DSS證書

1. 數字證書是怎麼回事啊

1.什麼是數字證書？

數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。

最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的
數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。

一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

2.為什麼要使用數字證書？

由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

3.數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。

在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。

如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。

另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。

[page]

4.數字證書是如何頒發的？

數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。

認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。

數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。

5.加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。

加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。

密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。

相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DNS，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

6.對稱加密技術
對稱加密採用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。這種方法在密碼學中叫做對稱加密演算法，對稱加密演算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數據加密標准（DNS），另一個對稱密鑰加密系統系統是國際數據加密演算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那麼高。IDEA加密標准由PGP（Pretty Good Privacy）系統使用。

對稱加密演算法在電子商務交易過程中存在幾個問題：

（1）要求提供一條安全的渠道使通訊雙方在首次通訊時協商一個共同的密鑰。直接的面對面協商可能是不現實而且難於實施的，所以雙方可能需要藉助於郵件和電話等其它相對不夠安全的手段來進行協商；
（2）密鑰的數目難於管理。因為對於每一個合作者都需要使用不同的密鑰，很難適應開放社會中大量的信息交流；
（3）對稱加密演算法一般不能提供信息完整性的鑒別。它無法驗證發送者和接受者的身份；
（4）對稱密鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。對稱加密是基於共同保守秘密來實現的，採用對稱加密技術的貿易雙方必須保證採用的是相同的密鑰，保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。
7.非對稱加密技術

1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是「公開密鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。

與對稱加密演算法不同，非對稱加密演算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種演算法叫作非對稱加密演算法。

貿易方利用該非對稱加密演算法實現機密信息交換的基本過程是：貿易方甲生成一對密鑰並將其中的一把作為公用密鑰向其他貿易方公開；得到該公用密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲；貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公用密鑰加密後的任何信息。

非對稱加密演算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對文件加密而只適用於對少量數據進行加密。

在微軟的Window NT的安全性體系結構中，公開密鑰系統主要用於對私有密鑰的加密過程。每個用戶如果想要對數據進行加密，都需要生成一對自己的密鑰對（keypair）。密鑰對中的公開密鑰和非對稱加密解密演算法是公開的，但私有密鑰則應該由密鑰的主人妥善保管。

使用公開密鑰對文件進行加密傳輸的實際過程包括四步：

（1）發送方生成一個自己的私有密鑰並用接收方的公開密鑰對自己的私有密鑰進行加密，然後通過網路傳輸到接收方；
（2）發送方對需要傳輸的文件用自己的私有密鑰進行加密，然後通過網路把加密後的文件傳輸到接收方；
（3）接收方用自己的公開密鑰進行解密後得到發送方的私有密鑰；
（4）接受方用發送方的私有密鑰對文件進行解密得到文件的明文形式。

因為只有接收方才擁有自己的公開密鑰，所以即使其他人得到了經過加密的發送方的私有密鑰，也因為無法進行解密而保證了私有密鑰的安全性，從而也保證了傳輸文件的安全性。實際上，上述在文件傳輸過程中實現了兩個加密解密過程：文件本身的加密和解密與私有密鑰的加密解密，這分別通過私有密鑰和公開密鑰來實現。
8.數字簽名技術
對文件進行加密只解決了傳送信息的保密問題，而防止他人對傳輸的文件進行破壞，以及如何確定發信人的身份還需要採取其它的手段，這一手段就是數字簽名。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數字簽名技術。在電子商務中，完善的數字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真偽的能力。

實現數字簽名有很多方法，目前數字簽名採用較多的是公鑰加密技術，如基於RSA Date Security公司的PKCS（Public Key Cryptography Standards）、Digital Signature Algorithm、x.509、PGP（Pretty Good Privacy）。1994年美國標准與技術協會公布了數字簽名標准而使公鑰加密技術廣泛應用。公鑰加密系統採用的是非對稱加密演算法。

目前的數字簽名是建立在公共密鑰體制基礎上，它是公用密鑰加密技術的另一類應用。它的主要方式是，報文的發送方從報文文本中生成一個128位的散列值（或報文摘要）。發送方用自己的私人密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發送方的公用密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同、那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別。

在書面文件上簽名是確認文件的一種手段，其作用有兩點：第一，因為自己的簽名難以否認，從而確認了文件已簽署這一事實；第二，因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：第一，信息是由簽名者發送的；第二，信息自簽發後到收到為止未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發送信息。或發出（收到）信件後又加以否認等情況發生。

應用廣泛的數字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。這三種演算法可單獨使用，也可綜合在一起使用。數字簽名是通過密碼演算法對數據進行加、解密變換實現的，用DES算去、RSA演算法都可實現數字簽名。但三種技術或多或少都有缺陷，或者沒有成熟的標准。

用RSA或其它公開密鑰密碼演算法的最大方便是沒有密鑰分配問題（網路越復雜、網路用戶越多，其優點越明顯）。因為公開密鑰加密使用兩個不同的密鑰，其中有一個是公開的，另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁（商業電話）上或公告牌里，網上的任何用戶都可獲得公開密鑰。而私有密鑰是用戶專用的，由用戶本身持有，它可以對由公開密鑰加密信息進行解密。

RSA演算法中數字簽名技術實際上是通過一個哈希函數來實現的。數字簽名的特點是它代表了文件的特徵，文件如果發生改變，數字簽名的值也將發生變化。不同的文件將得到不同的數字簽名。一個最簡單的哈希函數是把文件的二進制碼相累加，取最後的若干位。哈希函數對發送數據的雙方都是公開的。

DSS數字簽名是由美國國家標准化研究院和國家安全局共同開發的。由於它是由美國政府頒布實施的，主要用於與美國政府做生意的公司，其他公司則較少使用，它只是一個簽名系統，而且美國政府不提倡使用任何削弱政府竊聽能力的加密軟體，認為這才符合美國的國家利益。
[page]

Hash簽名是最主要的數字簽名方法，也稱之為數字摘要法（Digital Digest）或數字指紋法（Digital Finger Print）。它與RSA數字簽名是單獨的簽名不同，該數字簽名方法是將數字簽名與要發送的信息緊密聯系在一起，它更適合於電子商務活動。將一個商務合同的個體內容與簽名結合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數字摘要（Digital Digest）加密方法亦稱安全Hash編碼法（SHA：Secure Hash Algorithm）或MD5（MD Standard For Message Digest），由RonRivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋（Finger Print），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗證明文是否是「真身」的「指紋」了。

只有加入數字簽名及驗證才能真正實現在公開網路上的安全傳輸。加入數字簽名和驗證的文件傳輸過程如下：

（1）發送方首先用哈希函數從原文得到數字簽名，然後採用公開密鑰體系用發達方的私有密鑰對數字簽名進行加密，並把加密後的數字簽名附加在要發送的原文後面；
（2）發送一方選擇一個秘密密鑰對文件進行加密,並把加密後的文件通過網路傳輸到接收方；
（3）發送方用接收方的公開密鑰對密秘密鑰進行加密,並通過網路把加密後的秘密密鑰傳輸到接收方；
（4）接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文；
（5）接收方用秘密密鑰對文件進行解密，得到經過加密的數字簽名；
（6）接收方用發送方的公開密鑰對數字簽名進行解密，得到數字簽名的明文；
（7）接收方用得到的明文和哈希函數重新計算數字簽名，並與解密後的數字簽名進行對比。如果兩個數字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

如果第三方冒充發送方發出了一個文件，因為接收方在對數字簽名進行解密時使用的是發送方的公開密鑰，只要第三方不知道發送方的私有密鑰，解密出來的數字簽名和經過計算的數字簽名必然是不相同的。這就提供了一個安全的確認發送方身份的方法。

安全的數字簽名使接收方可以得到保證：文件確實來自聲稱的發送方。鑒於簽名私鑰只有發送方自己保存，他人無法做一樣的數字簽名，因此他不能否認他參與了交易。

數字簽名的加密解密過程和私有密鑰的加密解密過程雖然都使用公開密鑰體系，但實現的過程正好相反，使用的密鑰對也不同。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。這是一個一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性，而私有密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。這種方式提供了更高的安全性。

9.數字時間戳技術
在電子商務的發展過程中，數字簽名技術也有所發展。數字時間戳技術就是數字簽名技術一種變種的應用。

在電子商務交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。數字時間戳服務（DTS：digita1 time stamp service）是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護，由專門的機構提供。

如果在簽名時加上一個時間標記，即是有數字時間戳（digital time stamp）的數字簽名。

時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：

（1）需加時間戳的文件的摘要（digest）；
（2）DTS收到文件的日期和時間；
（3）DTS的數字簽名。

一般來說，時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。

書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。
10. SSL安全協議

SSL安全協議最初是由Netscape Communication公司設計開發的，又叫「安全套接層（Secure Sockets Layer）協議」，主要用於提高應用程序之間的數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議，它涉及所有TC/IP應用程序。

SSL安全協議主要提供三方面的服務：

用戶和伺服器的合法性認證
認證用戶和伺服器的合法性，使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。客戶機和伺服器都是有各自的識別號，這些識別號由公開密鑰進行編號，為了驗證用戶是否合法，安全套接層協議要求在握手交換數據進行數字認證，以此來確保用戶的合法性。

加密數據以隱藏被傳送的數據
安全套接層協議所採用的加密技術既有對稱密鑰技術，也有公開密鑰技術。在客戶機與伺服器進行數據交換之前，交換SSL初始握手信息，在SSL握手情息中採用了各種加密技術對其加密，以保證其機密性和數據的完整性，並且用數字證書進行鑒別。這樣就可以防止非法用戶進行破譯。

護數據的完整性
安全套接層協議採用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與伺服器之間的安全通道，使所有經過安全套接層協議處理的業務在傳輸過程中能全部完整准確無誤地到達目的地。

要說明的是，安全套接層協議是一個保證計算機通信安全的協議，對通信對話過程進行安全保護。例如，一台客戶機與一台主機連接上了，首先是要初始化握手協議，然後就建立了一個SSL。對話進段。直到對話結束，安全套接層協議都會對整個通信過程加密，並且檢查其完整性。這樣一個對話時段算一次握手。而HTTP協議中的每一次連接就是一次握手，因此，與HTTP相比。安全套接層協議的通信效率會高一些。

（1）接通階段：客戶通過網路向服務商打招呼，服務商回應；
（2）密碼交換階段：客戶與伺服器之間交換雙方認可的密碼，一般選用RSA密碼演算法，也有的選用Diffie-Hellmanf和Fortezza-KEA密碼演算法；
（3）會談密碼階段：客戶與服務商間產生彼此交談的會談密碼；
（4）檢驗階段：檢驗服務商取得的密碼；
（5）客戶認證階段：驗證客戶的可信度；
（6）結束階段，客戶與服務商之間相互交換結束的信息。

當上述動作完成之後，兩者間的資料傳送就會加密，另外一方收到資料後，再將編碼資料還原。即使盜竊者在網路上取得編碼後的資料，如果沒有原先編制的密碼演算法，也不能獲得可讀的有用資料。

發送時信息用對稱密鑰加密，對稱密鑰用非對稱演算法加密，再把兩個包綁在一起傳送過去。

接收的過程與發送正好相反，先打開有對稱密鑰的加密包，再用對稱密鑰解密。

在電子商務交易過程中，由於有銀行參與，按照SSL協議，客戶的購買信息首先發往商家，商家再將信息轉發銀行，銀行驗證客戶信息的合法性後，通知商家付款成功，商家再通知客戶購買成功，並將商品寄送客戶。

SSL安全協議是國際上最早應用於電子商務的一種網路安全協議，至今仍然有很多網上商店使用。在傳統的郵購活動中，客戶首先尋找商品信息，然後匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買後不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。

SSL協議運行的基點是商家對客戶信息保密的承諾。但在上述流程中我們也可以注意到，SSL協議有利於商家而不利於客戶。客戶的信息首先傳到商家，商家閱讀後再傳至（銀行，這樣，客戶資料的安全性便受到威脅。商家認證客戶是必要的，但整個過程中，缺少了客戶對商家的認證。在電子商務的開始階段，由於參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協議的缺點完全暴露出來。SSL協議將逐漸被新的電子商務協議（例如SET）所取代。
[page]
11. SET安全協議
在開放的網際網路上處理電子商務，保證買賣雙方傳輸數據的安全成為電子商務的重要的問題。為了克服SSL安全協議的缺點，滿足電子交易持續不斷地增加的安全要求，為了達到交易安全及合乎成本效益的市場要求，VISA國際組織及其它公司如Master Card、Micro Soft、IBM等共同制定了安全電子交易（SET：Secure Electronic Transactions）公告。這是一個為在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對於需要支付貨幣的交易來講是至關重要的。由於設計合理，SET協議得到了許多大公司和消費者的支持，己成為全球網路的工業標准，其交易形態將成為未來「電子商務」的規范。

安全電子交易規范，為在網際網路上進行安全的電子商務提供了一個開放的標准。SET主要使用電子認證技術，其認證過程使用RS

2. 數字證書和數字簽名的關系

這就要求參加電子商務的買方和賣方都必須擁有合法的身份，並且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在Internet上驗證您身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA證書授權(Certificate Authority)中心發行的，人們可以在互聯網交往中用它來識別對方的身份。當然在數字證書認證的過程中，證書認證中心（CA）作為權威的、公正的、可信賴的第三方，其作用是至關重要的。 數字證書也必須具有唯一性和可靠性。為了達到這一目的，需要採用很多技術來實現。通常，數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。 數字證書頒發過程一般為：用戶首先產生自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同，每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。 目前的數字證書類型主要包括：個人數字證書、單位數字證書、單位員工數字證書、伺服器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。 電子簽名和數字簽名的內涵並不一樣，數字簽名是電子簽名技術中的一種，不過兩者的關系也很密切，目前電子簽名法中提到的簽名，一般指的就是"數字簽名"。 電子簽名要理解什麼是電子簽名，需要從傳統手工簽名或蓋印章談起。在傳統商務活動中，為了保證交易的安全與真實，一份書面合同或公文要由當事人或其負責人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認可合同的內容，在法律上才能承認這份合同是有效的。而在電子商務的虛擬世界中，合同或文件是以電子文件的形式表現和傳遞的。在電子文件上，傳統的手寫簽名和蓋章是無法進行的，這就必須依*技術手段來替代。能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵懶性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術手段，稱之為電子簽名。 從法律上講，簽名有兩個功能：即標識簽名人和表示簽名人對文件內容的認可。聯合國貿發會的《電子簽名示範法》中對電子簽名作如下定義："指在數據電文中以電子形式所含、所附或在邏輯上與數據電文有聯系的數據它可用於鑒別與數據電文相關的簽名人和表明簽名人認可數據電文所含信息"；在歐盟的《電子簽名共同框架指令》中就規定?quot;以電子形式所附或在邏輯上與其他電子數據相關的數據，作為一種判別的方法"稱電子簽名。 實現電子簽名的技術手段有很多種，但目前比較成熟的，世界先進國家普遍使用的電子簽名技術還是"數字簽名"技術。由於保持技術中立性是制訂法律的一個基本原則，目前還沒有任何理由說明公鑰密碼理論是製作簽名的唯一技術，因此有必要規定一個更一般化的概念以適應今後技術的發展。但是，目前電子簽名法中提到的簽名，一般指的就是"數字簽名"。 數字簽名所謂"數字簽名"就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對於這種電子式的簽名還可進行技術驗證，其驗證的准確度是一般手工簽名和圖章的驗證而無法比擬的。"數字簽名"是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它採用了規范化的程序和科學化的方法，用於鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。 數字簽名在ISO7498-2標准中定義為："附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，並保護數據，防止被人（例如接收者）進行偽造"。美國電子簽名標准（DSS，FIPS186-2）對數字簽名作了如下解釋："利用一套規則和一個參數對數據計算所得的結果，用此結果能夠確認簽名者的身份和數據的完整性"。按上述定義PKI（Public Key Infrastructino 公鑰基礎設施）提供可以提供數據單元的密碼變換，並能使接收者判斷數據來源及對數據進行驗證。 PKI的核心執行機構是電子認證服務提供者，即通稱為認證機構CA（Certificate Authority），PKI簽名的核心元素是由CA簽發的數字證書。它所提供的PKI服務就是認證、數據完整性、數據保密性和不可否認性。它的作法就是利用證書公鑰和與之對應的私鑰進行加/解密，並產生對數字電文的簽名及驗證簽名。數字簽名是利用公鑰密碼技術和其他密碼演算法生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名和印章；這種電子式的簽名還可進行技術驗證，其驗證的准確度是在物理世界中對手工簽名和圖章的驗證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認證，或在多個可信的PKI域中進行交*認證，它特別適用於互聯網和廣域網上的安全認證和傳輸。 「數字簽名」與普通文本簽名的最大區別在於，它可以使用個性鮮明的圖形文件，你只要利用掃描儀或作圖工具將你的個性簽名、印章甚至相片等，製作成BMP文件，就可以當做「數字簽名」的素材。 目前可以提供「數字簽名」功能的軟體很多，用法和原理都大同小異，其中比較常用的有「 OnSign」。安裝「OnSign」後，在Word、Outlook等程序的工具欄上，就會出現，「OnSign」的快捷按鈕，每次使用時，需輸入自己的密碼，以確保他人無法盜用。 對於使用了「OnSign」寄出的文件，收件人也需要安裝「OnSign」或「OnSign Viewer」，這樣才具備了識別「數字簽名」的功能。根據「OnSign」的設計，任何文件內容的竄改與攔截，都會讓簽名失效。因此當對方識別出你的「數字簽名」，就能確定這份文件是由你本人所發出的，並且中途沒有被竄改或攔截過。當然如果收件人還不放心，也可以單擊「數字簽名」上的藍色問號，「OnSign」就會再次自動檢查，如果文件有問題，「數字簽名」上就會出現紅色的警告標志。

3. 什麼是PCI安全認證

PCI DSS：全稱Payment Card Instry (PCI) Data Security Standard,第三方支付行業(支付卡行業PCI DSS)數據安全標准，是由PCI安全標准委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，立在使國際上採用一致的數據安全措施，簡稱PCI DSS。

(3)DSS證書擴展閱讀：

PCI DSS對於所有涉及信用卡信息機構的安全方面作出標準的要求，其中包括安全管理、策略、過程、網路體系結構、軟體設計的要求的列表等，全面保障交易安全。PCI DSS適用於所有涉及支付卡處理的實體，包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS包括一組保護持卡人信息的基本要求，並可能增加額外的管控措施，以進一步降低風險。

4. ubuntu下dss需要什麼支持

本實驗是在Ubuntu 10.04版本上進行的。參考http://tech.ddvip.com/2007-11/119509250537452_4.html

1.下載Darwin Streaming Server 5.5.5版本
http://static.macosforge.org/dss/downloads/ 下載Linux 版本DarwinStreamingSrvr5.5.5-Linux.tar.gz
2.解壓，將DSS解壓到opt目錄下
tar xvfz DarwinStreamingSrvr5.5.5-Linux.tar.gz -C /opt
3.安裝./Install，如果不成功，則chmod -x Install，修改Install 許可權。
在安裝過程中，只需要根據提示，設置流媒體伺服器的用戶名和密碼。

安裝成功後，打開http://127.0.0.1:1220,進行DSS配置（基本上都是默認的，重要的就是Media Folder設置，默認值:/usr/local/movies/，這個文件夾是放點播視頻的。）

4.啟動
如果在安裝時不小心關閉了窗口，將沒有啟動伺服器。可以到安裝目錄下找「streamingadminserver.pl」文件，運行它，就啟動了Darwin Server。
自啟動的方法：
把應用程序（streamingadminserver.pl）添加到/etc/rc.d/rc/local腳本中即可。
5.查看流媒體伺服器的進程
ps aux | grep Darwin 命令查看流媒體伺服器的運行進程
6.查看流媒體伺服器的埠
通過命令：netstat -ntulp | grep Darwin
7.流媒體伺服器的Web管理
輸入http://127.0.0.1:1220，然後輸入安裝時設置的用戶名和密碼
Log In以後進入到Web管理頁面初始化設置：
1).MP3管理界面，輸入用戶名和密碼
2).設置SSL安全選項
為了保證數據傳輸的安全需要，可以選擇SSL，前提是有可用的SSL證書。也可以不選
3).設置媒體文件存放目錄，其默認目錄是/usr/local/movies/，要想修改可直接添加
4).設置流媒體伺服器監聽埠，此處是80埠，如果設置Apache等web伺服器的話，就不能再使用這個埠，沒有特殊要求的話，使用預設配置即可。至此，初始化設置完成。

5. SSL 證書的演算法有哪些

為了考慮瀏覽器兼容性，通常使用以下演算法：
加密演算法專：RSA
哈希簽名演算法：SHA256
加密位數：屬2048
最近ECC演算法也比較普遍，主要有優點讀取速度快了，但相反瀏覽器支持率降低了，首先IE7、IE6是肯定不支持的，甚至IE8也不支持。

6. PCI認證目前分幾類

PCI 認證全稱是 PCI DSS認證，即支付卡行業數據安全標准，是由PCI安全標准委員會的創始成員五個全球支付品牌共同制定，力在使國際上採用一致的數據安全標准。
PCI DSS對於所有涉及信用卡信息機構在持卡人數據的存儲、傳輸和處理方面作出標準的要求。其中包括對安全管理、流程策略、網路體系架構、軟體配置、數據加密等等方面的要求，全面保障交易安全。PCI DSS適用於所有涉及到支付卡存儲、傳輸和處理的實體，主要包括商戶、第三方支付機構、發卡機構和服務提供商等。PCI DSS包括一組保護持卡人信息的基本要求，並可能增加額外的管控措施，以進一步提高數據的安全性，降低數據泄露的風險。
作者：北京三思網安科技有限公司
來源：知乎

7. 什麼機構可以做pci 認證

PCI：PCI認證是目前全球最嚴格、級別最高的金融機構安全認證標准
一般情況下都應該由美國公司：比如美國的trustwave機構可以認證，或者由他們授權的公司才有資質認證PCI。

8. 辦公自動化證書和NIT證哪個好

感覺沒有實質性的差別，只要學好了這些基礎知道，至於考哪個證書，都一樣。 辦公自動化（OA，Office Automation），是70年代中期發達國家為解決辦公業務量急劇增加對企業生產率產生巨大影響問題的背景下，發展起來的一門綜合性技術。它的基本任務是利用先進的科學技術，使人們藉助各種設備解決對一部分辦公業務的處理，達到提高生產率、工作效率和質量，方便管理和決策的目的。OA的知識領域覆蓋了行為科學、管理科學、社會學、系統工程學等學科，並且OA體現了多學科的相互交叉、相互滲透性，所以OA的應用是企業管理現代化的標志之一。由於OA的出現，使得傳統的機關事務型辦公業務中的勞動力就業比率結構發生了變化，據美國勞動統計局1980年的統計數據，美國四大產業的勞動力比率約為：信息產業佔50%以上、服務業佔30%、工業佔13%、農業佔2%。因此OA的應用將會進一步得到發展。
OA的定義
所謂辦公自動化，是指通過先進技術的應用，將人們的部分辦公業務物化於人以外的各種設備，並由這些設備和辦公人員共同完成辦公業務的人機信息系統。
OA與MIS、DSS相比較，則較少地應用管理模型，而強調技術的應用和自動化的辦公設備的使用為主。 辦公自動化還可以形象地理解為，辦公人員運用現代科學技術，如通過區域網或遠程網路，採用各種媒體形式，管理和傳輸信息，改變傳統辦公的面貌，實現無紙辦公。
OA的特點
OA具有如下的特點：
1、面向非結構化的管理問題；
2、工作對象主要是事務處理類型的辦公業務；
3、強調即席的工作方式；
4、設備驅動。
OA的設計思想就是以自動化設備為主要處理手段，依靠先進技術的支持，為用戶創造一個良好的自動化的辦公環境，以提高工作人員的辦公效率和信息處理能力。
辦公業務的分類和典型形式 全國計算機應用技術證書考試，簡稱NIT(NIT考試是在我國畢業生就業制度和用人制度改革的不斷深入，高校畢業生就業逐步走向市場化，就業競爭日益激烈的背景下，全國高校學生信息咨詢與就業指導中心與考試中心為了適應社會發展的需要，增強畢業生擇業實力，而設立的計算機應用技能考試。其目的就是在短時間內提高計算機的獨立操作能力和獨立解決問題的能力而設立的。
全國計算機應用技術證書考試（National Applied Information Technology Certificate，簡稱 NIT）是教育部全國高校學生信息咨詢與就業指導中心和考試中心聯合舉辦的計算機應用技能培訓考試。 NIT 借鑒了英國劍橋大學考試委員會舉辦的劍橋信息技術（ Cambridge Information eclmology,簡稱 CIT）的成功經驗並與之接軌。NIT 採用了系統的設計，模塊化的結構，個性化的教學，規范化的考試和國際化的標准，是一種以應用技術為主的計算機培訓和技能證書考試。
根據計算機技術發展的特點和學習者在日常應用領域中的實際需要，NIT 採用模塊化結構，包括計算機基礎、電子表格、資料庫、程序設計等十一個模塊，旨在培養和測試考生在計算機應用領域的獨立操作技能。培訓內容設置緊跟計算機技術的發展，教學過程中充分發展和體現考生的個性，考核採用指導評估的方式進行，側重於應用技能的培養和考察。
NIT 考試分為過程式考核、作業設計和上機考試三個階段。培訓由教育部指導中心和考試中心頒證的教師執教；使用教育部考試中心統一編寫教材。考生在培訓過程中根據教育部 NIT 培訓考試大綱的要求完成過程式考核及作業設計，上機考試由教育部考試中心統一命題，對考生的獨立操作能力和獨立解決問題的能力進行綜合測試。
NIT 考試合格，頒發由教育部全國高校學生信息咨詢與就業指導中心和考試中心印製的合格證書。NIT 證書是持有者計算機應用技能的證明，全國通用。其獲得者可根據有關規定免試向英國劍橋大學考試委員會申請相應的CIT（劍橋信息技術）證書。CIT 證書在英國、法國等四十二個國家通用，具有國際公認的權威性。
通過 NIT 培訓，將賦予個人素質以全新內涵，極大增強就業競爭能力。同時，NIT 培訓可以為用人單位提供一個客觀、統一、規范的標准，適用於各行業人員崗位培訓的需要，可供用人單位錄用、考核工作人員參考。
全國計算機應用技術證書考試的性質

全國計算機應用技術證書考試(NIT)是中華人民共和國教育部考試中心主辦的計算機應用技能培訓考試系統。它借鑒了英國劍橋大學考試委員會舉辦的「劍橋信息技術（CIT）」的成功經驗並與之接軌，根據計算機應用技能培訓考試的特點，針對用人單位錄用幹部、評定職稱、晉升職務和上崗培訓的需求，採用了系統化的設計，模塊化的結構，個性化的教學，過程化的考試和國際化的標准，給用人單位提供了一個客觀、統一、公正的標准，適合各種行業人員崗位培訓的需要，可供用人單位錄用、考核工作人員參考。

考試的形式和考試的時間

全國計算機應用技術證書考試分為過程式考核、作業設計及上機考試三個階段。過程式考核由培訓教師(經教育部考核並獲取教師資格證的教師)在培訓過程中完成。在培訓過程中，每個模塊都分解為若干目標，包括對該模塊基本術語概念的了解、有關軟體的安裝和使用命令、數據安全教育等。每個目標又進一步分解為相當於知識點或技能要點的幾個具體的子目標。教師根據各個目標來教授學員的獨立操作技能，並根據各個目標來考核學員操作的熟練和靈活程度，這種過程式的考核貫穿於培訓的始終，只記成功，不記失敗。學員在獨立通過該模塊所要求的各項技能的考核後，根據該模塊作業設計部分的要求和自己的興趣，在培訓教師的指導下完成一篇具有實際意義的作業設計，使學員在獨立解決一個完整問題的過程中，綜合運用和發揮所學的技能。並針對該模塊目標的各項要求，在指定的培訓或考試中心參加上機考試，時間根據各模塊的不同特點，為90—150分鍾之間。考試全國統一命題，內容在各模塊的培訓考試大綱中有明確的規定。上機考試成績實行百分制記分，評卷結束後合格分數線由教育部考試中心統一劃定。三項考試均通過者為合格，學員即有資格獲得全國計算機應用技術考試證書。

報 考 對 象

報考學員不受國籍、年齡、職業、學歷及戶口所在地等限制，學員只須持身份證、護照、軍人證等有效證件（未成年人可持護口本）報名參加某一模塊的培訓或考試，由NIT培訓機構接受報名。

合 格 證 書

全國計算機應用技術考試與全國計算機等級考試一樣均由國家教育部考試中心主辦，並負責組織與實施，該證書按國際通行證書式樣設計，採用了防偽措施，由國家教育部考試中心統一印刷、頒發，使用中、英文兩種文字書寫，證書編號全國統一，證書上印有持有人身份證號碼，每個模塊證書的背面均附有證書持有者所具備能力的摘要。該證書全國通用，是持有人計算機應用能力的證明，也可供用人部門錄用和考核工作人員時參考，同樣也將對您自已的業務水平與技術實力是一種最具權威性的證明，它可為您提供強有力的擇業市場競爭優勢。獲全國計算機應用技術考試證書的學員可根據有關規定向英國劍橋大學考試委員會申請相應的劍橋信息技術證書（CIT）。劍橋信息技術證書通行於包括英國、法國、荷蘭、瑞士及所有英聯邦國家在內的四十多個國家和地區，具有國際認可的權威性。（註：凡取得五項模塊者可向教育部考試中心申請全國計算機應用技術證書考試全能證書，該證書具有更強的權威性）