【正文】 一個(gè)由收信人保存。發(fā)信人用公開(kāi)密鑰加密數(shù)據(jù)，收信人則用私用密鑰去解密。主要算法是RSA，例如加密支付請(qǐng)求數(shù)據(jù)。加密過(guò)程可保證不可逆，必須使用私用密碼才能解密?！?　?。?）數(shù)字簽名　　　　金融交易要求發(fā)送報(bào)文數(shù)據(jù)的同時(shí)發(fā)送簽名數(shù)據(jù)作為查證。這種電子數(shù)字簽名是一組加密的數(shù)字。SET要求用戶(hù)在進(jìn)行交易前首先進(jìn)行電子簽名，然后進(jìn)行數(shù)據(jù)發(fā)送?！　　。?）電子認(rèn)證　　　電子交易過(guò)程中必須確認(rèn)用戶(hù)、商家及所進(jìn)行的交易本身是否合法可靠。一般要求建立專(zhuān)門(mén)的電子認(rèn)證中心（CA）以核實(shí)用戶(hù)和商家的真實(shí)身份以及交易請(qǐng)求的合法性。認(rèn)證中心將給用戶(hù)、商家、銀行等進(jìn)行網(wǎng)絡(luò)商務(wù)活動(dòng)的個(gè)人或集團(tuán)發(fā)電子證書(shū)。　　?。?）電子信封　　　金融交易所使用的密鑰必須經(jīng)常更換，SET使用電子信封來(lái)傳遞更換密鑰。其方法是由發(fā)送數(shù)據(jù)者自動(dòng)生成專(zhuān)用密鑰，用它加密原文，將生成的密文連同密鑰本身一起再用公開(kāi)密鑰手段傳送出去。收信人再解密后同時(shí)得到專(zhuān)用密鑰和用其加密后的密文。這樣保證每次傳送都可以由發(fā)送方選定不同的密鑰進(jìn)行交易。根據(jù)SET標(biāo)準(zhǔn)設(shè)計(jì)的軟件系統(tǒng)必須經(jīng)過(guò)SET驗(yàn)證才能授權(quán)使用。首先進(jìn)行登記，再進(jìn)行SET標(biāo)準(zhǔn)的兼容性試驗(yàn)，目前已經(jīng)有多家公司的產(chǎn)品通過(guò)了SET驗(yàn)證。　　　二、CA認(rèn)證系統(tǒng)　　　公共網(wǎng)絡(luò)系統(tǒng)的安全性則依靠用戶(hù)、商家的認(rèn)證，數(shù)據(jù)的加密及交易請(qǐng)求的合法性驗(yàn)證等多方面措施來(lái)保證。　　　電子交易過(guò)程中必須確認(rèn)用戶(hù)、商家及所進(jìn)行的交易本身是否合法可靠。一般要求建立專(zhuān)門(mén)的電子認(rèn)證中心（CA）以核實(shí)用戶(hù)和商家的真實(shí)身份以及交易請(qǐng)求的合法性。認(rèn)證中心將給用戶(hù)、商家、銀行等進(jìn)行網(wǎng)絡(luò)商務(wù)活動(dòng)的個(gè)人或集團(tuán)發(fā)電子證書(shū)?！　　‰娮由虅?wù)中，網(wǎng)上銀行的建立，CA的建立是關(guān)鍵，只有建立一個(gè)較好的CA體系，才能較好地發(fā)展網(wǎng)上銀行，才能實(shí)現(xiàn)網(wǎng)上支付，電子購(gòu)物才真正實(shí)現(xiàn)。CA的機(jī)構(gòu)如多方并進(jìn)，各建各的，以后會(huì)出現(xiàn)各CA之間的矛盾，客戶(hù)的多重認(rèn)證等。應(yīng)有一家公認(rèn)的機(jī)構(gòu)如銀行或郵電或安全部來(lái)建立權(quán)威性認(rèn)證機(jī)構(gòu)（CA）?！　　?．SET的認(rèn)證（CA）　　　在用戶(hù)身份認(rèn)證方面，SET引入了證書(shū)（Certificates）和證書(shū)管理機(jī)構(gòu)（Certificates Authorities）機(jī)制?！　　。?）證書(shū)　　　證書(shū)就是一份文檔，它記錄了用戶(hù)的公共密鑰和其他身份信息。在SET中，最主要的證書(shū)是持卡人證書(shū)和商家證書(shū)?！　　〕挚ㄈ藢?shí)際上是支付卡的一種電子化表示。它是由金融機(jī)構(gòu)以數(shù)字簽名形式簽發(fā)的，不能隨意改變。持卡人證書(shū)并不包括帳號(hào)和終止日期信息，取而代之的是用單向哈希算法根據(jù)帳號(hào)、截止日期生成的一個(gè)編碼，如果知道帳號(hào)、截止日期、密碼值即可導(dǎo)出這個(gè)碼值，反之不行?！　　∩碳易C書(shū)：表示可接受何種卡來(lái)進(jìn)行商業(yè)結(jié)算。它是由金融機(jī)構(gòu)簽發(fā)的，不能被第三方改變。在SET環(huán)境中，一個(gè)商家至少應(yīng)有一對(duì)證書(shū)。一個(gè)商家也可以有多對(duì)證書(shū)，表示它與多個(gè)銀行有合作關(guān)系，可以接受多種付款方法。　　　除了持卡人證書(shū)和商家證書(shū)以外，還有支付網(wǎng)關(guān)證書(shū)、銀行證書(shū)、發(fā)卡機(jī)構(gòu)證書(shū)?！　　。?）證書(shū)管理機(jī)構(gòu)　　　CA是受一個(gè)或多個(gè)用戶(hù)信任，提供用戶(hù)身份驗(yàn)證的第三方機(jī)構(gòu)。證書(shū)一般包含擁有者的標(biāo)識(shí)名稱(chēng)和公鑰，并且由CA進(jìn)行過(guò)數(shù)字簽名?！　　A的功能主要有：接收注冊(cè)請(qǐng)求，處理、批準(zhǔn)/拒絕請(qǐng)求，頒發(fā)證書(shū)。用戶(hù)向CA提交自己的公共密鑰 和代表自己身份的信息（如身份證號(hào)碼或Email地址），CA驗(yàn)證了用戶(hù)的有效身份之后，向用戶(hù)頒發(fā)一個(gè)經(jīng)過(guò)CA私有密鑰簽名的證書(shū)?！　　。?）證書(shū)的樹(shù)形驗(yàn)證結(jié)構(gòu)　　　在兩方通信時(shí)，通過(guò)出示由某個(gè)CA簽發(fā)的證書(shū)來(lái)證明自己的身份，如果對(duì)簽發(fā)證書(shū)的CA本身不信任，則可驗(yàn)證CA的身份，依次類(lèi)推，一直到公認(rèn)的權(quán)威CA處。就可確信證書(shū)的有效性。SET證書(shū)正是通過(guò)信任層次來(lái)逐級(jí)驗(yàn)證的。通過(guò)SET的認(rèn)證機(jī)制，用戶(hù)不再需要驗(yàn)證并信任每一個(gè)想要交換信息的用戶(hù)的公共密鑰，而只需要驗(yàn)證并信任頒發(fā)證書(shū)的CA的公共密鑰就可以了?！　　?．招商銀行CA方案我國(guó)的電子商務(wù)正在發(fā)展，各種規(guī)范要求還沒(méi)有形成。目前招商銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、中國(guó)工商銀行都再準(zhǔn)備開(kāi)發(fā)網(wǎng)上銀行業(yè)務(wù)。這里以招商銀行為例介紹其CA方案?！　　≌猩蹄y行CA系統(tǒng)用于Web服務(wù)器的SSL公開(kāi)密鑰證書(shū)，也可以為瀏覽器客戶(hù)發(fā)證，在SSL協(xié)議的秘密密鑰交換過(guò)程中加密密鑰參數(shù)。今后會(huì)開(kāi)發(fā)其它的密碼服務(wù)，并在國(guó)家有關(guān)部門(mén)規(guī)定下開(kāi)展公開(kāi)密鑰認(rèn)證服務(wù)。　　　CA系統(tǒng)處于非聯(lián)機(jī)狀態(tài)，運(yùn)行CA的系統(tǒng)在私有網(wǎng)上，用戶(hù)不能通過(guò)Internet訪(fǎng)問(wèn)。CA會(huì)在Web服務(wù)器上提供查詢(xún)和客戶(hù)證書(shū)申請(qǐng)接口，用戶(hù)可以查詢(xún)證書(shū)狀態(tài)，提交證書(shū)請(qǐng)求。Web服務(wù)器運(yùn)行CA數(shù)據(jù)庫(kù)的一個(gè)獨(dú)立副本，與CA沒(méi)有網(wǎng)絡(luò)連接?！　　”痉桨覆捎脤哟握J(rèn)證結(jié)構(gòu)，層次設(shè)置采用PEM規(guī)定的認(rèn)證層次，設(shè)置以下目標(biāo)類(lèi)型： 　　　IPRA（Internet Policy Registration Authority）：IPRA負(fù)責(zé)管理認(rèn)證策略，認(rèn)證PCA，檢查PCA運(yùn)行與其策略的一致性。 　　PCA（Policy Certification Authority）：PCA負(fù)責(zé)根據(jù)業(yè)務(wù)需求指定認(rèn)證策略，交IPRA審批，根據(jù)認(rèn)證策略認(rèn)證下一級(jí)CA，保證CA運(yùn)行與策略的一致性。 　　CA（Certification Authority）：CA根據(jù)需要，選擇相應(yīng)的認(rèn)證策略，提供用戶(hù)公開(kāi)密鑰認(rèn)證 　　用戶(hù)：。 　　RA（Registration Authority）：當(dāng)用戶(hù)與CA通信有困難時(shí)，CA就不可能對(duì)用戶(hù)進(jìn)行身份鑒別，就由RA代替CA，根據(jù)CA的業(yè)務(wù)要求進(jìn)行用戶(hù)身份鑒別。 　　CA管理提供CA密鑰管理，認(rèn)證策略管理和配置，以及服務(wù)級(jí)別的管理。CA管理的一個(gè)重要職能是CA密鑰和策略管理。包括：生成新的密鑰對(duì)、安裝證書(shū)、撤消證書(shū)、備份CA的私有密鑰、安裝備份的CA私有密鑰等。這些功能需要兩個(gè)安全管理員同時(shí)注冊(cè)才能完成?！　　∧壳?，CA支持以下公開(kāi)密鑰算法：RSA/DH/DSA，并可提供上述密鑰的證書(shū)，計(jì)劃將增加對(duì)橢圓曲線(xiàn)加密算法的支持。此外，為了提高CA密鑰的安全性，必須對(duì)CA密鑰加密后保存，今后CA所有與密鑰有關(guān)部門(mén)的操作將在IC卡中完成。12 / 12