Identrus 是什麼?
Identrus 於1999年成立,為解決銀行之間線上交易安全與認證標準問題,由ABN AMRO, Bank of America、 Bankers Trust、 Barclays、 Chase Manhattan、 Citigroup、 Deutsche Bank、 Hypo Vereinsbank 等多家銀行共同發起的組織;該組織結合網路交易安全軟硬體業者,建立一個共同的認證機制和安全標準,會員可透過憑證與彼此機制確認後,就可以經由雙方所屬的銀行,進行轉帳處理或其他交易動作等。它是為銀行間的企業對企業的電子商務提供線上身分確認的服務。台灣電子商務交易興盛,銀行加入有助於加強銀行本身的資訊系統和交易流程,改善銀行本身的體質;而加入Identrust認證組織的銀行,大多為中大型規模的銀行,無法加入的小銀行可與加入Identrus的銀行合作。
Identrus 在其開放系統中,整合了各家的PKI、 Certificate Authority ( CA )、 B2B 電子商務、智慧卡、HSM、網路安全技術與產品,建立了一個全球化的嚴密安全交易機制。
事實上, Identrus的第一級會員銀行都要建有自己的Root CA,並可以擔保和服務其第二級會員銀行。第二級銀行發數位憑證給其企業用戶,所有的資訊流都經由 SSL 加密機制在 Identrus 上傳輸,企業用戶間的交易,透過其嚴謹的四角模式 PKI 系統,對交易雙方身分進行即時確認,並證明交易資訊在傳輸過程中未被竄改。
當前電子交易機制障礙
這個由銀行對銀行,透過網際網路做國際性的金融服務之需要而產生的組織。它發展很快,現在它在全球已有40幾家大銀行和金融機構成為它的會員。 Identrus 的產生是為了解決目前銀行業在傳統的線上金融交易,而建立 PKI 系統時所面臨的障礙。
1.X.509數位憑證的局限性
盡管X.509是一個業界標準,但是因為X.509允許有特定的欄位或程式,這會造成這些數位憑證在許多系統間不能被辨認和相容。
2.不限定使用硬體的存儲卡
目前許多 PKI 系統由於不限定使用硬體存儲卡,允許數位憑證存在硬碟中,並於強制性法規要求數位憑證必須存在 Smart Card 或 HSM 設備中,這樣做容易被駭客入侵所偷取,並不安全。
3. PKI 系統的管理太麻煩棘手
傳統的三角模式的 PKI 系統 :發信方─數位憑證機構─受信方,對於受信方(接收方)在一個封閉系統中僅保存1個公鑰的情況是可行的。但是對於一個開放的供應鏈系統包含許多公司時,每一個受信者都必須維護一套對所有成員一致的公鑰資料庫時,管理這一 PKI 系統會馬上變成一個麻煩,不論從成本還是以管理維護的角度來看。
4.數位憑證的即時確認既困難又有風險
金融機構要求公鑰是必須通過一個即時確認機制來認證其有效性。儘管這種即時確認機制是存在的,它透過 OCSP ─線上數位憑證狀態的規約來確認。但是這些數位憑證有可能被破解,而多數公司並不想承擔管理即時數位憑證認證的麻煩和風險。
5.現有的PKI Solution缺乏一致性的法律和風險管理的架構
一個數位憑證必須具有法律根據才有效,每一個國家或地區都可能為了它自己的數位憑證建立相應的法律及風險管理架構。不論建制什麼樣的PKI系統,它必須同該國家所認可的合法合約的標準相容。
6.對於電子簽章的保證不負責任
當一個合約文件中所簽署的電子簽章是假的時,大部分公司都不願為相關的損失提供保證。
Identrus 的安全防護措施
Identrus 設計了一整套嚴謹的規章,來克服以上所述的電子商務交易的保障,其重點如下:
- 1為企業對企業電子商務的數位憑證交換,建立一套互通的全球系統。
- 2.建立標準和作業流程,以確保X.509數位憑證在Identrus網路中的互通性。
- 3.本身是所有Identrus會員的最高數位憑證管理機構 (Root CA),成為一個可信賴的線上機構,提供即時的數位憑證認證服務。
- 4.建立一個法律架構,來認證其可在全世界被認可的數位憑證服務。
- 5.為通行於Identrus網路的數位憑證提供保障。
- 6.在數位認證機構的基礎上,提供加值服務以供其會員銀行可以將這類加值服務各提供給他們的商家和客戶。
在Identrus基本架構中,金融機構的角色有兩級會員的定義,如(圖一)。
第一級會員組成Identrus組織的第一層金融機構,他們必須符合嚴格的財務評判標準,第一級的金融機構要做 CA 數位憑證機構,並能發放與管理數位憑證給他們的員工和應用系統伺服器,他們應能做到掌握確認客戶的處理和及時回應認證數位憑證的請求,並能支援保證。除此之外,第一級會員也要能在這些基本的認證服務基礎上提供附加服務。
第二級金融機構的會員需要符合Identrus的基本評判標準,以加強該體系的完整性,在第一級會員的擔保下,第二級會員也要能為其客戶提供如同第一級會員所做的服務,例如 CA 數位憑證機構、責任追蹤及風險管理。
在Identrus體系內,所有參加的金融機構都必須有自己的 CA 並開放帶有數位憑證的Smart Card 給他們的公司客戶。另外一方面,所批准做線上金融交易的員工,這些數位憑證包含有電子簽章作為護照,來進行所信任的電子商務交易。這些數位憑證驗證發信者,並讓受信者能確認收到內容的完整性。
以同一身分之數位憑證,去處理一系列的線上商務交易
在建制企業的電子商務基礎上,Identrus也提供企業對金融機構交易的認證。這一系統可幫助企業在更可靠、更安全的環境中,作交易並處理線上付款及收款。在這種環境中,用戶只要用一個電子憑證就做完交易及付款,而在傳統環境中,用戶往往要上不同的系統來做這些事。
創造一個不可否認的交易環境
在符合 Identrus 的統一系統規則、合約責任的相互信任、安全可靠的環境中,所有交易夥伴被他們的金融機構所認證。在這一全球的電子數位憑證網路系統中,Identrus可以提供所有交易發生及過程處理的證明,這樣就創造了一個有合約效力交易的不否認性。
支援不同形式的線上交易
Identrus幫助金融機構綜合運用了他們的傳統交易代理人角色,提供電匯、電子付款、信用狀、帳單通知及收款、企業採購單處理等服務給他們的企業客戶。
Identrus 四角模式的 PKI 系統
傳統的三角模式的 PKI 系統,要求客戶維護複雜的數位認證管理系統,並記錄追蹤幾千種關係的公鑰。這種複雜度是可接受戶與應用PKI系統的一大障礙。
為了簡化客戶PKI系統的維護要求,Identrus提供如下"四角模式"的PKI架構,如
(圖二),請參見如下定義。
1.發信方(如發卡銀行)
作為數位憑證發行與管理機構 CA ,發放數位憑證和 Smart Card 給用戶。
2.登記的賣方用戶
該企業用戶可以用發卡銀行所發放的 Smart Card 來同買方作安全保密的通訊,並且用數位認證簽署保密的線上交易。
3.受信方(如同收卡銀行)
作為受信方用戶的擔保人,要同發卡銀行和 Identrus Root CA 為用戶作信用狀況檢查。@小標:4.登記買方用戶
該企業用戶是發信用戶的電子簽署交易接收者,買方用戶必須使用能與 Identrus 連通的軟體,能讓他們把 Identrus 簽章和賣方用戶分離出來,然後將其送到收卡銀行去處裡。不同於傳統的三角模式的PKI系統,該受信方用戶不需要維護複雜的公鑰來作金鑰的驗證。
5. Identrus Root
它是 Root CA ,即最高層數位憑證機構,維護管理發信銀行與受信銀行間的信任關係。
6.對第一級會員銀行的要求
Identrus第一級會員金融機構,有責任為發信用戶和受信用戶(賣方和買方)提供一系列的服務。
第一級會員機構服務的要求
在 Identrus 所提供第一級會員機構的服務要求中,共可分為兩部分,第一是發信方服務要求,第二則是受信方服務要求。首先在發信方服務要求中,有九個重點。
- ●發行與Identrus標準相通的數位憑證和Smart Card
- ●維護發給信用戶的數位憑證的準確紀錄
- ●在信用額度和有效期內,批准其發信用戶的交易活動
- ●針對所發的數位憑證保障限額監測管理
- ●回應受信方用戶對發信方用戶數位憑證的狀況查詢
- ●針對受信方用戶為發信方用戶的數位憑證提供保障
- ●建立並執行用戶合約以保證數位憑證的效力和責任控制
- ●為所擔保的第二級會員提供保障
- ●授權於第二級會員的符合標準,賦予其營運規則
其次在受信方服務要求,共有六個要項。
- ●確認並記錄所有Identrus用戶的直接登入請求
- ●基於身分認證而批准用戶使用相應的服務
- ●授權建立受信方用戶應用介面的安全措施
- ●接收、紀錄並處理受信方用戶之數位憑證狀況的查詢
- ●接收、紀錄並處理受信方用戶的保障請求
- ●使用數位憑證來限制賠償責任的同時建制並執行用戶合約
Entrust 為Identrus會員提供技術方案
Entrust 在北美金融業的用戶占有率很高。 Entrust 為 Identrus 會員所提供的技術方案,有三個主要系統架構。請見(圖三)。
| 《圖三 Entrust為Identrus會員銀行提供的PKI系統架構》 |
|
1.交易系統架構
讓交易系統架構為從PC、 PDA、手機的輸入到後台的傳統主機資料庫,提供交易的完整性保護。如果交易一旦中斷,該系統要退回,並將相關的交易處理都回覆。該交易系統架構並保證交易在執行完成後是不可否認的。
2.安全系統架構
該安全系統架構為從PC、 PDA、手機的數入到後台的傳統主機,資料庫提供統一的安全作業環境。這一系統架構必須為不同的既有電腦設備,系統的不同安全機制提供隱密性,身分認證和單一登入等服務。
3.服務系統架構
該服務系統架構必須有能力處理不同形式的付款,帳單的表示和列印,擔保服務、委託服務、公證服務和傳統管理服務。並且該系統架構還要有能力在不改變用戶端設備及後台傳統的電腦系統情況下,增加服務功能,它必須集合交易系統架構和安全系統架構在一起來,提供不能被中斷的安全交易服務。
在 Identrus 系統架構之元件內容的解釋,主要有八點重要內容。
Identrusr交易協調器
這是 Identrus 的核心引擎,它包括1個 OCSP 引擎,1個擔保服務引擎和1套 XML基礎的連接到其他金融機構的後台既有資料庫系統的信息,交換服務。它處裡所有經過 Identrus 系統的發信方與受信方的交易要求。
到用戶終端的安全通訊層
所有從用戶端到後台既有系統,包括全部交易鏈的通訊都必須安全的,能夠防止截聽,假冒等入侵。
智慧卡管理系統
該系統有2個元件,第一個元件要有個人化功能,並發Identrus卡給登記企業的員工。第二個元件要能追蹤所發卡的狀態和相關的交易紀錄,這些系統必須能使第一級會員或第二級會員發Identrus的智慧卡。
風險管理系統
第一級會員金融機構,要針對交易有不合格簽章情況發生時提供擔保。針對金融機構的財務狀況這類擔保代表的意外賠償需要被追蹤紀錄。
數位憑證管理系統
這是第一級會員金融機構的核心服務,他需具有發憑證、追蹤、取消及恢復等機能。第一級會員必須有一套完整的 PKI 基礎認證管理系統,來為本身用戶和其所屬的第二級會員機構連同它們的用戶發憑證。
商業服務元件
每一個第一級會員金融機構,建制應用Identrus的服務,這些服務是用直接插入到交易協調器的Java Servlet元件來提供。
政策管理基本架構
第一級會員金融機構要求有一套政策管理系統,來決定哪種服務可以讓發信方用戶或受信方用戶使用。它還需要有功能為發信方可戶確認,受信方客戶所批准的付錢額度,可交易與否。該政策管理系統必須允許第一級會員金融,在一套 LDAP 或資料庫中管理多層許可結構,並能管理自身的和其所服務的第二級會員機構的政策系統。
交易服務中間軟體框架
第一級會員金融機構,要求這種交易服務中間軟體,能夠提供從客戶端的點選到後台系統處理完成的完整性服務。
結語
Identrus 安全交易系統是 PKI 技術,在國際金融界、網際網路與B2B電子商務領導的應用。銀行界也會有其他應用之開發或正在開發中。如果每一項應用都要求銀行建立一套專用特製的PKI系統,銀行的PKI系統會變得多重、複雜、難以管理。銀行界應該發展出一套通用的標準化的安全架構而能支持任何新發展的e-business服務。
相關時事單元
相關產業類別
相關關鍵字
相關產品類別
相關網站單元