【文章內(nèi)容簡介】 ，從而解決了用戶信任問題。 CA 涉及到電子交易中各交易方的身份信息、嚴格 4 的加密技術(shù)和認證程序?；谄淅喂痰陌踩珯C制， CA 應(yīng)用可擴大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。 數(shù)字證書認證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包括建立電子商務(wù)各主體之間的信任關(guān)系，即建立安全認證體系（ CA）；選擇安全標準（如 SET、 SSL）；采用高強度的加、解密技術(shù)。其中安全認證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進行，因此，數(shù)字證書認證中心機構(gòu)的建立對電子商務(wù)的開展具有非常重 要的意義。 認證中心（ CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交易中信賴的基礎(chǔ)。它通過自身的注冊審核體系，檢查核實進行證書申請的用戶身份和各項相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權(quán)威的、可信賴的、公正的第三方機構(gòu)，專門負責發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書。 開放網(wǎng)絡(luò)上的電子商務(wù)要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性 (使交易的每一方都可以確認其它各方的身份 )、不可否認性 (交易的各方不可否認它們的參與 )。這就需要依靠一 個可靠的第三方機構(gòu)驗證，而認證中心（ CA： Certification Authority）專門提供這種服務(wù)。 證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立 CA（ Certification Authority 認 證 中 心 ） 以 及 配 套 的 RA（ Registration Authority 注冊審批機構(gòu)）系統(tǒng)。 CA 中心，又稱為數(shù)字證書認證中心，作為電子商務(wù)交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。 CA 中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書 中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。 CA 中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。 在數(shù)字證書認證的過程中，證書認證中心（ CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。認證中心就是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。同樣 CA 允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表 (CRL)中添加新項并周期性地發(fā)布這一數(shù)字簽名的 CRL。 RA（ Registration Authority），數(shù)字證書注冊審批機構(gòu)。 RA 系統(tǒng)是 CA 的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以 及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。發(fā)放的數(shù)字證書可以存放于 IC 卡、硬 5 盤或軟盤等介質(zhì)中。 RA 系統(tǒng)是整個 CA 中心得以正常運營不可缺少的一部分。 概括地說，認證中心（ CA）的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗證。 CA 的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下： （ 1）接收驗證最終用戶數(shù)字證書的申請。 （ 2）確定是否接受最終用戶數(shù)字證書的申請 證書的審批。 （ 3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書 證書的發(fā)放。 （ 4）接收、處理最終用戶的數(shù)字證書更新請求 證書的更新。 （ 5）接收最終用戶數(shù)字證書的查詢、撤銷。 （ 6）產(chǎn)生和發(fā)布證書廢止列表（ CRL）。 （ 7）數(shù)字證書的歸檔。 （ 8）密鑰歸檔。 （ 9）歷史數(shù)據(jù)歸檔。 認證中心為了實現(xiàn)其功能，主要由以下三部分組成： 注冊服務(wù)器：通過 Web Server 建立的站點，可為客戶提供每日 24 小時的服務(wù)。因此客戶可在自己方便的時候在網(wǎng)上提出證書申請和填寫相應(yīng)的證書申請表，免去了排隊等候等煩惱。 證書申請受理和審核機構(gòu)：負責證書的申請和審核。它的主要功能是接受客戶證書申請并進行審核。 認證中心服務(wù)器：是數(shù)字證書生成、發(fā) 放的運行實體，同時提供發(fā)放證書的管理、證書廢止列表（ CRL）的生成和處理等服務(wù)。 支持密匙管理 通過加密證書，通信雙方可以協(xié)商一個秘密，而這個秘密可以作為通信加密的密鑰。在需要通信時，可以在認證的基礎(chǔ)上協(xié)商一個密鑰。在大規(guī)模的網(wǎng)絡(luò)中，特別是在電子政務(wù)中，密鑰恢復(fù)也是密鑰管理的一個重要方面，政府決不希望加密系統(tǒng)被犯罪分子竊取使用。當政府的個別職員背叛或利用加密系統(tǒng)進行反政府活動時，政府可以通過法定的手續(xù)解密其通信內(nèi)容，保護政府的合法權(quán)益。 PKI 能夠通過良好的密鑰恢復(fù)能力，提供可信的、可管理的密鑰恢復(fù)機 制。 PKI 的普及應(yīng)用能夠保證在全社會范圍內(nèi)提供全面的密鑰恢復(fù)與管理能力，保證網(wǎng)上活動的健康有序發(fā)展。 6 完整性和 不可否認 性 完整性與不可否認是 PKI 提供的最基本的服務(wù)。一般來說，完整性也可以通過雙方協(xié)商一個秘密來解決，但一方有意抵賴時，這種完整性就無法接受第三方的仲裁。而 PKI 提供的完整性是可以通過第三方仲裁的，并且這種可以由第三方進行仲裁的完整性是通信雙方都不可否認的。例如，小張發(fā)送一個合約給老李，老李可以要求小張進行數(shù)字簽名，簽名后的合約不僅老李可以驗證其完整性，其他人也可以驗證該合約確實是小張 簽發(fā)的。而所有的人，包括老李，都沒有模仿小張簽署這個合約的能力。 不可否認 就是通過這樣的 PKI 數(shù)字簽名機制來提供服務(wù)的。當法律許可時，該 不可否認性 可以作為法律依據(jù) (美國等一些國家已經(jīng)頒布數(shù)字簽名法 )。正確使用時， PKI 的安全性應(yīng)該高于目前使用的紙面圖章系統(tǒng)。 完善的 PKI 系統(tǒng)通過非對稱算法以及安全的應(yīng)用設(shè)備，基本上解決了網(wǎng)絡(luò)社會中的絕大部分安全問題 (可用性除外 )。 PKI 系統(tǒng)具有這樣的能力： 它可以將一個無政府的網(wǎng)絡(luò)社會改造成為一個有政府、有管理和可以追究責任的社會，從而杜絕黑客在網(wǎng)上肆無忌憚的攻擊。在一個有限的局域網(wǎng)內(nèi)，這種改造具有更好的效果。目前，許多網(wǎng)站、電子商務(wù)、安全 Email 系統(tǒng)等都已經(jīng)采用了PKI 技術(shù)。 3 基于 PKI 的公鑰技術(shù) 利用公鑰技術(shù)對政務(wù)信息在存儲環(huán)節(jié)和網(wǎng)間傳輸環(huán)節(jié)進行加密，使之以密文存儲和傳輸，可以有效抵卸對信息的惡意攻擊?；?PKI 的公鑰技術(shù)主要用公鑰加密和數(shù)字簽名對信息進行加密。 公鑰加密 公鑰加密使用兩個密鑰：一個公鑰和一個私鑰，這兩個密鑰在 數(shù)學(xué)上是相關(guān)的。為了與對稱密鑰加密相對照，公鑰加密有時也叫做不對稱密鑰加密。在公鑰加密中，公鑰可在通信雙方之間公開傳遞，或在公用儲備庫中發(fā)布，但相關(guān)的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數(shù)據(jù)。使用私鑰加密的數(shù)據(jù)只能用公鑰解密。將公鑰加密與其它加密形式（如對稱密鑰加密）結(jié)合使用，可以優(yōu)化性能。 PKI 還提供了密鑰備份系統(tǒng)及恢復(fù)系統(tǒng)，防止用戶私鑰丟失而丟失數(shù)據(jù)，而當用戶身份變更或懷 7 疑私鑰泄密 , PKI 則及時公布證書廢除消息，構(gòu)建了完整的密鑰管理體系。 數(shù)字簽名 數(shù)字簽名是公 共密鑰技術(shù)的另一個用途，是指使用密碼算法對待發(fā)的數(shù)據(jù) (報文、票證等 )進行加密處理，生成一段信息，附著在原文上一起發(fā)送，這段信息類似現(xiàn)實中的簽名或印章，接收方對其進行驗證，判斷原文真?zhèn)?。?shù)字簽名可以分為發(fā)送方的簽名和接收方的簽名。前者用來驗證接收者收到的信息確來自于發(fā)送者和未經(jīng)篡改，后者用來確認接收者已收到信息不能否認。 主要思想為 :發(fā)送方的簽名指發(fā)送方對信息用單向散列函數(shù)作一次抽樣生成信息摘要，將信息摘要用其私鑰加密，生成簽名文，再利用接收方的公鑰對簽名文再次加密生成簽名密文傳給接收方，接收方用其私鑰解密獲 得簽名文，再用發(fā)送方的公鑰解密還原為信息摘要。接收方將收到的信息用同樣的單向散列函數(shù)作一次抽樣，并與接收到的信息摘要比較，以