CFCA数字证书

　　数字证书简介

　　数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。

　　数字证书是由权威CA机构颁发给用户，用以在数字领域中证实用户身份的一种数字凭证。从数字证书的用途来看，可分为签名证书和加密证书：签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送的信息进行加密，以保证信息的真实性和完整性。

　　数字证书的内容和格式

　　数字证书是一段包含用户公开密钥、用户信息、颁发机构信息、证书的序列号、有效时间、发证机关（CA中心）的名称及CA中心数字签名的数据。数字证书的格式遵循X.509 V3国际标准。

　　数字证书结构如下图所示：

　　数字证书功能简介

　　· 身份认证

　　利用数字证书序列号和签名验证技术，确定证书持有人在网上活动的身份的唯一性和网上行为的不可抵赖性。

　　· 网上信息的安全传输

　　通过个人或企业身份证书与需交互连接的服务器间建立SSL安全传输通道，完成网上信息的安全传输。可用于网上个人、企业信息资料的提交，防止信息被窃取和非法篡改。

　　· 权限控制

　　在基于数字证书的身份认证基础上，根据身份认证结果和权限控制理论技术，通过建立权限控制服务器，在使用证书登录安全站点的同时，控制服务器读取证书DN项中可唯一标识个人或企业身份的控制项（如：个人身份证号码、企业税务登记号等）来识别证书持有者可实现的网络功能。

　　· 数字签名

　　网上行为的抗抵赖性是通过证书的数字签名来保障完成，通过证书签名的交易或信息传输行为保证了其行为的不可抵赖性，为以后的责任认定提供有力的证据。

　　数字证书类型

　　CFCA发放的数字证书包括下面5类：

　　· 个人证书：

　　 符合X.509标准的数字证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份，可以签名，也可以加密。用于个人在网上进行网银交易、个人安全电子邮件、合同签定、支付等活动中标明身份。

　　· 企业证书：

　　 符合X.509标准的数字证书，证书中包含企业（单位）信息和企业（单位）的公钥，用于标识证书持有企业（单位）的身份。可以用于企业（单位）在网上银行系统、电子政务、电子商务等业务中。

　　· 服务器证书：

　　服务器证书是安装在服务器端用以标明站点唯一身份的数字证书，可存放于服务器硬盘或加密硬件设备上，为用户端和Web服务器端之间建立一条加密传输安全通道，保证用户和服务器之间信息交换的保密性、安全性。

　　服务器证书主要用于网上银行系统、电子商务网站、电子政务网站等各行业应用服务器。使用服务器证书可有效地识别钓鱼网站、防止信息泄露，保护网民的信息安全。

　　· 设备证书：

　　设备证书是提供给某些硬件设备的证书，按照硬件设备的特殊需求签发不同的数字证书。例如：VPN证书等。

　　· 代码签名证书：

　　代码签名证书是针对网上发布的控件、应用程序、驱动程序、硬件固化程序等代码创建数字签名，以便在软件发行者和用户通过 Internet 与移动网络下载代码时对它们加以保护。数字签名可验证内容的来源及完整性。

　　数字证书技术指标

　　· 符合标准：X.509v3、CRLv2、PKCS1~12、ASN.1、MIME、SSL、SMIME等；

　　· 支持的非对称算法：RSA（1024位、2048位）、SM2（256位）；

　　· 支持的散列算法：MD5、SHA1、SM3；

　　· 支持Outlook、Outlook Express、Foxmail等遵循安全电子邮件扩展协议的客户端邮件软件；

　　· 证书应用支持WINDOWS、UNIX、LINUX等通用操作平台。

　　数字证书适用场景

　　· 网上金融服务：如网上银行、网上证券、网上保险等；

　　· B2B/B2C/C2C等电子商务应用：如网上支付、网上购物、网络游戏等；

　　· 企业的业务系统应用：如供应链管理系统、OA系统、财务系统等；

　　· 电子政务应用：如网上报税、网上工商、政府采购招投标系统、各类行政审批系统等。

　　案例

　　中国工商银行、中国民生银行、中国光大银行、中信银行、兴业银行、中国邮政储蓄银行等250余家银行，以及中国人民银行、中国银联、国家电网、苏宁集团、北京国税等近100家机构或企业。