為什么要用數(shù)字證書 

基于Internet網(wǎng)的電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲 得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。

買方和賣方都必須對(duì)于在因特網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使 顧客、商家和企業(yè)等交易各方都具有絕對(duì)的信心，因而因特網(wǎng)（Internet）電子商務(wù) 系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說，必須保證網(wǎng)絡(luò)安全的四大要 素，即信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份 的確定性。 

1、信息的保密性 

交易中的商務(wù)信息均有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉，就可能 被盜用，訂貨和付款的信息被競爭對(duì)手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信 息傳播中一般均有加密的要求。 

2、交易者身份的確定性

網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對(duì)方的 身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺 詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。對(duì)于為顧客或用戶開展 服務(wù)的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務(wù)活動(dòng)， 都要進(jìn)行身份認(rèn)證的工作。

對(duì)有關(guān)的銷售商店來說，他們對(duì)顧客所用的信用卡的號(hào)碼 是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來完成。銀行和信用卡公司 可以采用各種保密與識(shí)別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款 問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。 

3、不可否認(rèn)性 
    由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利 益。例如訂購黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn) 受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。因此電子 交易通信過程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。 
4、不可修改性 
    交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后， 發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動(dòng)文件內(nèi)容，將訂購數(shù)1噸改為1克，則可大幅受益， 那么訂貨單位可能就會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改，以 保障交易的嚴(yán)肅和公正。 

人們?cè)诟袊@電子商務(wù)的巨大潛力的同時(shí)，不得不冷靜地思考，在人與人互不見面 的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí)，怎么才能保證交易的公正性和安全性，保證交 易雙方身份的真實(shí)性。國際上已經(jīng)有比較成熟的安全解決方案， 那就是建立安全證書體系結(jié)構(gòu)。數(shù)字安全證書提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證書體制主要采 用了公開密鑰體制，其它還包括對(duì)稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。 

我們可以使用數(shù)字證書，通過運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊??；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴。

數(shù)字證書原理介紹 

數(shù)字證書采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用 自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。

通過數(shù)字的手段保證加 密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。

按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰 進(jìn)行解密。 

用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)： 

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)； 
（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實(shí)文件。 

數(shù)字簽名具體做法是: 

（1）將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證:只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符。這樣就保證了報(bào)文的不可更改性。 
（2）將該報(bào)文摘要值用發(fā)送者的私人密鑰加密，然后連同原報(bào)文一起發(fā)送給接收者，而產(chǎn)生的報(bào)文即稱數(shù)字簽名。 
（3）接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開密鑰進(jìn)行解密解開的報(bào)文摘要值相比較。如相等則說明報(bào)文確實(shí)來自所稱的發(fā)送者。

證書與證書授權(quán)中心 

CA機(jī)構(gòu)，又稱為證書授證(Certificate Authority)中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。 

由此可見，建設(shè)證書授權(quán)（CA）中心，是山西省開拓和規(guī)范電子商務(wù)市場(chǎng)必不可少的一步。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對(duì)用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國內(nèi)、國際安全電子 交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書。 

數(shù)字證書的應(yīng)用 

數(shù)字證書可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動(dòng)和電子政務(wù)活動(dòng)，其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)、海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。

多易