“数字证书”的作用

　　以B to B为例，假设用户A访问网站B，则有：

　　身份认证功能—用户A登录网站B并发送A的证书到B，B用CA的公钥确认A的证书，确认证书的有效期;查询CLR(证书作废列表)确定用户A的有效身份;同样A也要对B采取同样方法确定其身份的有效性;称双向认证。

　　信息传输中的加密功能—用户A使用用户B的公钥，将要传送的信息使用规定的加密算法进行加密并传到网站B，B使用自己的私钥进行解密获得原文。第三方即使截取此加密的信息，由于无法得到B的私钥，他也没有办法解密获得明文的信息。

　　数字签名—一般A用HASH算法对一段信息进行加工产生HASH值(即摘要信息)，再用数字签名规定的算法进行私钥加密形成数字签名，将该段信息原文与数字签名一起传到B，B用A的公钥对A的数字签名进行解密产生原文的HASH值，B同时用HASH算法对传送过来的原文求HASH值，用两个HASH值进行比较验证数字签名。另一种数字签名方法是对需要保密的短信息，A用私钥对原文通过签名规定的加密算法产生数字签名信息和时间戳一起传到B，B用A的公钥解密，加上时间戳来验证数字签名。从上可以看出，每次数字签名都与该次信息结合，不能移到另一段信息上，即无法伪造，这样即保证了信息确实是由A发出的，就完成了信息的不可抵赖性。证书系统有效地保证了数据传输中的完整性、私密性和不可否认性。

　　“数字证书”的组成、管理与运作

　　PKI/CA是数字证书的基础构架，以CFCA(中国金融认证中心)为例，介绍一下证书签发管理机构的组成和管理运作方式。

　　一般情况下，一个标准的CA是由两部分组成：

　　CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定。CA设在CFCA本部，不直接面对用户。

　　RA系统：直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书;一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部，受理点(LRA)设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构，RA系统可方便地集成到业务应用系统。