电子支付安全协议SSL
电子支付安全协议是电子支付顺畅进行的基� D壳暗缱由涛裰谐S玫陌踩�协议为SSL安全协议。
公开密钥基础设施( Pubie Key Infrastructure, PKI) 是种遵循既定标准的密钥管理平台,它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而保证网上传递信息的安全、真实、完整和不可抵赖。PKI 可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信.密钥恢复和安全时间戳九项信息安全所需要的服务。在这个结构中,公开密钥密码算法居于中心地位。利用PKI, 人们可以方便地建立和维护一个可信的网络计算环境,无须直接见面就能够确认彼此的身份,安全地进行信息交换。
一、PKI的基本组成
完整的PKI 体系包括认证中心(CA)、注册中心(RA)、数字证书库、密钥备份及恢复系统、证书作废处理系统、应用接口系统等基本构成部分。
a认证中心(CA)。CA是PKI的核心,主要职责是颁发证书、验证用户身份的真实性。在一般情况下,证书必须由一个可信任的第三方权威机构一CA 认证中心实施数字签名以后才能发布。面获得证书的用户可以通过对CA的签名进行验证,从而确定公钥的有效性。
b.注册中心(RA)。CA系统负责签发和管理证书,同时负责CRL列表的维护和更新,但它并不直接面对证书申请者,需要借助于注册中心RA及证书申办受理点LRA来为用户提供证书服务。在RA系统中主要有两种角色:管理员和操作员。管理员负责RA系统的日常维护,并创建和管理操作员。LRA系统可以定义不同的操作员角色,例如录入员和审核员。录入员主要负责将申请者的信息录入到数据库里,然后审核员将用户信息调取出来和用户的有效证件比较,如果一致,就将该申请请求上传到RA服务器。RA服务器将信息组成CA系统所需数据项并进行打包后发送到CA系统。
c.数字证书库。数字证书库是证书集中存储的地方,用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库-般基于LDAP或是基于X.500系列。
d.密钥备份及恢复系统。密钥可能会由于一些原因面使密钥的所有者无法访问;密钥的丢失将导致那些被密钥加过密的数据无法恢复。为避免这种情况的出现,就需要PKI提供密钥备份与恢复的机制。,
e.证书作废处理系统(X.509 Version 3、CRL Version 2 )。证书作废处理系统是PKI的一个重要组件。与日常生活中的各种证件一样,证书在CA为其签署的有效期以内也可能需要作废,例如,A公司的职员a辞职离开公司,这就需要终止a证书的生命期。为实现这一点,PKI必须提供作废证书的一系列机制。作废证书有如下三种策略:作废一个或多个主体的证书;作废由某一对密钥签发的所有证书:作废由某CA签发的所有证书。作废证书-般是通过将证书列入证书作废列表(CRL)来完成。
f PKI 应用接口系统。一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立的网络环境的可信性,降低管理和维护的成本。
个人POS机专业办理,费率低至0.38%!不做最低费率,只做最合理的费率,良心企业,良心支付!用信息安全工程理论规范信息安全建设
在互联网发展的短短几年中,人们对安全的理解一从早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,再到现在的购买系统性安全产品,在一步步地加深。
二、PKI体系结构及功能
目前,在PKI体系基础上建立起来的安全证书体系得到了从普通用户、商家、银行到政府各职能部门的普遍关注。美国、加拿大等政府机构都提出了建立国家PKI体系的具体实施方案。
PKI体系的建立应该着眼于用户使用证书及相关服务的便利性、用户身份认证的可靠性。具体职能包括:制定完整的证书管理政策、建立高可信度的CA中心、负责用户属性的管理、保护用户身份隐私和负责证书作废列表的管理,CA中心为用户提供证书及CRL有关服务的管理,建立安全和相应的法规,建立责任划分并完善责任政策。
一个典型的PKI体系结构如下。
a. :政策批准中心( PAA )。PAA 是政策批准中心,由它来创建各个PKI体系的方针,批准本PAA下属的政策认证中心(PCA)的政策,为下属PCA签发公钥证书,建立整个PKI体系的安全策略,并具有监控各PCA行为的责任。具体功能包括:发布PAA的公钥证书;制定本体系的政策和操作程序;制定本PKI体系中建立PCA的政策和操作程序;对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别;为下属PCA和需要定义认证的其他根证书生成证书;发布下属PCA的身份及位置信息;接收和发布下属PCA的政策;定义下属PCA申请证书作废请求所需的信息;接收和认证对它所签发的证书的作废申请请求;为它所签发的证书产生CRL;保存证书、CRL、审计信息和PCA政策;发布它所签发的证书和CRL。
b.政策认证中心(PCA)。PCA为政策CA.制定本PCA机制的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生、密钥的长度、证书的有效期规定及CRL的管理等,并为下属CA签发公钥证书。具体功能包括:发布自己的身份和位置信息;发布其所签发的下属CA的身份和位置信息;公布它的服务对象:发布其所制定的安全政策和证书处理有关程序(如密钥的产生和模长,对PCA、CA、ORA (在线证书申请中心)系统的安全控制,CRL的发布频率,审计程序等);对下属各成员进行身分认证和鉴别;产生和管理下属成员的公钥;将PAA和自己的证书发送给下属成员;定义证书作废请求生效所需的信息和程序;接收和认证对它所签发的证书的作废申请请求;为它所签发的证书产生CRL;保存证书、CRL、 审计信息和它所签发的政策:发布它所签发的证书及CRL。
c.认证中心(CA )。CA是认证中心,具备有限的政策制定功能,负责按照上级PCA制定政策,具体的用户公钥证书的签发、生成和发布,以及CRL的生成及发布。具体功能包括:发布本地CA对PCA政策的增补部分;对下属各成员进行身份认证和鉴别;产生和管理下属证书;发布自身证书和上级证书;证实ORA的证书申请请求;向ORA返回证书制作的确认信息或返回已制定好的证书;接收和认证对它所签发的证书的作废申请;为它所签发证书产生CRL; 保存证书、CRL、审计信息和它所签发的政策;发布它所签发的证书和CRL。
d.在线证书申请中心(ORA)。进行证书申请者的身份认证,向CA提交证书申请,验证接收CA签发的证书,并将证书发放给申请者。必要时.还协助进行证书制作。具体功能包括:对用户进行身份审查和鉴别;将用户身份信息和公钥以数字签名的方式发送给CA;接收CA返回的证书制作确认信息或制好的证书;发放CA证书、CA的上级证书以及发放用户证书;接受证书作废申请,验证其有效性,并向CA发送该申请。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5398.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos网络系统的安全风险分析与评估
一个完整的安全体系和安全解决方案要根据网络体系结构和网络安全形势的具体情况来确定,没有“以不变应万变”的通用的安全解决方案。
