统一金融认证体系　安全为重_河南金融财政学院贴吧

　　（CFCA李晓峰关振胜）在金融行业间，客户与银行、银行与银行在网上是如何相互取得信任？这必定需要一套统一的信任体系。 　　建立中国金融行业中统一的PKI体系是必要的，也是可行的。几年前，CFCA（中国金融认证中心）与工商银行已签约，要建立工商银行的子CA，将工行的网银数字证书，逐渐迁移到CFCA PKI体系中。经过一年的开发、改造和应用测试，现已上线。这就是说，建立中国统一的PKI体系的时机已经成熟，这是经过几年实践的经验和教训所得出的结论。
　　那么，中国的PKI体系该如何构建才是合理的，并且方便用户使用？换句话说，在众多银行之间，其客户与银行、银行与银行之间在网上是如何互相取得信任的？这种PKI的交叉认证和互联互通的信任模型应该如何构建呢？通过对各种信任模型的比较分析，我们认为目前最适合中国金融统一PKI认证模型结构的是严格层次模型。
　　在严格层次结构模型中，以CFCA根为金融统一根CA，各个商业商行的CA体系作为二级子CA机构。
　　
　　安全特点
　　
　　严格层次结构实际上是集中方式的树状结构，即以CFCA根CA作为全国金融认证中心的根CA，而各大型商业银行成为独立的子CA，其他中、小商业银行集中组成一个集中式CA。层次结构是最典型的PKI结构。在此结构下，存在一个信任锚，也是同一个信任起点，即“根证书中心（Root CA）”。RootCA向各家商业银行的子CA颁发根证书，这样商业银行的子CA就带着RootCA根证书，向它们的用户签发数字证书，形成了一个证书信任链，提供PKI安全服务。
　　层次结构的PKI/CA系统的优点包括:
　　1.可以达到金融统一认证体系的目的，利用CFCA现有的资源优势，将CFCA的一级CA作为全国金融CA的统一品牌的根CA。做到资源的最大利用，实现到跨行认证，从而达到跨行交易;
　　2.可以通过策略上的设置，在逻辑上区分不同银行的CA、确保各银行的自身业务特点，也可以塑造统一的品牌形象。同时，利用CFCA的强大技术优势，为目前现在没有条件建设CA的金融系统客户提供服务;
　　3.具有一个信任起点，互通互信过程简单，可以实现跨行交易，如跨行转账、跨行基金买卖，跨行通存通兑等;
　　4.层次结构的PKI系统易于维护和升级、易于增加新的商业银行的子CA认证中心，从而扩大网上银行的用户群;
　　5.证书路径简单的、明确，路径也相对较短。最长的路径等于树的深度加一: 每个从属CA的证书路径加上用户的证书;
　　6.在层次结构中，认证不一定要验证到根，如果是商业银行行内交易，则只需要认证到商业银行自己根CA的位置。就像现在各大商业银行的用户使用的证书，认证到该银行的根CA证书即可已取得信任一样。
　　层次结构的PKI也有一些缺点，如下:
　　1.它依赖于一个单一的信任起点，即“根CA” 。根CA是每个用户的信任起点，它的安全性极为重要。根CA服务器在向各子CA签发根证书之后，它处于脱机工作状态，私钥不出加密卡，安全保管是极其重要的，一旦出现问题，后果是灾难性的;
　　2.其次，由于PKI/CA的安全策略所规定，根CA证书的私钥的生命周期是有限的。在规定的时间内，更换根CA私钥要有一套严密的安全过程。根CA密钥的更换会导致整个PKI系统的根证书密钥的更换。
　　
　　逻辑构成
　　
　　统一金融PKI系统的层次逻辑结构如图一所示。
　　
　　金融统一认证体系的总体框架设计为三级结构。第一级为金融系统通用证书中心即全国金融根CA中心; 第二级为商业银行的二级营业子CA，根据加入银行的不同可设多个。四大商业银行可在逻辑上和物理上，独立设置CA服务器，各中小银行可逻辑上和物理上集中设置一个CA服务器。但是，无论独立和集中的子CA，必须设置在其总行审核的受理中心RA（Registration Authority）和RA体系的第二级结构――业务受理点LRA（Local Registration Authority。作为商业银行来说可设置在地市行或业务网点，根据业务量的需求可设多个。
　　各个银行建立的子CA可以根据自己的历史及现实情况，选择适当机制的CA结构产品，有时还要做必要的修改和优化。
　　图一是一个完整的严格层次结构逻辑结构，根CA之下是多个二级子CA，他们之间组成层次结构; RA是CA的延伸机构，在RA之下可连接多个LRA，RA与LRA之间也组成层次结构。他们是一个完整的PKI体系。这种结构特别适合中国金融界交易和资金清算的现状。
　　物理结构
　　因为金融统一认证体系在逻辑上是层次结构，但在物理上各个签发数字证书的运行CA可以是独立的。其物理结构大致相同，即包含签发服务器、证书库、密钥管理中心（KMC）和目录服务器。
　　根CA 在向各子CA颁发根证书后，它就脱机工作了。所以，各子CA在签发数字证书时之间是没有联系的，每个CA的物理结构是独立的体系。如果有跨行交易的需求，那它们是靠目录服务器连接起来的，见图二。
　　
　　金融CA是典型的CA物理组成。它包括证书签发服务器，负责向客户签发数字证书; 数据库服务器是存储客户的数据和证书信息; 每个CA必须具备自己的加密机模块，产生本CA的公私密钥对和对称密钥，私钥不出卡; CA还包括一个目录服务器，用以证书和CRL的发布，以便供应用时查询，此外就是供操作员用的管理终端。
　　目录结构
　　金融CA的目录服务器是极其重要的，因为它是24×7小时的应用。金融CA的目录服务器是一个树状结构。根据目前情况组成二级结构即可，第一级为根CA的主目录，第二级为各商业银行的运行CA目录，其结构如图三所示。
　　
　　金融统一CA的目录结构，首先支持各商业银行自己内部网银交易查询，在实现跨行交易后，可实现各目录之间智能化自动查询。
　　证书标准化问题
　　建设金融CA统一认证应用体系，除上述CA的合理结构、合理机制之外，还有数字证书统一标准的问题，以便实现证书通用。金融CA统一签发的证书，即能在本行系统内交易使用，也可在跨行交易中使用。其中，关键问题是证书DN的标准化设计问题。
　　成员行识别标志
　　针对不同的成员行要有不同的标识。各家商业银行要建统一机制的RA系统，才能保证RA系统用统一、规范的DN标准。如果DN不规范，DN不统一，会影响到证书的规范管理和跨行业应用。因此，DN标准化是非常必要的。
　　DN标准化的基本要求: 充分考虑各行RA所采用的DN标准，加以综合; 充分考虑到证书跨行应用对DN的要求; 尽量减少对现有证书用户的影响; 目前，要兼容各行CA证书和统一CA证书。
　　DN的技术说明
　　DN（Distinguished Name）: 唯一名，在数字证书的主体名称域中，用来唯一标识用户的X.500名称，通常包括CN、OU、O、C等组成部分。
　　CN（Common Name）: 公用名，在DN中常用来表示用户名。
　　OU（Organization Unit）: 组织单元，在DN中常用来表示部门，在同一CA系统中，可有多个OU，分别表示各商业银行RA申请签发的证书类型。
　　O（Organization）: 组织，在DN中常用来表示权威机构，在统一金融CA系统中表示统一金融CA，即CFCA。
　　C（Country）: 国家，在DN中用来表示国别，在我国即表示国家根CA。
　　DN标准的设计
　　证件类型编码: 在CN中表示的是用户唯一标识，所以，除有单位和个人唯一实名外，还必须具有与其对应的证件及其编码。N中所包含的证件类型通过一个字符的编码形式来体现。
　　DN构成: DN的具体内容依次由CN、OU、OU、O、C五部分组成。其中CN用来表示用户名，OU用来表示证书类型，OU用来表示各商业银行的RA的英文/拼音名简称，O用来表示CA名称、C用来表示国家。
　　DN规则: 目前已有RA系统所颁发的用户证书包括个人普通证书、个人高级证书、企业普通证书、企业高级证书、WWW服务器证书、LRA操作员证书、代码签名证书。
　　此种方案的优点是: 可以通过DN区分是否为其成员; 保持证书的规范化; 满足了成员单位的证书标志的要求; 户投资少见效快; 好管理; 资金投入少，系统安全性高。
　　
　　背景
　　资料
　　
　　早在1998年6月，中国人民银行、中国工商银行、中国银行成立了首都电子商务工程领导小组。同年10月领导小组会议决定，由中国人民银行联合各家商业银行，负责建设金融认证中心和支付网关。
　　在中国人民银行的领导下，组织成立了金融CA工程项目组。当时有工行、农行、中行、建行、交行、招行等12家商业银行以书面形式要求成为金融CA的发起行，并派人加入了项目小组。项目小组做了大量的需求调研工作，完成了“金融认证中心需求分析”、“金融认证中心工程实施方案”。
　　人民银行金融信息化领导小组通过了上述两个文件，并成立了项目小组，从1999年经过国内外招标、阅标、评标，最后确定系统提供商。经过不到一年时间的安装、调试和开发，于2000年6月正式开通运行，中心正式命名为“中国金融认证中心”（CFCA）。