谈电子商务系统中的CA认证

谈电子商务系统中的ＣＡ认证摘要]CA(CertificateAuthority)认证是CA作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。CA通过对密钥进行有效的管理，并颁发认证证书证明密钥的有效性，然后将公开密钥同某一个实体（消费者、商家、银行等）联系在一起，从而确保电子交易有效、安全的进行，并使网上交易信息除发送方和接收方外，不被其他方知悉；保证信息在传输过程中不被篡改；使发送方确信接收方不是假冒的；同时也使发送方不能否认自己的发送行为。CA认证是企业电子商务平台的真正核心。

企业信息化是现化企业发展的必然趋势，在企业信息化过程中，通过大量采用信息化技术改进和强化了企业物资流、资金流等信息的管理，对企业固有的经营思想和管理模式产生了强烈的冲击，带来了根本性的变革。信息技术与企业管理技术的发展与融合，使企业竞争战略不断创新，企业竞争力不断提高。电子商务是在企业信息化大潮下采用数字化方式，利用计算机网络进行商务数据交换，全面实现在线交易电子化的过程，是企业开展商业活动的新形式。企业电子商务平台不仅是相关企业宣传产品、销售产品、进行售后服务的窗口，也是树立企业形象的前沿。

通常企业电子商务系统会涉及到参与商务活动的各方（买家、服务商、供货商、银行和认证中心（CA）），一个完善的电子商务系统应当包括那些部分，目前还没有权威的论述。从企业电子商务实践来看，企业电子商务系统的系统架构是三层结构的：最底层是计算机网络平台，这一层是电子商务过程中的信息传送的载体和用户接入企业电子商务平台的途径；中间是电子商务基础平台，包括CA认证，支付网关和会员服务中心等内容，这一层主要用于保障网络交易的有效性和安全性；第三层是以电子商务平台为基础的各种各样的电子商务应用系统。

由于电子商务系统基于开放式的Internet平台，而Internet用户数量巨大，各种各样的人都有，这使得网上交易面临着种种危险，因此，电子商务发展的核心和关键问题是交易的安全性问题。电子商务的安全问题，总的来说分为二部分：一是网络安全，二是商务安全。

计算机网络安全主要包括：计算机网络设备安全、计算机网络系统安全、数据库安全等方面，其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标，目前针对计算机网络安全的防护技术主要有数据加密技术、身份识别和验证技术、防火墙技术、虚拟专用网络技术、网络安全扫描技术和网络攻击检测技术等技术。由于对计算机网络安全的研究已经比较深入了，其安全保障技术也比较成熟，这里就不多加讨论了。

商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行，即实现电子商务的保密性（在电子商务系统交易过程中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机）、完整性和一致性（电子交易的过程是一个完整的过程，期间产生的信息是不能被修改的必需保证其一致性）、身份的真实性和不可伪装性（网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。）及不可抵赖性（由于商情的千变万化，用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

1.保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；

2.保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

数字安全证书的格式一般采用X.509国际标准。它包含了以下几点：数字安全证书拥有者的名称、数字安全证书拥有者的公共密钥、公共密钥的有效期、颁发数字安全证书的单位、数字安全证书的序列号，颁发数字安全证书单位的数字签名等内容。数字安全证书根据应用领域的不同一般有：个人数字安全证书、机构数字安全证书、个人签名安全证书、机构签名安全证书、设备安全数字证书等几种类型。

个人数字安全证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于ikey或IC卡中，用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。

机构数字安全证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于Keynet卡中，可以用于企业在电子商务方面的对外活动，如合同签定、网上证券交易、交易致富信息等方面。

个人签名证书中包含个人身份信息和个人的签名私钥，用于标识证书持有人的个人身份。签名私钥存储于Keynet卡中，用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。

机构签名证书中包含企业信息和企业的签名私钥，用于标识证书持有企业的身份。签名私钥存储于Keynet卡中，可以用于企业在电子商务方面的对外活动，如合同签定、网上证券交易、交易致富信息等方面。

设备数字安全证书中包含服务器信息和服务器的公钥，用于标识证书持有服务器的身份。数字安全证书和对应的私钥存储于Keynet卡中，用于表征该服务器的身份。主要用于网站交易服务器，目的是保证客户和服务。

数字安全证书由用户向相关的CA机构提供相应资料（不同类型的证书所需提交的资料是不一样的）进行申请并交纳一定费用，然后CA对用户提供资料进行审核，审核通过后由CA向用户颁发数字安全证书，并对数字安全证书进行管理。

数字安全证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

四、小结

由于利用Internet作为商务平台的电子商务系统可以提供网上电子交易，使得客户能够极其方便的获得企业和其产品的信息，并进行网上交易，降低了交易成本、提高了交易效率，但同时也增加了对某些敏感或有价值的数据被滥用的风险。电子商务系统必须保障在Internet上进行的一切金融交易运作都是安全可靠的，只有这样才能够使顾客、商家和企业等交易各方对电子商务系统具有绝对的信心，也只有这样电子商务系统才能进一步发展。因此，安全性在整个电子商务系统占据十分重要的地位。

目前，电子商务系统的安全体系结构是主要是通过构建认证中心（CA）证书的信任过程来实现的。

在电子商务应用中主要有以下五个交易参与方：买家、服务商、供货商、银行和认证中心（CA）。电子商务的交易流程主要有以下三个阶段：

第一阶段：认证中心（CA）证书的注册申请。交易各方通过认证中心（CA）获取各自的数字安全证书。

第二阶段：银行的支付中心对买家的数字安全证书进行验证，通过验证后，将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证，通过验证后，可以履行交易内容进行发货。

第三阶段：银行验证服务商和供货商的数字安全证书后，将买家冻结在银行中的货款转到服务商和供货商的户头上，完成了此项电子交易。

由于参与交易的各方都持有认证中心（CA）所颁发的数字安全证书，所以，能够保证在交易的过程中参与各方的真实身份、防止他人假冒；也能够保证交易信息的保密性、不可否认性和不可修改性。

参考文献：

[1]石志国等编:计算机网络安全.清华大学出版社出版,20