第八章_网上金融的安全及网上支付机制

8 1 1TCP IP协议TCP IP协议由四层组成 1 应用层提供一组常见的应用程序和应用接口 注意应用层协议与应用程序的区别 第八章网上金融的安全及网上支付机制8 1Internet的安全基础 有些应用层协议是基于TCP协议 有些应用层协议是基于UDP协议 也有同时基于这两种协议的 2 传输层解决计算机程序到计算机程序间的通信问题传输层为应用层上的应用提供两类截然不同的服务 第一类服务叫做可靠的面向连接服务 connection orientedservice 确保正确无误地把消息从源端传送到目的地 使用的协议是TCP协议 第二类服务是不可靠的无连接服务 unreliable connectionlessservice 使用的协议是用户数据包协议UDP UserDatagramProtocol 所有使用TCP或者UDP协议的应用程序都有一个标识协议本身的永久性端口号 portnumber 收发两端的传输层TCP之间的通信由两个号码的组合来鉴别 一个是机器的IP地址 另一个是TCP软件使用的端口号 这两个号码组合在一起就叫做套接标识符 socket 或者叫做套接号 而且收发双方都需要有套接标识符 UDP协议不提供端 端的确认和重传功能 它不保证信息包一定能到达目的地 因此称为不可靠协议 应用开发人员选择UDP时 应用层协议软件几乎是直接与IP通信 UDP的特性 1 UDP是一个无连接协议 传输数据之前源端和终端不建立连接 当它想传送时就简单地去抓取来自应用程序的数据 并尽可能快地把它扔到网络上 2 由于传输数据不建立连接 因此也就不需要维护连接状态 包括收发状态等 因此一台服务机可同时向多个客户机传输相同的消息 3 UDP信息包的标题很短 只有8个字节 相对于TCP的20个字节信息包的额外开销很小 4 吞吐量不受拥挤控制算法的调节 只受应用软件生成数据的速率 传输带宽 源端和终端主机性能的限制 UDP协议的标题结构UDP信息包由UDP标题和数据组成 UDP的标题结构如图8 1所示 它由5个域组成 源端端口 SourcePort 目的地端口 DestinationPort 用户数据包的长度 Length 和检查和 Checksum 其中 前4个域组成UDP标题 UDPheader 图8 1UDP信息包的标题结构 传输控制协议 TCP TCP是面向连接的协议 面向连接的意思是在一个应用程序开始传送数据到另一个应用程序之前 它们之间必须相互沟通 也就是它们之间需要相互传送一些必要的参数 以确保数据的正确传送 TCP是全双工的协议 TCP连接一旦建立 应用程序就不断地把数据送到TCP发送缓存 TCPsendbuffer 如图15 22所示TCP就把数据流分成一块一块 chunk 再装上TCP协议 标题 TCPheader 以形成TCP消息段 TCPsegment 这些消息段封装成IP数据包 IPdatagram 之后发送到网络上 当对方接收到消息段之后就把它存放到TCP接收缓存 TCPreceivebuffer 中 应用程序就不断地从这个缓存中读取数据 图8 2TCP发送和接收缓存 TCP为应用层和网络层上的IP提供许多服务 其中3个最重要的服务是 1 可靠地传输消息 2 流程控制 3 拥挤控制TCP协议标题的结构TCP递给IP的数据块叫做消息段 segment 这个消息段由TCP协议标题域 TCPheaderfield 和存放应用程序的数据域 headerfields 组成 图8 3TCP协议标题的结构 1 源端端口号 SourcePortNumber 域和目的地端口号 DestinationportNumber 域 前者的16位域用来识别本机TCP 后者的16域用来识别远程机器的TCP 2 顺序号 sequencenumber 域和确认号 acknowledgmentnumber 域 这两个域是TCP标题中两个最重要的域 32位的顺序号域用来指示当前数据块在整个消息中的位置 而32位的确认号域用来指示下一个数据块顺序号 也可间接表示最后接收到的数据块顺序号 顺序号域和确认号域由TCP收发两端主机在执行可靠数据传输时使用 顺序号就是消息段的段号 段号是分配给该段中第一个字节的编号 确认号 AcknowledgementNumber 是终端机正在等待的字节号 3 检查和 Checksum 域 它的功能和计算方法同UDP中的检查和 4 标志 flag 域 5 窗口大小 WindowSize 域 6 标题长度 length 域确立连接TCP连接不是端对端的TDM或者FDM线路连接 因为收发端之间的路由器并不维持TCP连接的任何状态 TCP连接状态完全是留驻在收发两端的主机中 确认和重传 3 网络层网际协议 InternetProtocol IP 是TCP IP协议堆中的一个协议 是网络层上的一个协议 IP的主要任务是把来自TCP或者UDP协议执行软件装配的消息装配成数据包 datagram 负责安排数据包的传送路线以及在接收端把数据包还原成原来的消息段 数据包是IP使用的传输单元 有时更明确地叫做IP数据包 IPdatagram IP协议的 主要内容是定义IP数据包标题 InternetProtocolDatagramHeader 它由6个32位长共计24个字节组成 它的结构如图8 4所示 如果不使用 选择 option 域 最短的标题是5个32位长的字 图8 4IP数据包标题的结构 版本号 VersionNumber 域标题长度 HeaderLength 域服务类型 TypeofService 域数据包长度 DatagramLength 域标识 Identification 域标志 Flags 域数据块偏移量 FragmentOffset 域生存时间TTL TimetoLive 域传输协议 TransportProtocol 域 标题检查和 HeaderChecksum 发送端地址和目的地地址 SendingAddressandDestinationAddress 选择 Options 域与网际协议IP一起工作的一个协议是网际控制消息协议ICMP InternetControlMessageProtocol 4 网络接口层其功能是提供IP报文的发送和接收服务 负责网际层与硬件设备间的联系 TCP IP协议簇本身并没有对网络访问层的内容作出具体的规定数据链路层不是TCP IP协议的一部分 但它是TCP IP赖以存在的各种通信网和TCP IP之间的接口8 1 2新一代Internet 1 NGI计划和InternetIINGI计划的直接目标有三个 使连接各大学和国家实验室的高速网络比现有的Internet快100 1000倍 主干网的速率将从45Mb s提高到622Mb s 最高可达2 5Gb s 建立试验基地 Testbed 促进下一代网络技术的试验研究 进行新技术应用示范 以适应国家重要目标和任务 Internet 的关键技术是一种能够提供先进通信业务的新技术 即所谓的千兆级结点 GigaPOP 技术 2 新一代Internet的新技术IPV6网络服务质量 8 1 3IP网络的安全需求电子商务应用系统 1 网络基础设施 2 电子认证系统 3 网上支付系统 4 业务应用系统IP网络安全的基本要求 1 保密性 2 信息完整性 3 身份真实性 4 不可抵赖性电子商务安全系统应具有的功能 1 采用防火墙技术 2 建立基于VPN技术的Extranet系统 3 识别交易电文和验证电文的完整性 4 建立基于PKI技术的CA系统 8 2防火墙及其配置防火墙是指设置在不同网络 如可信任的企业内部网和不可信的公共网 或网络安全域之间的一系列部件的组合 它是不同网络或网络安全域之间信息的唯一出入口 能根据企业的安全政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击能力 它是提供信息安全服务 实现网络和信息安全的基础设施 在逻辑上 防火墙是一个分离器 一个限制器 也是一个分析器 有效地监控了内部网和Internet之间的任何活动 保证了内部网络的安全 8 2 1防火墙及其配置防火墙的控制服务 1 服务控制 2 方向控制 3 用户控制 4 行为控制防火墙的安全机制 1 过滤机制防火墙通过包过滤器PF和应用网关AG过滤 通信量包过滤 PacketFliter 通常安装在路由器上 而且大多数商用路由器都提供了包过滤的功能 包过滤规则以IP包信息为基础 对IP源地址 目标地址 封装协议 端口号等进行筛选 包过滤在网络层进行 包过滤防火墙的过滤规则集由若干条规则组成 它应涵盖对所有出入防火墙的数据包的处理方法 对于没有明确定义的数据包 应该有一个缺省处理方法 过滤规则应易于理解 易于编辑修改 同时应具备一致性检测机制 防止冲突 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行 过滤 如果IP头中的协议字段表明封装协议为ICMP TCP或UDP 那么再根据ICMP头信息 类型和代码值 TCP头信息 源端口和目的端口 或UDP头信息 源端口和目的端口 执行过滤 其他的还有MAC地址过滤 应用层协议过滤要求主要包括FTP过滤 基于RPC的应用服务过滤 基于UDP的应用服务过滤要求以及动态包过滤技术等 根据防火墙实现安全审查的网络层次不同 主要可分为网络层防火墙和应用层防火墙 2 代理服务机制代理服务PS主要是面向应用网关AG和线路网关CG的 3 数据加密机制 4 审查跟踪机制8 2 2防火墙的种类 1 包过滤路由器包过滤路由器将对每一个接收到的包进行允许 拒绝的决定 具体地 它对每一个数据报的包头 按照包过滤规则进行判定 与规则相匹配的包依据路由表信息继续转发 否则 则丢弃之 包过滤路由器的优点 不用改动应用程序 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明 过滤路由器速度快 效率高 包过滤的缺点 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 如UDP协议 正常的数据包过滤路由器无法执行某些安全策略 安全性较差 数据包工具存在很多局限性 包过滤完成以下功能 接收每个到达的分组 对分组采用规则 根据IP和传输头字段内容进行处理如果没有规则 采用默认规则 2 应用网关应用网关也称为代理服务器 工作流程 内部用户用TCP IP应用程序访问应用网关 应用网关想用户查询用户要建立 连接进行实际通信的远程主机 应用网关询问访问应用网关所需的用户名和口令 用户向应用网关提供这个信息 应用网关以用户身份访问远程主机 将用户的分组传递到远程主机 应用网关成为实际用户的代理 在用户与远程主机之间传递分组 3 线路网关线路网关是建立应用层防火墙的一种更灵活 更通用的途径 建立两个TCP连接 4 堡垒主机堡垒主机指的是任何对网络安全至关重要的防火墙主机 堡垒主机是一个组织机构网络安全的中心主机 因为堡垒主机对网络安全至关重要 对它必须进行完善的防御 堡垒主机是由网络管理员严密监视的 堡垒主机软件和系统的安全情况应该定期地进行审查 对访问记录应进行查看 以发现潜在的安全漏洞和对堡垒主机的试探性攻击 8 2 3防火墙在电子金融中的配置配置方案 1 屏蔽路由器又称包过滤路由器 在一般路由器的基础上增加了一些新的安全控制功能 是一个检查通过它的数据包的路由器 8 5屏蔽路由器 2 单宿堡垒扫描主机防火墙防火墙的配置包括两个部分 包过滤路由器和应用网关 一个包过滤路由器连接外部网络 同时一个堡垒主机安装在内部网络上 堡垒主机只有一个网卡 与内部网络连接 通常在路由器上设立过滤规则 并使这个单宿堡垒主机成为从Internet惟一可以访问的主机 确保了内部网络不受未被授权的外部用户的攻击 而Intranet内部的客户机 可以受控制地通过屏蔽主机和路由器访问Internet 3 采用双宿主堡垒主机配置的屏蔽主机式的防火墙系统双宿堡垒主机型与单宿堡垒主机型的区别是 堡垒主机有两块网卡 一块连接内部网络 一块连接包过滤路由器 双宿堡垒主机在应用层提供代理服务 与单宿型相比更加安全 4 屏蔽子网防火墙系统这种方法是在Intranet和Internet之间建立一个被隔离的子网 用两个包过滤路由器将这一子网分别与Intranet和Internet分开 两个包过滤路由器放在子网的两端 在子网内构成一个 缓冲地带 两个路由器一个控制Intranet数据流 另一个控制Internet数据流 Intranet和Internet均可访问屏蔽子网 但禁止它们穿过屏蔽子网通信 可根据需要在屏蔽子网中安装堡垒主机 为内部网络和外部网络的互相访问提供代理服务 但是来自两网络的访问都必须通过两个包过滤路由器的检查 对于向Internet公开的服务器 像WWW FTP Mail等Internet服务器也可安装在屏蔽子网内 这样无论是外部用户 还是内部用户都可访问 这种结构的防火墙安全性能高 具有很强的抗攻击能力 但需要的设备多 造价高 5 扩展防火墙体系结构 8 3安全网上支付中的SSL机制和SET机制8 3 1Web的安全 1 在网络层 IP 上的安全服务IPSec提供了两种安全机制 认证和加密 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改 加密机制通过对数据进行编码来保证数据的机密性 以防数据在传输过程中被窃听 IPSec协议组包含AuthenticationHeader AH 协议 EncapsulatingSecurityPayload ESP 协议和InternetKeyExchange IKE 协议 2 在传输层 TCP层 上的安全服务 3 在应用层上的安全服务8 3 2SSL协议是最初由Netscape公司提出的一种安全套接层协议 它采用公开密钥技术 其目标是保证两个应用间通信的保密性和可靠性 可在服务器和客户机两端同时实现支持 现行Web浏览器普遍将HTTP和SSL相结合 从而实现安全通信 图8 6SSL协议结构 SSL工作原理 1 握手协议SSL握手协议是客户机与服务器用SSL连接通信时使用的第一个子协议 类似于Alice与Bob要先握手 说声Hello 然后才开始对话 握手协议包括客户机与服务器之间的一系列消息 每个消息的格式如图 图8 7握手协议消息的格式 每个握手消息有三个字段如下 Type 类型 1字节 表示10种消息类型之一 Length 长度 3字节 表示消息长度 Content 内容 1或多个字节 与消息相关的参数 握手协议的四个阶段 1 建立安全能力2 服务器鉴别与密钥交换3 客户机鉴别与密钥交换 4 完成1 建立安全阶段SSL握手的第一阶段启动逻辑连接 建立这个连接的安全能力 包括两个消息clienthello与serverhello 包括的参数 Version表示客户机支持的最高SSL版本 Random用于客户机与服务器实际通信 包括两个字段 32位日期时间字段 表示客户计算机 的当前系统日期时间 28位随机数 是由客户计算机上的随机数产生器产生的 Sessionid变长会话标识符 如果包含非0值 则表示客户机与服务器已经建立连接 客户机要更新连接参数 而0则表示客户机要建立与服务器的新连接 Ciphersuite客户机支持的加密算法清单 优先顺序由高到低 Compressionmethod列出客户机支持的压缩算法 2 服务器鉴别与密钥交换服务器启动SSL握手第2阶段 是本阶段所有消息的唯一发送方 这个阶段分为四步 在第一步中 服务器将数字证书和到根CA的整个链发给客户机 使客户机能用服务器证书中的服务器公钥鉴别服务器 在第二步 服务器密钥交换 是可选的 只在第一步服务器没有向客户机发送数字证书时使用 向客户机发送公钥 第三步 证书请求 服务器请求客户机的数字证书 客户机鉴别在SSL中是可选的 服务器不一定要鉴别客户机 因此这一步是 是可选的 第四步 服务器握手完成 消息表示服务器的serverhello消息部分已经完成 表示客户机 可选 可以验证服务器发送的证书 保证服务器发送的所有参数可以接受 这个消息没有任何参数 发送这个消息后 服务器等待客户机响应 3 客户机鉴别与密钥交换客户机启动SSL握手第三阶段 是本阶段所有消息的唯一发送方 服务器是本阶段所有消息的唯一接受方 这个阶段分为三步 第一步 证书 是可选的 只在服务器请求客户机数字证书时才进行 如果服务器请求客户机数字证书 而客户机没有 则客户机发一个Nocertificate消息 而不是Certificate消息 然后由服务器决定是否继续 和服务器密钥交换一样 第二步 客户机密钥交换 使客户机可以从相反方向把信息发给服务器 这个信息与双方在会话中使用的对称密钥相关 这里客户机生成48字节的预备秘密 pre mastersecret 用服务器的公钥加密 然后发送给服务器 4 完成客户机启动SSL握手第四阶段 使服务器结束 这个阶段共四步 前两个消息来自客户机 是Changecipherspecs 改变加密规范 Finished 完成 后两个消息来自服务器 也是Changecipherspecs 改变加密规范 Finished 完成 根据客户机在客户机密钥交换消息中生成和发送预备秘密 客户机和服务器需要生成只有他们自己知道的共享秘密信息 这个值是个48字节值 这个值是个48字节值 称为 主秘密 mastersecret 主秘密用于生成密钥和秘密 用于加密和MAC计算 主秘密在计算预备秘密 客户机随机数与服务器随机数的消息摘要之后计算 图8 8主秘密生成方法 最后 生成客户机和服务器使用的对称密钥 对称密钥生成方法如图所示 图8 9对称密钥生成方法 2 记录协议SSL记录协议为SSL连接提供了两种服务 机密性 消息完整性 SSL记录协议操作 SSL记录格式 SSL记录格式 明文 可选压缩 加密 内容类型主版本次版本压缩的长度 3 警报协议警告协议用来为对等实体传递SSL的相关警告 当其他应用程序使用SSL时 根据当前状态的确定 警告消息同时被压缩和加密 SSL握手过程 客户机 服务器 建立安全能力 包括协议版本 会话ID 密码组 压缩方法和初始随机数字 服务器可以发送证书 密钥交换和请求证书 服务器信号以hello消息段结束 客户机可以发送证书 客户机发送密钥交换 客户机可以发送证书验证 更改密码组合并完成握手协议 注意 加阴影的传送是可选的 或是与情况相关的消息 并不是总是发送 时间 client hello server hello 证书 server key exchange certificate request server hello done 证书 client key exchange certificate verify change cipher spec 完成 change cipher spec 完成 8 3 3SET协议和网上支付机制由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构 共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准 这就是 安全电子交易 SecureElectronicTransaction 简称SET 它采用公钥密码体制和X 509数字证书标准 SET不是个付款系统 而是一组安全协议和格式 SET服务可以总结如下 1 在参与电子商务事务的各方之间提供安全的通信通道 2 用数字证书提供鉴别 3 保证保密性1 双重数字签名技术 1 持卡人对PI进行消息摘要或散列 H 得到PIMD 持卡人对OI散列得到OIMD 然后持卡人组合PIMD与OIMD 一起散列 得到POMD 然后用其私钥加密POMD 生成双向签名 POMD向商家和付款网关提供 2 持卡人向商家发送OI DS与PIMD 注意商家不能取得PI 利用这些信息 商家验证订单是来自该持卡人 而不是某个伪装人 为此 商家进行如下操作 2 用数字证书提供鉴别 3 保证保密性1 双重数字签名技术 1 持卡人对PI进行消息摘要或散列 H 得到PIMD 持卡人对OI散列得到OIMD 然后持卡人组合PIMD与OIMD 一起散列 得到POMD 然后用其私钥加密POMD 生成双向签名 POMD向商家和付款网关提供 2 持卡人向商家发送OI DS与PIMD 注意商家不能取得PI 利用这些信息 商家验证订单是来自该持卡人 而不是某个伪装人 为此 商家进行如下操作 3 付款网关得到PI DS与OIMD 注意付款网关不能取得OI 付款网关可以用这些信息验证POMD 验证付款信息是来自该持卡人 而不是某个伪装人 为此 付款网关进行如下所示 2 采用SET联机购物和支付过程 1 持卡人首先必须取得数字钱包 DigitalWallets 软件 2 持卡人要取得数字证书 3 持卡人通过Internet与商家进行购物对话 4 授权和结算处理3 支付网关 1 交易管理 2 证书管理 3 密钥管理 4 加密服务 5 翻译服务 6 应用管理4 SET的网上支付机制和支付信息流程 1 启动请求 2 启动响应 3 购物请求 4 购物响应 5 商户向支付网关发送授权请求 6 支付网关向商户发送授权响应消息 7 商户向客户发送购买响应消息 8 商户向支付网关发送获取支付请求 9 支付网关完成响应处理后 向商户发送获取支付响应消息 8 3 4SSL与SET下面介绍SSL与SET的差别 8 4PKI系统的安全认证机制8 4 1PKI概述1 PKI的主要组件 1 数字证书 2 公钥加密体系 3 SSL或SET 4 认证授权机构CA2 PKI系统的组成 1 授权机构CA 2 根CA 3 注册机构RA 4 证书目录 5 管理协议 6 操作协议 7 个人安全环境 PSE 3 CA政策 4 确认证书 1 证书撤回目录 CRL 2 CRL的发布点 3 在线证书状态协议 OCSP 5 证书的申请 1 向RA提供一张自己身份的名字列表 2 RA进行验证 3 向CA服务器发出请求 4 生成证书 6 用户验证 1 用户访问网站平台 系统通过SSL进行加密连接 2 WEB服务器读取浏览器端证书 验证证书签发机构 有效期及其扩展信息 3 读取证书序列号 与LDAP和CRL进行对比 若在其中则为非法 可选 4 最后浏览器读取扩展信息和用户基本数据 确定用户的交易范围 7 Timestamp服务器8 系统的安全性8 4 2我国的金融CA建设和体系结构CFCA采用PKI技术体系 建设SETCA和Non SETCA系统 SETCA主要用于电子商务中的BtoC业务模式的身份认证 而Non SETCA可同时支持BtoB和BtoC两种业务模式的身份认证 1 SETCA的结构和功能 1 功能 2 结构金融CA具有三层式结构 其第一层CA即根CA 将设在人民银行总行 它负责制定和审批总体政策 确定每层CA的功能和职责 给自己签发证书 并签发和管理第二层CA的证书及与其他根CA的交叉认证 第二层CA可称为 品牌CA 或 政策CA 它根据根CA的政策制定具体的管理制度和运作规范 签发和管理第三层CA的证书和证书废止列表 CRL 等 第三层CA可称为用户CA 它根据根CA制定的政策和第二层CA的具体规定 直接给最终用户 持卡人 商户 企业 支付网关等 发放各种应用的数字证书 并管理其所发证书和证书废止列表 在SET系统中 第三层CA又分为持卡人CA CCA 商户CA MCA 和支付网关CA PCA 等 3 证书的管理证书的申请 审批和发放证书撤消证书更新 2 Non SETCA的结构和功能 1 总体结构non SETCA系统目前一般为层次结构 系统结构的第一层为根CA RCA的职责是 1 负责制定和审批CA的总政策 2 为自己 自签 根证书 并以此为根据为二级CA签发并管理证书 3 与其他PKI域的CA进行交叉认证 系统结构的第二层CA为政策性CA PCA的职责是 1 根据根CA的各种规定和总政策 制定具体政策 管理制度和运行规范 2 安装根CA为其签发的证书 3 为第三级CA签发证书 4 管理证书及证书撤消列表 CRL 系统结构的第三层为终端用户CA OCA的职责是 1 安装政策CA签发的证书 n2 根据根证书及二级CA证书 直接为最终用户颁发终端实体证书 即支持电子商务各种应用的数字证书 n3 管理所发证书及证书撤消列表 CRL 2 CFCA发放的证书类型1 高级企业证书 高级个人证书 具有加密和数字签名两种功能 2 普通企业书证 普通个人证书 即SSL证书 具有加密功能 3 Web证书 WebServer证书 n4 VPN证书 虚拟专用网证书 5 WAP证书 移动手机上网证书 6 S MIME证书 安全电子邮件证书 3 证书的发放过程 4 证书的管理1 数字证书库 用于存储已签发的数字证书及公钥 用户可由此获得所需的其他用户的证书及公钥 2 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥 则数据将无法被解密 这将造成合法数据丢失 为避免这种情况 PKI提供备份与恢复密钥的机制 但须注意 密钥的备份与恢复必须由可信的机构来完成 并且 密钥备份与恢复只能针对解密密钥 签名私钥为确保其唯一性而不能够作备份 3 证书作废系统 证书作废处理系统是PKI的一个必备的组件 与日常生活中的各种身份证件一样 证书有效期以内也可能需要作废 原因可能是密钥介质丢失或用户身份变更等 为实现这一点 PKI必须提供作废证书的一系列机制 4 应用接口 API PKI的价值在于使用户能够方便地使用加密 数字签名等安全服务 因此一个完整的PKI必须提供良好的应用接口系统 使得各种各样的应用能够以安全 一致 可信的方式与PKI交互 确保安全网络环境的完整性和易用性 3 CFCA的系统设置 1 注册服务器 RS 通过WebServer建立的站点 可为客户提供每日24小时的服务 因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表 注册服务器主要提供如下信息 1 CA的说明信息 2 公布RootHash值 为证书验证之用 3 指向证书处理服务器的链接 以便网上用户可实施证