【正文】 業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。乙用相同的hash算法對(duì)收到的明文再進(jìn)行一次hash運(yùn)算，得到一個(gè)新的信息摘要。,6.3.4 數(shù)字證書的工作流程(5) （7）乙用DES密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。 （5）甲用乙的公鑰（PK）對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。 （3）甲用自己的私鑰（SK）對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。 （1）甲準(zhǔn)備好要傳送的數(shù)字信息（明文）。當(dāng)甲收到一個(gè)新證書時(shí)，首先應(yīng)該從證書廢止列表（CRL）中檢查證書是否已經(jīng)被撤銷。 如果用戶的密鑰或CA的密鑰被破壞，從而導(dǎo)致證書的撤銷。用戶可以利用網(wǎng)絡(luò)彼此交換證書。甲必須從CA的樹形結(jié)構(gòu)底部開始，從底層CA往上層CA查詢，一直追蹤到同一個(gè)CA為止，找出共同的信任CA。如果他們使用相同的CA，事情就很簡單。,6.3.4 數(shù)字證書的工作流程(1) 每一個(gè)用戶有一個(gè)各不相同的名字，一個(gè)可信的證書認(rèn)證中心（CA）給每個(gè)用戶分配一個(gè)惟一的名字并簽發(fā)一個(gè)包含名字和用戶公開密鑰的證書。它的主要功能是接受客戶證書申請(qǐng)并進(jìn)行審核。因此客戶可在自己方便的時(shí)候在網(wǎng)上提出證書申請(qǐng)和填寫相應(yīng)的證書申請(qǐng)表，免去了排隊(duì)等候等煩惱。,6.3.3 證書與證書授權(quán)中心（9） 認(rèn)證中心為了實(shí)現(xiàn)其功能，主要由以下三部分組成。 （8）密鑰歸檔。 （6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。 （4）接收、處理最終用戶的數(shù)字證書更新請(qǐng)求證書的更新。 （2）確定是否接受最終用戶數(shù)字證書的申請(qǐng)證書的審批。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下。認(rèn)證中心作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書。,6.3.3 證書與證書授權(quán)中心（6） 認(rèn)證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交易中信賴的基礎(chǔ)。,6.3.3 證書與證書授權(quán)中心（5） 數(shù)字證書認(rèn)證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包括建立電子商務(wù)各主體之間的信任關(guān)系，即建立安全認(rèn)證體系（CA）；選擇安全標(biāo)準(zhǔn)（如SET、SSL）；采用高強(qiáng)度的加、解密技術(shù)。CA涉及到電子交易中各交易方的身份信息、嚴(yán)格的加密技術(shù)和認(rèn)證程序。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu)——根認(rèn)證中心（根CA）。,數(shù)字證書,6.3.3 證書與證書授權(quán)中心（3） CA是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。,6.3.3 證書與證書授權(quán)中心（2） 由此可見，建設(shè)證書授權(quán)（CA）中心，是開拓和規(guī)范電子商務(wù)市場(chǎng)必不可少的一步。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。,6.3.3 證書與證書授權(quán)中心（1） CA機(jī)構(gòu)作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。,6.3.2 為什么要用數(shù)字證書（8） 我們可以使用數(shù)字證書，通過運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其他人竊??；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴。數(shù)字安全證書提供了一種在網(wǎng)上驗(yàn)證身份的方式。,6.3.2 為什么要用數(shù)字證書（7） 人們?cè)诟袊@電子商務(wù)的巨大潛力的同時(shí)，不得不冷靜地思考，在人與人互不見面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí)，怎么才能保證交易的公正性和安全性，保證交易雙方身份的真實(shí)性。供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動(dòng)文件內(nèi)容，將訂購數(shù)1千克改為1克，則可大幅受益，那么訂貨單位可能就會(huì)因此而蒙受損失。,6.3.2 為什么要用數(shù)字證書（6） 不可修改性。例如訂購黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)收到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。銀行和信用卡公司可以采用各種保密與識(shí)別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。對(duì)于為顧客或用戶開展服務(wù)的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務(wù)活動(dòng)， 都要進(jìn)行身份認(rèn)證的工作。要使交易成功首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺詐的黑店。,數(shù)字證書,6.3.2 為什么要用數(shù)字證書（3） 交易者身份的確定性。如信用卡的賬號(hào)和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對(duì)手獲悉，就可能喪失商機(jī)。,6.3.2 為什么要用數(shù)字證書（2） 信息的保密性。買方和賣方都必須對(duì)于在Internet網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對(duì)的信心，因而Internet電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)。 （8）證書發(fā)行者對(duì)證書的簽名。 （6）證書所有人的名稱，命名規(guī)則一般采用X.500格式。 （4）證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式。 （2）證書的序列號(hào)，每個(gè)證書都有一個(gè)惟一的證書序列號(hào)。,6.3.1 什么是數(shù)字證書 （4） 一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份。在CA判明申請(qǐng)者的身份后，便為他分配一個(gè)公鑰，并且CA將該公鑰與申請(qǐng)者的身份信息綁在一起，為之簽字后便形成證書發(fā)給申請(qǐng)者。網(wǎng)上的公眾用戶通過驗(yàn)證CA的簽字從而信任CA，任何人都可以得到CA的證書（含公鑰），用以驗(yàn)證它所簽發(fā)的證書。它要制定政策和具體步驟來驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。,6.3.1 什么是數(shù)字證書（1） 數(shù)字證書就是互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。 DSS和RSA采用了公鑰算法，不存在Hash的局限性。,3．DSS簽名 DSS數(shù)字簽名是由美國國家標(biāo)準(zhǔn)化研究院和國家安全局共同開發(fā)的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁（商業(yè)電話）上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。,2．RSA簽名 用RSA或其他公開密鑰密碼算法的最大方便是沒有密鑰分配問題（網(wǎng)絡(luò)越復(fù)雜、網(wǎng)絡(luò)用戶越多，其優(yōu)點(diǎn)越明顯）。Hash的主要局限是接收方必須持有用戶密鑰的副本以檢驗(yàn)簽名， 因?yàn)殡p方