作者：佚名 文章来源：考试大 点击数：142 更新时间：2007-5-16 9：31：43文章主题词：电子商务师在第一节中，我们简单介绍了PKI non-SET CA和PKI SET CA的总体结构，尽管这两大类系统在结构和功能方面存在差异，但他们的基本构造和功能还是十分相近的。

一、第一层CA CA系统的第一层为的根CA，其作用等同于PKI中定义的PAA，是政策审批授权者，它的职责是制定CA的政策和规范；审核二级CA（PCA或BCA）的具体政策和操作管理规范；审批PCA（BCA）的建设，为其发放证书；RCA还负责与其他CA系统的交叉认证。

1、制定CA总政策根CA是政策审批授权者，负责制定金融CA系统的总体政策，以及为具体政策制定提供统一的依据。

2、管理二级CA（PCA或BCA）

对二级CA的管理包括：

（1）审批二级CA的建设申请和审批二级CA制定的运营政策。

（2）对二级CA申请者进行资信审查，为其发放二级证书。

（3）对已批准的二级CA，根据总政策进行复查，以决定最后是否继续允许该二级CA的运行。

3、证书的管理（1）管理证书和证书废止列表根CA必须管理其所签发的所有证书，包括根证书、二级CA的证书和为其他CA系统发放的交叉认证证书。

一级CA必须对外发布其签发的所有证书，以便用户查询。同时，还要根据运行政策，定期发布证书废止列表。

（2）管理密钥的备份CA系统必须能够保证用户密钥的安全备份，以便为客户提供密钥的恢复服务。如果有关方面制定了密钥托管政策，CA系统还必须能够按相关政策法规，安全保存用户的密钥，以便必要时为客户恢复密钥。

（3）证书归档根CA系统对所签发过的所有证书进行归档，包括证书本身及证书废止列表归档。归档的目的是保存历史数据，以备事后发生纠纷时能够对用户签名进行追溯验证。

（4）操作方式鉴于根CA发证量小，为了安全起见，根CA以离线方式操作。证书申请、签发和CRL等均以软盘／光盘为传递介质，并对上传和下载进行加密和保护。

4、与其他CA系统的交叉认证根据电子商务的发展，一个CA系统有可能与其他CA系统互通。如有互通的需求，则由一级CA决定采取何种技术手段和管理手段进行互通。如果对方CA申请得到本CA系统的承认，则一级CA负责审核对方CA系统的政策，操作管理规范以及系统的安全措施，评估将会带来的风险和效益，从而决定是否承认另一个CA系统。

如果承认，则为对方签发交叉认证证书，并提供交叉认证证书的查询手段。如果CA系统需要得到另一个CA系统的承认时，则应向该CA系统提供有关政策、操作管理规范和安全措施的文档，并申请对方签发交叉认证证书。

二、第二层CA第二层CA在non-SET CA中称为政策CA（PCA），在SET CA中称品牌CA（BCA），它们的原理及功能作用与PKI中的PCA相同。

1、制定具体运营政策和操作规范PCA（BCA）根据RCA的总政策和自身业务需求及实际情况，制定二级CA运营所需要的具体执行政策。例如我国金融CA的第二级PCA中，根据我国金融界电子商务市场的实际需要，在第二级制定三个PCA，即银行BPCA（Bank Policy CA）、证券SPCA（Securites Policy CA）及保险IPCA（Insurance Policy CA）。如图9.3所示。

第二级政策CA，可设置包括银行、证券及保险在内的全部政策性CA.在此之下，可设置银行运营CA、证券运营CA以及保险运营CA.这就是第二层政策CA的作用。

2、管理三级CA（1）PCA根据业务需求决定如何设置第三级CA，并对第三级CA的申请进行审核和签发证书。

（2）要对第三级CA的运行情况进行定期复核。

（3）并对第三级运营CA所颁发的证书进行策略的制定。

3、证书和证书废止列表的管理（1）PCA必须管理其所签发的证书，对外在CRL上发布证书，供用户查询。

（2）定期发布证书废止列表并进行归档。

4、二级CA的操作方式第二级CA向上与一级CA，向下与第三级CA的通信以离线方式操作。进行上传和下载证书的有关文件，具有安全保密功能。

三、第三层CA在一般层次结构的认证机构中，主要操作功能都集中在第三级CA进行，它的作用与PKI实体中的CA相同。三级CA按照二级CA制定的政策和操作管理规范，面向最终用户签发各类证书。

1、管理职责（1）管理RA三级CA决定RA（证书注册申请机构）的模式，CA可直接管理RA也可以委托第三方管理RA，如中国金融CA的RA主要委托各商业银行管理RA.这样必须对RA的受任方进行资信审核，并对RA的权限进行设置。

（2）接受用户申清注册三级CA提供了相应手段让用户能够填写证书申请表、证书更新申请表和证书作废申请表。这种申请可以通过公网注册到三级CA的证书注册服务器，进行在线自动接收用户的各种申请；或通过设置业务管理点（LRA）来人工接收用户的申请。

2、证书管理（1）证书的签发接到RA的证书签发申请，复核后进行证书签发，根据政策CA的策略，第三级CA可设置很多运营CA.第三级CA还为RA签发RA证书。

（2）证书的管理对签发的证书要及时发布证书作废列表CRL，供交易时查询；要及时对到期客户密钥证书进行更新；对已签发的证书进行归档，进行加密密钥的备份等。

（3）操作方式第三级CA采用在线操作方式，以满足通过RA的最终用户经常的、大量的证书申请需求。因此，第三级CA应为24?的不间断的在线工作。

四、证书注册申请机构RA作为CA的延伸，证书注册申请机构RA（Reqistration Authority）在逻辑组成上是与CA为一个总体。但在物理上，它可以远程设置。RA是CA的重要组成部分，从广义上来讲CA其组成包括RA在内。一般在一个具体的PKI／CA体系中，将证书的操作子系统概括为CA，而对证书申请的业务受理审核子系统概称为RA.

RA的功能如同PKI实体中的ORA，RA按照RCA制定的政策和管理规范对用户的资信进行审查，以决定是否为该用户发放证书，如果审查通过，即可实时或批量地向第三级CA为用户签发证书。

根据需要，RA可设置成为多级结构，RA的下级机构称为LRA（Local RA），一般称为受理点。它可以按行政管理机构进行设置。如商业银行总行设置RA，各省分行设置LRA等。

1、Client／Server体系结构图9.4中RA——LRA为Client／Server体系结构，RA为服务器端，设置有数据库系统（DB），存储由各客户端LRA传送上来的用户证书申请有关资料。RA作为服务器，将接收到的客户证书申请信息，传送给第三级CA，进行签发认证。

2、RA服务器证书RA作为服务器，安装由第三级CA签发的RA服务器证书，该证书属于高级证书，支持双密钥功能，支持双向认证，保证客户端与服务器之间的安全通信。

3、服务器代理（Server Proxy）

RA服务器装有服务器代理软件，与客户端代理软件进行通信。代理软件实现了客户端与服务器间的认证；实现了数据传输的机密性及数据完整性；实现了数字签名服务。

RA作为受理中心，负责管理下级LRA，并将LRA的审查结果转发给CA系统。

五、受理点LRA LRA作为RA的下级审核机构，主要面向最终用户，负责用户资料的录入、审核等工作，并将各种数据保存在RA中，由RA再做进一步的处理。

在业务管理上，RA与LRA能够审核的证书级别不同，CA中心只接受来自RA的证书签发请求。