安全电子交易（SET）协议与 CA认证 (2)

　
　　（3）证书的树形验证结构
　
　　在两方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处。就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。通过SET的认证机制，用户不再需要验证并信任每一个想要交换信息的用户的公共密钥，而只需要验证并信任颁发证书的CA的公共密钥就可以了。
　
　　2．招商银行CA方案

我国的电子商务正在发展，各种规范要求还没有形成。目前招商银行、中国银行、中国建设银行、中国工商银行都再准备开发网上银行业务。这里以招商银行为例介绍其CA方案。
　
　　招商银行CA系统用于Web服务器的SSL公开密钥证书，也可以为浏览器客户发证，在SSL协议的秘密密钥交换过程中加密密钥参数。今后会开发其它的密码服务，并在国家有关部门规定下开展公开密钥认证服务。
　
　　CA系统处于非联机状态，运行CA的系统在私有网上，用户不能通过Internet访问。CA会在Web服务器上提供查询和客户证书申请接口，用户可以查询证书状态，提交证书请求。Web服务器运行CA数据库的一个独立副本，与CA没有网络连接。
　
　　本方案采用层次认证结构，层次设置采用PEM规定的认证层次，设置以下目标类型：
　
　　IPRA（Internet Policy Registration Authority）：IPRA负责管理认证策略，认证PCA，检查PCA运行与其策略的一致性。
　　PCA（Policy Certification Authority）：PCA负责根据业务需求指定认证策略，交IPRA审批，根据认证策略认证下一级CA，保证CA运行与策略的一致性。
　　CA（Certification Authority）：CA根据需要，选择相应的认证策略，提供用户公开密钥认证
　　用户：用户就是X.509中的最终实体。
　　RA（Registration Authority）：当用户与CA通信有困难时，CA就不可能对用户进行身份鉴别，就由RA代替CA，根据CA的业务要求进行用户身份鉴别。
　　CA管理提供CA密钥管理，认证策略管理和配置，以及服务级别的管理。CA管理的一个重要职能是CA密钥和策略管理。包括：生成新的密钥对、安装证书、撤消证书、备份CA的私有密钥、安装备份的CA私有密钥等。这些功能需要两个安全管理员同时注册才能完成。
　
　　目前，CA支持以下公开密钥算法：RSA/DH/DSA，并可提供上述密钥的证书，计划将增加对椭圆曲线加密算法的支持。此外，为了提高CA密钥的安全性，必须对CA密钥加密后保存，今后CA所有与密钥有关部门的操作将在IC卡中完成。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有