3、PKI体系结构

提起电子商务的安全性，我们就不得不提到PKI（Public KeyInfrastructure），即公钥基础结构。PKI利用公钥加密技术为网上电子商务的开展提供了一套安全基础平台，用户利用PKI平台提供的安全服务进行安全通信。

PKI（公开密钥体系）一词被解释成为是一种框架体系，通过它，在不安全的信道上的通信的用户可实现信息数据的安全交换，满足商务对保密性，完整性，身份认证及不可否认性的安全需求，其构成主要包括硬件、软件。由于金融机构的特殊身份常使其充当第三方认证机构的角色，因此可将交易双方的风险降至最低；其次，PKI的应用发展已从区域型逐步发展到全球性，如著名的Identrust组织建立了一套支持全球数字证书发放的体系，包括不同证书机构之间合作的程序以及对争议、索赔等问题的处理等，使具有法律约束力的电子商务得以在全球范围内展开。

一个典型的PKI体系结构：

PAA：政策批准机构，创建整个PKI系统的方针，批准本PAA下属PCA的政策，为下属PCA签发公钥证书，建立整个PKI体系的安全政策，并具有监测各PCA行为的责任。

PCA：政策CA，制定本PCA下的具体政策，可以是PAA政策的扩充或细化，但不能与之相背离。这些政策可能包括本PCA范围内密钥的产生，长度，证书的有效期规定，CRL的处理等。并为下属CA签发公钥证书。

CA：不具备或具备有限的政策制定功能，按照上级PCA制定的政策，担任具体的用户公钥证书的生成和发布，或CRL生成发布职能。

RA：进行证书申请者的身份认证，向CA提交证书申请请求，验证接收到的CA签发的证书，并将之发放给证书申请者。必要时，还协助证书作废过程。

在一个电子商务系统中，所有参与活动的实体都必须用数字证书（简称证书）来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份（每份证书都是经“相对权威的机构”签名的），另一方面由于每份证书都携带着证书持有者的公钥（签名证书携带的是签名公钥，密钥加密证书携带的是密钥加密公钥），所以，证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着公钥分发的作用。

PKI操作有12种主要行为，包括：产生、证明和分发密钥；签名和验证；证书的获取；验证证书；保存证书；本地保存的证书的获取；密钥泄漏或证书中证明的某种关系中止的报告；密钥泄漏的恢复；CRL的获取；密钥更新；审计；存储等，这些行为分别和PKI中下列成员相关：PKI认证机构（P），数据发布的目录（D）和用户（U）。

其中有几个重要的功能实体CRL、OCSP、LDAP等。CRL（Certificate Revoke List）证书撤销列表和OCSP（Online Certificate Status Protocol）在线证书状态查询都是为了保证用户证书的有效性。当验证用户证书的有效性时，需要查询CRL或者OCSP来保证用户的证书是有效的。如果用户因为某种原因，或者想更换新的证书，或者怀疑其私人密钥泄漏了，那么用户就可以报告CA要求撤销自己的证书，这时CRL或者OCSP中就会出现这个用户的证书信息，说明这个用户的证书已经失效，其它的用户不要再信任这个证书了。CRL和OCSP的区别在于，CRL是离线方式的，OCSP是在线方式的，是实时的。这种区别也造成CRL列表占用的空间会比OCSP大。

LDAP目录服务器是用来存放用户证书的，它对外提供了下载证书的接口。用户可以通过LDAP的接口来获取任何用户的证书。

互联网