CA认证

电子商务与CA认证的关系？

电子商务正以不可逆转之势席卷全球的各行各业，但世界各地也面临着一个共同的障碍——电子商务的安全问题，必须要采用先进的安全技术对网

上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全

性、完整性、可靠性和交易的不可抵赖性。

CA认证建立了一套严密的身份认证系统，它提供的身份认证、数字签名、

数字信封等数字加密技术是目前通用可行的安全问题解决方案，可以确保电

子商务的安全性。

电子商务与CA认证的结合应用有哪几个方面？

·安全登录

安全登录方式是指基于数字证书的用户身份自动识别方式，这种方式采用新型的用户登录及身份确认技术，解决密码登录方式烦琐、不安全的弊端。这种登录方式在各种WEB应用中的实现非常简便。安全登录依靠系统的特点，如自动登录、提供信息交换过程的安全保障、有效防止他人冒充登录、防止用户抵赖等，还能够很方便地扩充到例如网管系统、办公自动化系统、网上招标系统等各种应用系统中。

·安全WEB站点

安全WEB站点的应用结合了SSL协议和数字证书。SSL协议允许在浏览器和服务器之间进行加密通信，同时服务器端和浏览器端分别由可信的第三方CA认证中心颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。CA认证技术保证Web交易多方面的安全需求，解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题，使Web上的交易和面对面的交易一样安全。

·安全电子邮件

电子邮件以其使用方便、快捷、容易存储、管理的特点成为交换信息、传递公文、沟通情感的有效工具，是因特网上最常用的通信方式。但是，由于网络的开放性，一封普通的没有加密的邮件就很容易受到网络黑客的攻击，安全电子邮件利用数字证书达到以下目的：对电子邮件加密，确认发件人的身份，保证电子邮件信息在传输过程中不能被人修改，保证已发送邮件的不可否认性。

·安全VPN （Virtual Private Networks）

利用安装在VPN的路由器、防火墙等网络设备上数字证书，在VPN的数据传输中解决认证、机密、完整、不可否认等难题，同时为用户的活动提供了审计机制。

·安全电子交易（SET）

SET是在开放网络环境中的卡支付安全协议，它采用公钥密码体制（PKI）和X.509数

字证书标准，通过相应软件、数字证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。在一个基于SET的交易中，首先要验证或识别参与网上交易活动的各个主体（如持卡消费者、商户、支付网关）的身份，并用相应的数字证书代表他们的身份。这就需要由权威性的CA认证中心为他们颁发证书。在每次交易活动时还需逐级往上地验证各认证机构证书的真伪。

·无线网络的应用

安全性在无线网络中显得比在有线网络中更重要，用户只有在确认自己不会被欺骗后才会放心的去使用各种无线网络的服务，这其中最重要的就是要鉴别通信双方的身份。WAP协议是目前无线网络中主要的通信协议，这种协议的身份鉴别依靠数字证书来实现。身份鉴别可以在客户端（用户）和服务器（WAP应用提供商）之间进行，也可以在服务器允许的情况下，只由客户端鉴别服务器，服务器还可以要求客户端向服务器证明自己。

何为数字证书？

数字证书又称为数字标识（Digital Certificate，Digital ID）。它提供了一种在Internet 上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在Internet 的身份证。数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。

一个标准的X.509数字证书包含以下一些内容：

证书的版本信息；

证书的序列号，每个证书都有一个唯一的证书序列号；

证书所使用的签名算法；

证书的发行机构名称（命名规则一般采用X.500格式）及其用私钥的签名；

证书的有效期；

证书使用者的名称及其公钥的信息。

数字证书能解决什么问题？

在使用数字证书的过程中应用公开密钥加密技术，建立起一套严密的身份认证系统，它能够保证：

信息除发送方和接受方外不被其他人窃取；

信息在传输过程中不被篡改；

接收方能够通过数字证书来确认发送方的身份；

发送方对于自己发送的信息不能抵赖。

以电子邮件为例，数字证书主要可以解决：

· 保密性：通过使用收件人的数字证书对电子邮件加密，只有收件人才能阅读加密的邮件，这样保证在Internet上传递的电子邮件信息不会被他人窃取，即使发错邮件，收件人由于无法解密而不能够看到邮件内容。

· 完整性：利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份，而且可以判断发送的信息在传递的过程中是否被篡改过。

· 身份认证：在Internet上传递电子邮件的双方互相不能见面，所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份，而不是他人冒充的。

· 不可否认性：发件人的数字证书只有发件人唯一拥有，故发件人利用其数字证书在传送前对电子邮件进行数字签名后，发件人就无法否认发送过此电子邮件。

数字证书的原理是什么？

数字证书采用PKI（Public Key Infrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），

用它进行解密和签名；同时设定一把公共密钥（公钥），由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，通过数字的手段保证加解密过程是一个不可逆过程，即只有用私有密

钥才能解密，这样保证信息安全无误地到达目的地。用户也可以采用自己的私钥对发送信息加

以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对

发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在公开密钥基础架构技术中，最常用一种算法是RSA

算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，

要破解目前采用的

1024位

RSA密钥，需要上千年的计算时间。

数字证书可以用在什么地方？

随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展，数字证书开始广泛

地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标、

网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

数字证书由谁来颁发，如何颁发？

数字证书能解决什么问题？

数字证书是由认证中心颁发的。

认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。

数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。

用户如何获得自己数字证书？