电子商务环境下第三方数字证书认证机构运营策略研究-宋光伟.pdf

《电子商务环境下第三方数字证书认证机构运营策略研究-宋光伟.pdf》由会员分享，可在线阅读，更多相关《电子商务环境下第三方数字证书认证机构运营策略研究-宋光伟.pdf（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、重庆大学 硕士学位论文 电子商务环境下第三方数字证书认证机构运营策略研究 姓名：宋光伟 申请学位级别：硕士 专业：工商管理 指导教师：但斌 20051001重庆大 学硕 士学 位论 文 中文摘要 I 摘 要 随着 Internet 的迅猛发 展， 电子商务也日益繁荣起来， 包括 B2B 、B2C 等模式 的 电 子 商 务 正 在 市 场 上 发 挥 越 来 越 重 要 的 作 用 。 但 是 电 子 商 务 面 临 的 安 全 问 题 也 越 来 越 突 出 ， 能 够 有 效 解 决 电 子 商 务 实 现 过 程 中 的 保 密 性 、 完 整 性 、 身 份 的 不 可 伪 造 性 和

2、 不 可 抵 赖 性 等 特 性 的 技 术 和 管 理 解 决 方 案 应 运 而 生 。 各 种 模 式 的 ， 以 保 障电子商务甚至电子政务信息安全的国内外数字证书认证机构也不断诞生。 数 字 证 书 就 是 标 志 网 络 用 户 身 份 信 息 的 一 系 列 数 据 ， 用 来 在 网 络 通 讯 中 识 别 通讯各方的身份，可信 的数字证书应当是由权 威公正的第三方机构 即 CA 中心签 发 。 作 为 公 司 化 运 作 的 第 三 方 数 字 证 书 认 证 机 构 既 有 较 大 的 优 势 ， 但 也 存 在 着 相 当的劣势；既存在着很大的发展机会，但也面临着一定的威

3、胁。通过 SWOT 分析 （Strengths, Weakness, Opportunities, and Threats ，即: 优势、弱点、机会与威胁）, 可 以 明 确 企 业 的 各 种 业 务 战 略 ， 如 领 先 战 略 、 差 异 化 战 略 、 合 作 战 略 以 及 相 关 多 元化战略等。 从数字证书认证机构的组织策略上、 产品策略、 市场策略、 价格策略 等四个方 面 进 行 了 深 入 的 剖 析 ， 全 面 阐 述 了 第 三 方 数 字 证 书 认 证 机 构 的 各 种 运 营 措 施 ， 提 出了实用的系统的运 作管理模式。 对 照 电 子 商 务 和 数 字

4、 证 书 认 证 机 构 的 理 论 分 析 ， 以 重 庆 市 数 字 证 书 认 证 中 心 有限公司为案例进行了全面细致的分析和研究。 本 文 通 过 系 统 全 面 的 思 考 和 分 析 研 究 ， 明 晰 了 作 为 主 要 为 电 子 商 务 提 供 安 全 服 务 的 第 三 方 数 字 证 书 认 证 机 构 的 发 展 方 向 和 运 营 策 略 ， 为 电 子 商 务 乃 至 其 它 信 息安全保障机构的建设提供了有益的参考。 关键词： 数字证书，运营管理，信息安全，公钥体系重庆大 学硕 士学 位论 文 英文摘要 II ABSTRACT The Electronic Co

5、mmerce (EC) becomes hot more and more by the developing of Internet. The EC models such as B2B 有些公司如 VeriSign 已经开始提供 数字证书服务； 由美国 National Security Agency (NSA) 推动的 DOD PKI 研究也正 积极地进行着； 加拿大政府公开密钥基础设施 GOCPKI (Government Of Canada Public-Key Infrastructure) 是世界上最早 的大规 模政府 PKI 计划， 已在 各行各业取得 了成效。 美军已将国防信

6、息系统网的 16 个大型信息处理中心(IPC) 合 并成 5 个。 该 中心兼有公钥基础设施的功能， 并与证书发放管理中心 CA 相结合， 故又称百万级 中心(Megacenter) ，即可以为上百万个用户提供数字证书认证服务。 3 但总的来说， 在国外 PKI/CA 系统仅仅还处于 示范工程阶段， 新技术不断出现， PKI 的结构、对称及非 对称密钥算法、密钥生命周期管理的方案等还在不断变化。 我国的 PKI/CA 也 正在建设中， 基本上处于和国外同步发展的水平上， 特别是 随 着 我 国 互 联 网 基 础 设 施 的 飞 速 发 展 和 电 子 商 务 、 电 子 政 务 的 日 益

7、推 广 ， 网 络 信 息 安 全 与 应 用 的 矛 盾 也 日 益 突 出 ， 建 立 地 区 性 或 行 业 性 甚 至 全 国 统 一 的 证 书 注 册 和 授 权 认 证 中 心 成 为 许 多 投 资 者 看 好 的 方 向 ， 也 作 为 地 方 信 息 化 建 设 基 础 平 台 之 一受到各级政府主管部门的高度重视。 在 PKI 技术的研究方 面我国起步于六十年代末，主要是在军队的情报研究机 构。PKI/CA 方面的研 究起始于九十年代，主要在理论研究阶段，基于 PKI/CA 技 术的数字证书理论研究很少，在九十年代末借鉴国外经验才开始应用研究。重庆大 学硕 士学 位论 文

8、 1 绪 论 3 然而， 关于 PKI/CA 体系下的数字证书认证机构的建立， 特别是如何运营管理 方面的研究几乎是一片空白。 1.3 本文的主要研究内容及框架结构 1.3.1 本文的主要研究内容 本论文由以下几部分组成： 第 一 部 份 ， 绪 论 。 主 要介 绍 电 子 商 务 面 临 的 安全 威 胁 以 及 数 字 证 书 认证 产 生 的 背 景 ， 介 绍了 国 内 外数 字 证 书 认 证技 术 和 机构 的 发 展 和 研究 情 况 ，提 出 了 第三 方数字证书认证机构的研究方法。 第 二 部 份 ， 电 子 商 务 与 数 字 证 书 认 证 概 述 。 主 要 介 绍

9、电 子 商 务 理 论 及 其 主 要 模 式 ， 电 子 商 务 面 临 的 安 全 问 题 ， 电 子 商 务 安 全 问 题 的 技 术 和 管 理 解 决 方 案 以 及 国内外数字证书认证机构的基本情况。 第 三 部 份 ， 数 字 证 书 认 证 机 构 的 战 略 分 析 。 主 要 由 数 字 证 书 认 证 机 构 概 述 ， 数 字 证 书 认 证 机 构 的 外 部 环 境 与 内 部 条 件 的 分 析 以 及 数 字 证 书 认 证 机 构 的 战 略 分 析与选择等内容构成。 第四部分， 数字证书认证机构的运营策略。 包括数字证书认证机构的组织策略， 数 字 证 书

10、 认 证 机 构 的 产 品 策 略 ， 数 字 证 书 认 证 机 构 的 市 场 策 略 ， 数 字 证 书 认 证 机 构的价格策略等四部分内容。 第 五 部 分 ， 以 重 庆 市 数 字 证 书 认 证 中 心 有 限 公 司 为 案 例 ， 结 合 本 文 的 理 论 和 观点进行全面的分析研究。 第 六 部 分 ， 结 论 。 关 于 电 子 商 务 环 境 下 第 三 方 数 字 证 书 认 证 机 构 运 营 策 略 研 究的结论。 1.3.2 本文的框架结构 本文的主要研究内容有包 括六个方面，框架结构如下：重庆大 学硕 士学 位论 文 1 绪 论 4 绪论 电子商务与数字

11、证 书认证概述 数字证书认证机构 的战略分析 数字证书认证机构 的运营策略 案例分析 结论 图 1.1 本论文框图结构 Fig. 1.1 structure of the paper重庆大 学硕 士学 位论 文 2 电子商务与数字证 书认证概述 5 2 电子商务与数字证书认证概述 2.1 电子商务及其主要模式 电 子 商 务 ， 是 指 贸 易 活 动 建 立 在 以 电 子 化 、 网 络 化 为 主 要 手 段 的 新 的 商 务 处 理模式 23 。 企业或个人利用互联网络处理日常的业务、 交易， 即与供 应商、 顾客、 银 行 、 分 销 商 和 其 他 贸 易 伙 伴 的 日 常 联

12、 系 。 从 通 讯 的 角 度 来 看 ， 电 子 商 务 是 利 用 电 话 、 计 算 机 网 络 来 传 输 信 息 、 产 品 和 服 务 ； 从 企 业 流 程 的 角 度 来 看 ， 电 子 商 务 是 商 业 交 易 及 工 作 流 程 自 动 化 的 技 术 应 用 ； 从 服 务 的 角 度 来 看 ， 电 子 商 务 是 企 业 管理阶层想要降低成本， 同时又要提高产品品质及加速服务传递速度的一种工具； 从网络的角度来看， 电子商务提供了网络上的采购与销售产品和提供服务的能力； 从 交 易 形 式 看 ， 交 易 各 方 以 电 子 交 易 方 式 而 不 是 通 过 当

13、 面 交 换 或 直 接 面 谈 方 式 进 行 的 任 何 形 式 的 商 业 交 易 ； 从 技 术 层 面 看 ， 电 子 商 务 是 一 种 多 技 术 的 集 合 体 ， 包 括交换数据 （如电子数据交换、 电子邮件） 、 获得数据 （共享数据库、 电子公告牌） 以及自动获取数据（条码）等。 电 子 商 务 改 变 了 传 统 的 买 卖 双 方 面 对 面 的 交 流 方 式 ， 也 打 破 了 旧 有 的 工 作 经 营 模 式 ， 它 通 过 网 络 使 企 业 面 对 整 个 世 界 ， 为 用 户 提 供 全 天 候 的 服 务 。 电 子 商 务 涵 盖 的 业 务 包

14、括 ： 商 务 信 息 交 换 、 售 前 售 后 服 务 （ 提 供 产 品 和 服 务 的 细 节 、 产 品 使用技术指南、 回答顾 客意见） 、 广告、 销售 、 电子支付 （电子资金转 账、 信用卡 、 电子支票、 电子现金） 、 运输 （包括有形商品 的发送管理和运输跟踪， 以及可以电 子化传送的产品的实际发送） 、组建虚拟企业等。 目前电子商务主要分为两种， 一种是企业对企业的电子商务， 称为 B2B 电子 商务，另一种是企业对个人的电子商务， 称为 B2C 电子商务 23 。 B2B 是企业供应链的 延伸， 企业与企业之间通过互联网进行产品、 服务及信 息 的 交 换 。 企

15、业 不 仅 要 同 长 期 签 约 客 户 打 交 道 ， 还 应 该 同 全 球 各 地 的 非 签 约 客 户 打 交 道 ， 客 户 、 合 作 伙 伴 都 能 即 时 知 道 你 的 产 品 信 息 。 可 是 当 他 们 开 始 购 买 你 的 产 品 时 ，还 是需 要 给你打 电 话 、发 传 真 或 E-mail 告 诉你 要 买什 么。 传 统的 企 业 间 的 交 易 往 往 要 耗 费 企 业 的 大 量 资 源 和 时 间 ， 无 论 是 销 售 和 分 销 还 是 采 购 都 要 占 用产品成本。 通过 B2B 的交易方式买卖双方能够在网上完成整个业务流程， B2B

16、使企业之间的交易减少许多事务性的工作流程和管理费用， 降低了企业经营成本。 网络的便利 及延伸 性使 企业扩大了 活动范 围， 通过 B2B 系统 ，潜 在客户、合作 伙伴可以在全球任何一个角落一天 24 小时一周 7 天随时在网站上订购产品。 他 们 将 得 到 最 新 的 产 品 信 息 、 相 应 的 优 惠 、 快 速 生 成 订 单 、 随 时 查 询 订 单 处 理 情 况 和发货情况的服务 。重庆大 学硕 士学 位论 文 2 电子商务与数字证 书认证概述 6 目前企业采用的 B2B 模式一般有 2 种： 1) 面 向 制 造 业 或 商 业 的 垂 直 B2B 。 垂 直 B2B

17、 可 以 分 为 两 个 方 向 ， 即 上 游 和下游。 生产商或商业零售商可以与上游的供应商之间的形成供货关系， 比如 Dell 电 脑 公 司 与 上 游 的 芯 片 和 主 板 制 造 商 就 是 通 过 这 种 方 式 进 行 合 作 。 生 产 商 与 下 游 的经销商可以形成销货关系，比如 Cisco 与其分销商之间进行的交易。 2) 面向中间交易市场的 B2B 。这种交易模 式是水平 B2B ，它是 将各个行业 中 相 近 的 交 易 过 程 集 中 到 一 个 场 所 ， 为 企 业 的 采 购 方 和 供 应 方 提 供 了 一 个 交 易 的 机会，像阿里巴巴（Aliba

18、ba ）、环球资源网等。 B2C 的服 务对象 是满 足那些希 望通过 网络购 买商品的 最终消 费者。 一般的消 费者使 用浏 览器 通过网 络查询 / 订 购该 公司 的商品 或取 得服 务，最 后再通 过安全 交 易 及 支 付 机 制 付 款 便 完 成 交 易 。 所 购 买 的 物 品 可 直 接 下 载 （ 例 如 ： 音 乐 、 程 序 或病毒码等）或经由实体物流通路取得商品。 由 于 这 种 模 式拓 宽 了 客户 和 企 业 双 方交 易 的 时间 和 空 间 ， 大大 提 高 了交 易效 率 ， 节 省 了 不 必 要 的 开 支 。 因 而 网 上 购 物 也 正 为

19、更 多 的 商 业 企 业 所 重 视 ， 成 为 缩 短厂商同客户距离的最重要途径之一。 当 然 ， 随 着 网络 经 济 的发 展 ， 电 子 商务 近 年 来又 出 现 了 一 种以 搭 建 纯交 易平 台为盈利模式的所谓 C2C 交易，如国内知名 的“ eBay 易趣” 和“ 一拍” 网站。他们为 不 分 类 别 的 企 业 或 者 个 体 构 建 方 便 、 快 捷 、 安 全 、 知 名 的 交 易 平 台 ， 制 定 交 易 规 则 ， 自 己 并 不 参 与 交 易 ， 只 收 取 交 易 服 务 费 。 从 交 易 性 质 看 ， 尽 管 是 独 立 于 平 台 的个体间在进

20、行交易，但是买方可以归结为 C 而卖方可以归结为 B ，只是他们的 身份并不长期确定，因此仍然可以把这种电子商务模式归结为 B2C 。 2.2 电子商务面临的安全问题 建立在 Internet 的电子 商务系统使 得在网上交易的各方可以快速方便地获得商 家 、 企 业 和 个 人 的 相 关 信 息 ， 但 在 交 易 各 方 对 对 方 没 有 绝 对 的 信 心 ， 对 电 子 化 的 网 络 传 输 缺 乏 必 要 的 安 全 感 时 是 难 以 大 胆 使 用 这 种 交 易 模 式 的 。 电 子 商 务 系 统 必 须 保 证 具 有 十 分 可 靠 的 安 全 保 密 技 术 ，

21、 必 须 依 靠 某 种 手 段 来 保 证 信 息 传 输 的 保 密 性、数据交换的完整性、发送信息的不可否认性以及交易者身份的确定性 5 。 信 息 保 密 性 ： 交 易 中 的 商 务 信 息 均 有 保 密 的 要 求 。 如 信 用 卡 的 账 号 和 用 户 名 被人知悉， 就可能被盗用， 订货和付款的信息被竞争对手获悉， 就可能丧失商机。 因此在电子商务的信息传播中一般均有加密的要求。 26 交 易 者 身 份 的 确 定 性 ： 网 上 交 易 的 双 方 很 可 能 素 昧 平 生 ， 相 隔 千 里 。 要 使 交 易 成 功 ， 首 先 要 能 确 认 对 方 的 身

22、 份 ， 对 商 家 要 考 虑 客 户 端 不 能 是 骗 子 ， 会 不 会 在 发 出 货 物 后 不 能 收 到 货 款 ， 会 不 会 把 货 物 发 送 到 一 个 并 不 存 在 的 地 方 而 浪 费 物 流重庆大 学硕 士学 位论 文 2 电子商务与数字证 书认证概述 7 费 用 ； 而 客 户 也 会 担 心 网 上 的 商 店 不 是 一 个 玩 弄 欺 诈 的 黑 店 ， 会 不 会 在 收 到 货 款 后消失。因此能方便而可靠地确认对方身份是交易的前提。 不 可 否 认 性 ： 由 于 商 情 的 千 变 万 化 ， 交 易 一 旦 达 成 是 不 能 被 否 认 的

23、 。 否 则 必 然 会 损 害 一 方 的 利 益 。 例 如 订 购 黄 金 ， 订 货 时 金 价 较 低 ， 但 收 到 订 单 后 ， 金 价 上 涨 了 ， 如 收 单 方 能 否 认 收 到 订 单 的 实 际 时 间 ， 甚 至 否 认 收 到 订 单 的 事 实 ， 则 订 货 方 就 会 蒙 受 损 失 。 另 外 网 络 上 展 示 的 物 品 和 交 易 后 获 得 的 物 品 会 不 会 有 很 大 的 差 别 也 是 众 多 购 买 者 面 临 的 问 题 。 因 此 电 子 交 易 通 信 过 程 达 成 的 交 易 条 款 等 各 个 环 节都必须是不可否认的。

24、 信 息 完 整 性 ： 交 易 的 文 件 是 不 可 被 修 改 的 ， 如 上 例 所 举 的 订 购 黄 金 。 供 货 单 位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数 1 千千 克改为 1 千克，则可 大幅受益，那么订货单位可能就会因此而蒙受损失。因此电 子交易文件也要能做到不可修改，以保障交易的严肃和公正。 2.3 电子商务安全问题的技术和管理解决方案简介 2.3.1 早期电子交易中的安全措施 在早期的电子交易中，曾采用过一些简易的安全措施，包括： （1） 部分告知（Partial Order ） ：即在网上交易中将最关键的数据如信用卡号 码及成交数额等略去，

25、然后再用电话告之，以防泄密。 （2） 另 行 确 认 （Order Confirmation ） ： 即 当 在 网 上传 输 交 易 信 息 后 ， 再 用电 子邮件对交易做确认，才认为有效。 2.3.2 电子交易的安全协议标准 6 针对电子交易安全的要求，IT 业界与金融行 业一起，推出不少有效的安全交 易标准和技术。主要的协议标准有： （1） 安全超文本传输协议（S HTTP ） ：依靠密钥对的加密，保障 Web 站点 间的交易信息传输的安全性。 （2） 安全套接层协议 （SSL ） ： 由 Netscape 公司提出 的安全交易协议， 提供加 密、 认证服务和报文的完整性。 SSL 被

26、用于 Netscape Communicator 和 Microsoft IE 浏览器，以完成需要的安全交易操作。 （3） 安全交易技术协议 （STT ，Secure Transaction Technology ） ： 由 Microsoft 公司提出， STT 将认证和解密在浏览器中分离开， 用以提高安全控制能力。 Microsoft 在 Internet Explorer 中采用这一技术。 （4） 安全电子交易协议（SET ，Secure Electronic Transaction ） ：加以说明 2.3.3 电子交易的安全技术 7 主要的安全技术有：重庆大 学硕 士学 位论 文 2

27、电子商务与数字证 书认证概述 8 （1） 虚拟专用网（VPN ） 这是用于 Internet 交易 的一种专用网络， 它可以在两个系统之间建立安全的信 道 （或隧道） ， 用于电子数据交换 （EDI ） 。 它与信用卡交易和客户发送订单交易 不同， 因为在 VPN 中， 双方的数据通信量要大得多， 而且通信的双方彼此都很熟 悉 。 这 意 味 着 可 以 使 用 复 杂 的 专 用 加 密 和 认 证 技 术 ， 只 要 通 信 的 双 方 默 认 即 可 ， 没有必要为所有的 VPN 进行统一的加密和认证。 现有的或正在开发的数据隧道系 统可以 进一步增加 VPN 的安全性，因而能够保证数据

28、的保密性和可用性。 （2） 加密技术 保 证 电 子 商 务 安 全 的 最 重 要 的 一 点 就 是 使 用 加 密 技 术 对 敏 感 的 信 息 进 行 加 密。现在，一些专用密钥加密（如 3DES 、IDEA 、RC4 和 RC5 ）和 公钥加密（如 RSA 、SEEK 、PGP 和 EU ）可用来保证电子商务的保密性、完整性、真实性和非 否认服务。然而，这些技术的广泛使用却不是一件容易的事情。 加 密 技 术 本 身 都 很 优 秀 ， 但 是 它 们 实 现 起 来 却 往 往 很 不 理 想 。 现 在 虽 然 有 多 种 加 密 标 准 ， 但 人 们 真 正 需 要 的 是

29、 针 对 企 业 环 境 开 发 的 标 准 加 密 系 统 。 加 密 技 术 的 多 样 化 为 人 们 提 供 了 更 多 的 选 择 余 地 ， 但 也 同 时 带 来 了 一 个 兼 容 性 问 题 ， 不 同 的 商 家 可能 会采 用 不同的 标 准 。另 外， 加 密技术 向 来 是由 国家 控 制的， 例 如 SSL 的 出 口 受 到 美 国 国 家 安 全 局 （NSA ） 的 限 制 。 目 前 ， 美 国 的 商 家 一 般 都 可 以 使 用 128 位的 SSL ， 但美国 只允许加密密钥为 40 位以下的算法出口。 虽然 40 位的 SSL 也具有一定的加密强度

30、， 但它的安全系数显然比 128 位的 SSL 要低得 多。 据报载， 最近美国加州已经有人成功地破译了 40 位的 SSL ，这已引起了人们 的广泛关注。 美 国 以 外的 国家 很 难真正 在 电 子商 务中 充 分利用 SSL ， 这 不 能 不说是 一 种 遗憾 。 国内电子商务安 全证书管理中心目前普遍采用强度非常高的 128 位 SSL 的算法， 并采用数字签名等技术确保电子商务的安全。 （3） 电子商务认证中心（CA ，Certificate Authority ） 目 前 的 数 字 认 证 技 术 可 以 实 现 用 电 子 方 式 证 明 信 息 发 送 者 和 接 收 者

31、 的 身 份 、 文 件 的 完 整 性 （ 如 一 个 发 票 未 被 修 改 过 ） ， 甚 至 数 据 媒 体 的 有 效 性 （ 如 录 音 、 照 片 等 ） 。 随 着 商 家 在 电 子 商 务 中 越 来 越 多 地 使 用 加 密 技 术 ， 人 们 都 希 望 有 一 个 可 信的第三方，以便对有关数据进行数字认证。 实行网上安全支付是顺 利开展电子商务的前提 ，建立安全的认证中心 （CA ） 则是电子商务的 中心环节。 建立 CA 的目的是加强数字证书和密钥的管理工作， 增 强网上交易各方的相互信任， 提高网上购物和 网上交易的安全， 控制 交易的风险， 从而推动电子商务

32、的发展。 为 了 推 动 电 子 商 务 的 发 展 ， 首 先 是 要 确 定 网 上 参 与 交 易 的 各 方 （ 例 如 持 卡 消 费 户 、 商 户 、 收 单 银 行 的 支 付 网 关 等 ） 的 身 份 ， 相 应 的 数 字 证 书 （DC ：Digital重庆大 学硕 士学 位论 文 2 电子商务与数字证 书认证概述 9 Certificate ） 就 是 代 表他 们 身 份的 ， 数字 证 书应 当 是 由权 威 的、 公 正的 认 证 机构 管 理的。 8 各级认证机构 按照根认证中心（Root CA ）、品牌认证中心（Brand CA ） 以及持卡人、 商户或收单

33、银行 （Acquirer ） 的 支付网关认证中心 （Holder Card CA ， Merchant CA 或 Payment Gateway CA ）由上而下按层次结构建立的。 9 电子商务安全认证中心(CA) 的基本功能是： （1） 生成和保管符合安全认证协议要求的公共和私有密钥、 数字证书及其数 字签名。 10 （2） 对数字证书和数字签名进行验证。 （3） 对数字证书进行管理， 重点是证书的撤消管理， 同时追求实施自动管理 （非手工管理） 。 （4） 建立应用接口，特别是支付接口。CA 是否具有支付接口是能否支持电 子商务的关键。 第一代 CA 是由 SETCO 公司 （由 Vis

34、a MasterCard 组建） 建立的 ， 以 SET 协议为基础，服务于 B2C 电子商务模式的层次性结构。 11 由于 B2B 电子商务模 式的发展，要求 CA 的 支付接口能够兼容支持 B2B 与 B2C 的模 式，即同 时 支持网上购 物、网 上银 行、网上交 易与供 应链 管理等职能， 要 求 安 全 认 证 协 议 透 明 、 简 单 、 成 熟 （ 即 标 准 化 ） ， 这 样 就 产 生 了 以 公 钥 基 础 设 施（PKI ）为技术基础的平面与层次结构混合型的第二代 CA 体系。 12 近年来， PKI 技术无论 在理论上还是应用上以及开发各种配套产品上， 都已经 走向

35、成熟， 以 PKI 技术 为基础的一 系列相应的安全标准已经由 Internet 特别工作组 （IETF ）、国际标准化 组织（ISO ）和国际电 信联盟（ITU ） 等国际 权威机构批准 颁发实施。 13 在 计 算 机 互 联 网 络 上 实 现 的 电 子 商 务 交 易 必 须 具 有 保 密 性 、 完 整 性 、 可 鉴 别 性 、 不 可 伪 造 性 和 不 可 抵 赖 性 等 特 性 。 一 个 完 善 的 电 子 商 务 系 统 在 保 证 其 计 算 机 网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点： （1） 强大的加密保证； （2） 使用者和数据的识别和鉴别

36、； （3） 存储和加密数据的保密； （4） 联网交易和支付的可靠； （5） 方便的密钥管理； （6） 数据的完整、防止抵赖。 由 此 可 以 看 出 ， 目 前 在 电 子 商 务 领 域 ， 能 够 有 效 解 决 保 密 性 、 完 整 性 、 可 鉴 别 性 、 不 可 伪 造 性 和 不 可 抵 赖 性 等 特 性 的 方 案 就 是 采 用 电 子 商 务 认 证 中 心 这 种 管 理 加 技 术 的 模 式 。 以 下 就 可 以 实 现 电 子 商 务 甚 至 延 伸 至 电 子 政 务 等 诸 多 领 域 的 数重庆大 学硕 士学 位论 文 2 电子商务与数字证 书认证概述

37、10 字证书认证相关内容加以进一步阐述。 2.4 国内外数字证书认证机构简介 2.4.1 国外数字证书认证机构简介 美国联邦 PKI 筹委会成 立于 1996 年， 它由政府信息技术服务部、 国家航空航 天总署、 国家标准技术研究所、 国家安全部、 国防部、 交通部、 财政部、 农业部、 劳动统计局和联邦网络委员会等 20 个部、 署 共同组建而成。 它与联 邦首席信息官 委员会共同致力于 FPKI 体系结构的研究。联 邦 PKI 支持在开放的网 络如 Internet 上 安 全 交 易 ， 用 于 保 障 电 子 政 务 、 电 子 采 购 的 信 息 安 全 和 实 现 对 关 键 网

38、络 设 备 的 保护。特别是美国联邦 PKI 能帮助美国联 邦机构与其他联邦机构，各级政府，贸 易伙伴（私有性质的） ，公众机构之间进行电子交易。 该体系结构主要由联邦的桥认证机构 （FBCA-Federal Bridge CA ） ， 首级认证 机构（PCA-Principal CA ），次级认证机构（SCA-Subordinate CA ）等组成。其 体系结构如图 2.1 所示 7 。 图 2.1 美国联邦 PKI 的体系结构 Fig. 2.1 PKI system structure of the U.S.A 从图 2.1 中可以看到联邦 PKI 的体系结构中没 有用根 CA 的概念， 取而代之的 是首级 CA ， 这是因为在美国， 信任域的结构是多种多样的， 联邦 PKI 体系结构可 以支持分级 （树状） 结构、 网状结 构和信任列表等， 而只有树状结构中的首级 CA 才称作根 CA 。因此它允许加入联邦 PKI 体 系中的机构可以使用任何结构的 PKI 信任域。联邦的桥 CA 是联邦 PKI 体系中的 核心组织，是不同信任域之间的桥梁 CA ，主要负责为不同信任域的首级 CA 颁发 交叉认证的证书，建立各个信任域的