数字证书的基本概念

3.2.1　数字证书的基本概念

数字证书或公钥证书是被称作证书机构的人或实体签署的。其中含有掌握相应密钥的持证者的确切身份或其他属性。

1.证书

在做交易时，应向对方提交一个由CA（Certification Authority）签发的包含个人身份的证书，以使对方相信自己的身份。顾客向CA申请证书时，可提交自己的执照、身份证或护照，经验证后，颁发证书，证书包含了顾客的名字和他的公钥，以此作为网上证明自己身份的依据。在SET中，最主要的证书是持卡人证书和商家证书，证书结构如图3-8所示。

图3-8　公钥证书结构

（1）持卡人证书。它实际上是支付卡的一种电子化的表示。由于它是由金融机构以数字化形式签发的，因此不能随意改变。持卡人证书并不包括账号和终止日期信息，取而代之的是用单向哈希算法根据账号和截止日期生成的一个码。如果知道账号、截止日期、密码值，即可导出这个码值，反之则不行。

（2）商家证书。作一个形象的比喻，商家证书就像是贴在商家收款台小窗上的付款卡贴面，以表示它可以用什么卡来结算。它是由金融机构签发的，不能被第二方改变。在SET环境中，一个商家至少应有一个证书。与银行打交道时，一个商家也可以有多个证书，表示它与多个银行有合作关系，可以接受多种付款方法。

2.认证机构

CA是提供身份验证的第三方机构，由一个或多个用户信任的组织实体组成。例如，持卡人要与商家通信，持卡人从公共媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的（有信誉），于是持卡人请求CA对商家认证。CA对两家进行调查、验证和鉴别后，将包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。这个过程如图3-9所示。证书一般包含拥有者的标识名称和公钥，并且由CA进行过数字签名。

图3-9　CA认证

CA的功能主要有：接收注册请求，处理、批准/拒绝请求，颁发证书。

在实际运作中，CA也可由大家都信任的一方担当。例如，在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色。又例如，对商家自己发行的购物卡，则可由商家自己担当CA角色。

3.证书的树形验证结构

在双方通信时，通过出示由某个CA签发的证书来证明自己的身份。如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签名证书关联。沿着信任树一直到一个公认的信任组织，就可确认有效。

例如，C的证书是由名称为B的CA签发的，而B的证书又是由名称为A的CA签发的，A的权威的机构，通常称为根（Root）CA。验证到了Root CA处，就可确信C的证书是合法的。证书的树形验证结构如图3-10所示。

图3-10　证书的树形验证结构

在进行网上购物中，持卡人的证书与发卡机构的证书关联，而发卡机构的证书通过不同品牌卡的证书连接到Root CA，而Root的公共签名密钥对所有的SET软件都是已知的，可以校验每一个证书。