第2章_网络金融安全(三)讲义.ppt

7、密钥文档管理 每个用户在享受PKI服务期间会使用很多不同的密钥或证书。如果没有密钥的历史档案管理，用户无法查询或恢复以前的密钥或证书加密信息，因此必须对密钥历史档案进行管理。 PKI信任模型 1、层次结构模型 主CA1 主CA2 分CA1 分CA2 分CA3 分CA4 根CA 2、交叉认证模型 铁道总公司CA 开发部CA 运输部CA 银行1支行CA 银行2支行CA 铁道分公司CA 银行总行CA 银行分行CA 交叉认证 3、证书链 由于用户拥有的可信证书管理机构数量有限，要与大量不同管理域的用户建立安全通信就需要建立信任关系，这就需要构建一个证书链。证书链是多个证书绑定到一个信息或交易上形成证书链，证书链中每一个证书都由其前面的数字证书进行鉴别。最高级的CA必须是受接受者信任的、独立的机构。 4、证书验证 为了获得对某一证书的信任，验证者必须验证每个证书的三个方面，直到到达一个可信的根。 （1）证书的有效性：验证证书是否在有效使用期内 （2）证书的可用性：验证是否已被撤销。 （3）证书的真实性（可信任性）：验证是证书是否为可信任的CA签发。 国内数字证书认证机构 国内的认证机构可分为三类，行业性CA、区域性CA和纯商业性CA，目前主要有： 中国金融认证中心(CFCA); 中国电信认证中心(CTCA); 上海市电子商务安全证书管理中心(SHECA); 北京