【文章內(nèi)容簡介】 鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。 見圖 5310 用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級(jí)別的可信度。 可以從證書發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書。 圖 數(shù)字證書頒發(fā)過程圖示 的工作原理 數(shù)字證書里存有很多數(shù)字和英文，當(dāng)使用數(shù)字證書進(jìn)行身份認(rèn)證時(shí)，它將隨機(jī)生成 128 位的身份碼，每份數(shù)字證書都能生成相應(yīng)但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，即相?dāng)于生成一個(gè)復(fù)雜的密碼。 數(shù)字證書綁定了公鑰及其持有者的真實(shí)身份，它類似于現(xiàn)實(shí)生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商 務(wù)和電子政務(wù)中。 9 的分類 基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種： （一） 服務(wù)器證書 服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來防止假冒站點(diǎn)。 在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立 SSL連接，在 SSL 連接上傳輸?shù)娜魏螖?shù)據(jù)都會(huì)被加密。同時(shí)，瀏覽器會(huì)自動(dòng)驗(yàn)證服務(wù)器證書是否有效，驗(yàn)證所訪問的站點(diǎn)是否是假冒站點(diǎn)，服務(wù)器證書保護(hù)的站點(diǎn)多被用來進(jìn)行密碼登錄、訂單處理、 網(wǎng)上銀行 交易等。全球知名的服務(wù)器證書品牌有 verisign.， Thawte， geotrust 等。 SSL 證書 主要用于服務(wù)器 (應(yīng)用 )的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對(duì)于不同價(jià)值的數(shù)據(jù)和要求不同的身份認(rèn)證。超真 SSL 和超快 SSL 在頒發(fā)時(shí)間上已經(jīng)沒有什么區(qū)別， 主要區(qū)別在于：超快 SSL 只驗(yàn)證域名所有權(quán)，證書中不顯示單位名稱；而超真 SSL 需要驗(yàn)證域名所有權(quán)、營業(yè)執(zhí)照和第三方數(shù)據(jù)庫驗(yàn)證，證書中顯示單位名稱 。 （二） 電子郵件證書 電子郵件證書 可以用來證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書上面 CN 一項(xiàng)所標(biāo)識(shí)的證書所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性。收到具有有效 電子簽名 的電子郵件，我們除了能相信郵件確實(shí)由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。 另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。 （三） 客戶端個(gè)人證書 客戶端證書主要被用來進(jìn)行身份驗(yàn)證和電子簽名。 安全的客戶端證書我被存儲(chǔ)于專用的 usbkey 中。存儲(chǔ)于 key 中的證書不能被導(dǎo)出或復(fù)制，且 key 使用時(shí)需要輸入 key 的保護(hù)密碼。使用 該證書需要物理上獲得其存儲(chǔ)介質(zhì) usbkey，且需要知道 key 的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在 inter 最安全的身份認(rèn)證手段之一。 key 的種類有 10 多種，指紋識(shí)別、第三鍵確認(rèn)，語音報(bào)讀，以及帶顯示屏的專用 usbkey 和普通usbkey 等。 的格式 目前數(shù)字證書的格式普遍采用的是 V3 國際標(biāo)準(zhǔn)，內(nèi)容包括證書序列號(hào)、證書持有者名 稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等 . 認(rèn)證中心（ Certificate Authority， 簡稱 CA），為安全電子交易中之重要單位，為一公正、公開的代理組織，接受持卡人和特約商店的申請(qǐng)，會(huì)同發(fā)卡及收單銀行核對(duì)其申請(qǐng)資料是否一致，并負(fù)責(zé) 電子證書 之發(fā)放、管理及取消等事宜。是在線交易的監(jiān)督者和擔(dān)保人。主要進(jìn)行電子證書管理、電子貿(mào)易伙伴關(guān)系 建立和確認(rèn)、密鑰管理、為支付系統(tǒng)中的各參與方提供身份認(rèn)證等。 CA 類似于現(xiàn)實(shí)生活中公證人的角色，具有權(quán)威性，是一個(gè)普遍可信的第三方。 各地 CA 認(rèn)證機(jī)構(gòu)有：寧夏 CA | 河南 CA | 陜西 CA | 福建 CA | 江蘇 CA | 安徽 CA| 山西 CA |廣西 CA | 天津 CA |遼寧 CA |江西 CA |四川 CA |河北 CA |湖南 CA 的申請(qǐng)和使用方法 一般來講，用戶要攜帶有關(guān)證件到各地的證書受理點(diǎn)，或者直接到證書發(fā)放機(jī)構(gòu)即 CA 中心 填寫申請(qǐng)表并進(jìn)行身份審核，審核通過后交納一定費(fèi)用就可以得到裝有證書的相關(guān)介質(zhì)（磁盤或 Key）和一個(gè)寫有密碼口令的密碼信封。 用戶在進(jìn)行需要使用證書的網(wǎng)上操作時(shí)，必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)。如果用戶是在自己的計(jì)算機(jī)上進(jìn)行操作，操作前必須先安裝 CA 根證書 。一般所訪問的系統(tǒng)如果需要使用數(shù)字證書會(huì)自動(dòng)彈出提示框要求 安裝根證書，用戶直接選擇確認(rèn)即可；當(dāng)然也可以直接登陸 CA 中心的網(wǎng)站，下載安裝根證書。操作時(shí)，一般系統(tǒng)會(huì)自動(dòng)提示用戶出示數(shù)字證書或者插入證書介質(zhì)（ IC 卡或 11 Key），用戶插入證書介質(zhì)后系統(tǒng)將要求用戶輸入密碼口令，此時(shí)用戶需要輸入申請(qǐng)證書時(shí)獲得的密碼信封中的密碼，密碼驗(yàn)證正確后系統(tǒng)將自動(dòng)調(diào)用數(shù)字證書進(jìn)行相關(guān)操作。使用后，用戶應(yīng)記住取出證書介質(zhì)，并妥善保管。當(dāng)然，根據(jù)不同系統(tǒng)數(shù)字證書會(huì)有不同的使用方式，但系統(tǒng)一般會(huì)有明確提示，用戶使用起來都較為方便。 下圖為中國建設(shè)銀行網(wǎng)上銀行證書簽約流程和證書下載過程： 圖 建設(shè)銀行數(shù)字證書下載圖示 12 第三章 電子商務(wù)信息安全協(xié)議 安 全 套 接 層 協(xié) 議 （ Secure Sockets Layer ， SSL ）是由Netscape Communication 公司 1994 年設(shè)計(jì)開發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。 SSL 協(xié)議的整個(gè)概念可以被總結(jié)為：一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議，該協(xié)議向基于 TCP/IP 的客戶 /服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。 SSL 安全協(xié)議主要提供三 方面的服務(wù)。一是用戶和服務(wù)器的合法性保證，使得用戶與服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。客戶機(jī)與服務(wù)器都有各自的識(shí)別號(hào)，由公開密鑰編排。為了驗(yàn)證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證，以此來確保用戶的合法性；二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱密鑰，也有公開密鑰，在客戶機(jī)和服務(wù)器交換數(shù)據(jù)之前，先交換 SSL 初始握手信息。在 SSL 握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性與數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別；三是維護(hù)數(shù)據(jù)的完整性。安全套接層協(xié)議采用 Hash 函數(shù)和機(jī)密共享的方法來提供完整的信息服務(wù)，建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)目的地。 1996 年 2 月 1 日， master card 和 visa 國際信用卡組織，與技術(shù)合作伙伴gte、 scape、 ibm、 terisa systems、 verisign、 microsoft、 saic 等信息產(chǎn)業(yè)的一批跨國公司共同開發(fā)了安全電子交易規(guī)范（ set）， set 是在開放網(wǎng)絡(luò)環(huán)境中的卡支付安全協(xié)議，它采用公鑰密碼體制（ pki）和 x． 509 電子證 書標(biāo)準(zhǔn)，通過相應(yīng)軟件、電子證書、數(shù)字簽名和加密技術(shù)能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息，更高的安全性和更少受欺詐的可能性， set 協(xié)議用以支持 btoc（ business to consumer）這種類型的電子商務(wù)模式，即消費(fèi)者持卡在網(wǎng)上購物與交易的模式。 13 安全電子交易公告（ SET： Secure Electronic Transactions）是為在線交易設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。 SET 在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。 SET 已成為全球 網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。 SET 安全協(xié)議的主要對(duì)象包括：消費(fèi)者（包括個(gè)人和團(tuán)體），按照在線商店的要求填寫定貨單，用發(fā)卡銀行的信用卡付款；在線商店，提供商品或服務(wù)，具備使用相應(yīng)電子貨幣的條件；收單銀行，通過支付網(wǎng)關(guān)處理消費(fèi)者與在線商店之間的交易付款；電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付；認(rèn)證中心，負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度，以及對(duì)消費(fèi)者的支付手段認(rèn)證。 SET 協(xié)議規(guī)范的技術(shù)范圍包括：加密算法的應(yīng)用，證書信息與對(duì)象格式，購買信息和對(duì)象格式，認(rèn)可信息與對(duì)象格式。 SET 協(xié)議要達(dá)到 五個(gè)目標(biāo)：保證電子商務(wù)參與者信息的相應(yīng)隔離；保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；解決多方認(rèn)證問題；保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的；效仿 BDZ 貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。 下圖為 b to c 模式電子商務(wù)網(wǎng)絡(luò)示意圖 ： 圖 b to c 模式電子商務(wù)網(wǎng)絡(luò)示意圖 （ SHTTP） 依靠密鑰的加密，保證 Web 站點(diǎn)間的交換信息傳輸?shù)陌踩浴?SHTTP 對(duì) HTTP 14 的安全性進(jìn)行了擴(kuò)充，增加了報(bào)文的安全性，是基于 SSL 技術(shù)的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機(jī)密