《网上支付与结算》实验报告四.docx

1、网上支付与结算实验报告四网上支付与结算实验报告四开课实验室： 商学院实验中心 2013年5月7日学院商学院年级、专业、班电子商务101姓名成绩课程名称网上支付与结算实验项目名 称CA认证机构调查指导教师教师评语教师签名：年 月 日一、实验目的掌握CA证书的使用方法二、实验内容1.到专门的认证中心如中国数字认证网（）、北京数字证书认证中心（）等下载数字证书并了解其服务。下载、安装和使用CA证书，尝试导入和导出CA证书。2.利用下载的证书在outlook或者Foxmail软件中发送带数字证书的邮件（在网上搜索如何发送带数字证书的邮件）3.登陆中国金融认证中心网站（），了解CFCA提供的认证功能，了

2、解CFCA所采用的PKI技术和SSL协议，通过网站上的案例了解CFCA的认证特点和优势，尝试申请CFCA证书。三、实验结果及分析（自己的体会及流程改进建议）1. 怎样知道已经成功取得了试用型个人数字证书并已安装到自己的计算机上？ 2. 当前我国的CA认证行业的发展有什么特点电子商务、电子政务对网络安全的要求，不仅推动着互联网交易秩序和交易环境的建设，同时也带来了巨大的商业利润。从1999年8月3日成立的我国第一家CA认证中心中国电信CA安全认证系统起，目前我国已有140多家CA认证机构。但大都不具备合法身份。从2004年8月8日中华人民共和国电子签名法颁布以后，已被信息产业部审批的合法CA机构

3、已有22家。其中一些行业建成了自己的一套CA体系，如中国金融认证中心（CFCA）、中国电信CA安全认证系统（CTCA）等；还有一些地区建立了区域性的CA体系，如北京数字证书认证中心（BJCA）、上海电子商务CA认证中心（SHECA）、广东省电子商务认证中心（CNCA）、云南省电子商务认证中心（CNCA）等。中国CA市场从零到起步,尽管取得了重大的发展，但还是一个需要逐步实践与规范的过程,只有正视当前存在的问题,脚踏实地做工作,CA认证市场才能取得健康快速发展。 （1）安全问题。一是支付的技术安全问题：许多做CA产品的厂商目前讲的安全基本上是指解决了加密和签名的问题,其实CA涉及的安全远不止这些

4、。因为CA跟密码不一样,它不是放在一个台上面独立的屋子里面就能运行的,而是处于动态运行和实时运行的一种环境。特别是大部分计算机硬件设备主要依靠从国外进口,许多国产的安全产品其核心技术也是外国的,这些都成为网上支付安全的隐患。二是支付的信用安全问题：各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利,所以各网上银行彼此授信建立互联网络仍需加强。 （2）缺乏协调统一的规划设计和没有行业技术标准各个认证中心都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面

5、临很大困难。认证中心的理想状态是全国建立一个统一认证体系,由若干个机构来颁发证书。要实现全国统一认证需满足以下条件 构建统一的认证体系、执行共同的证书认证标准和统一的实施策略、建立配套的法律法规环境等。另外,不同行业认证需求也不同,有些行业除了要求网上身份鉴别的基本需求外,还要求在证书中包含有行业信息,如银行目前使用的协议就只是面对银行应用的协议。在这个协议中规定了证书中某一个字段对应银行卡的卡号,所以只能在银行业使用,不适合其他行业。从目前来看,只有网上身份认证可以实现互联互通。从技术的角度来讲,国家可以建一个统一的根CA如美国的邮政CA,其他各地各行业的CA设置在这个根CA之下,信任链可以

6、通过根CA交汇在一起,从而实现互通。 （3）相关行业法规的建立健全问题电子商务这一全新的商务模式发展迅猛,使得世界各国原有的法律体系出现了漏洞和空白点,所以用法律手段规范电子商务支付结算中的基本关系是当务之急。尽管中国金融CA在建立的同时也制定了“证书运作管理规范”（CPS,在中国目前电子商务法律环境尚不健全的情况下,CPS实际上就是认证中心的法规,但机构级别的规范毕竟不能代替行业法规,一旦发生电子商务引起的大额经济纠纷,法律缺失情况下的认定方式必将引起一系列的连锁反应,对电子商务及相关行业的发展可能产生不同程度的消极影响。3. 和国外的顶级CA认证企业存在哪些差距？（1）技术层面上并没有形成

7、统一的标准，“互联互通”需要进一步加强。在技术层面上，由于受到美国出口限制的影响，国内的CA认证技术完全靠自己研发。又由于参与部门很多，导致标准不统一，既有国际上的通行标准，又有自主研发的标准，即便是同样的标准，其核心内容也有所偏差，这导致交叉认证过程中出现“各自为政”的局面。到目前为止，国内尚未出台统一的PKI标准或相关的管理规范，也没有一个明确的CA管理机构。这种缺乏统一标准的态势必将造成多种技术标准共存的局面，也是目前我国众多CA中心各方割据、难以互通的一个主要原因。（2）我国CA市场存在较严重的同质竞争。据信息产业部的不完全统计，目前我国有CA认证机构140多家，并且还有增建的趋势，而

8、国内电子商务市场对CA的需求远远小于这些CA认证机构的供给量。目前，过多的CA认证中心正在拼抢有限的市场规模，由于并不存在完全的不可替代性，所以这些CA机构都还处于同质竞争阶段。这种竞争的结果是各家认证中心都需要通过价格战占领市场，而过于低廉的费用，不但不能够保证基本的服务，其权威性也会受到质疑。最后CA企业没有动力去开发新的市场，整个行业就处于一种混乱、无序的状态。（3）CA认证还存在明显的地域性与行业性，重复建设现象严重，无法满足全社会电子商务发展的要求。在分布格局上，目前我国的CA机构还存在明显的地域性和行业性，CA建设仍处于一种无序状态。从国内CA建设开始至今，一直没有出台一个指导国内

9、CA建设的总体规划和管理指南，使得CA建设目的不明、性质不清、重复建设的现象还比较严重。4. CFCA的认证具备哪些特点和优势，你在申请证书的过程中碰到哪些问题CFCA的non-SET CA，是基于PKI机制建立的，在当前是具有世界领先水平的CA系统。它的优势在于：技术优势CFCA的Non-SET CA 系统是引入当今世界先进水平的加拿大Entrust 公司的产品。Entrust 公司具有十五年的PKI开发经验，经过激烈竞争，是目前世界仅存的三家实力雄厚的CA公司（Entrust、Verisign、Baltimore）之，CFCA采用的Entrust公司的高级/企业级证书是目前世界领先的工具。

10、Direct高级/企业级证书具有双密钥机制，具有数字签名和加解密两对密钥；在浏览器与服务器间实现双方认证，提高身份认证的安全性，为访问控制提供了可能；增强了浏览器与服务器之间数据传输加密强度， 由原本40位对称算法加密提高到了128位。并且提供了改变算法的函数库。具有数字签名功能，实现了传送者对信息的签名， 提供了抗否认性；浏览器与客户代理之间，服务器与服务器代理之 间采用HTTP连接，而两个代理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。SPKM协议现已成为国际标准；客户端、服务器端实现自动在线CRL查询。CRL 是证书作废列表

11、，为了减少交易或传输的风险，在交易之前，能自动 查询各自的证书是否上了作废的黑名单，如果证书已无效，则系统自动拒绝交易，以保证交易的安全性；签字公钥可自动置于目录服务器中，实现用户自 动检索。完整的证书管理功能。提供证书的有效期管理、密钥更新管理等功能；存储历史文档，支持全程的审计功能。对每次交易，传输都留有记录，特别是历次数据签名都存有历史文档，以备 审计查询；提供时间戳功能。在数据签名或加信息等操作时，使用时间服务，以保证所有用户的时间一致；证书除存放在机器硬盘、随身软盘而外，也可存 放于IC卡（CPU卡）中，以保证证书的本身的安全性；以上列出的这些CFCA Entrust/Direct

12、证书及其代理软件（DIRECT PROXY）的优点，这些特点是与国内其他同类产品相对 比较得出的。国内有些公司开发的代理软件其功能各异，一般浏览 器/服务器的代理软件只是解决了128位对称加密强度问题，而没有 数字签名功能，没有证书管理以及在线CRL查询功能等等。因此，解决网上银行和电子商务应用中的 B to B 模式， 而采用中国金融认证中心的高级/企业级证书，是最好的选择，在技 术上不但具有可能性而且具有可行性。政策保证方面的优势中国金融CA（CFCA）是人民银行牵头，十二家商业银行（工、农、中、建、交、中信、光大、华夏、招商、广发、深发、民生，浦发）参加联合共建的中国金融认证中心。遵循了

13、统一规划联合共建，先作试点逐步发展，技术先进功能全面，落实应用快字当先的原则。建设金融CA是中国电子商务的基础建设，其宗旨是：为中国的电子商务服务，兼顾网上银行和信息安全管理提供服务。因而CFCA具有很高的权威性。证书是一种权威性的电子文档。它应由公认的、 被授权的权威机构所颁发，是网上交易、传输业务的身份证明，用于证明某个应用环境中某一主体（人或机器）的身份及其公开密钥的合 法性。要想使证书获得这种可信赖和权威性，就必须拥有一个可信 赖的权威的机构来颁发证书，作为认证的第三方。建立CFCA也包括制定证书运作管理规范（CPS），它应由人民银行支付科技司批准，在中国目前电子商务法律环境尚不健全的情况下，CPS的制定就显得异常重要，CPS实际上 是认证中心的法规。CFCA在安全方面也具有突出优势。为了保证认 证中心的安全，金融认证中心专门建了一幢独立的建筑；CFCA的机 房采取了严格的符合国际标准的措施。机房六面墙体（四面墙和天花 板、地板）都采用无缝钢板进行屏蔽，安装了高级监控设备，装置了 严格的门禁设备，制定了完善的安全制度。另外，在CFCA的网络 安全策略上。将整个CFCA系统划分成不同安全等级的区域，有些可以由外界通过公网进行访问，有些则只能由特许人员访问，以确保系统 的安全性。网络系统中还安装了世界先进的黑客入侵检测预警系统，以抵御黑客的攻击。