电子商务安全 第5章 认证机构CA.pptVIP

用户密钥的备份与恢复 用户的加密密钥，在CA签发用户证书时，即可做用户密钥备份。 一般是将用户密钥存放在CA的资料库中。 若用户密钥丢失或其他原因，用户不愿意撤消原密钥，希望能对原密钥进行恢复，就可以根据密钥对历史存档进行恢复。 在完成这个恢复过程之后，相应的软件将产生一个新的签名密钥对来代替旧的签名密钥对。 5.1.7证书废止列表(CRL)的管理功能 1.证书废止的原因 2. CRL的产生及发布 3.企业证书及CRL的在线服务功能 证书废止的原因 密钥泄密：证书的私钥或加密公钥泄密。 从属变更：某些关于密钥的信息变更，为机构从属变更等。 终止使用：该密钥对已不再需要用于原用途。 CA本身原因：由于CA系统私钥泄密，在更新自身密钥和证书的同时，必须用新的私钥重新签发所有它发放的下级证书。 CRL的产生及发布 Entrust／PKI提供成熟的、易于使用的、标准的证书列表作废系统。在此系统中，证书作废是自动完成的，并且对用户是透明的。在PKI中，CRL是通过LDAP目录服务系统进行发布的。CRL并不存放作废证书的全部内容，而只存放作废证书的序列号(Serial Number)，以便提高检索速度。CRL产生的主要步骤是。 (1)注册中心管理员使用软件工具撤消相关证书，提出撤消理由，建立与CA中心的连接。 (2)认证中心发表被撤消证书的序列号，签发到CRL中，同时将该证书放入作废证书数据库。 (3)系统通过LDAP目录发送新的CRL。 企业证书及CRL的在线服务功能 1．证书的在线查询 用户可以从X．500目录中查询对方接收者的加密公钥证书。在用户与CA之间这种查询连接是通过安全交换协议(SEP)实现的。 2.CRL在线查询 Entrust／PKI使用LDAP在线目录系统进行CRL发布，用户可以通过在线方式查询。 5.2认证机构CA的系统结构 5.2.1总体结构 5.2.2第一层根CA(Root CA) 5.2.3第二层CA 5.2.4第三层CA 5.2.5证书注册申请机构RA 5.2.6受理点LRA 5.2.7不同 CA之间的互通 5.2.8CA的网络结构 5.2.1总体结构 作为PKI的CA系统分两大类：一是SET CA系统；二是non-SET CA系统。 non-SET CA系统结构为： 第一层为根CA，即Root CA(简称RCA)。 第二层CA为政策性CA，称Policy CA，简称PCA。 第三层为终端用户CA，也称运营CA( Operation CA)，简称OCA。 Root CA Policy CA Operation CA VPN,WAP,Web证书… 普通证书 高级证书 第一层根CA 第二层根CA 第三层运营CA Non-SET PKI/CA 总体结构 SET CA总体结构 PKI SET CA一般也称为层次结构。在此，我们给出的SET CA为三层总体结构。 第一层为根CA，简称RCA。 第二层CA称品牌CA，即Brand CA，简称BCA。为各个商业银行所发放的不同信用卡品牌发放证书。 第三层CA为终端用户CA(End user CA)，简称ECA，为SET电子商务参与各实体颁发证书，即为支付网关(Payment Gateway)、商家(Merchant)及持卡人(Card holder)签发证书，签发这三种证书的对应CA为PCA、MCA及CCA。 RCA BCA ECA CCA MCA PCA 第一层根CA 第二层品牌CA 第三层终端用户CA PKI SET CA总体结构 CA与RA结构 作为CA的延伸，证书注册申请机构RA(Registration Authority)在逻辑组成上是与CA为一个总体。 但在物理上，它可以远程设置。 RA是CA的重要组成部分，从广义上来讲CA，其组成包括RA在内。 为结合实际需要，RA应分层次结 构。 一般在一个具体的PKI／CA体系中，将证书的操作子系统概括为CA，而对证书申请的业务受理审核子系统概称为RA。 1.RA 业务受理审核子系统RA负责对申请者提交的申请资料及申请资格进行审核，以决定是否为该申请者签发证书，并承担因审核错误而引起的、为不符合资格的证书申请者发放证书所引起的一切后果，并由相应机构来承担这些责任 RA子系统采用分级结构，其主要目的是为了满足国内金融系统管理上的需要。 RA作为受理中心，负责管理下级LRA，并将LRA的审查结果转发给CA系统，RA也面向最终用户进行业务管理。 RA LRA LRA LRA DB 数据库 CA RA层次机构 OCA(BCA) RA LRA 第三层CA（OCA或BCA部分） RA部分 RA的结构 2.LRA 作为RA的下级审核机构，主要面向最终用户，负责用户资料的录入、审核等工作，并将各种