信息技术的飞速发展，使传统的商务模式正经受着巨大的变革考验。企业信息资源的网络化以及电子商务各类应用的集成与整合，都充分显示了未来的商务模式将向着低成本、全球化、供应链重组等方向发展。据联合国秘书处的数据，2004年全球电子商务交易额剧增到7万亿美元，有人预计，到2006年，全球电子商务交易额将占到全球贸易总额的18%左右。

如此规模的发展速度，除基于传统业务开发的各类电子商务平台的应用以外，还归功于网络技术应用与发展的安全保障。在全球电子商务的安全认证体系和安全保障体系方面，目前许多国家都在为建立一套完整的安全保障制度而努力。国际上基于公开密钥体制（PKI）的CA安全认证保障体系，已被普遍认可，多数国家都在建立自己的CA安全认证保障体系，我国目前电子商务的发展也采用了PKI此种技术。

让发送者和接收者拥有

同一把钥匙

PKI（Public Key Infrastructure），即公钥基础结构，利用公钥加密技术为网上电子商务的开展提供了一套安全基础平台，用户利用PKI平台提供的安全服务进行安全通信。简单地说，PKI的功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），实现通信中各实体的身份认证、完整性、不可否认性和保密性。

基于对称密钥加密、公开密钥加密以及安全的散列函数等基本安全技术和算法，电子商务采用以下几种安全技术来解决电子商务应用中遇到的各种问题：采用数字信封技术保证数据的传输安全；采用数字签名和双重数字签名技术进行身份认证并同时保证数据的完整性、完成交易防抵赖；采用口令字技术或公开密钥技术进行身份认证。

结合数字信封和数字签名就可以满足电子商务安全中对数据的安全性、数据的完整性和交易的不可抵赖性的要求，同时可以使用数字证书来进行交易双方身份的认证。

PKI系统的建立应该着眼于用户使用证书及相关服务的便利性，以及用户身份的可靠认证。一个典型的PKI体系结构如图所示。

PKI操作有十二种主要行为，包括：产生，证明和分发密钥；签名和验证；证书的获取；验证证书；保存证书；本地保存的证书的获取；密钥泄漏或证书中证明的某种关系中止的报告；密钥泄漏的恢复；CRL的获取；密钥更新；审计；存储等，这些行为分别和PKI中下列成员相关：PKI认证机构（P），数据发布的目录（D）和用户（U）。

其中有几个重要的功能实体CRL，OCSP，LDAP等。CRL（Certificate Revoke List）证书撤销列表和OCSP（Online Certificate Status Protocol）在线证书状态查询都是为了保证用户证书的有效性。当验证用户证书的有效性时，需要查询CRL或者OCSP来保证用户的证书是有效的。如果用户因为某种原因，或者想更换新的证书，或者怀疑其私人密钥泄漏了，那么用户就可以报告CA要求撤销自己的证书，这时CRL或者OCSP中就会出现这个用户的证书信息，说明这个用户的证书已经失效，其它的用户不要再信任这个证书了。CRL和OCSP的区别在于，CRL是离线方式的，OCSP是在线方式的，是实时的。这种区别也造成CRL列表占用的空间会比OCSP大。

LDAP目录服务器是用来存放用户证书的，它对外提供了下载证书的接口。用户可以通过LDAP的接口来获取任何用户的证书。

电子商务的“交规”

PKI体系结构为电子商务建立了一个基础，电子商务活动的开展还需要有相应的安全协议。拿公路交通来做比较，PKI体系结构就好像是公路，安全协议就是交通规则，为了交通的顺畅和安全，不仅需要建设好的公路，而且需要建立好的交通规则。安全协议规定了双方通信的方式，从而保证通信数据的安全性和完整性、双方身份的认证以及交易的不可抵赖性。

目前国际上流行的电子商务所采用的协议主要包括：基于信用卡交易的安全电子交易协议（Secure Electronic Transaction，即SET协议）、用于接入控制的SSL协议(Secure Socket Layer安全套接层)、安全HTTP（S-HTTP）协议、安全电子邮件协议（如PEM、S/MIME等）、用于公对公交易的Internet EDI等。此外，也可以在Internet网上建设虚拟专网VPN，利用VPN为企业、政府提供一些基本的安全服务，如企业、政府间的公文、报表传送、电子报税业务等。这些协议都建立在公钥加密技术的基础上，它们分别工作在不同的层次上，实现了不同的PKI系统，在Internet网上提供安全的电子商务服务。

SET(Secure Electronic Transaction)安全电子交易协议是由美国Visa和Master Card两大信用卡组织提出的应用于 Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X.509数字证书标准， 主要应用于B to C模式中保障支付信息的安全性。SET支付系统主要由持卡人（CardHolder）、商家（Merchant）、发卡行（Issuing Bank）、收单行（Acquiring Bank）、支付网关（Payment Gateway）、认证中心（Certificate Authority）等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

由于SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性， 特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。

PKI实施面临的问题

完善实施PKI仍面临着严峻的挑战，主要有以下几个方面的原因。首先，PKI的概念和模型仍比较复杂。对管理员、雇员以及其它客户的培训是贯穿整个PKI应用过程中的艰巨工作。其次，互操作问题是PKI发展中的严重问题。美国审计总署认为，缺乏互操作性是美国联邦PKI技术发展的重要障碍。再次，开发和维护PKI仍旧很昂贵。最后，策略制定很困难。实施PKI不仅仅是安装和配置系统的技术部件，而且也需要建立由PKI保障的目标，制定支持这些目标的策略和操作过程。

在缺乏互操作性的产品中选择一种产品本身就是一种冒险。尽管已经有标准化组织对于PKI的互操作性定义了许多的规范，但是这些规范仍旧不能保证互操作性。一方面由于PKI系统的复杂，规范不可能对所有的地方都进行定义，而且即使定义了也可能不够清楚明确。另外，厂家在实施PKI的具体过程中，对规范的理解有所偏差。这些原因都影响了PKI产品的互操作化。比如，X.509中证书的扩展方式的应用就是一个例子。X.509定义了一些标准的字段，但是同时也定义了一些扩展字段以满足多方面的应用。许多的扩展字段是多选的，只有当所有的扩展字段的用法都完全一致时，互操作性才有保证。然而，很难保证每个厂家使用的可选字段是一致的，包括它们的意义和用法也必须是一致的。

缺乏广泛接受的PKI应用程序编程标准使得许多应用的开发者不得不使用厂家独有的API。这也是互操作性问题的一个关键。然而，现在还没有出现一种大家都认可的应用程序编程接口供大家使用，每个厂家都使用自己的API。显然，这种情况很不利于PKI的推广和使用。

对我国来说，一方面是技术的限制，更多的是相关法律和政策的不健全，严重影响了电子商务应用的开展。从技术上，美国政府限制用于加密的产品，除非它们的密钥长度严格限制，否则禁止它们的出口。比如，SSL协议中用来加密的RSA密钥长度最大只能是512bit，这远远满足不了安全性的需求。而很多内嵌的服务器和浏览器都是国外开发的，我们如果使用这些现成的软件就会受到安全性的限制，因此需要开发自己的软件产品。另外，相关法律和政策的不健全严重地影响着我国电子商务应用的开展。在当前的环境下，很多现实世界中的商务活动产生的纠纷都不能很好地解决，更不用说电子商务中产生的纠纷了。

公钥基础设施是一个广阔的研究领域，并有着非常现实的应用前景。如今Internet上不断出台的PKI相关的新协议和新产品都说明，PKI理论的研究正加速成长并将走向成熟期，而电子商务等PKI的应用也正随之加速发展。构建PKI是一个复杂而庞大的工程，但是PKI诱人的应用前景，又使越来越多的人投入到相关的研究开发中。