電子商務的安全性是通過使用加密手段來實現的。非對稱密鑰加密技術(公鑰加密技術)是電子商務系統中的主要加密技術,主要用於對稱加密密鑰(數字信封)的分發、數字簽名的實現(身份認證和信息完整性驗證)和防止交易拒絕。CA系統為用戶的公鑰頒發證書,實現公鑰的分發並證明其合法性。該證書證明用戶擁有證書中列出的公鑰。證書是由證書頒發機構數字簽名的文件,包含公鑰和公鑰的所有者信息。證書的格式遵循X.509標準。
CA作為權威、可靠、公正的第三方機構,負責發放和管理所有參與網上交易的實體所需的數字證書。作為權威組織,它有效地管理密鑰,頒發證書證明密鑰的有效性,並將公鑰與壹個實體(消費者、商家、銀行)相關聯。它負責在線信息交換各方所需數字證書的生成、分發和管理,因此是安全電子信息交換的核心。
為了確保客戶之間在互聯網上傳輸的信息的安全性、真實性、可靠性、完整性和不可否認性,不僅需要驗證客戶身份的真實性,還需要有壹個權威、公正和唯壹的機構負責向所有電子商務主體頒發和管理符合國內和國際安全電子交易協議標準的安全證書。
數字證書管理中心是保證電子商務安全的基礎設施。負責電子證書的申請、頒發、制作、撤銷、認證和管理,提供在線客戶身份認證、數字簽名、電子公證、安全電子郵件等服務。
隨著認證中心(或CA中心)的出現,開放式網絡的安全問題可以迎刃而解。利用數字證書、PKI、對稱加密算法、數字簽名、數字信封等加密技術,可以建立壹個高度安全的加解密和身份認證系統,保證電子交易有效、安全地進行,使信息不會被發送方和接收方以外的其他方知道(保密性);確保在傳輸過程中不被篡改(完整性和壹致性);發送者確信接收者不是偽造的(身份的真實性和不可偽造性);發送方不能否認自己的發送行為(不可否認)。
CA認證的主要工具是網上辦公CA中心頒發的數字證書。CA架構包括PKI結構、高強度抗攻擊的公開加解密算法、數字簽名技術、身份認證技術、運行安全管理技術、可靠的信任責任體系等。從業務流程中涉及的角色來看,包括認證機構、數字證書庫和黑名單庫、密鑰托管處理系統、證書目錄服務、證書審批和失效處理系統。從CA的層次結構來看,可以分為認證中心(根CA)、密鑰管理中心(KM)、認證下屬中心(子CA)、證書審批中心(RA中心)、證書審批受理點(RAT)等。CA中心壹般應發布認證體系聲明,向客戶鄭重聲明CA的政策、安全保障措施、服務範圍、服務質量、承擔的責任、操作流程等條款。
根據PKI的結構,被認證的實體需要有壹對密鑰,即私鑰和公鑰。私鑰是秘密的,公鑰是公開的。從公鑰推導出私鑰,原則上是不可能的,而且由於目前技術、運算工具和時間的限制,不可能用窮舉法找到私鑰。每個實體的密鑰總是成對出現,即壹個公鑰必須對應壹個私鑰。用公鑰加密的信息必須用相應的私鑰解密。同樣,私鑰生成的簽名只能由配對的公鑰解密。公鑰有時用於傳輸對稱密鑰,這就是數字信封技術。密鑰管理策略是將公鑰綁定到實體上,實體的信息和實體的公鑰由CA中心做成數字證書,證書的尾部必須有CA中心的數字簽名。因為CA中心的數字簽名是不可偽造的,所以實體的數字證書是不可偽造的。只有在實體的物理身份資格通過之後,CA中心才會向申請人頒發數字證書,從而將實體的身份與數字證書對應起來。因為所有實體都信任提供第三方服務的CA中心,所以它們可以信任具有CA中心頒發的數字證書的其他實體,並且放心地在線進行操作和交易。
CA中心的主要職責是頒發和管理數字證書。其中心任務是頒發數字證書,履行用戶身份認證的職責。CA中心在分散安全責任、運營安全管理、系統安全、物理安全、數據庫安全、人員安全、密鑰管理等方面需要非常嚴格的政策和流程,以及完善的安全機制。此外,還要有完善的安全審計、運行監控、容災備份、事故快速響應等實施措施,以及身份認證、訪問控制、防病毒、防攻擊等強有力的工具支持。CA中心證書審批業務部負責對證書申請人進行資格審查,決定是否向申請人頒發證書,並承擔因審核錯誤和向不合格證書申請人頒發證書所造成的壹切後果。所以應該是能承擔這些責任的機構;證書處理者(簡稱CP)負責為授權申請人制作、頒發和管理證書,並承擔因操作失誤造成的壹切後果,包括失密、向非授權人員頒發證書等。可以由審計業務部門自行承擔,也可以委托第三方承擔。
數字證書是標識網絡用戶身份信息的壹系列數據。在網絡交流中用來識別交流雙方的身份,也就是解決我在網上是誰的問題,就像現實中我們每個人都要有身份證或者駕照來證明自己的身份或者某種資格。
在網上電子交易中,商家需要確認持卡人是信用卡或借記卡的合法持有人,同時持卡人必須能夠識別商家是否是合法商家,是否被授權接受某壹品牌的信用卡或借記卡支付。為了處理這些關鍵問題,必須有壹個可信的機構來頒發數字安全證書。數字安全證書是參與網上交易活動的各方(如持卡人、商戶和支付網關)身份的代表。每次進行交易時,所有交易方的身份都必須通過數字安全證書進行驗證。數字安全證書由權威公正的第三方機構即CA中心頒發。認證中心批準證書申請後,將通過註冊服務機構向申請人發放證書。
數字安全證書是由證書頒發機構數字簽名的文件,包含公鑰所有者信息和公鑰。最簡單的證書包含壹個公鑰、壹個名稱和認證機構的數字簽名。壹般來說,證書還包括密鑰的有效時間、頒發機構(certificate authority)的名稱、證書的序列號等信息。證書的格式遵循ITUT X.509國際標準
標準的X.509數字安全證書包含以下內容:
證書的版本信息;
證書序列號,每個證書都有唯壹的序列號;
證書使用的簽名算法;
證書頒發者的名稱,命名規則壹般采用X.500格式;
證書有效期,現在通用證書壹般采用UTC時間格式;
證書所有者的名稱,命名規則壹般采用X.500格式;
證書所有者的公鑰;
證書頒發者的簽名。