（一）客户认证技术

1.身份认证

身份认证就是在交易过程中判明和确认贸易双方的真实身份，这是目前网上交易过程中最薄弱的环节。某些非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网上交易系统进行攻击，阻止系统资源的合法管理和使用。

用户身份认证可通过三种基本方式或其组合方式来实现：

（1）用户所知道的某个秘密信息，例如用户知道自己的口令。

（2）用户所持有的某个秘密信息，即用户必须持有合法的随身携带的物理介质，例如智能卡等。

（3）用户所具有的某些生物学特征，如指纹、声音、DNA图案等，这种认证方案一般造价较高，适用于保密性高的场合。

2.信息认证

通常采用私钥加密体制、公钥加密体制或者两者相结合的方式，以保证信息的安全认证。为保证信息来源的确定性，可以采用加密的数字签名方式来实现，因为数字签名是唯一的而且是安全的。

认证机构或信息服务商提供三方面的认证功能：

（1）对敏感的文件进行加密，这样即使别人截获文件也无法得到其内容。

（2）保证数据的完整性，防止截获人在文件中加入其他信息。

（3）对数据和信息的来源进行验证，以确保发信人的身份。

3.认证机构认证（CA）

买卖双方在网上交易时，必须鉴别对方是否是可信的，因此必须设立有专门机构从事认证服务。在交易支付过程中，参与各方必须利用CA（Certificate Authority）认证机构签发的数字证书（Digital Certificate）来证明各自的身份，既可以保证网上交易的安全性，又可以保证高效性和专业性。

（二）数字证书

1.数字证书的概念和组成

数字证书是通过第三方权威认证有效地进行网上身份认证，帮助各个实体识别对方身份和表明自身的身份，具有真实性和防抵赖功能。数字证书作为网上交易双方真实身份证明的依据，实际上是一个经认证机构数字签字的、包含证书申请者个人信息及其公开密钥的文件。与物理身份证不同的是，数字证书还具有安全、保密、防篡改的特性，可对企业网上传输的信息进行有效保护和安全的传递。

数字证书由两部分组成：申请证书主体的信息和发行证书的CA签字。其中，证书数据包含版本信息、证书序列号、CA所使用的签字算法、发行证书CA的名称、证书的有效期限、证书主体名称、被证明的公钥信息；发行证书的CA签字包括CA签字和用来生成数字签字的签字算法。

2.数字证书的类型

（1）个人身份证书。符合X.509标准的数字安全证书，证书中包含个人身份信息和个人的公钥。它用于标识证书持有人的个人身份。主要用于个人在网上的对外活动，如个人安全电子邮件、合同签订、订单、录入审核、操作权限和支付信息等。

（2）企业身份证书。符合X.509标准的数字安全证书，证书中包含企业信息和企业的公钥。它用于标识证书持有企业的身份。主要用于企业在电子商务方面的对外活动，如企业安全电子邮件、合同签订和网上证券交易等。

（3）服务器身份证书。符合X.509标准的数字安全证书，证书中包含服务器信息和服务器的公钥，用于标识证书持有服务器的身份。主要用于网站交易服务器，目的是保证客户和服务器产生与交易支付等信息相关时，确保双方身份的真实性、安全性、可信任度等。

（4）企业代码签名证书。代码签名证书是CA中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及CWCA的签名。软件提供商使用代码签名证书对软件进行签名后放到Internet上，当用户在Internet上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。

（5）个人代码签名证书。个人代码签名证书是CA中心签发给软件提供人的数字证书，包含软件提供个人的身份信息、公钥及CWCA的签名。软件提供人使用代码签名证书对软件进行签名后放到Internet 上，当用户在Internet上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。(www.daowen.com)

（三）安全认证机构

1.认证中心

在电子交易中数字证书的发放，不是靠交易双方自己能完成的，而需要有一个具有权威性和公正性的第三方来完成。认证机构，也称为认证中心，是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。

CA 认证中心是提供身份验证的第三方机构，由一个或多个用户信任的组织实体构成。例如，客户要与商家通信，客户从公开媒体上获得了商家的公开密钥，但客户无法确定商家不是冒充的，于是客户请求CA对商家认证，CA对商家进行调查、验证和鉴别后，将包含商家公钥的证书传给客户。同样商家也可对客户进行验证。

2.认证中心的层次结构

认证中心的层次结构由根CA（Root CA）、品牌CA（Brand CA）、区域性CA（Get-Political CA）以及持卡人CA（Cardholder CA）、商家CA（Merchant CA）、支付网关CA（Payment Gateway CA）四个层次构成。在CA的层次结构中，根CA下面可以有多个被它授权的品牌CA，每个品牌CA下面可以有多个被该品牌CA授权的地方CA，每个地方CA下面可以有多个被该地方CA授权的持卡人CA、商家CA、支付网关CA。上一级CA负责下一级CA数字证书的申请、签发及管理工作。持卡人CA、商家CA和支付网关CA是面向最终用户发放证书的CA认证机构。CA体系的层次结构如图5-6所示。

图5-6　CA体系的层次结构

通过一个完整的CA认证体系，可以有效地实现对数字证书的验证。每一份数字证书都与上一级的签名证书相关联，最终通过安全认证链追溯到一个已知的可信赖的机构，由此便可以对各级数字证书的有效性进行验证。同时，这样的一种层次结构也形成了一个信任链，它保证了信任的可传递性，使得由不同的终极CA认证机构所颁发的证书能够被信任该CA层次结构中任一CA认证中心的使用者所信任。这是因为他们信任同一个根CA。根CA的密钥由一个自签证书分配，认证书的公开密钥对所有各方公开，它是CA体系中的最高层。

3.认证中心的功能

（1）颁发数字证书。认证中心接收、验证用户的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器供用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。

（2）更新数字证书。用户证书过期后，可以申请更新。更新方式有两种：一种是通过执行人工密钥更新来更新证书；另一种是通过实现自动密钥更新来更新证书。签名密钥也会与证书一起更新。当系统核查证书是否过期时，对接近过期的证书，将创建新的签名密钥对。利用现行证书建立与认证中心之间的连接，认证中心将创建新的证书，并进行归档。

（3）查询数字证书。证书的查询可以分为两类：其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。

（4）废除数字证书。在证书的有效期内，由于私钥丢失泄密等原因，必须废除证书，此时证书持有者要提出证书废除申请。注册管理中心收到证书作废请求，就可以立即执行证书撤消，并同时通知用户。另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。

（5）归档数字证书。CA发证书要进行归档处理，以备查询；认证中心对作废证书和作废私钥也要进行管理，因为我们可能需要验证以前的某个交易过程中产生的数字签名，这时就需要查询作废的证书。CA使用目录服务器系统存储证书和证书的撤消列表，目录和数据库备份可以根据组织机构的安全策略执行归档；数据库还保存审计和安全记录；CA是通过专用程序自动存储和管理密钥历史及密钥备份。

4.国内外主要认证机构

（1）Verisign（http：//www.digitalid.verisign.com）。美国的Verisign公司是软件行业第一家具有商业性质的证书授权机构，是著名的数字产品和服务的提供商。接受该公司提供的服务器数字证书的Web站点服务器已超过45 000个，而使用该公司个人数字证书的用户已超过200万名。

（2）中国金融认证中心（http：//www.cfca.com.cn）。中国金融认证中心CFCA（China Financial Certificate Authority）是由中国人民银行牵头，联合国内12家主要的商业银行建立的为全国的用户提供证书服务。CFCA作为一个权威的、可信赖的、公正的第三方信任机构，为参与电子商务各方的各种认证需求提供证书服务，建立彼此的信任机制，为电子商务及网上银行等网上支付业务提供多种模式的认证服务，如图5-7所示。

图5-7　中国金融认证中心

（3）上海市数字证书认证中心（http：//www.sheca.com/default.aspx）。上海市数字证书认证中心（SHECA）成立于1998年，是中国一家专业的第三方网络安全和信任服务提供商，专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合，为客户提供信息安全整体解决方案与第三方服务，如图5-8所示。

图5-8　上海市数字证书认证中心

SHECA负责数字证书的申请、签发、制作、认证和管理，提供数字证书、数字签名、证书目录查询、电子公证、安全电子邮件等服务，承接电子商务系统集成，网络安全系统设计、开发集成、运行维护、安全网站设计和维护、安全产品代理，以及安全电子商务的全套解决方案。目前，SHECA证书已经在网上购物、网上订票、网上证券交易、网上缴费、安全电子邮件、社会保障和政府采购等项目中应用。