Identrus 是什么?

Identrus 于1999年成立，为解决银行之间线上交易安全与认证标准问题，由ABN AMRO, Bank of America、 Bankers Trust、 Barclays、 Chase Manhattan、 Citigroup、 Deutsche Bank、 Hypo Vereinsbank 等多家银行共同发起的组织；该组织结合网路交易安全软硬体业者，建立一个共同的认证机制和安全标准，会员可透过凭证与彼此机制确认后，就可以经由双方所属的银行，进行转帐处理或其他交易动作等。它是为银行间的企业对企业的电子商务提供线上身分确认的服务。台湾电子商务交易兴盛，银行加入有助于加强银行本身的资讯系统和交易流程，改善银行本身的体质；而加入Identrust认证组织的银行，大多为中大型规模的银行，无法加入的小银行可与加入Identrus的银行合作。

Identrus 在其开放系统中，整合了各家的PKI、 Certificate Authority ( CA )、 B2B 电子商务、智慧卡、HSM、网路安全技术与产品，建立了一个全球化的严密安全交易机制。

事实上， Identrus的第一级会员银行都要建有自己的Root CA，并可以担保和服务其第二级会员银行。第二级银行发数位凭证给其企业用户，所有的资讯流都经由SSL 加密机制在Identrus 上传输，企业用户间的交易，透过其严谨的四角模式PKI 系统，对交易双方身分进行即时确认，并证明交易资讯在传输过程中未被窜改。

当前电子交易机制障碍

这个由银行对银行，透过网际网路做国际性的金融服务之需要而产生的组织。它发展很快，现在它在全球已有40几家大银行和金融机构成为它的会员。 Identrus 的产生是为了解决目前银行业在传统的线上金融交易，而建立 PKI 系统时所面临的障碍。

1.X.509数位凭证的局限性

尽管X509是一个业界标准,但是因为X.509允许有特定的栏位或程式,这会造成这些数位凭证在许多系统间不能被辨认和相容。

2.不限定使用硬体的存储卡

目前许多PKI 系统由于不限定使用硬体存储卡，允许数位凭证存在硬碟中，并于强制性法规要求数位凭证必须存在Smart Card 或HSM ​​设备中，这样做容易被骇客入侵所偷取，并不安全。

3. PKI 系统的管理太麻烦棘手

传统的三角模式的 PKI 系统 :发信方─数位凭证机构─受信方，对于受信方(接收方)在一个封闭系统中仅保存1个公钥的情况是可行的。但是对于一个开放的供应链系统包含许多公司时，每一个受信者都必须维护一套对所有成员一致的公钥资料库时，管理这一PKI 系统会马上变成一个麻烦，不论从成本还是以管理维护的角度来看。

4.数位凭证的即时确认既困难又有风险

金融机构要求公钥是必须通过一个即时确认机制来认证其有效性。尽管这种即时确认机制是存在的，它透过 OCSP ─线上数位凭证状态的规约来确认。但是这些数位凭证有可能被破解，而多数公司并不想承担管理即时数位凭证认证的麻烦和风险。

5.现有的PKI Solution缺乏一致性的法律和风险管理的架构

一个数位凭证必须具有法律根据才有效，每一个国家或地区都可能为了它自己的数位凭证建立相应的法律及风险管理架构。不论建制什么样的PKI系统，它必须同该国家所认可的合法合约的标准相容。

6.对于电子签章的保证不负责任

当一个合约文件中所签署的电子签章是假的时，大部分公司都不愿为相关的损失提供保证。

Identrus 的安全防护措施

Identrus 设计了一整套严谨的规章，来克服以上所述的电子商务交易的保障，其重点如下:

在Identrus基本架构中，金融机构的角色有两级会员的定义，如(图一)。

《图一 Identrus体系架构》

第一级会员组成Identrus组织的第一层金融机构，他们必须符合严格的财务评判标准，第一级的金融机构要做CA 数位凭证机构，并能发放与管理数位凭证给他们的员工和应用系统伺服器，他们应能做到掌握确认客户的处理和及时回应认证数位凭证的请求，并能支援保证。除此之外，第一级会员也要能在这些基本的认证服务基础上提供附加服务。

第二级金融机构的会员需要符合Identrus的基本评判标准，以加强该体系的完整性，在第一级会员的担保下，第二级会员也要能为其客户提供如同第一级会员所做的服务，例如CA 数位凭证机构、责任追踪及风险管理。

在Identrus体系内，所有参加的金融机构都必须有自己的 CA 并开放带有数位凭证的Smart Card 给他们的公司客户。另外一方面，所批准做线上金融交易的员工，这些数位凭证包含有电子签章作为护照，来进行所信任的电子商务交易。这些数位凭证验证发信者，并让受信者能确认收到内容的完整性。

以同一身分之数位凭证，去处理一系列的线上商务交易

在建制企业的电子商务基础上，Identrus也提供企业对金融机构交易的认证。这一系统可帮助企业在更可靠、更安全的环境中，作交易并处理线上付款及收款。在这种环境中，用户只要用一个电子凭证就做完交易及付款，而在传统环境中，用户往往要上不同的系统来做这些事。

创造一个不可否认的交易环境

在符合 Identrus 的统一系统规则、合约责任的相互信任、安全可靠的环境中，所有交易伙伴被他们的金融机构所认证。在这一全球的电子数位凭证网路系统中，Identrus可以提供所有交易发生及过程处理的证明，这样就创造了一个有合约效力交易的不否认性。

支援不同形式的线上交易

Identrus帮助金融机构综合运用了他们的传统交易代理人角色，提供电汇、电子付款、信用状、帐单通知及收款、企业采购单处理等服务给他们的企业客户。

Identrus 四角模式的 PKI 系统

传统的三角模式的 PKI 系统，要求客户维护复杂的数位认证管理系统，并记录追踪几千种关系的公钥。这种复杂度是可接受户与应用PKI系统的一大障碍。

为了简化客户PKI系统的维护要求，Identrus提供如下"四角模式"的PKI架构，如

(图二)，请参见如下定义。

《图二 Identrus四角模式架构》

1.发信方(如发卡银行)

作为数位凭证发行与管理机构 CA ，发放数位凭证和 Smart Card 给用户。

2.登记的卖方用户

该企业用户可以用发卡银行所发行的 Smart Card 来同买方作安全保密的通讯,并且用数位认证签署保密的线上交易。

3.受信方(如同收卡银行)

作为受信方用户的担保人，要同发卡银行和 Identrus Root CA 为用户作信用状况检查。@小標:4.登记买方用户

该企业用户是发信用户的电子签署交易接收者，买方用户必须使用能与 Identrus 连通的软体，能让他们把 Identrus 签章和卖方用户分离出来，然后将其送到收卡银行去处里。不同于传统的三角模式的PKI系统，该受信方用户不需要维护复杂的公钥来作金钥的验证。

5. Identrus Root

它是 Root CA ，即最高层数位凭证机构，维护管理发信银行与受信银行间的信任关系。

6.对第一级会员银行的要求

Identrus第一级会员金融机构，有责任为发信用户和受信用户(卖方和买方)提供一系列的服务。

第一级会员机构服务的要求

在 Identrus 所提供第一级会员机构的服务要求中，共可分为两部分，第一是发信方服务要求，第二则是受信方服务要求。首先在发信方服务要求中，有九个重点。

其次在受信方服务要求，共有六个要项。

Entrust 为Identrus会员提供技术方案

Entrust 在北美金融业的用户占有率很高。 Entrust 为 Identrus 会员所提供的技术方案，有三个主要系统架构。请见(图三)。

《图三 Entrust为Identrus会员银行提供的PKI系统架构》

1.交易系统架构

让交易系统架构为从PC、 PDA、手机的输入到后台的传统主机资料库，提供交易的完整性保护。如果交易一旦中断，该系统要退回，并将相关的交易处理都回覆。该交易系统架构并保证交易在执行完成后是不可否认的。

2.安全系统架构

该安全系统架构为从PC、 PDA、手机的数入到后台的传统主机，资料库提供统一的安全作业环境。这一系统架构必须为不同的既有电脑设备，系统的不同安全机制提供隐密性，身分认证和单一登入等服务。

3.服务系统架构

该服务系统架构必须有能力处理不同形式的付款，帐单的表示和列印，担保服务、委托服务、公证服务和传统管理服务。并且该系统架构还要有能力在不改变用户端设备及后台传统的电脑系统情况下，增加服务功能，它必须集合交易系统架构和安全系统架构在一起来，提供不能被中断的安全交易服务。

在 Identrus 系统架构之元件内容的解释，主要有八点重要内容。

Identrus交易协调器

这是 Identrus 的核心引擎，它包括1个 OCSP 引擎，1个担保服务引擎和1套 XML基础的连接到其他金融机构的后台既有资料库系统的信息，交换服务。它处里所有经过 Identrus 系统的发信方与受信方的交易要求。

到用户终端的安全通讯层

所有从用户端到后台既有系统，包括全部交易链的通讯都必须安全的，能够防止截听，假冒等入侵。

智慧卡管理系统

该系统有2个元件，第一个元件要有个人化功能，并发Identrus卡给登记企业的员工。第二个元件要能追踪所发卡的状态和相关的交易纪录，这些系统必须能使第一级会员或第二级会员发Identrus的智慧卡。

风险管理系统

第一级会员金融机构，要针对交易有不合格签章情况发生时提供担保。针对金融机构的财务状况这类担保代表的意外赔偿需要被追踪纪录。

数位凭证管理系统

这是第一级会员金融机构的核心服务，他需具有发凭证、追踪、取消及恢复等机能。第一级会员必须有一套完整的 PKI 基础认证管理系统，来为本身用户和其所属的第二级会员机构连同它们的用户发凭证。

商业服务元件

每一个第一级会员金融机构，建制应用Identrus的服务，这些服务是用直接插入到交易协调器的Java Servlet元件来提供。

政策管理基本架构

第一级会员金融机构要求有一套政策管理系统，来决定哪种服务可以让发信方用户或受信方用户使用。它还需要有功能为发信方可户确认，受信方客户所批准的付钱额度，可交易与否。该政策管理系统必须允许第一级会员金融，在一套 LDAP 或资料库中管理多层许可结构，并能管理自身的和其所服务的第二级会员机构的政策系统。

交易服务中间软体框架

第一级会员金融机构，要求这种交易服务中间软体，能够提供从客户端的点选到后台系统处理完成的完整性服务。

结语

Identrus 安全交易系统是 PKI 技术，在国际金融界、网际网路与B2B电子商务领导的应用。银行界也会有其他应用之开发或正在开发中。如果每一项应用都要求银行建立一套专用特制的PKI系统，银行的PKI系统会变得多重、复杂、难以管理。银行界应该发展出一套通用的标准化的安全架构而能支持任何新发展的e-business服务。