1、第3章 電子商務(wù)安全電子商務(wù)務(wù)安全概概述電子商務(wù)務(wù)的安全全需求電子商務(wù)務(wù)安全技技術(shù)與措措施電子商務(wù)務(wù)安全認認證機制制案例本章學(xué)習(xí)習(xí)目標(biāo)：3.1.1電子商務(wù)務(wù)的安全全威脅3.1.2國內(nèi)電子子商務(wù)安安全現(xiàn)狀狀3.1.3電子商務(wù)務(wù)安全對對策3.1電子商務(wù)務(wù)安全概概述在傳統(tǒng)交交易過程程中，買買賣雙方方是面對對面的，因此很很容易保保證交易易過程的的安全性性和建立立起信任任關(guān)系。但在電電子商務(wù)務(wù)過程中中，買賣賣雙方是是通過網(wǎng)網(wǎng)絡(luò)來聯(lián)聯(lián)系的，彼此遠遠隔千山山萬水，由于因因特網(wǎng)既既不安全全，也不不可信，因而建建立交易易雙方的的安全和和信任關(guān)關(guān)系相當(dāng)當(dāng)困難。電子商商務(wù)交易易雙方都都面臨不不同的安安全威脅脅。3.

2、1.1電子商務(wù)務(wù)的安全全威脅電子商務(wù)務(wù)存在安安全威脅脅的主要要原因：賣方(銷售者)面臨的安安全威脅脅買方(消費者)面臨的安安全威脅脅中斷(攻擊系統(tǒng)統(tǒng)的可用用性)：破壞系統(tǒng)統(tǒng)中的硬硬件、硬硬盤、線線路、文文件系統(tǒng)統(tǒng)等，使使系統(tǒng)不不能正常常工作；竊聽(攻擊系統(tǒng)統(tǒng)的機密密性)：通過搭線線與電磁磁泄漏等等手段造造成泄密密，或?qū)I(yè)務(wù)流流量進行行分析，獲取有有用情報報；篡改(攻擊系統(tǒng)統(tǒng)的完整整性)：篡改系統(tǒng)統(tǒng)中數(shù)據(jù)據(jù)內(nèi)容，修正消消息次序序、時間間(延時和重重放)；偽造(攻擊系統(tǒng)統(tǒng)的真實實性)：將偽造的的假消息息注入系系統(tǒng)，假假冒合法法人介入入系統(tǒng)、重放截截獲的合合法消息息實現(xiàn)非非法目的的,否認消息息的接

3、入入和發(fā)送送等。黑客攻擊擊電子商商務(wù)系統(tǒng)統(tǒng)的手段段近年來，國內(nèi)電電子商務(wù)務(wù)得到了了蓬勃發(fā)發(fā)展，但但由于技技術(shù)不完完善和管管理不到到位，安安全隱患患還很突突出。3.1.2國內(nèi)電子子商務(wù)安安全現(xiàn)狀狀電子商務(wù)務(wù)中存在在的主要要安全問問題以上問題題可以歸歸結(jié)為兩兩大部分分：計算機網(wǎng)網(wǎng)絡(luò)安全全和商務(wù)交易易安全。計算機網(wǎng)網(wǎng)絡(luò)安全全與商務(wù)務(wù)交易安安全實際際上是密密不可分分的，兩兩者相輔輔相成，缺一不不可。沒有計算算機網(wǎng)絡(luò)絡(luò)安全作作為基礎(chǔ)礎(chǔ)，商務(wù)務(wù)交易安安全就猶猶如空中中樓閣，無從談?wù)勂?。沒有商務(wù)務(wù)交易安安全保障障，即使使計算機機網(wǎng)絡(luò)本本身再安安全，仍仍然無法法達到電電子商務(wù)務(wù)所特有有的安全全要求。由于網(wǎng)絡(luò)絡(luò)

4、天生的的不安全全性，特特別是其其網(wǎng)上支支付領(lǐng)域域有著各各種各樣樣的交易易風(fēng)險。但無論論是何種種風(fēng)險，其根本本原因都都是由于于登錄密密碼或支支付密碼碼泄露造造成的。密碼管理理問題網(wǎng)絡(luò)病毒毒、木馬馬問題釣魚平臺臺硬件數(shù)字字認證1.支付安全全2013年4月，金山山網(wǎng)絡(luò)公公開發(fā)布布了2012年度計算算機病毒毒及釣魚魚網(wǎng)站統(tǒng)統(tǒng)計報告告。金山毒毒霸安全全中心統(tǒng)統(tǒng)計2012年共捕獲獲病毒樣樣本總量量超過4200萬個，比比上一年年增長41.4%。病毒感感染超過過2.3億臺次，比2011年下降14%。資料：金山公布布的2012年度十大大病毒：電子商務(wù)務(wù)為了保保證網(wǎng)絡(luò)絡(luò)上傳遞遞信息的的安全，通常采采用加密密的方法

5、法。但這這是不夠夠的，如如何確定定交易雙雙方的身身份，如如何獲得得通訊對對方的公公鑰并且且相信此此公鑰是是由某個個身份確確定的人人擁有的的，解決決方法就就是找一一個大家家共同信信任的第第三方，即認證中心心(CertificateAuthority，CA)頒發(fā)電子證書書。用戶之之間利用用證書來來保證安安全性和和雙方身身份的合合法性，只有確確定身份份后，交交易的糾糾紛，才才得到有有效的裁裁決。2.認證安全全電子商務(wù)務(wù)安全對對策是為為了應(yīng)對對電子商商務(wù)交易易中，面面臨的各各種安全全威脅而而采取的的管理和和技術(shù)對對策。3.1.3電子商務(wù)務(wù)安全對對策1.完善各項項管理制制度2.技術(shù)對策策3.2.1電子交

6、易易的安全全需求3.2.2計算機網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全全3.2電子商務(wù)務(wù)的安全全需求電子商務(wù)務(wù)安全問問題的核心和關(guān)關(guān)鍵是電子交易易的安全全性，因此，下面首首先討論論在Internet上進行商商務(wù)交易易過程中中的安全全問題。由于Internet本身的開開放性以以及目前前網(wǎng)絡(luò)技技術(shù)發(fā)展展的局限限性，使使網(wǎng)上交交易面臨臨著種種種安全性性威脅，也由此此提出了了相應(yīng)的的安全控控制要求求。3.2.1電子交易易的安全全需求身份的可可認證性性是指交交易雙方方在進行行交易前前應(yīng)能鑒鑒別和確確認對方方的身份份。在傳統(tǒng)的的交易中中，交易易雙方往往往是面面對面進進行活動動的，這這樣很容容易確認認對方的的身份。即使開開始不

7、熟熟悉、不不能確信信對方，也可以以通過對對方的簽簽名、印印章、證證書等一一系列有有形的身身份憑證證來鑒別別他的身身份。另外，在在傳統(tǒng)的的交易中中如果是是采用電電話進行行通信，也可以以通過聲聲音信號號來識別別對方身身份。1.身份的可可認證性性信息的保保密性是是指對交交換的信信息進行行加密保保護，使使其在傳傳輸過程程或存儲儲過程中中不被他他人所識識別。在傳統(tǒng)的的貿(mào)易中中，一般般都是通通過面對對面的信信息交換換，或者者通過郵郵寄封裝裝的信件件或可靠靠的通信信渠道發(fā)發(fā)送商業(yè)業(yè)報文，達到保保守商業(yè)業(yè)機密的的目的。電子商務(wù)務(wù)是建立立在一個個開放的的網(wǎng)絡(luò)環(huán)環(huán)境下，當(dāng)交易易雙方通通過Internet交換信息息

8、時，因因為Internet是一個開開放的公公用互聯(lián)聯(lián)網(wǎng)絡(luò)，如果不不采取適適當(dāng)?shù)谋１Ｃ艽胧┦?，那么么其他人人就有可可能知道道他們的的通信?nèi)內(nèi)容；另外，存存儲在網(wǎng)網(wǎng)絡(luò)的的文件信信息如果果不加密密的話，也有可可能被黑黑客竊取取。2.信息的保保密性信息的完完整性指指確保信信息在傳傳輸過程程中的一一致性，并且不不被未經(jīng)經(jīng)授權(quán)者者所篡改改，也稱稱不可修修改性。上面所討討論的信信息保密密性，是是針對網(wǎng)網(wǎng)絡(luò)面臨臨的被動動攻擊一一類威脅脅而提出出的安全全需求，但它不不能避免免針對網(wǎng)網(wǎng)絡(luò)所采采用的主主動攻擊擊一類的的威脅。所謂被動動攻擊，就是不不修改任任何交易易信息，但通過過截獲、竊取、觀察、監(jiān)聽、分析數(shù)數(shù)據(jù)流和

9、和數(shù)據(jù)流流式獲得得有價值值的情報報。而主動攻攻擊就是是篡改交交易信息息，破壞壞信息的的完整性性和有效效性，以以達到非非法的目目的。3.信息的完完整性例如，在在電子貿(mào)貿(mào)易中，乙給甲甲發(fā)了如如下一份份報文：“請給丁匯匯100元錢。乙乙”。報文在在報發(fā)過過程中經(jīng)經(jīng)過了丙丙之手，丙就把把“丁”改為“丙”。這樣甲甲收到后后就成了了“請給丙匯匯100元錢。乙乙”，結(jié)果是是丙而不不是丁得得到了100元錢。當(dāng)當(dāng)乙得知知丁未收收到錢時時就去問問甲，甲甲出示有有乙簽名名的報文文，乙發(fā)發(fā)現(xiàn)報文文被篡改改了。信息完整整性案例例：交易的不不可抵賴賴性是指指交易雙雙方在網(wǎng)網(wǎng)上交易易過程的的每個環(huán)環(huán)節(jié)都不不可否認認其所發(fā)發(fā)

10、送和收收到的交交易信息息，又稱稱不可否否認性。由于商情情千變?nèi)f萬化，交交易合同同一旦達達成就不不能抵賴賴。在傳統(tǒng)的的貿(mào)易中中，貿(mào)易易雙方通通過在交交易合同同、契約約或貿(mào)易易單據(jù)等等書面文文件上手手寫簽名名或印章章，確定定合同、契約、單據(jù)的的可靠性性并預(yù)防防抵賴行行為的發(fā)發(fā)生，這這也就是是人們常常說的“白紙黑字字”。4.不可抵賴賴性在商務(wù)活活動中，交易的的文件是是不可被被修改的的。在傳傳統(tǒng)的貿(mào)貿(mào)易中，可以通通過合同同字跡的的技術(shù)鑒鑒定等措措施來防防止交易易過程中中出現(xiàn)的的偽造行行為，但但在電子子交易中中，由于于沒有書書面的合合同，因因而無法法采用字字跡的技技術(shù)鑒定定等傳統(tǒng)統(tǒng)手段來來裁決是是否發(fā)生

11、生了偽造造行為。3.不可偽造造性物理實體體的安全全自然災(zāi)害害的威脅脅黑客的惡惡意攻擊擊軟件的漏漏洞和“后門”網(wǎng)絡(luò)協(xié)議議的安全全漏洞計算機病病毒的攻攻擊3.2.2計算機網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全全惡意攻擊擊示意圖圖根據(jù)2007年美國網(wǎng)網(wǎng)絡(luò)安全全企業(yè)賽賽門鐵克克(Symantec)公司發(fā)布布的研究究報告，美國是全球網(wǎng)網(wǎng)絡(luò)黑客客的大本營，其每年年產(chǎn)生的的惡意電電腦攻擊擊行為遠遠高于其其他國家家，占全全球網(wǎng)絡(luò)絡(luò)黑客攻攻擊行為為總數(shù)的的約31。所謂黑客客，現(xiàn)在在一般泛泛指計算算機信息息系統(tǒng)的的非法入入侵者。黑客攻擊擊目前成成為計算算機網(wǎng)絡(luò)絡(luò)所面臨臨的最大威脅脅。圖：微軟軟ANI漏洞引發(fā)發(fā)病毒危危機熊貓燒香香是一

12、種種經(jīng)過多多次變種種的“蠕蠕蟲病毒毒”變種種，2006年10月16日由25歲的中國國湖北人人李俊編編寫，2007年1月初肆虐虐網(wǎng)絡(luò)，主要通通過下載載的檔案案傳染。能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，還能終終止大量量的反病病毒軟件件進程并并且會刪刪除擴展展名為gho的備份文文件。被被感染的的用戶系系統(tǒng)中所所有.exe可執(zhí)行文文件全部部被改成成熊貓舉舉著三根根香的模模樣。圖：熊貓貓燒香病病毒3.3.1加密技術(shù)術(shù)3.3.2防火墻技技術(shù)3.3.3反病毒技技術(shù)3.3電子商務(wù)務(wù)安全技技術(shù)與措措施電子商務(wù)務(wù)信息的的保密性性、真實實性和完完整性可可以通過過加密技技術(shù)來實實現(xiàn)。加

13、加密技術(shù)術(shù)是一種種主動的信息安全全防范措措施，其其原理是是將數(shù)據(jù)進進行編碼碼，使它成成為一種種難以識識別的形形式，從從而阻止止非法用用戶獲取取和理解解原始數(shù)數(shù)據(jù)。3.3.1加密技術(shù)術(shù)密碼學(xué)是是保密學(xué)學(xué)的一個個分支，是對存存儲和傳傳送的信信息加以以隱藏和和保護的的一門學(xué)學(xué)問。在密碼學(xué)學(xué)中，原原始消息息稱為明文，加密結(jié)結(jié)果稱為為密文。數(shù)據(jù)加密密和解密密是逆過過程，加加密是用用加密算算法和加加密密鑰鑰，將明明文變換換成密文文；解密密是用解解密算法法和解密密密鑰將將密文還還原成明明文。加密技術(shù)術(shù)包括兩兩個要素素：算法法和密鑰鑰。1.密碼學(xué)基基礎(chǔ)知識識數(shù)據(jù)加密密是保護數(shù)據(jù)據(jù)傳輸安安全唯一實用用的方法法和

14、保護存儲儲數(shù)據(jù)安安全的有效方方法。早在公元元前30年，古羅羅馬的凱凱撒在高高盧戰(zhàn)爭爭中就采采用過加加密方法法。例：使用用凱撒密密碼的加加密系統(tǒng)統(tǒng)的構(gòu)成成原理：把把每個英英文字母母向前推推x位，如x=3，即字母母a,b,c,d, x, y, z分別變?yōu)闉閐,e,f,g,a,b,c。例如要發(fā)發(fā)送的明明文為Caesarwasagreatsolider，則對應(yīng)應(yīng)的密文文為Fdhvduzdvdjuhdwvroglhu。這個簡單單的例子子說明了了加密技技術(shù)的構(gòu)構(gòu)成：明明文被character+3算法轉(zhuǎn)換換成密文文，解密密的算法法是反函函數(shù)character-3，其中算算法為character+x,x是起密

15、鑰鑰作用的的變量，此處x是3。對稱密鑰鑰也稱私私鑰、單單鑰或?qū)Ｓ忻荑€鑰，在這這種技術(shù)術(shù)中，加加密方和和解密方方使用同一種加加密算法法和同一個密密鑰。對稱密鑰鑰加密技技術(shù)特點點是數(shù)據(jù)據(jù)加密標(biāo)標(biāo)準(zhǔn)，速速度較快快，適用用于加密密大量數(shù)數(shù)據(jù)的場場合。2.對稱密鑰鑰加密技技術(shù)對稱加密密的算法法是公開開的，在在前面的的例子中中，可以以把算法法character+x告訴所有有要交換換信息的的對方，但要對對每個消消息使用用不同的的密鑰，某一天天這個密密鑰可能能是3，而第二二天則可可能是9。優(yōu)點：交換信信息的雙雙方采用用相同的的算法和和同一個個密鑰，將簡化化加密解解密的處處理，加加密解密密速度快快是對稱稱加密

16、技技術(shù)的最最大優(yōu)勢勢，缺點：雙方要要交換密密鑰，密密鑰管理理是一個個問題，密鑰必必須與加加密的消消息分開開保存，并秘密密發(fā)送給給接收者者。如果能夠夠確保密密鑰在交交換階段段未曾泄泄露，那那么機密密性和報報文完整整性就可可以通過過對稱加加密方法法來實現(xiàn)現(xiàn)。2.對稱密鑰鑰加密技技術(shù)目前最具具代表性性的對稱稱密鑰加加密算法法是美國國數(shù)據(jù)加加密標(biāo)準(zhǔn)準(zhǔn)DES（Data EncryptionStandard）。DES算法是IBM公司研制制的，被被美國國國家標(biāo)準(zhǔn)準(zhǔn)局和國國家安全全局選為為數(shù)據(jù)加加密標(biāo)準(zhǔn)準(zhǔn)并于1977年頒布使使用后被國際際標(biāo)準(zhǔn)化化組織ISO認定為數(shù)數(shù)據(jù)加密密的國際標(biāo)準(zhǔn)準(zhǔn)。2.對稱密鑰鑰加密技技

17、術(shù)DES算法非對稱密密鑰加密密技術(shù)也也稱為公公開密鑰鑰加密技技術(shù)需要使用用一對密鑰鑰來分別完完成加密密和解密密操作，每個用用戶都有有一對密密鑰，一一個私鑰鑰（Private Key）和一個個公鑰（PublicKey），它們們在數(shù)學(xué)學(xué)上相關(guān)關(guān)、在功功能上不不同。私鑰由所所有者秘秘密持有有，而公公鑰則由由所有者者給出或或者張貼貼在可以以自由獲獲取的公公鑰服務(wù)務(wù)器上。如果其其他用戶戶希望與與該用戶戶通信，就可以以使用該該用戶公公開的密密鑰進行行加密，而只有有該用戶戶才能用用自己的的私鑰解解開此密密文。當(dāng)當(dāng)然，用用戶的私私鑰不能能透露給給自己不不信任的的任何人人。3.非對稱密密鑰加密密技術(shù)圖：非對對稱

18、密鑰鑰加密過過程用戶生成成一對密密鑰并將將其中的的一個作作為公鑰鑰向其他他用戶公公開；發(fā)送方使使用該用用戶的公公鑰對信信息進行行加密后后發(fā)送給給接收方方；接收方利利用自己己保存的的私鑰對對加密信信息進行行解密，接收方方只能用用自己的的私鑰解解密由其其公鑰加加密后的的任何信信息。非對稱密密鑰加密密基本過過程目前最著著名的公公鑰加密密算法是是RSA算法，它它是由美美國的三三位科學(xué)學(xué)家Rivest,Shemir和Adelman提出的，已被ISO/TC97的數(shù)據(jù)加加密技術(shù)術(shù)分委員員會SC20推薦為公開密鑰鑰數(shù)據(jù)加加密標(biāo)準(zhǔn)準(zhǔn)。優(yōu)點：信信息發(fā)送送方和接接收方不不使用同同一密鑰鑰，不存存在將“密鑰”傳送給給

19、接收方方的問題題，安全全系數(shù)較較高缺點：加加密算法法比較復(fù)復(fù)雜，加加密成本本較高適用于“非電子子傳輸方方式”移移交密鑰鑰者3.非對稱密密鑰加密密技術(shù)RSA算法防火墻是是指設(shè)置置在被保保護網(wǎng)絡(luò)絡(luò)(內(nèi)聯(lián)子網(wǎng)網(wǎng)和局域域網(wǎng))與公共網(wǎng)網(wǎng)絡(luò)(如因特網(wǎng)網(wǎng))或其他網(wǎng)網(wǎng)絡(luò)之間間并位于于被保護護網(wǎng)絡(luò)邊邊界的、對進出出被保護護網(wǎng)絡(luò)信信息實施施“通過/阻斷/丟棄”控制的硬硬件、軟軟件部件件或系統(tǒng)統(tǒng)。3.3.2防火墻技技術(shù)圖：企業(yè)防火火墻配置置樣例防火墻的的種類數(shù)據(jù)包過過濾應(yīng)用級網(wǎng)網(wǎng)關(guān)代理服務(wù)務(wù)3.3.2防火墻技技術(shù)3.3.3反病毒技技術(shù)計算機病病毒是指指編制或或者在計計算機程程序中插插入的破破壞計算算機功能能或者毀毀

20、壞數(shù)據(jù)據(jù)，影響響計算機機使用，并能自自我復(fù)制制的一組組計算機機指令或或者程序序代碼。計算機病病毒一般般特征圖：病毒毒、木馬馬惡意程程序盜取取密碼過過程3.4電子商務(wù)務(wù)安全認認證機制制電子商務(wù)務(wù)交易安安全在技技術(shù)上要要解決兩兩大問題題：安全傳輸輸和身份認證證。數(shù)據(jù)加加密能夠夠解決網(wǎng)網(wǎng)絡(luò)通信信中的信信息保密密問題，但是不不能夠驗驗證網(wǎng)絡(luò)絡(luò)通信對對方身份份的真實實性。因因此，數(shù)數(shù)據(jù)加密密僅解決決了網(wǎng)絡(luò)絡(luò)安全問問題的一一半，另另一半需需要身份份認證解解決。認證指的的是證實實被認證證對象是是否屬實實與是否否有效的的一個過過程，其其基本思思想是通通過驗證證被認證證對象的的屬性，達到確確認被認認證對象象是否

21、真真實有效效的目的的。3.4.1安全認證證技術(shù)概概述身份認證證技術(shù)主主要基于于加密技技術(shù)的公公鑰加密密體制，目前普普遍使用用的是RSA算法。用戶的一一對密鑰鑰在使用用的時候候，用私私鑰加密密的信息息，只能能用公鑰鑰才能解解開；而而用公鑰鑰加密的的信息，只能用用私鑰才才能解開開。這種種加密和和解密的的唯一性性就構(gòu)成成了認證證的基礎(chǔ)礎(chǔ)。做法：信信息發(fā)送送者使用用信息接接收者的的公鑰進進行加密密，此信信息則只只有信息息接收者者使用私私鑰來解解開閱讀讀；信息息接收者者使用私私鑰將反反饋信息息加密，再傳送送給信息息發(fā)送者者，發(fā)送送者也就就知道信信息接收收者已經(jīng)經(jīng)閱讀了了所傳送送的信息息。數(shù)字摘要要（Di

22、gital Digest）數(shù)字信封封（Digital Envelop）數(shù)字簽名名（Digital Signature）數(shù)字時間間戳（Digital Time-Stamp）數(shù)字證書書（Digital Certificate，Digital ID）電子商務(wù)務(wù)安全認認證技術(shù)術(shù)：為了切實實保障網(wǎng)網(wǎng)上交易易和支付付的安全全，世界界各國在在經(jīng)過多多年研究究后，形形成了一一套完整整的解決決方案，其中最最重要的的內(nèi)容就就是建立立完整的的電子商商務(wù)安全全認證體體系。電電子商務(wù)務(wù)安全認認證體系系的核心就是數(shù)字證書書和認證中心心。3.4.2數(shù)字證書書與認證證中心數(shù)字證書書（digitalID）又稱為為數(shù)字憑憑證、數(shù)

23、數(shù)字標(biāo)識識，是一一個經(jīng)證證書認證證機構(gòu)數(shù)數(shù)字簽名名的包含含用戶身身份信息息以及公公開密鑰鑰信息的的電子文文件。在在網(wǎng)上交交易中，若雙方方出示了了各自的的數(shù)字證證書，并并用它來來進行交交易操作作，那么么雙方都都可不必必為對方方的身份份真?zhèn)螕?dān)擔(dān)心。數(shù)數(shù)字證書書可用于于安全電電子郵件件、網(wǎng)上上繳費、網(wǎng)上炒炒股、網(wǎng)網(wǎng)上招標(biāo)標(biāo)、網(wǎng)上上購物、網(wǎng)上企企業(yè)購銷銷、網(wǎng)上上辦公、軟件產(chǎn)產(chǎn)品、電電子資金金移動等等安全電電子商務(wù)務(wù)活動。1.數(shù)字證書書數(shù)字證書書的類型型1.個人數(shù)字字證書2.單位證書書3.服務(wù)器證證書4.代碼簽名名證書個人證書書(客戶證書書)個人身份份證書個人身份份證書是是用來表表明和驗驗證個人人在網(wǎng)絡(luò)

24、絡(luò)上身份份的證書書，它確確保了網(wǎng)網(wǎng)上交易易的操作作的安全全性和可可靠性。個人身身份證書書可以存存儲在軟軟盤或IC卡中。個人安全全電子郵郵件證書書個人安全全電子郵郵件證書書可以確確保郵件件的真實實性和保保密性。單位證書書單位（客客戶端）數(shù)字證證書主要用于于單位安安全電子子事務(wù)處處理。具具體應(yīng)用用如：安安全電子子郵件傳傳送、網(wǎng)網(wǎng)上公文文傳送、網(wǎng)上簽簽約、網(wǎng)網(wǎng)上招標(biāo)標(biāo)投標(biāo)、網(wǎng)上辦辦公系統(tǒng)統(tǒng)等。服務(wù)器證證書服務(wù)器證證書（站站點證書書）服務(wù)器證證書主要要用于網(wǎng)網(wǎng)站交易易服務(wù)器器的身份份識別，使得連連接到服服務(wù)器的的用戶確確信服務(wù)務(wù)器的真真實身份份。目的的是保證證客戶和和服務(wù)器器之間交交易、支支付時確確保

25、雙方方身份的的真實性性、安全全性、可可信任性性等。代碼簽名名證書又稱代碼碼數(shù)字證證書，代代表軟件件開發(fā)者者的身份份，用于于對其開開發(fā)的軟軟件進行行數(shù)字簽簽名，證證明軟件件的合法法性。（CA-CertificateAuthority）。也稱為電電子證書書認證中中心，是是承擔(dān)網(wǎng)網(wǎng)上安全全電子交交易認證證服務(wù)，能簽發(fā)發(fā)數(shù)字證證書，確確認用戶戶身份的的、與具具體交易易行為無無關(guān)的第三方權(quán)威機構(gòu)構(gòu)。2.認證中心心（1）認證中中心的職職能認證機構(gòu)構(gòu)的核心心職能是是發(fā)放和和管理用用戶的數(shù)數(shù)字證書書。認證中心心的四大大具體職職能認證中心心接受個個人、單單位的數(shù)數(shù)字證書書申請，何時申申請人的的各項資資料是否否真

26、實，根據(jù)核核實情況況決定是是否頒發(fā)發(fā)數(shù)字證證書。a.核發(fā)證書書證書使用用總是有有期限的的，在證證書發(fā)行行簽字時時都規(guī)定定了失效效日期；具體使用用期長短短由CA根據(jù)安全全策略來來定。更換過期期證書，密鑰對對也需要要定期更更換。b.證書更新新證書的撤撤消可以以有許多多理由，如發(fā)現(xiàn)現(xiàn)、懷疑疑私鑰被被泄露或或檢測出出證書已已被篡改改，則CA可以提前前撤銷或或暫停使使用該證證書。申請撤銷銷。證書撤銷銷表CRL。c.證書撤銷銷d.證書驗證證證書是通通過信任任分級層層次體系系（通常常稱為證證書的樹樹形驗證證結(jié)構(gòu)）來驗證證的。每每一個證證書與簽簽發(fā)數(shù)字字證書的的機構(gòu)的的簽名證書書關(guān)聯(lián)。在兩方通通信時，通過出出

27、示由某某個CA簽發(fā)的證證書來證證明自己己的身份份，如果果對簽發(fā)發(fā)證書的的CA本身不信信任，則則可驗證證CA的身份，依次類類推，一一直到公公認的權(quán)權(quán)威CA處。就可可確信證證書的有有效性。(2)CA的樹型驗驗證結(jié)構(gòu)構(gòu)世界上較較早的數(shù)數(shù)字證書書認證中中心、處處于領(lǐng)導(dǎo)導(dǎo)地位和和全球最最大的PKICA運營商是是美國VeriSign公司，該該公司成成立于1995年4月，位于于美國的的加利福福尼亞州州。它為為全世界界50個國家提提供數(shù)字字證書服服務(wù)，有有超過45000個因特網(wǎng)網(wǎng)服務(wù)器器接受該該公司的的服務(wù)器器數(shù)字證證書，使使用它提提供的個個人數(shù)字字憑證的的人數(shù)也也已經(jīng)超超過200萬。另外一家家著名的的公司是

28、是加拿大大的ENTRUST。國外CA中心介紹紹(3)我國認證證中心現(xiàn)現(xiàn)狀我國安全全認證體體系(CA)可分為金金融CA與非金融融CA兩種類型型來處理理。在金融CA方面，根根證書由由中國人人民銀行行管理，根認證證管理一一般是脫脫機管理理；品牌牌認證中中心采用用“統(tǒng)一品牌牌、聯(lián)合合建設(shè)”的方針進進行。在非金融融CA方面，最最初主要要由中國國電信負負責(zé)建設(shè)設(shè)。我國的CA又可分為為行業(yè)性性CA和區(qū)域性性CA兩大類。行業(yè)性CA：中國金金融認證證中心（CFCA）和中國國電信認認證中心心（CTCA）是行業(yè)業(yè)性CA中影響最最大的兩兩家。區(qū)域性CA大多以地地方政府府為背景景，以公公司機制制來運作作，如廣廣東CA中

29、心（CNCA）、上海海CA中心(SHECA)、深圳CA中心(SZCA)，其中影影響最大大的是廣廣東CA中心（CNCA）和上海海CA中心(SHECA)。CFCA是全國惟惟一的金金融根認認證中心心，由中中國人民民銀行負負責(zé)統(tǒng)一一規(guī)劃管管理，中中國工商商銀行、中國銀銀行、中中國農(nóng)業(yè)業(yè)銀行、中國建建設(shè)銀行行、交通通銀行、招商銀銀行、中中信實業(yè)業(yè)銀行、華夏銀銀行、廣廣東發(fā)展展銀行、深圳發(fā)發(fā)展銀行行、光大大銀行、民生銀銀行和福福建興業(yè)業(yè)銀行共共十三家家商業(yè)銀銀行聯(lián)合合建設(shè)，由銀行行卡信息息交換總總中心承承建，建建立了SETCA和Non-SETCA兩套系統(tǒng)統(tǒng)，于2000年6月29日正式開開始為全全國的用用戶

30、提供供證書服服務(wù)。a.中國金融融認證中中心（CFCA）在管理分分工上，中國人人民銀行行負責(zé)管管理根認認證中心心CFCA，并負責(zé)責(zé)審批、認證統(tǒng)統(tǒng)一的品品牌認證證中心。一般脫脫機進行行。品牌認證證中心由由成員銀銀行接受受中國人人民銀行行的委托托建設(shè)、運行和和管理，建立對對最終持持卡人、商業(yè)用用戶和支支付網(wǎng)關(guān)關(guān)認證證證書的審審批、管管理和認認證等工工作，其其中管理理包括證證書申請請、補發(fā)發(fā)、重發(fā)發(fā)和注銷銷等內(nèi)容容。b.廣東CA及“網(wǎng)證通”（NETCA）系統(tǒng)廣東省電電子商務(wù)務(wù)認證中中心是國國家電子子商務(wù)的的試點工工程，其其前身是是中國電電信南方方電子商商務(wù)中心心，創(chuàng)立立于1998年。2001年1月，廣東東