(3)证书的树形验证结构
在两方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处。就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。通过SET的认证机制,用户不再需要验证并信任每一个想要交换信息的用户的公共密钥,而只需要验证并信任颁发证书的CA的公共密钥就可以了。
2.招商银行CA方案
我国的电子商务正在发展,各种规范要求还没有形成。目前招商银行、中国银行、中国建设银行、中国工商银行都再准备开发网上银行业务。这里以招商银行为例介绍其CA方案。
招商银行CA系统用于Web服务器的SSL公开密钥证书,也可以为浏览器客户发证,在SSL协议的秘密密钥交换过程中加密密钥参数。今后会开发其它的密码服务,并在国家有关部门规定下开展公开密钥认证服务。
CA系统处于非联机状态,运行CA的系统在私有网上,用户不能通过Internet访问。CA会在Web服务器上提供查询和客户证书申请接口,用户可以查询证书状态,提交证书请求。Web服务器运行CA数据库的一个独立副本,与CA没有网络连接。
本方案采用层次认证结构,层次设置采用PEM规定的认证层次,设置以下目标类型:
IPRA(Internet Policy Registration Authority):IPRA负责管理认证策略,认证PCA,检查PCA运行与其策略的一致性。
PCA(Policy Certification Authority):PCA负责根据业务需求指定认证策略,交IPRA审批,根据认证策略认证下一级CA,保证CA运行与策略的一致性。
CA(Certification Authority):CA根据需要,选择相应的认证策略,提供用户公开密钥认证
用户:用户就是X.509中的最终实体。
RA(Registration Authority):当用户与CA通信有困难时,CA就不可能对用户进行身份鉴别,就由RA代替CA,根据CA的业务要求进行用户身份鉴别。
CA管理提供CA密钥管理,认证策略管理和配置,以及服务级别的管理。CA管理的一个重要职能是CA密钥和策略管理。包括:生成新的密钥对、安装证书、撤消证书、备份CA的私有密钥、安装备份的CA私有密钥等。这些功能需要两个安全管理员同时注册才能完成。
目前,CA支持以下公开密钥算法:RSA/DH/DSA,并可提供上述密钥的证书,计划将增加对椭圆曲线加密算法的支持。此外,为了提高CA密钥的安全性,必须对CA密钥加密后保存,今后CA所有与密钥有关部门的操作将在IC卡中完成。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
