安全电子交易(SET)协议与 CA认证 (2)

2008-04-02 10:56:20来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折


 
  (3)证书的树形验证结构
 
  在两方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处。就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。通过SET的认证机制,用户不再需要验证并信任每一个想要交换信息的用户的公共密钥,而只需要验证并信任颁发证书的CA的公共密钥就可以了。
 
  2.招商银行CA方案

我国的电子商务正在发展,各种规范要求还没有形成。目前招商银行、中国银行、中国建设银行、中国工商银行都再准备开发网上银行业务。这里以招商银行为例介绍其CA方案。
 
  招商银行CA系统用于Web服务器的SSL公开密钥证书,也可以为浏览器客户发证,在SSL协议的秘密密钥交换过程中加密密钥参数。今后会开发其它的密码服务,并在国家有关部门规定下开展公开密钥认证服务。
 
  CA系统处于非联机状态,运行CA的系统在私有网上,用户不能通过Internet访问。CA会在Web服务器上提供查询和客户证书申请接口,用户可以查询证书状态,提交证书请求。Web服务器运行CA数据库的一个独立副本,与CA没有网络连接。
 
  本方案采用层次认证结构,层次设置采用PEM规定的认证层次,设置以下目标类型:
 
  IPRA(Internet Policy Registration Authority):IPRA负责管理认证策略,认证PCA,检查PCA运行与其策略的一致性。
  PCA(Policy Certification Authority):PCA负责根据业务需求指定认证策略,交IPRA审批,根据认证策略认证下一级CA,保证CA运行与策略的一致性。
  CA(Certification Authority):CA根据需要,选择相应的认证策略,提供用户公开密钥认证
  用户:用户就是X.509中的最终实体。
  RA(Registration Authority):当用户与CA通信有困难时,CA就不可能对用户进行身份鉴别,就由RA代替CA,根据CA的业务要求进行用户身份鉴别。
  CA管理提供CA密钥管理,认证策略管理和配置,以及服务级别的管理。CA管理的一个重要职能是CA密钥和策略管理。包括:生成新的密钥对、安装证书、撤消证书、备份CA的私有密钥、安装备份的CA私有密钥等。这些功能需要两个安全管理员同时注册才能完成。
 
  目前,CA支持以下公开密钥算法:RSA/DH/DSA,并可提供上述密钥的证书,计划将增加对椭圆曲线加密算法的支持。此外,为了提高CA密钥的安全性,必须对CA密钥加密后保存,今后CA所有与密钥有关部门的操作将在IC卡中完成。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:用户识别和安全认证

下一篇:天融信网络信息安全解决方案