.
2007网银调查报告
安全电子印章
安全电子印章(试用)
通过测试卡商列表
  SEP模式实施方案
SEP模式(Secure Exchange Protocol)实施方案

SEP模式应用需求
  安装Direct/Client的客户端,除了能访问Direct/Server服务外,不需再增开端口,就可以完成登录认证

SEP模式实施方案

1、SEP模式机制
  采用SEP模式中Direct client通过Direct Server与CA和目录服务器相连接。
  在这种模式下,Direct client 与Direct Server 采用SEP 通讯协议;Direct Server与CA 采用PKIX-CMP协议,与目录服务采用LDAP协议。

SEP模式系统示意图如下:





如上图所示:
   Direct/Client在SEP模式下,在客户端不需直接连接到CA的829和LDAP的389端口,只需访问Direct/Server就可以完成认证的工作。

2、SEP模式的实现
  使用SEP模式的时候,只需在客户端保留证书登录过程中产生的cache文件。同时在客户端的entrust.ini文件中加入相应的配置。
  SEPByProxy的配置方法如下:即在entrust.ini文件中做如下修改。保存原来的entrust.ini文件备份,将entrust.ini文件做修改。

将Authority= 、Server=两项设成<none>

即: Authority=<none>
   Server=<none>

  然后在[Entrust Settings]中增加如下的一段

  SEPByProxy=1
  SEPVersion=V5.0.0.E
  LDAPproxyClient=1
  

  在[Entrust Direct]中的

  initialBrowserURL= 项指到有Direct/Server保护的网上银行的地址,使Direct/Client能够连接到Direct/Serve的服务

  比如建行的网银

  initialBrowserURL=http://b2b.ccb.com.cn

  下载entrust.ini文件

  3、SEP模式的优缺点

  优点:

  使用SEP模式的客户端,不需要连接到CA和目录服务,因此客户端不需开对CA的829端口和LDAP的389端口。客户使用比较方便。

  缺点:

  由于目前的SEP模式不支持证书的下载、恢复和自动更新。

  因此:

  客户无法在客户端完成证书下载和证书恢复的操作,只能完成证书的登录功能。

  高级证书在使用两年左右的时间,会出现证书无法完成自动更新的现象。需要重新发证书,或恢复证书。

  

  4、SEP模式实施时需注意的问题

  由于使用SEP模式时,需要客户端的cache文件,否则登陆Direct/Client时报错。因此,使用SEP模式时,需要事先下载好用户的证书,并且将与证书文件同名的所有Cache文件保留。Copy到需要安装Direct/Client的机器上,使Direct/Client在登录时能够找到所需的Cache文件。

  由于目前SEP模式不支持证书的下载、恢复和自动更新。需要银行代客户下载证书到卡中。同时,卡片中的证书文件出现问题,需要做证书恢复或是证书到期,需要做自动更新的时候,就需要银行来帮助用户完成。

  SEP模式与online模式可以相互转换,在SEP模式转变为online模式时,只需将entrust.ini文件恢复成原来备份的文件即可。

  考虑到以上情况,建议在局域网情况比较复杂,确实无法开到CA和目录服务器的端口时,再考虑使用SEP模式。
 
 

版权所有 CFCA
地址:北京市宣武区右安门内新安南里甲1号 邮编:100054
电话:010-83526530 传真:010-63555032 客服电话:400-880-9888
 京ICP备05045998号