信息安全工程师教程：SET认证技术涉及的内容

认证技术具体涉及以下一些内容：
①证书信息
在做交易时，买方在向卖方发送购物信息的同时，还应向对方提交一个由 CA签发的包含个人身份的证书，以使对方相信自己的合法身份。顾客向 CA申请证书时，可提交自己的驾驶执照、身份证或护照，经认证机构验证后，向顾客颁发证书，证书包含了顾客的名字和他的公钥，以此作为网上证明顾客合法身份的依据。在 SET中，昀主要的证书是持卡人证书和商家证书。持卡人证书实际上是支付卡的一种电子化的表示，它是由金融机构以数字化形式签发的，因此不能随意改变。持卡人证书并不包括账号和终止日期信息这样的敏感信息，而是用单向 Hash算法，根据账号、截止日期生成的一个代码。如果知道账号、截止日期和密码值，即可导出这个代码。商家证书与持卡人证书的内容基本一样，其作用表示在商家这里都可以用哪些品牌的卡来结算。它也是由金融机构签发的，不能被第三方改变。在 SET环境中，与一个银行打交道，一个商家至少应有一对证书。一个商家也可以有多对证书，表示它与多个银行有合作关系，可以接受多种付款方法。除了持卡人证书和商家证书以外，还有支付网关证书、银行证书和发卡机构证书等。
持卡人证书
持卡人证书表明持卡人拥有的支付卡是合法的，它是由权威的金融机构数字签署的，不能由其他非法第三方产生。持卡人证书不包括账号和过期日期，代替账户信息的是仅仅由持卡人软件知道和使用单向 Hash算法产生的一个秘密值。如果知道账号和过期日期以及该 Hash值（数字指纹），可以验证对应的证书。但是不能从证书中直接得到这些敏感信息。在 SET协议中，持卡人向支付网关提供用于验证的账户信息和该 Hash值。只有当持卡人的发卡金融机构验证用户后，才向持卡人发布一个证书。交易过程中，持卡人证书和加密的支付指示发向商家，商家收到持卡人证书，能够昀低限度验证该持卡人的证书是由一个权威金融机构发行的，并且是可靠有效的。
商家证书
商家证书与持卡人证书基本一样，也是由商家的权威的金融机构数字签署的，商家证书不能由其他第三方非法发行，它表示商家能够接收该支付卡的消费。这些证书由收单行金融机构认证，说明商家与收单行达成协议。在 SET协议中，对应于每个支付卡品牌，一个商家都拥有一个证书。一个商家至少拥有一个证书，也可以有多个证书。
支付网关证书
支付网关证书由收单行或收单行的处理系统拥有，持卡人从支付网关证书得到公钥来加密保护持卡人的账户信息，保证只有收单行才能看到持卡人的账户信息。支付网关证书由支付卡品牌的收单行发行。
收单行证书
一个收单银行必须拥有证书，才能使一个 CA接收和处理商家从公共和专用网络发出的证书请求。
发卡行证书
一个发卡银行必须拥有证书， CA才能接收和处理来自持卡人的证书请求（通过公共或专用网络），那些选择支付卡品牌来代理处理证书请求的发卡行不需要证书。
②证书的发行
SET证书通过一个信任层次来验证，每个证书连接一个实体的数字签名的签名证书，沿着信任树到一个众所周知的信任机构，用户可以保证该证书是有效的。例如，一个持卡人证书连接一个发卡行的证书（或代表发卡行的品牌），发卡行证书通过品牌证书连接一个根证书。所有 SET软件知道根证书的公用签名密钥，可用于验证每个证书。
根密钥（Root key）由根 CA自己签名来发布，该根密钥证书由软件开发商插入他们的软件中。软件通过向 CA发出一个初始化请求（包括根证书的 Hash值），可以确定一个密钥的有效性。如果软件没有一个有效的根证书， CA将在响应中发出一个根密钥。
当根证书产生后，一个替代密钥也产生了，替代密钥将被安全保存直到需要使用，替代密钥的 Hash值和自签名的根证书是同时发行的。软件将通过包括一个替代根密钥的自签名证书和下一个替代根密钥的 Hash值的消息来指明替代者。软件通过计算它的 Hash值与包括在根证书中的替代密钥的 Hash值相比较，来确认替代根证书的有效性。
③认证信息和验证结构在应用认证技术时，要涉及到认证信息和验证结构。
认证信息
在 SET中，交易双方的身份必须要验证，CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体组成。例如，持卡人要向商家发送购物信息时，可以从公开媒体上获取商家的公开密钥，但持卡人无法确定这是否真是商家的公开密钥以及它的信誉度是多少。于是持卡人需要向 CA请求对商家进行认证。CA通过对商家发送给持卡人的证书进行调查、验证和鉴别后，将权威机构发送的包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。证书一般包含拥有者的标识名称和公钥，并且由 CA进行过数字签名。在实际运作中，CA可由大家都信任的一方担当。例如，在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系（有账号）。在此情况下，客户和商家都信任该银行，可由该银行担当 CA角色。又例如，对商家自己发行的购物卡，则可由商家自己担当 CA角色。
证书的树形验证结构
在通信时，交易双方可以通过出示由某个 CA签发的证书来证明自己的身份。如果对签发证书的 CA本身不信任，则可验证 CA的身份，依次类推，一直到公认的权威 CA处，就可确信证书的有效性。 SET证书正是通过信任层次来逐级验证的，其结构如图 5-4所示。沿着信任树一直到一个公认的信任组织，就可确认该证书是有效的，每一个证书与一个数字化签发证书的实体的签名证书相关联。例如，C的证书是由名称为 B的 CA签发的，而 B的证书又是由名称为 A的 CA签发的，A是权威的机构，通常称为根（Root） CA。验证到了 Root CA处，就可确信 C的证书是合法的。在网上购物过程中，持卡人的证书与发卡机构的证书关联，而发卡机构的证书通过不同品牌卡的证书连接到 Root CA，而 Root CA的公共签名密钥对所有的 SET软件都是已知的，因而可以校验每一个证书。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。