ca是pki中的“认证机构”。它为电子商务环境中各个实体颁发电子证书,即对实体的身份信息和相应公钥数据进行数字签名,用以捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性,并负责在交易中检验和管理证书。
ca是电子商务交易中权威性、可信赖性及公正性的第三方机构,是电子商务的重要基础设施,是电子商务的安全保证。
作为pki的ca系统分两大类总体结构:set ca系统和non-set ca系统。
root ca policy ca operation ca 高级证书 普通证书 vpn, wap,web证书······ 第一层根 第二层根 第三层运营 图pki non-set ca系统目前一般为层次结构,在此我们介绍的的参考模型为三层结构。如图9.1所示。
系统结构的第一层为根ca,即root ca(简称rca)。
rca的职责是:
n负责制定和审批ca的总政策。
n为自己“自签”根证书,并以此为根据为二级ca签发并管理证书。
n与其他pki域的ca进行交叉认证。
系统结构的第二层ca为政策性ca,称policy ca,简称pca。
pca的职责是:
n根据根ca的各种规定和总政策,制定具体政策、管理制度和运行规范。
n安装根ca为其签发的证书。
n为第三级ca签发证书。
n管理证书及证书撤消列表(crl)。
系统结构的第三层为终端用户ca,也称运营ca(operation ca),简称oca。
oca的职责是:
n安装政策ca签发的证书。
n根据根证书及二级ca证书,直接为最终用户颁发终端实体证书,即支持电子商务各种应用的数字证书。
n管理所发证书及证书撤消列表(crl)。
non-set ca系统,由根ca(root ca)、政策ca(policy ca)及运营ca(operation ca)组成,具有完善的证书管理功能。non-set ca签发的各种证书,其主要目标是支持广泛的电子商务应用模式、网上安全银行应用模式、网上证券以及电子政务等广泛的应用。
n高级企业证书、高级个人证书(具有加密和数字签名两种功能)
n普通企业书证、普通个人证书(即ssl证书,具有加密功能)
nweb证书(web server证书)
nvpn证书(虚拟专用网证书)
nwap证书(移动手机上网证书)
ns/mime证书(安全电子邮件证书)
n网上购物:b2b电子商城、b2b购物网站
n网上银行:b2b对公银行业务、b2c对私零售银行业务
n网上证券:b2c网上炒股、b2c银证转账业务
n网上政务:mis、安全电子邮件等
n其他非支付类:非支付类网上业务
图
rca
bca
eca
pca
mca
第一层根
第二层品牌
第三层终端用户
cca
pki set ca系统一般为层次结构。在此,我们给出的set ca为三层总体结构。pki set ca的总体结构如图9.2所示。
系统结构的第一层为根ca,简称rca。
rca的职责是:
n负责制定和审批ca的总政策。
n签发并管理第二层ca证书。
n与其他根ca进行交叉认证。
系统结构的第二层ca称品牌ca,即brand ca,简称bca。
bca为各个商业银行所发放的不同信用卡品牌发放证书。它的职责是:
n根据rca的规定,制定具体政策、管理制度及运行规范。
n签发第三层证书并进行证书管理。
系统结构的第三层ca为终端用户ca(end user ca),简称eca。
eca为参与set电子商务各实体颁发证书,即为支付网关(payment gateway)、商家(merchant)及持卡人(cardholder)签发证书。签发这三种证书的对应ca为pca、mca及cca。
set协议使用pki加密技术能提供信息的机密性,保证支付的完整性,验证、支付网关、商家和持卡人的其实身份。set ca对其所签发的持卡人、商家和支付网关三种证书具有完善的证书管理功能。
pki set ca系统签发持卡人证书、商家证书以及支付网关证书。签发证书的目标是面向持卡人、发卡行、商家、收单行和支付网关。
set ca的总体目标为:为商家和持卡者提供方便的应用,最大限度降低现有应用的改变;为现有客户应用的支付协议提供插件应用;降低对收单行、商家、持卡人之间关系的改变;降低对现有商家、收单行、支付系统应用和结构的改变;为金融机构提供安全有效的协议。
n高级企业证书、高级个人证书(具有加密和数字签名两种功能)
n普通企业书证、普通个人证书(即ssl证书,具有加密功能)
nweb证书(web server证书)
nvpn证书(虚拟专用网证书)
nwap证书(移动手机上网证书)
ns/mime证书(安全电子邮件证书)
n网上购物:b2b电子商城、b2b购物网站
n网上银行:b2b对公银行业务、b2c对私零售银行业务
n网上证券:b2c网上炒股、b2c银证转账业务
n网上政务:mis、安全电子邮件等
n其他非支付类:非支付类网上业务
图
rca
bca
eca
pca
mca
第一层根
第二层品牌
第三层终端用户
cca
pki set ca系统一般为层次结构。在此,我们给出的set ca为三层总体结构。pki set ca的总体结构如图9.2所示。
系统结构的第一层为根ca,简称rca。
rca的职责是:
n负责制定和审批ca的总政策。
n签发并管理第二层ca证书。
n与其他根ca进行交叉认证。
系统结构的第二层ca称品牌ca,即brand ca,简称bca。
bca为各个商业银行所发放的不同信用卡品牌发放证书。它的职责是:
n根据rca的规定,制定具体政策、管理制度及运行规范。
n签发第三层证书并进行证书管理。
系统结构的第三层ca为终端用户ca(end user ca),简称eca。
eca为参与set电子商务各实体颁发证书,即为支付网关(payment gateway)、商家(merchant)及持卡人(cardholder)签发证书。签发这三种证书的对应ca为pca、mca及cca。
set协议使用pki加密技术能提供信息的机密性,保证支付的完整性,验证、支付网关、商家和持卡人的其实身份。set ca对其所签发的持卡人、商家和支付网关三种证书具有完善的证书管理功能。
pki set ca系统签发持卡人证书、商家证书以及支付网关证书。签发证书的目标是面向持卡人、发卡行、商家、收单行和支付网关。
set ca的总体目标为:为商家和持卡者提供方便的应用,最大限度降低现有应用的改变;为现有客户应用的支付协议提供插件应用;降低对收单行、商家、持卡人之间关系的改变;降低对现有商家、收单行、支付系统应用和结构的改变;为金融机构提供安全有效的协议。
