中国金融认证中心介绍

中国金融认证中心介绍

中国金融认证中心（China Financial Certification Authority英文简称CFCA），是由中

国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、

中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、

福建兴业银行、上海浦东发展银行等十四家全国性商业银行共同建立的国家级权威金融认证

机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机

构。

中国金融认证中心专门负责为电子商务的各种认证需求提供数字证书服务，为参与网上交易

的各方提供信息安全保障，建立彼此信任的机制，实现互联网上电子交易的保密性、真实性、

完整性和不可否认性。同时参与制定有关网上安全交易规则，确立相应技术规范和运作规范，

提供网上支付，特别是网上跨行支付的相互认证等服务。 中国金融认证中心认证系统

采用基于PKI（公钥基础设施）技术的双密钥机制，在保证核心加密模块国产化的前提下，

通过国际招标建立了具有世界先进水平的认证系统，并通过了国家信息安全产品测评认证中

心的安全评测。CFCA认证系统具有完善的证书管理功能，提供证书申请、审核、生成、颁发、

存储、查询、废止等全程自动审计服务。目前CFCA具有覆盖全国的认证服务体系，提供多

种用途的证书和信息安全服务，支持金融领域及其他各界用户的应用需求，包括网上购物、

网上银行、网上证券、网上保险、网上申报缴税、网上购销和其他安全业务（OA、MIS）等

等，CFCA证书全面支持电子商务的各种业务运作模式。

中国金融认证中心的突出特点是其金融特色，CFCA证书发放前须经过金融机构审批以规避交

易中可能发生的支付风险，证书申请者必须具备合格的金融资信和支付能力才能获得CFCA

证书。此外CFCA证书实现了不同银行之间、银行与客户之间信任关系的连接与传递，为全

面解决网上安全支付提供了有力支持。目前，CFCA证书已实现了网上银行业务的跨行身份认

证，用户只需持有一张CFCA证书，即可在多个银行的网银系统中进行身份鉴别。不久的将

来，在CFCA与联合共建银行的努力下，使用一张CFCA证书即可进行网上跨行查询、转账、

支付等业务，这将极大的促进网上银行和电子商务支付业务的蓬勃发展。

中国金融认证中心的建立是我国电子商务走向成熟的重要里程碑，尤其是对我国网上银行、

电子商务的深入发展起着巨大的推动作用。面对网络经济新浪潮，中国金融认证中心立在足

于技术、市场、管理、服务创新的基础上，积极为用户营造与国际接轨的安全高效的网络信

任平台。一流技术、专业服务，CFCA将持之以恒地为中国信息化发展保驾护航！

中国金融认证中心（CFCA）成立五周年大事记

★ 1998年9月，首都电子商务工程领导小组第二次会议议定，为解决电子商务网上支付安全问题，

由中国人民银行牵头组织全国各家商业银行建设金融统一CA--中国金融认证中心（英文简称

CFCA）。

★ 1999年2月18日，第八次金融信息化领导小组批准建设金融CA工程。

★ 1999年8月30日，在中国大饭店举行金融CA系统工程签约仪式，并正式开工。

★ 2000年5月，CFCA金融安全认证系统圆满竣工。

★ 2000年6月20日，CFCA认证系统密码模块本地化通过国家密码管理局的安全性审查。

１

★ 2000年6月29日，中国金融认证中心（CFCA）挂牌成立，系统开通运行。北京市刘淇市长、中

国人民银行吴晓玲副行长以及各界领导、来宾百余人出席挂牌暨开通仪式。

★ 2000年11月7日 －12月1日：CFCA联合系统承建商举办了历时24天的"中国电子商务与安全

认证--中国金融认证中心全国巡展"，得到中国人民银行科技司的大力支持。途经上海、沈阳、成都、

深圳、广州、北京6城市，轰动社会各界。

★ 2001年7月16日，CFCA开通666客户服务热线，建立三级支持服务体系。

★ 2001年8月，CFCA开始面向社会推出手机证书、VPN证书、时间戳服务。

★ 2002年7月，CFCA与首家经中国人民银行批准在境内经营全面外汇业务及规定项目下的人民币

业务的合资银行--华一银行正式签约，其网上银行业务中全面使用CFCA证书。

★ 2002年8月，经过一年零七个月测试，CFCA证书系统通过中国信息安全产品测评认证中心的测

评认证。

★ 2002年9月，CFCA推出新一代无客户端安全代理软件--TruePass。

★ 2003年4月， CFCA国产PKI/CA系统建设被列入国家863计划。

★ 2003年6月，CFCA数字证书月发放量突破万张。累计突破12万张。

★ 2004年3月，CFCA并入中国银联股份有限公司，成立银联金融认证中心有限公司，注册资金达

8800万。

★ 2004年12月，CFCA通过ISO9000质量管理体系认证。

★ 2004年12月7日，国产PKI/CA系统正式对外提供服务，向厦门电子商务股份有限公司发放了

第一张证书。

★ 2004年12月10日 、2005年4月23日，国产PKI/CA系统先后顺利通过国家密码管理局的安全

性审查和技术鉴定。

★ 2004年底，CFCA启动新基地和灾难备份中心建设工程。

★ 2005年5月20日，国产PKI/CA系统通过国家科技部863项目验收。

★ 2005年5月8日，CFCA客户服务热线正式并入中国银联客服热线95516，进一步加强了客户服

务力度，提高了客户服务的有效率。

★ 2005年6月，CFCA数字证书发放总量突破50万张。

CFCA体系结构

２

CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政

策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发

放证书。运营CA由CA系统和证书注册审批机构（RA）两大部分组成：

CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复

与管理、证书认定和政策制定，CA系统设在CFCA本部，不直接面对用户；

RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书；一般

设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点（LRA）

设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构，RA系统可

方便集成到其业务应用系统。

CFCA认证系统在满足高安全性、开放性、实用性、高扩展性、交叉认证等需求的同时，

从物理安全、环境安全、网络安全、CA产品安全以及密钥管理和操作运营管理等方面均按国

际标准制定了相应的安全策略；专业化的技术队伍和完善运营服务体系，确保系统7X24小

时安全高效、稳定运行。

CFCA证书种类

CFCA证书产品，是定位于互联网之上的应用类安全产品，证书应用在与用户各

自的业务系统的无缝结合的基础上，能为用户提供身份识别、数据加密、访问控制

等全方位安全信任服务，确保互联网上真实可信的网络应用，证书按用途可分为：

３

企业高级证书 个人高级证书

企业普通证书 个人普通证书

服务器证书 手机证书

安全E-mail证书 VPN设备证书

代码签名证书

CFCA证书主要应用领域

CFCA力求卓越，以贴近客户的专业化定制服务形成行业内的知名品牌，使CFCA在所涉及的各

个领域始终保持着生生不息的活力。CFCA已在国内十余家全国性商业银行、近20家券商建成覆盖

全国的认证服务体系，业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商

务平台等金融和非金融行业：

◆银行领域◆

·中国工商银行 ·中国农业银行 ·中国建设银行 ·交通银行 ·中信实业银行

·中国光大银行 ·华夏银行 ·中国民生银行 ·广东发展银行·深圳发展银行

·兴业银行 ·浦东发展银行 ·华一银行 ·东亚银行

·深圳市商业银行 ·上海银行 ·天津市商业银行 ·武汉市商业银行

·温州市商业银行 ·宁波市商业银行·柳州市商业银行 ·金华市商业银行

·威海市商业银行 ·包头市商业银行·深圳市农村信用合作社联合社

·重庆市商业银行 ·乌鲁木齐市商业银行 ·恒丰银行

◆证券领域◆

·中银证券 ·蔚深证券 ·中信证券 ·山西证券 ·河北财达证券

·闽发证券 ·湘财证券 ·华鑫证券 ·中富证券 ·新时代证券

·国都证券 ·金信证券 ·兴业证券 ·兴安证券 ·渤海证券

·国元证券 ·广发证券 ·申银万国证券

◆基金领域◆

·华安 ·华夏 ·国泰 ·长盛 ·中融 ·博时 ·深圳宝盈

·社保基金·南方 ·鹏华 ·嘉实 ·大成 ·长城基金·富国

·国联安 ·中信 ·巨田 ·诺安 ·易方达 ·招商 ·申万巴黎

·中国银行·天弘

◆企业集团和财务公司◆

·鞍钢集团 ·攀钢财务公司 ·中油财务公司 ·中远财务公司

·中国铝业 ·中航财务公司 ·中煤能源 ·万向财务公司

４

·合肥荣事达 ·首钢总公司 ·一汽财务公司 ·玉柴营销

·华润集团 ·上海汽车财务公司 ·中石油重庆分公司 ·首都机场集团

·登封电厂 ·东风汽车 ·贵州航空财务公司 ·海航集团财务公司

·经纬纺织 ·上海大学 ·内蒙远兴天然 ·双汇实业

·三峡财务公司 ·冀东水泥 ·西飞财务公司 ·三江航天财务公司

·吉林森工财务公司 ·湘潭钢铁集团 ·中国水利水电第八工程局 ·中山大学

·陕西水电工程集团 ·中国重汽财务公司 ·中国电子财务有限公司

·苏宁电器中冶集团 ·广东广业资产管理集团

◆其它领域◆

·北京国税 ·无锡国税 ·海口地税

·人行国库系统 ·上海人行外汇申报系统 ·调统司金融统计信息交换平台

·票据清分系统 ·人行北京营管部信息之窗 ·人行清算中心反洗钱系统

·人行货币发行系统 ·中央国债登记系统 ·中国银联新系统

·银联厦门分公司 ·银联大连分公司 ·银联广州分公司

·深圳金融电子结算中心 ·中国银联网上差错查询系统和信息共享系统

·厦门市房地产交易权籍登记中心·海南国际金融网络有限公司

５

中国金融认证中心（CFCA）--网络信息安全守护神

一、 什么叫CA (TOP)

CA是认证中心的英文Certification Authority的缩写。它为电子商务环境中各个实体颁发数

字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；它是电子商务和网上银行

交易的权威性、可信赖性及公正性的第三方机构。

二、 中国金融认证中心的建设 (TOP)

中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银

行牵头，联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中

信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参

加建设，由银行卡信息交换总中心承建的。

为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过

程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种

信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方

必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、

银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都

需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA---China

Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责

为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，

为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织

并参与有关网上交易规则的制定，以及确立相应的技术标准等。

金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和

Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。

三、 中国金融认证中心的目标 (TOP)

中国金融CA建立了SET CA及Non-SET CA两大体系。Non-SET CA 体系亦称PKI CA 系统。其

宗旨是向各种用户颁发不同种类的数字证书，以金融行业的可信赖性及权威性支持中国电子商务的

应用、网上银行业务的应用及其他安全管理业务的应用。

金融CA建设初期尚属试点工程，规模不大，但功能齐全，近期预计每年发放15万张Non-SET

证书(其中企业证书3万张，其余为WEB、SSL证书等)；SET证书10万张，企业2万张,个人8万张,SET

证书支持SET 1.0 扩充版功能，既支持信用卡,又支持借记卡及PIN的处理。当CA完善后，扩大其

应用范围，可发放S/MIME、VPN及特制X.509 证书等。还将发放支持无线WAP协议的证书。

中国金融CA所适应的业务应用模式，无论是网上银行或是网上购物都支持B to C、B to B以

及B to G (Government)的模式。

四、 中国金融CA的结构 (TOP)

６

1、 Non-SET 系统

Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个

应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证

书)，Non-SET 系统分为两部分。

Non-SET -CA 系统分为三层结构，第一层为根CA ，第二层为政策CA ，第三层为运营CA 。

Non-SET-CA , 系统架构图如下：

2、 RA 系统

系统分为CA本地RA和CA远程RA。本地RA审批有关CA一级的证书、接受远程RA提交的已审

批的资料。远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点。RA系统架构

图如下：

五、 CFCA的功能 (TOP)

CFCA是采用目前国内外先进技术，按国际通用标准开发建设的，它具有对用户证书的申请、

审核、批准、签发证书及证书下载、证书注销、证书更新等证书管理功能。证书符合ITU的X.509

国际标准。提供具有世界先进水平的CA认证中心的全部需求。归纳起来有以下几个方面：

1． 证书的申请

·申请方式：

７





离线申请方式

在线申请方式

2． 证书的审批





离线审核方式

在线审核方式

3． 证书的发放





离线方式发放

在线方式发放

4． 证书的归档

5． 证书的撤销

6． 证书的更新





人工密钥更新

自动密钥更新

7．证书废止列表的管理功能( CRL )







证书废止原因编码

CRL的产生及其发布

企业证书及CRL的在线服务功能

8．CA的管理功能

9．CA 自身密钥的管理功能

六、 应用实例 (TOP)

七、 PKI Non-SET 证书的优势 (TOP)

CFCA的non-SET CA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优

势在于：

1. 技术优势

（1） CFCA的Non-SET CA 系统是引入当今世界先进水平的加拿大Entrust 公司的产品。Entrust 公

司具有十五年的PKI开发经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司( Entrust、

Verisign、Baltimore )之－，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。

（2） Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥;

８

（3） 在浏览器与服务器间实现双方认证，提高身份认证的安全性,为访问控制提供了可能；

（4） 增强了浏览器与服务器之间数据传输加密强度， 由原本40位对称算法加密提高到了128位。

并且提供了改变算法 的函数库。

（5） 具有数字签名功能，实现了传送者对信息的签名， 提供了抗否认性；

（6） 浏览器与客户代理之间，服务器与服务器代理之 间采用HTTP连接，而两个代理之间的通信

采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的

安全性。SPKM协议现已成为国际标准；

（7） 客户端、服务器端实现自动在线CRL查询。CRL 是证书作废列表，为了减少交易或传输的风

险，在交易之前，能自动 查询各自的证书是否上了作废的黑名单，如果证书已无效，则系统自动拒

绝交易，以保证交易的安全性；

（8） 签字公钥可自动置于目录服务器中，实现用户自 动检索。

（9） 完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能；

（10） 存储历史文档，支持全程的审计功能。对每次交易，传输都留有记录，特别是历次数据签名

都存有历史文档，以备 审计查询；

（11） 提供时间戳功能。在数据签名或加信息等操作时，使用时间服务，以保证所有用户的时间一

致；

（12） 证书除存放在机器硬盘、随身软盘而外，也可存 放于IC卡（CPU卡）中，以保证证书的本

身的安全性；

以上列出的这些CFCA Entrust/Direct 证书及其代理软件（DIRECT PROXY）的优点，这些特点

是与国内其他同类产品相对 比较得出的。国内有些公司开发的代理软件其功能各异，一般浏览 器/

服务器的代理软件只是解决了128位对称加密强度问题，而没有 数字签名功能，没有证书管理以及

在线CRL查询功能等等。因此，解决网上银行和电子商务应用中的 B to B 模式， 而采用中国金融

认证中心的高级/企业级证书，是最好的选择，在技 术上不但具有可能性而且具有可行性。

2. 政策保证方面的优势

（1）中国金融CA（CFCA）是人民银行牵头，十二家商业银行（工、农、中、建、交、中信、光大、

华夏、招商、广发、深发、民生）参加联合共建的中国金融认证中心。遵循了"统一规划联合共建，

先作试点逐步发展，技术先进功能全面，落实应用快字当先"的原则。建设金融CA是中国电子商务

的基础建设，其宗旨是：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。因而CFCA

具有很高的权威性。

（2）证书是一种权威性的电子文档。它应由公认的、 被授权的权威机构所颁发，是网上交易、传

输业务的身份证明，用于证明某个应用环境中某一主体（人或机器）的身份及其公开密钥的合 法性。

要想使证书获得这种可信赖和权威性，就必须拥有一个可信 赖的权威的机构来颁发证书，作为认证

的第三方。

９

（3）建立CFCA也包括制定"证书运作管理规范"（CPS），它应由人民银行支付科技司批准，在中国

目前电子商务法律环境尚不健全的情况下，CPS的制定就显得异常重要，CPS实际上 是认证中心的

法规。

（4）CFCA在安全方面也具有突出优势。为了保证认 证中心的安全，金融认证中心专门建了一幢独

立的建筑；CFCA的机 房采取了严格的符合国际标准的措施。机房六面墙体(四面墙和天花 板、地

板)都采用无缝钢板进行屏蔽，安装了高级监控设备，装置了 严格的门禁设备，制定了完善的安全

制度。另外，在CFCA的网络 安全策略上。将整个CFCA系统划分成不同安全等级的区域，有些可以

由外界通过公网进行访问，有些则只能由特许人员访问，以确保系统 的安全性。网络系统中还安装

了世界先进的黑客入侵检测预警系统,以抵御黑客的攻击。

证书定义

证书是一个经证书认证机构（CA）数字签名的包含用户身份信息以及公开密钥信息的电子文件。

是各实体(消费者、商户/企业、银行等)在网上进行信息交流及商务活动的电子身份证。 ---证书可用

于：安全电子邮件、网上缴费、网上炒股、网上招标、网上购物、网上企业购销、网上办公等安全

电子商务活动

证书种类及用途

除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书的功能不

同，证书有不同的分类：

◎企业高级证书--适用于企业作金额较大时的B2B网上交易，安全级别较高，可用于数字签名和信

息加密。

◎企业普通证书--适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别

较低，建议用于金额较小的网上交易。

◎个人高级证书--适用于个人作金额较大的网上交易，安全级别较高，可用于数字签名和信息加密。

◎个人普通证书--适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别

较低，建议用于小额的网上银行和网上购物。

◎Web Server证书--适用于站点服务器提供金额较小的B2C网上交易，若一个网站要提供B2B交易

时，应申请Direct Server证书，并配合Direct Server软件来保证它的安全性。

◎Direct Server证书--用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对

Web Server的保护使用。

CFCA证书功能及特点

1. 实体的鉴别：

通过CFCA签发的数字证书，使电子交易的各方都拥有合法的身份，在交易的各个环节，交易

的各方都可验证对方数字证书的有效性，从而解决相互信任问题。

2. 保证电子交易中信息的保密性：

信息泄漏主要指交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三

方非法使用，通过对信息进行加密，从而解决了这方面的问题。

１０

3. 保证电子交易中数据的真实性和完整性：

电子交易信息在网络上传输的过程中，可能被他人非法的修改、删除或重放（指只能使用一次

的信息被多次使用），这方面的安全性是由身份认证和信息的加密来保证的。

4. 支持不可否认性：

CFCA的高级证书中使用了一套专门用来进行签名／验证的密钥对，以保证签名密钥与加密密

钥的分隔使用。对签名／验证密钥对中用来签名的私有密钥而言，其产生、存储和使用过程必须安

全，且只能由用户独自控制。

5. 密钥历史记录：

CFCA能无缝地管理密钥历史记录，并在检索以前加密的数据时，能透明地使用其相应的密钥

进行解密，因此，企业和用户就再也不用担心无法访问其历史数据了。

6. 密钥备份与恢复：

CFCA的高级证书系统提供了备份与恢复解密密钥的机制。需注意的是，密钥备份与恢复只能

针对解密密钥，签名私钥不能够作备份。

7. 密钥自动更新：

CFCA的高级证书系统能实现完全透明的、自动（无须用户干预）的密钥更换以及新证书的分

发工作。

8. CRL查询：

证书目录服务器中，提供客户端---服务器端自动在线证书撤消列表（CRL）的实时查询和自动

检索。

9. 时间戳：

支持时间戳功能，确保所有用户的时间一致 。

10. 交叉认证：

CFCA的系统中所采用的网络信任域模型，使得单位除了可完全控制自己的信任域外，也可通

过接纳其他单位而扩展自己的信任域。

什么是认证中心

电子商务是依托开放的互联网进行的，随着电子商务的飞速发展，为了保证互联网上电子交

易及支付的安全性（保密性、真实完整性和不可否认性），防范交易及支付过程中的欺诈行为，除了

采用更强的加密算法等措施以保证信息在传输过程中的安全之外，还必须在网上建立一种信任机制，

使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证

的身份标识，即数字证书。同时，还可通过证书传递密钥，解决信息传输中的加密问题。认证中心

即CA中心（Certificate Authority）的建立，则可以对用户的电子身份进行公正、权威和可信任的确

认。

 CA（Certificate Authority）中心是所有合法注册用户所信赖的具有权威性、信赖性及公正性的

第三方机构，负责为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责

在交易中检验和管理证书；用户拥有自己的公钥/私钥对。证书中包含有证书主体的身份信息、其公

钥数据、发证机构名称等，发证机构验证证书主体为合法注册实体后，就对上述信息进行数字签名，

形成证书。 在公钥证书体系中，如果某公钥用户需要任何其它已向CA注册的用户的公钥，可直接

向该用户索取证书，而后用CA的公钥解密解密即可得到认证的公钥；由于证书中已有CA的签名

１１

来实现认证，攻击者不具有CA的签名密钥，很难伪造出合法的证书，从而实现了公钥的认证性。

证书种类及用途

除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书的功能不

同，证书有不同的分类：

◎企业高级证书--适用于企业作金额较大时的B2B网上交易，安全级别较高，可用于数字签名和信

息加密。

◎企业普通证书--适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别

较低，建议用于金额较小的网上交易。

◎个人高级证书--适用于个人作金额较大的网上交易，安全级别较高，可用于数字签名和信息加密。

◎个人普通证书--适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别

较低，建议用于小额的网上银行和网上购物。

◎Web Server证书--适用于站点服务器提供金额较小的B2C网上交易，若一个网站要提供B2B交易

时，应申请Direct Server证书，并配合Direct Server软件来保证它的安全性。

◎Direct Server证书--用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对

Web Server的保护使用。

CFCA证书的存放方式

证书可以存放在机器硬盘、随身软盘、IC卡或CPU卡中。

证书存放方式的介绍

用户证书在机器硬盘中存放时使用方便，但存放证书的PC必须受到安全保护，否则一旦被攻

击，证书就有可能被盗用。

使用软盘保存证书，被窃取的可能性有所降低，但软盘容易损坏。一旦损坏，证书将无法使用。

IC卡中存放证书是一种较为广泛的使用方式。因为IC卡的成本较低，本身不易被损坏。但使

用IC卡加密时，用户的密钥会出卡，造成安全隐患。

使用CPU卡存放证书时，用户的证书等安全信息被加密存放在CPU卡中，无法被盗用。在进

行加密的过程中，密钥可以不出卡，安全级别最高。但相对来说，成本较高。

证书格式内容

证书内容包括申请证书个体的信息和发行证书CA签名的信息，CFCA发放的数字证书均遵循ITU

X.509 V3标准。

证书版本号（Certificate Format Version）

证书序列号（Certificate Serial Number）

标准域

签名算法标识（Signature Algorithm Identifier

for CA）

证书签发者CA名称（Issuer X.500 Name）

１２

证书有效期（Validity Period）

用户名称（Subject X.500 Name ）

用户公钥信息（Subject Public Key

Information）

CA的公钥标识（Authority Key Identifier）

用户的公钥标识（Subject Key Identifier）

证书中的公钥用途（Key Usage）

扩展域

CA承认的证书政策列表（Certificate

Policies）

CRL的签发者（Issuer）

失效期（Invalidity Date）

…………

自定义域 …………

CA签名 …………

CFCA证书功能及特点

1. 实体的鉴别：

通过CFCA签发的数字证书，使电子交易的各方都拥有合法的身份，在交易的各个环节，交易

的各方都可验证对方数字证书的有效性，从而解决相互信任问题。

2. 保证电子交易中信息的保密性：

信息泄漏主要指交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三

方非法使用，通过对信息进行加密，从而解决了这方面的问题。

3. 保证电子交易中数据的真实性和完整性：

电子交易信息在网络上传输的过程中，可能被他人非法的修改、删除或重放（指只能使用一次

的信息被多次使用），这方面的安全性是由身份认证和信息的加密来保证的。

4. 支持不可否认性：

CFCA的高级证书中使用了一套专门用来进行签名／验证的密钥对，以保证签名密钥与加密密

钥的分隔使用。对签名／验证密钥对中用来签名的私有密钥而言，其产生、存储和使用过程必须安

全，且只能由用户独自控制。

5. 密钥历史记录：

CFCA能无缝地管理密钥历史记录，并在检索以前加密的数据时，能透明地使用其相应的密钥

进行解密，因此，企业和用户就再也不用担心无法访问其历史数据了。

6. 密钥备份与恢复：

CFCA的高级证书系统提供了备份与恢复解密密钥的机制。需注意的是，密钥备份与恢复只能

针对解密密钥，签名私钥不能够作备份。

7. 密钥自动更新：

CFCA的高级证书系统能实现完全透明的、自动（无须用户干预）的密钥更换以及新证书的分

１３

发工作。

8. CRL查询：

证书目录服务器中，提供客户端---服务器端自动在线证书撤消列表（CRL）的实时查询和自动

检索。

9. 时间戳：

支持时间戳功能，确保所有用户的时间一致 。

10. 交叉认证：

CFCA的系统中所采用的网络信任域模型，使得单位除了可完全控制自己的信任域外，也可通

过接纳其他单位而扩展自己的信任域。

CFCA高级证书在B2B交易中的特点

双密钥对体系

使用一套密钥对时，对应于是否集中备份用户的私有密钥，会出现两种结果：

若不将用户的私有密钥集中备份，一旦用户忘记了自己读取私有密钥的口令或其私有密钥因各

种原因而丢失，则用户就会因为无法解密那些已加密的数据，企业会因此而丢失一些重要数据。可

以想象，越是重要的数据，用户越是担心其无法解密而导致丢失；而用户的这种担心会促使他们对

重要的数据反而不进行加密保护，出现这种情况是非常危险而又具有讽刺意味的。

若将用户的私有密钥集中备份（由于纯CA产品不支持该功能，还得手工实现私有密钥的集中备

份），虽能克服上述的数据丢失的难题，但是这种功能是通过损害系统的不可抵赖性而获得的，因

为这时除了用户自己持有用来签名的私有密钥以外，系统也知道其私有密钥。

在B2B交易中使用的高级证书使用两套密钥，其中一对公开密钥/私有密钥用来做加/解密，另

一对公开密钥/私有密钥用来做验证/签名。由于使用了上述两套密钥的方案，前述困难迎刃而解：

将加/解密密钥对中作解密之用的私有密钥备份；在需要时，可根据系统的安全策略恢复出用户

的解密密钥，这样就能确保企业数据不会因无法解密而丢失。

对于验证/签名密钥对中用于签名的私有密钥，则不作备份。这时，只有用户自己拥有该私有密

钥，因而其不可抵赖性并未受到损害。

实时查询CRL

一般而言，可在CRL（证书废止列表）中查询到已作废的证书，而CRL也常存放在公开目录中。

仅仅将CRL公布在公开目录中是不能防止证书欺诈的，只有在每次使用证书时检查CRL才能确保证

书的有效性。如果将这种烦琐的证书验证工作交由用户手工完成，可能并不现实，用户会因为不知

道如何验证以及嫌麻烦而不去验证证书的有效性，其后果是可想而知的。总之，如果没有高效的废

除证书验证系统，可能会导致用户将敏感信息泄露给那些未经授权或不可信的用户。

在用户使用CFCA高级证书做B2B交易时，则透明地实现了对相应的CRL进行自动验证，从而确

保了使用的每张证书都是有效的、可信的。

１４

证书管理

使用证书库来分发证书。所谓证书库是证书的集中存放地,是网上的一种公共信息库,用户可以

从此处获得其他用户的证书和公钥。

构造证书库的最佳方法是采用支持LDAP协议（Lightweight Directory Access Protocol）的

目录系统,用户或相关的应用通过LDAP来访问证书库。使用目录系统来存放证书有很多好处：

· 应用能透明地检索用户的证书

· 能支持大量用户

· 能快速、高效地响应检索证书要求

· 可满足企业分布式需要，实现证书分布式分发

· 具有良好的扩展性

数字签名

现实世界中，在进行商务活动时，要使用签名或印章来防止当事人事后抵赖；与此类似，在网

络世界中进行各种类型的电子商务时，通过使用数字签名来保证当事人不能事后否认某项业务。因

此，在B2B交易中必须支持数字签名的不可抵赖性；而数字签名的不可抵赖性依赖于签名私钥的唯

一性和机密性,为确保这一点，CFCA发放的高级证书使用了一套专门用来进行签名／验证的密钥对，

以保证签名密钥与加密密钥的分隔使用。对签名／验证密钥对中用来签名的私有密钥而言，其产生、

存储和使用过程必须安全，且只能由用户独自控制。

安全连接（SPKM/CAST-128）

证书的一个典型的客户端应用就是WWW浏览，在WWW浏览器中至多可以植入30个CA的公开密

钥。当浏览器向WWW服务器发起一个典型的SSL（Secure Sockets Layer，安全封套层）会话时，

WWW服务器就会将其公开密钥证书发送给浏览器。于是浏览器就查询其预先植入的CA密钥列表，判

断该WWW服务器的公开密码证书是否由其中某CA签发。只要其中有一个CA与签发服务器证书的CA

相匹配，则认为该WWW服务器是可信的。

但当用户访问一个假冒的服务器站点时，尽管该站点看起来象用户想要访问的站点，但他所持

有的证书是由另外一个CA签发，而不是由给那个真实的站点签发证书的CA签发；尽管如此，只要

那个预先植入的列表中有一项与签发该证书的CA的公开密钥相匹配，则浏览器就会信任该假冒的服

务器站点。尽管对会话也进行了加密保护，但用户却在与一个假冒的站点通信，这就使得假冒者的

恶意行径能够得逞。当然用户可以手工删除其他CA的公开密钥，从而将浏览器配置成只信任单一一

个CA，但绝大多数用户都不会这样做；与此相反，用户自己常常会在浏览器中装载新CA的公开密

钥，而这个新CA的公开密钥就可能导致整个系统可信性的损坏。

用户使用CFCA证书进行B2B交易，在初始化和相互认证时，证书有效性要到CA的证书目录服

务器中查询，因此，该CA就成为唯一可信任的CA（使用交叉验证的情况除外）。由于用户无法识

１５

别其他CA的密钥，因而就不存在上述的薄弱环节，也因此就可以防止WWW站点的欺诈。

CFCA证书和用户应用结合

在B2B交易过程中，可以在Direct Server可以将用户的数字签名，用户的证书甄别名传给WEB

Server的服务器处理程序，服务器可以根据Direct Server传来的有关用户证书信息和数字签名做

相应的处理，目前Entrust公司提供Session TOOL kit，File Tool Kit，Java Tool kit. 客户可

以根据需要，在自己的应用处理中使用相应的工具包完成数据一致性的验证，用户身份和用户权限

的认定。从而把证书和自己的应用绑定在一起。

CFCA高级证书在B2B交易中的应用模式

在B2B交易中要使用CFCA发放的高级证书，使用高级证书的优点是：

· 双方认证

· 完整的密钥和证书生命周期管理体系

· 对用户而言，具有易用性和透明性

· 客户端、服务器端自动进行在线CRL检查

· 强大的密码机制

· 双重密钥对机制支持不可否认性

· 支持持久地全文审计跟踪

· 备有历史记录

· 使用基于IETF标准的解决方案（SPKM）

高级证书的应用模式图解

１６

CFCA证书在B2C交易中的应用模式

CFCA发放的普通证书在B2C的交易中被使用。

普通证书的使用请参见下图：

使用普通证书的优点是：

· 相对简单

· 双方认证

· 能够使用客户端软件进行电子邮件加密和对对象的数字签名

使用普通证书的缺点是：

· 那些不可管理的证书仍然需要用户介入进行更新

· 一对密钥，若选择密钥备份，则不支持不可否认性（建议对电子邮件的密钥进行备份）

· 依赖浏览器自身的密码强度

１７