CFCA，SPKM

中国金融认证中心（China Financial Certification Authority，英文简称CFCA） CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是《中华人民共和国电子签名法》颁布后，国内首批获得电子认证服务许可的CA之一。

 

中国金融认证中心( China Finance Certification Authority 缩写 CFCA )，是由中国人民银行牵头，联合浦发银行，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行参加建设，由银行卡信息交换总中心承建的。

　　为了保证互联网上电子交易的安全性(保密性、真实完整性和不可否认性)，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字证书。数字证书是各类实体(个人/持卡人、企业/商户、银行/网关等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。中国金融认证中心(CFCA---China Finance Certificate Authority )作为一个权威的、可信赖的、公正的第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。

　　金融认证中心为了满足金融业在电子商务方面的多种需求，采用PKI技术，建立了SET和Non-SET两套系统，提供多种证书来支持各成员行有关电子商务的应用开发以及证书的使用。

 

浏览器与客户代理之间，服务器与服务器代理之 间采用HTTP连接，而两个代理之间的通信采用了SPKM（简单公钥 机制）。实现了浏览器服务器与代理之间的无缝连接，提高了数据传输的安全性。SPKM协议现已成为国际标准；

 

CFCA 给各商业银行的网银系统提供了RA通信前置 通过互联网跟CFCA的RA服务器通信 他们之间的消息交换是通过SPKM协议约定进行加密保护的

SPKM是Entrust的一个标准，已经提交给IETF，但基本上只有Entrust自己在用。
SPKM和SSL最大的区别就是使用双证书来保证数据的机密性和不可否认性，而SSL单纯保护机密性。
SPKM是RFC 2025，1996年，基本上这个协议已经废弃了。

我的理解是PKCS讲的是公钥体制及PKI系统的建设，SPKM讲的是在PKI建设好的情况下，如何利用公钥体制实现安全通信，以及编程实现时对公钥体制各环节的使用细节。两者有重叠，但目标和侧重点不同，而且SPKM粒度更粗一些，在SPKM的一些过程（方法）的实现细节中，有对PKCS的调用，即有些PKCS的过程和其他东西构成了有些SPKM的过程（方法）。

CA的组件之间可以使用SPKM进行通信，例如KMC和CA中心