1.查阅相关资料,简述中国金融认证中心CA的结构。
参考答案:
??? 1、Non-SET 系统
Non-SET 对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书),Non-SET 系统分为两部分。
Non-SET -CA 系统分为三层结构,{dy}层为根CA ,第二层为政策CA ,第三层为运营CA 。Non-SET-CA , 系统架构图如下:
?
??? 2、RA 系统
系统分为CA本地RA和CA远程RA。本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构,即总行、分行、受理点。RA系统架构图如下:
?
2.查阅相关资料,简述CFCA的证书种类及用途。
参考答案:
??? 除了根CA、政策CA、运营CA等各级CA的证书外,对于最终用户,按照证书的功能不同,证书有不同的分类:
?? (1)企业高级证书–适用于企业作金额较大时的B2B网上交易,安全级别较高,可用于数字签名和信息加密。
?? (2)企业普通证书–适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于金额较小的网上交易。
?? (3)个人高级证书–适用于个人作金额较大的网上交易,安全级别较高,可用于数字签名和信息加密。
?? (4)个人普通证书–适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用,它的安全级别较低,建议用于小额的网上银行和网上购物。
?? (5)Web Server证书–适用于站点服务器提供金额较小的B2C网上交易,若一个网站要提供B2B交易时,应申请Direct Server证书,并配合Direct Server软件来保证它的安全性。
?? (6)Direct Server证书–用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对Web Server的保护使用。
3.根据《中华人民共和国电子签名法》,中国金融认证中心CA所提供的证书中应该包含哪些方面的内容?
参考答案:
??? (一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
4.CTCA的组织机构及其各自的功能是什么?
参考答案:
??? 中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成,其逻辑结构如图所示:
?
??? CA中心的功能是:
1) 签发自签名的根证书
2) 审核和签发其他CA系统的交叉认证证书
3) 向其他CA系统申请交叉认证证书
4) 受理和审核各RA机构的申请
5) 为RA机构签发证书
6) 接收并处理各RA服务器的证书业务请求
7) 签发业务证书和证书作废表
8) 管理全系统的用户资料
9) 管理全系统的证书资料
10) 维护全系统的证书作废表
11) 维护全系统的OCSP查询数据
RA中心的功能是:
1) 受理用户证书业务
2) 审核用户身份
3) 为审核通过用户生成密钥对
4) 向CA中心申请签发证书
5) 将证书和私钥灌入IC卡后分发给受理中心、受理点或用户
6) 管理本地OCSP服务器,并提供证书状态的实时查询
7) 管理本地用户资料
受理点的功能是:
1) 管理所辖受理点用户资料
2) 受理用户证书业务
3) 审核用户身份
4) 向受理中心或RA中心申请签发证书
5) 将RA中心或受理中心制作的证书介质分发给用户
5.查阅相关资料,简述SHECA为华夏证券提供的解决方案。
参考答案:
??? 1)项目背景介绍:华夏证券有限公司成立于1992年10月,是我国较早成立的全国性证券公司。公司业务主要包括:发行和代理发行各种有价证券;自营和代理买卖各种有价证券;有价证券的代保管、鉴证和过户;代理还本付息、分红、派息等权益分派;基金和资产管理;企业重组、收购与兼并;投资咨询、财务顾问;外币证券业务等。
2)设计方案和特色:上海CA中心在华夏证券RA系统的总体设计中采用了RA、RAT(受理点)二层结构。从应用上安全可靠的适应和支持的华夏证券的各种业务及多种电子商务模式。
华夏证券RA系统设计具有如下技术特点:
a.整个依托成熟的UCA证书体系,采用国内先进的加密技术和CA技术,系统的功能完善,安全可靠;
b.华夏证券RA系统采用层次式CA认证结构,方便系统的扩充和系统效率的提高。它既可满足华夏证券RA系统内部的需求,也可以满足日后与国内外及其他行业CA之间的交叉认证的需求;
c.使用的PKI体系支持多种应用,证书的扩展域可以灵活地进行定制,满足不同的应用系统的需要;
d.系统的设计采用多模块化结构,方便系统功能的扩充;
e.系统的设计考虑了伸缩性,能方便的通过对系统硬件进行升级来适应系统负荷的增大;
管理方式灵活,可以根据华夏证券RA系统的管理策略和证书认证策略对系统进行灵活的设置,如灵活地配置系统的备份时间和方式等;
f.系统中所有的通信均采用高强度加密通信,保证信息安全;
g.网络系统采用了多层防火墙设置,严格的网段划分和端口控制。
3)实施效果
项目实施充分考虑了系统的安全性、实用性、扩展性等诸多方面的因素,本着高效、安全、先进的原则,完成了证书的申请、审核、签发、废止、更新、审计、归档、备份以及密钥管理、LDAP和OCSP发布等全部功能。同时在系统的性能方面,上海CA中心为华夏证券RA系统设计的系统具有强大的处理能力,很好的开放性、实用性和可扩展性,并提供了完善的图形化用户界面,使系统具有易操作性、易维护性和易升级性。
