【文章內(nèi)容簡介】 鑰對，并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認(rèn)證中心的簽名信息。 見圖 5310 用戶就可以使用自己的數(shù)字證書進行相關(guān)的各種活動。數(shù)字證書由獨立的證書發(fā)行機構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級別的可信度。 可以從證書發(fā)行機構(gòu)獲得您自己的數(shù)字證書。 圖 數(shù)字證書頒發(fā)過程圖示 的工作原理 數(shù)字證書里存有很多數(shù)字和英文，當(dāng)使用數(shù)字證書進行身份認(rèn)證時，它將隨機生成 128 位的身份碼，每份數(shù)字證書都能生成相應(yīng)但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，即相?dāng)于生成一個復(fù)雜的密碼。 數(shù)字證書綁定了公鑰及其持有者的真實身份，它類似于現(xiàn)實生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運用在電子商 務(wù)和電子政務(wù)中。 9 的分類 基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種： （一） 服務(wù)器證書 服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進行通信加密。服務(wù)器證書可以用來防止假冒站點。 在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立 SSL連接，在 SSL 連接上傳輸?shù)娜魏螖?shù)據(jù)都會被加密。同時，瀏覽器會自動驗證服務(wù)器證書是否有效，驗證所訪問的站點是否是假冒站點，服務(wù)器證書保護的站點多被用來進行密碼登錄、訂單處理、 網(wǎng)上銀行 交易等。全球知名的服務(wù)器證書品牌有 verisign.， Thawte， geotrust 等。 SSL 證書 主要用于服務(wù)器 (應(yīng)用 )的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對于不同價值的數(shù)據(jù)和要求不同的身份認(rèn)證。超真 SSL 和超快 SSL 在頒發(fā)時間上已經(jīng)沒有什么區(qū)別， 主要區(qū)別在于：超快 SSL 只驗證域名所有權(quán)，證書中不顯示單位名稱；而超真 SSL 需要驗證域名所有權(quán)、營業(yè)執(zhí)照和第三方數(shù)據(jù)庫驗證，證書中顯示單位名稱 。 （二） 電子郵件證書 電子郵件證書 可以用來證明電子郵件發(fā)件人的真實性。它并不證明數(shù)字證書上面 CN 一項所標(biāo)識的證書所有者姓名的真實性，它只證明郵件地址的真實性。收到具有有效 電子簽名 的電子郵件，我們除了能相信郵件確實由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。 另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。 （三） 客戶端個人證書 客戶端證書主要被用來進行身份驗證和電子簽名。 安全的客戶端證書我被存儲于專用的 usbkey 中。存儲于 key 中的證書不能被導(dǎo)出或復(fù)制，且 key 使用時需要輸入 key 的保護密碼。使用 該證書需要物理上獲得其存儲介質(zhì) usbkey，且需要知道 key 的保護密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在 inter 最安全的身份認(rèn)證手段之一。 key 的種類有 10 多種，指紋識別、第三鍵確認(rèn)，語音報讀，以及帶顯示屏的專用 usbkey 和普通usbkey 等。 的格式 目前數(shù)字證書的格式普遍采用的是 V3 國際標(biāo)準(zhǔn)，內(nèi)容包括證書序列號、證書持有者名 稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等 . 認(rèn)證中心（ Certificate Authority， 簡稱 CA），為安全電子交易中之重要單位，為一公正、公開的代理組織，接受持卡人和特約商店的申請，會同發(fā)卡及收單銀行核對其申請資料是否一致，并負責(zé) 電子證書 之發(fā)放、管理及取消等事宜。是在線交易的監(jiān)督者和擔(dān)保人。主要進行電子證書管理、電子貿(mào)易伙伴關(guān)系 建立和確認(rèn)、密鑰管理、為支付系統(tǒng)中的各參與方提供身份認(rèn)證等。 CA 類似于現(xiàn)實生活中公證人的角色，具有權(quán)威性，是一個普遍可信的第三方。 各地 CA 認(rèn)證機構(gòu)有：寧夏 CA | 河南 CA | 陜西 CA | 福建 CA | 江蘇 CA | 安徽 CA| 山西 CA |廣西 CA | 天津 CA |遼寧 CA |江西 CA |四川 CA |河北 CA |湖南 CA 的申請和使用方法 一般來講，用戶要攜帶有關(guān)證件到各地的證書受理點，或者直接到證書發(fā)放機構(gòu)即 CA 中心 填寫申請表并進行身份審核，審核通過后交納一定費用就可以得到裝有證書的相關(guān)介質(zhì)（磁盤或 Key）和一個寫有密碼口令的密碼信封。 用戶在進行需要使用證書的網(wǎng)上操作時，必須準(zhǔn)備好裝有證書的存儲介質(zhì)。如果用戶是在自己的計算機上進行操作，操作前必須先安裝 CA 根證書 。一般所訪問的系統(tǒng)如果需要使用數(shù)字證書會自動彈出提示框要求 安裝根證書，用戶直接選擇確認(rèn)即可；當(dāng)然也可以直接登陸 CA 中心的網(wǎng)站，下載安裝根證書。操作時，一般系統(tǒng)會自動提示用戶出示數(shù)字證書或者插入證書介質(zhì)（ IC 卡或 11 Key），用戶插入證書介質(zhì)后系統(tǒng)將要求用戶輸入密碼口令，此時用戶需要輸入申請證書時獲得的密碼信封中的密碼，密碼驗證正確后系統(tǒng)將自動調(diào)用數(shù)字證書進行相關(guān)操作。使用后，用戶應(yīng)記住取出證書介質(zhì)，并妥善保管。當(dāng)然，根據(jù)不同系統(tǒng)數(shù)字證書會有不同的使用方式，但系統(tǒng)一般會有明確提示，用戶使用起來都較為方便。 下圖為中國建設(shè)銀行網(wǎng)上銀行證書簽約流程和證書下載過程： 圖 建設(shè)銀行數(shù)字證書下載圖示 12 第三章 電子商務(wù)信息安全協(xié)議 安 全 套 接 層 協(xié) 議 （ Secure Sockets Layer ， SSL ）是由Netscape Communication 公司 1994 年設(shè)計開發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。 SSL 協(xié)議的整個概念可以被總結(jié)為：一個保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議，該協(xié)議向基于 TCP/IP 的客戶 /服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。 SSL 安全協(xié)議主要提供三 方面的服務(wù)。一是用戶和服務(wù)器的合法性保證，使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上?？蛻魴C與服務(wù)器都有各自的識別號，由公開密鑰編排。為了驗證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證，以此來確保用戶的合法性；二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對稱密鑰，也有公開密鑰，在客戶機和服務(wù)器交換數(shù)據(jù)之前，先交換 SSL 初始握手信息。在 SSL 握手信息中采用了各種加密技術(shù)，以保證其機密性與數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別；三是維護數(shù)據(jù)的完整性。安全套接層協(xié)議采用 Hash 函數(shù)和機密共享的方法來提供完整的信息服務(wù)，建立客戶機與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達目的地。 1996 年 2 月 1 日， master card 和 visa 國際信用卡組織，與技術(shù)合作伙伴gte、 scape、 ibm、 terisa systems、 verisign、 microsoft、 saic 等信息產(chǎn)業(yè)的一批跨國公司共同開發(fā)了安全電子交易規(guī)范（ set）， set 是在開放網(wǎng)絡(luò)環(huán)境中的卡支付安全協(xié)議，它采用公鑰密碼體制（ pki）和 x． 509 電子證 書標(biāo)準(zhǔn)，通過相應(yīng)軟件、電子證書、數(shù)字簽名和加密技術(shù)能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息，更高的安全性和更少受欺詐的可能性， set 協(xié)議用以支持 btoc（ business to consumer）這種類型的電子商務(wù)模式，即消費者持卡在網(wǎng)上購物與交易的模式。 13 安全電子交易公告（ SET： Secure Electronic Transactions）是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。 SET 在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證。 SET 已成為全球 網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。 SET 安全協(xié)議的主要對象包括：消費者（包括個人和團體），按照在線商店的要求填寫定貨單，用發(fā)卡銀行的信用卡付款；在線商店，提供商品或服務(wù)，具備使用相應(yīng)電子貨幣的條件；收單銀行，通過支付網(wǎng)關(guān)處理消費者與在線商店之間的交易付款；電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負責(zé)處理智能卡的審核和支付；認(rèn)證中心，負責(zé)確認(rèn)交易對方的身份和信譽度，以及對消費者的支付手段認(rèn)證。 SET 協(xié)議規(guī)范的技術(shù)范圍包括：加密算法的應(yīng)用，證書信息與對象格式，購買信息和對象格式，認(rèn)可信息與對象格式。 SET 協(xié)議要達到 五個目標(biāo)：保證電子商務(wù)參與者信息的相應(yīng)隔離；保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；解決多方認(rèn)證問題；保證網(wǎng)上交易的實時性，使所有的支付過程都是在線的；效仿 BDZ 貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 下圖為 b to c 模式電子商務(wù)網(wǎng)絡(luò)示意圖 ： 圖 b to c 模式電子商務(wù)網(wǎng)絡(luò)示意圖 （ SHTTP） 依靠密鑰的加密，保證 Web 站點間的交換信息傳輸?shù)陌踩浴?SHTTP 對 HTTP 14 的安全性進行了擴充，增加了報文的安全性，是基于 SSL 技術(shù)的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機密