【文章內(nèi)容簡(jiǎn)介】 后 ， 發(fā)現(xiàn)金價(jià)大幅上漲了 ， 如其能改動(dòng)文件內(nèi)容 ， 將訂購(gòu)數(shù) 1千克改為 1克 ， 則可大幅受益 ， 那么訂貨單位可能就會(huì)因此而蒙受損失 。 因此電子交易文件也要能做到不可修改 ， 以保障交易的嚴(yán)肅和公正 。 ? 為什么要用數(shù)字證書(shū) （ 7） ? 人們?cè)诟袊@電子商務(wù)的巨大潛力的同時(shí) ， 不得不冷靜地思考 ， 在人與人互不見(jiàn)面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí) ， 怎么才能保證交易的公正性和安全性 ， 保證交易雙方身份的真實(shí)性 。 國(guó)際上已經(jīng)有比較成熟的安全解決方案 ，那就是建立安全證書(shū)體系結(jié)構(gòu) 。 數(shù)字安全證書(shū)提供了一種在網(wǎng)上驗(yàn)證身份的方式 。 安全證書(shū)體制主要采用了公開(kāi)密鑰體制 ， 其他還包括對(duì)稱(chēng)密鑰加密 、 數(shù)字簽名 、 數(shù)字信封等技術(shù) 。 ? 為什么要用數(shù)字證書(shū) （ 8） ? 我們可以使用數(shù)字證書(shū) ， 通過(guò)運(yùn)用對(duì)稱(chēng)和非對(duì)稱(chēng)密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng) ， 從而保證：信息除發(fā)送方和接收方外不被其他人竊??；信息在傳輸過(guò)程中不被篡改；發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴(lài) 。 ? 用戶(hù)也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 1） ? CA機(jī)構(gòu)作為電子商務(wù)交易中受信任的第三方 ，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任 。CA中心為每個(gè)使用公開(kāi)密鑰的用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū) ， 數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶(hù)合法擁有證書(shū)中列出的公開(kāi)密鑰 。 CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū) 。 它負(fù)責(zé)產(chǎn)生 、 分配并管理所有參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書(shū) ， 因此是安全電子交易的核心環(huán)節(jié) 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 2） ? 由此可見(jiàn) ， 建設(shè)證書(shū)授權(quán) （ CA） 中心 ， 是開(kāi)拓和規(guī)范電子商務(wù)市場(chǎng)必不可少的一步 。 為保證用戶(hù)之間在網(wǎng)上傳遞信息的安全性 、 真實(shí)性 、可靠性 、 完整性和不可抵賴(lài)性 ， 不僅需要對(duì)用戶(hù)的身份真實(shí)性進(jìn)行驗(yàn)證 ， 也需要有一個(gè)具有權(quán)威性 、 公正性 、 惟一性的機(jī)構(gòu) ， 負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國(guó)內(nèi) 、 國(guó)際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書(shū) 。 數(shù)字證書(shū) ? 證書(shū)與證書(shū)授權(quán)中心 （ 3） ? CA是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié) 。它主要負(fù)責(zé)產(chǎn)生 、 分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書(shū) 。每一份數(shù)字證書(shū)都與上一級(jí)的數(shù)字簽名證書(shū)相關(guān)聯(lián) ， 最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全 、 權(quán)威 、 足以信賴(lài)的機(jī)構(gòu) —— 根認(rèn)證中心 （ 根 CA） 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 4） ? 電子交易的各方都必須擁有合法的身份 ，即由數(shù)字證書(shū)認(rèn)證中心機(jī)構(gòu) （ CA） 簽發(fā)的數(shù)字證書(shū) ， 在交易的各個(gè)環(huán)節(jié) ， 交易的各方都需檢驗(yàn)對(duì)方數(shù)字證書(shū)的有效性 ， 從而解決了用戶(hù)信任問(wèn)題 。 CA涉及到電子交易中各交易方的身份信息 、 嚴(yán)格的加密技術(shù)和認(rèn)證程序 。 基于其牢固的安全機(jī)制 ，CA應(yīng)用可擴(kuò)大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù) 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 5） ? 數(shù)字證書(shū)認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問(wèn)題 ， 其中包括建立電子商務(wù)各主體之間的信任關(guān)系 ， 即建立安全認(rèn)證體系（ CA） ；選擇安全標(biāo)準(zhǔn) （ 如 SET、 SSL） ；采用高強(qiáng)度的加 、 解密技術(shù) 。 其中安全認(rèn)證體系的建立是關(guān)鍵 ， 它決定了網(wǎng)上交易和結(jié)算能否安全進(jìn)行 ， 因此 ， 數(shù)字證書(shū)認(rèn)證中心機(jī)構(gòu)的建立對(duì)電子商務(wù)的開(kāi)展具有非常重要的意義 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 6） ? 認(rèn)證中心 （ CA） ， 是電子商務(wù)體系中的核心環(huán)節(jié) ， 是電子交易中信賴(lài)的基礎(chǔ) 。 它通過(guò)自身的注冊(cè)審核體系 ， 檢查核實(shí)進(jìn)行證書(shū)申請(qǐng)的用戶(hù)身份和各項(xiàng)相關(guān)信息 ， 使網(wǎng)上交易的用戶(hù)屬性客觀真實(shí)性與證書(shū)的真實(shí)性一致 。 認(rèn)證中心作為權(quán)威的 、 可信賴(lài)的 、 公正的第三方機(jī)構(gòu) ， 專(zhuān)門(mén)負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書(shū) 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 7） ? 概括地說(shuō) ， 認(rèn)證中心 （ CA） 的功能有：證書(shū)發(fā)放 、 證書(shū)更新 、 證書(shū)撤銷(xiāo)和證書(shū)驗(yàn)證 。 CA的核心功能就是發(fā)放和管理數(shù)字證書(shū) ， 具體描述如下 。 ? （ 1） 接收驗(yàn)證最終用戶(hù)數(shù)字證書(shū)的申請(qǐng) 。 ? （ 2） 確定是否接受最終用戶(hù)數(shù)字證書(shū)的申請(qǐng) 證書(shū)的審批 。 ? （ 3） 向申請(qǐng)者頒發(fā) 、 拒絕頒發(fā)數(shù)字證書(shū) 證書(shū)的發(fā)放 。 ? （ 4） 接收 、 處理最終用戶(hù)的數(shù)字證書(shū)更新請(qǐng)求 證書(shū)的更新 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 8） ? （ 5） 接收最終用戶(hù)數(shù)字證書(shū)的查詢(xún) 、 撤銷(xiāo) 。 ? （ 6） 產(chǎn)生和發(fā)布證書(shū)廢止列表 （ CRL） 。 ? （ 7） 數(shù)字證書(shū)的歸檔 。 ? （ 8） 密鑰歸檔 。 ? （ 9） 歷史數(shù)據(jù)歸檔 。 ? 證書(shū)與證書(shū)授權(quán)中心 （ 9） ? 認(rèn)證中心為了實(shí)現(xiàn)其功能 ， 主要由以下三部分組成 。 ? （ 1） 注冊(cè)服務(wù)器：通過(guò) Web Server 建立的站點(diǎn) ，可為客戶(hù)提供每日 24小時(shí)的服務(wù) 。 因此客戶(hù)可在自己方便的時(shí)候在網(wǎng)上提出證書(shū)申請(qǐng)和填寫(xiě)相應(yīng)的證書(shū)申請(qǐng)表 ， 免去了排隊(duì)等候等煩惱 。 ? （ 2） 證書(shū)申請(qǐng)受理和審核機(jī)構(gòu)：負(fù)責(zé)證書(shū)的申請(qǐng)和審核 。 它的主要功能是接受客戶(hù)證書(shū)申請(qǐng)并進(jìn)行審核 。 ? （ 3） 認(rèn)證中心服務(wù)器：是數(shù)字證書(shū)生成 、 發(fā)放的運(yùn)行實(shí)體 ， 同時(shí)提供發(fā)放證書(shū)的管理 、 證書(shū)廢止列表 （ CRL） 的生成和處理等服務(wù) 。 數(shù)字證書(shū)的工作流程 (1) ? 每一個(gè)用戶(hù)有一個(gè)各不相同的名字 ， 一個(gè)可信的證書(shū)認(rèn)證中心 （ CA） 給每個(gè)用戶(hù)分配一個(gè)惟一的名字并簽發(fā)一個(gè)包含名字和用戶(hù)公開(kāi)密鑰的證書(shū) 。 ? 如果甲想和乙通信 ， 他首先必須從數(shù)據(jù)庫(kù)中取得乙的證書(shū) ， 然后對(duì)它進(jìn)行驗(yàn)證 。 如果他們使用相同的 CA， 事情就很簡(jiǎn)單 。 甲只需驗(yàn)證乙證書(shū)上 CA的簽名；如果他們使用不同的 CA，問(wèn)題就復(fù)雜了 。 甲必須從 CA的樹(shù)形結(jié)構(gòu)底部開(kāi)始 ， 從底層 CA往上層 CA查詢(xún) ， 一直追蹤到同一個(gè) CA為止 ， 找出共同的信任 CA。 數(shù)字證書(shū)的工作流程 (2) ? 證書(shū)可以存儲(chǔ)在網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)中 。 用戶(hù)可以利用網(wǎng)絡(luò)彼此交換證書(shū) 。 當(dāng)證書(shū)撤銷(xiāo)后 ， 它將從證書(shū)目錄中刪除 ， 然而簽發(fā)此證書(shū)的 CA仍保留此證書(shū)的副本 ， 以備日后解決可能引起的糾紛 。 ? 如果用戶(hù)的密鑰或 CA的密鑰被破壞 ， 從而導(dǎo)致證書(shū)的撤銷(xiāo) 。 每一個(gè) CA必須保留一個(gè)已經(jīng)撤銷(xiāo)但還沒(méi)有過(guò)期的證書(shū)廢止列表 （ CRL） 。 當(dāng)甲收到一個(gè)新證書(shū)時(shí) ， 首先應(yīng)該從證書(shū)廢止列表（ CRL） 中檢查證書(shū)是否已經(jīng)被撤銷(xiāo) 。 數(shù)字證書(shū)的工作流程 (3) ? 現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息 ， 為了保證信息傳送的真實(shí)性 、 完整性和不可否認(rèn)性 ，需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名 ，其傳送過(guò)程如下 。 ? （ 1） 甲準(zhǔn)備好要傳送的數(shù)字信息 （ 明文 ） 。 ? （ 2） 甲對(duì)數(shù)字信息進(jìn)行哈希 （ hash） 運(yùn)算 ， 得到一個(gè)信息摘要 。 ? （ 3） 甲用自己的私鑰 （ SK） 對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名 ， 并將其附在數(shù)字信息上 。 數(shù)字證書(shū)的工作流程 (4) ? （ 4） 甲隨機(jī)產(chǎn)生一個(gè)加密密鑰 （ 如 DES密鑰 ） ， 并用此密鑰對(duì)要發(fā)送的信息進(jìn)行加密 ，形成密文 。 ? （ 5） 甲用乙的公鑰 （ PK） 對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密 ， 將加密后的 DES密鑰連同密文一起傳送給