❖中国金融CA系统分为证书操作子系统CA和业务受理审核子系统RA。
❖核心部分CA是集中管理,RA是分布在各银行管理。
❖RA按照RCA制定的政策和管理规范的规定对用户的资信进行审查;❖向第三层CA申请为用户签发证书,❖根据需要设置下一级审核机构LRA,并管理受理点LRA。
❖受理点LRA对用户提交的资料进行审核,决定是否发放证书。
❖功能有接收用户的申请,录入用户资料;审核用户申请资料,批准或否决;为用户发放证书介质。
❖SET证书类型:持卡人证书、商户证书、支付网关证书❖Non-SET证书类型:个人普通证书、个人高级证书、企业高级证书、服务器站点证书❖离线申请方式;❖在线申请方式;❖Entrust/PKI Web 证书申请:在线或离线❖Entrust/PKI 企业证书申请:面对面方式❖离线审核方式;将手工录入的用户信息进行人工审核❖在线审核方式;将手工录入的用户信息与银行原有信息进行自动审查核对。
❖用户的密钥及有关证书的所有数据信息,都要进行归档处理以便查询。
❖使用目录服务器系统存储证书和CRL,保存期为7年。
❖上级CA对下级CA的管理功能。
❖拥有完善的管理手段和管理界面。
❖具有远程管理和维护功能。
❖自身证书的查询。
❖CRL查询❖操作日志查询❖统计报表输出5 金融CA系统的安全体系❖金融CA系统的安全体系组成❖1.环境安全:是系统安全的基础,要选择适当设施位置,考虑水灾、地震、电磁干扰与辐射、人为因素、电源等因素。
❖2.物理安全:CA系统中微机和主机、LAN服务器等资源要严格管理,要授权和监控。
❖3.网络安全:根CA和第二层要离线操作,不连接互联网。
将网络划分为公共区、操作区和“军事区”,层层加防火墙和实时监控。
❖4.主机安全:在金融系统中,主机系统有CA服务器、目录服务器、Web服务器等。
有双机备份,自动恢复和检测。
❖5.CA产品安全:Entrust的PKI产品❖6.操作安全规则:制定相应CA规则对CA签发证书、RA审核证书的操作❖7.人员管理安全:直接威胁内部人员,操作不当或信息失密,管理员密码双登录。
❖8.安全策略:①管理安全策略:建立严格的管理规程。
②数据安全策略:最重要是CA 的私钥,其次是用户数据。
③系统安全策略:制定安全可靠的认证证书操作说明书(CPS)即认证实施说明,定义CA的政策和规范,出现争端时提供法律保护。