一、 信息和網絡安全的基本要求
    互連網絡在拉進人們的距離，改變人們的生活、生產和生存的方式。人們從傳統的面對面的交易和作業，變成跨時空互相不見面的網上操作，沒有國界，沒有時間限制。值得注意的是，當人們在盡情享受數字化生活、利用互連網資源和工具時，同時也面臨著被攻擊的危險。其正在作業的系統可能會遭到攻擊者的非法訪問甚至破壞，部門機關的機密資料、個人隱私、交易的敏感信息、支付的信息等可能遭到竊取、盜用或篡改互聯網絡并不太平?；ヂ摼W絡起初階段用戶之間互相信任、可以進行自由開放信息交換的君子風度已經所剩無幾了。社會上能找到的所有欺詐、兇險、卑鄙和投機等種種現象，互聯網絡上已經應有盡有。在這樣的環境里，開放性成了互聯網絡的一把雙刃劍。企圖闖入系統者有之。如果不及時規劃實施安全策略的技術，不制服形形色色的災難，任憑災難發作，信息網絡系統就可能陷入癱瘓，嚴重的可能引起大面積恐慌其至災難性后果。
    對安全的概念有不同的解釋，但從本質上講，互聯網絡的安全性一般包括訪問控制安全和信息傳輸安全。從互聯網絡信息的層次來分，安全性包括網絡層安全性、傳輸層的安全性、應用層的安全性。按照實施安全措施的對象來看,可以分為物理安全、運行管理安全、數據庫資源的安全。信息和網絡的安全雖然有許多不同的需求，從總體上講，可以歸納為以下5項基本要求：
    1、信息的保密性
    在INTERNET上傳送的信息以包的形式轉發的，所有信息就象一張被整齊剪裁了的明信片，只要攻擊者收集到所有的包，那么，發送的信息對于攻擊者來說就無保密可言了。如果傳輸的信息是國家機密、商業秘密或者消費者私人的金融信息，攻擊者就有可能加以利用和破壞，造成損失。傳輸信息的保密性要求信息發送和接收是在安全通道進行，保證通信雙方的信息保密，交易的非參與方不能獲取交易和作業的明文信息。
    2、身份的真實性
    在互不見面的網上，假冒身份是經常發生的。如冒充上級領導發布命令、調閱密件：冒充他人消費、栽贓：冒充主機欺騙合法用戶獲取重要信息；冒充網絡控制程序，套取或修改使用權限、通行字、密鑰等信息；接管合法用戶，欺騙系統，占用合法用戶的資源等等。身份真實性要求交易和作業參與方的身份不能被假冒或偽裝，網上作業時能夠有效地鑒別確定交易的真實身份。
    3、信息的完整性
    信息在傳輸過程中可能被攻擊和截取，攻擊者對其進行篡改，對購買商品的出貸地址、單位發獎金的金額、領導的講話原意進行改變；插入或刪除傳輸消息或信息的某些部分，讓按受方接受錯誤的信息。信息的完整性要求發送和接收的信息應該保持一致，信息接收方可以驗證收到的信息是否是完整，是否被人篡改。
    4、訪問可控性
    授權什么人、可以訪問什么資源、有什么權限等等，涉及到用戶訪問的權限控制，包括分配或終止用戶的訪問、操勞作、接入等權利，就是因為非法用戶窮盡接入訪問資源，使合法用戶不能正常訪問網站為了聚"人氣"，吸引訪問量，前臺大多沒有進行訪問可控性的設置，因此比較容易受到拒絕服務的攻擊。
    5、不可抵賴性
    在網上容易因抵賴行為產生糾紛。如購買飛機票后不承認，否認曾經發送過某條信息或內容；收信者事后否認曾經收到地某條消息或內容；購買者估了定貨單不承認；商家賣出的商品因價格差而不承認原有的交易等等。不可抵賴性就是信息的發送方不能抵賴曾經發送的信息，不能否認自己的行為。
二、 數字證書認證體系的架構和功能
    如何應用最有效的安全技術，建立互連網絡的安全體系結構，成為建設數字化信息化社會首先需要解決的問題。防火墻技術是針對訪問控制方面的安全性提出來的。防火墻如今已經是網絡安全中用的最普遍的產品，導致一些人把網絡安全和防火墻劃等號。應該指出，防火墻并不是解決所有網絡安全問題的萬能藥方，只是網絡安全策略中的一個組成部分。其作用是防止未經授權的訪問。統計表明，70%以上的攻擊是來自內部，這是基于隔離的防火墻防范措施無能為力的。同樣，防火墻也不能解決進入防火墻的數據帶來的所有安全問題。從信息和網絡安全的全局出發，經過研究和實踐，國際上提出了基于公開密鑰體制（Public Key Infrastructure,簡稱PKI）的CA認證體系，可以滿足上述信息和網絡安全的5項基本要求，現已被普遍認可。鑒于CA建設的重要性，多數國家都在建立自己的CA認證體系。由于政治上的原因，目前還沒有國際統一的認證機構。
    CA認證體系的核心是證書認證中心（Certificate Authority,簡稱CA中心）。CA中心是公正的第三方，它為建立身份認證過程的權威性框架奠定了基礎，為交易和作業的參與方提供了安全保障。為網上交易構筑了一個互相信任的環境，同時解決了網上身份認證、公鑰分發及信息完整性檢驗、不可抵賴驗證控制訪問等一系列問題。第三方的概念是從信任關系中得出的。茫茫網海，不可能認識網上作業的所有參與方，互不見面的情況下如何信任對方？只好求助認識的或有責任義務關系的中間人來保證雙方的身份，交易和作業雙方信任的第三方，由第三方保證參與方的真實身份。
    CA認證的主要工具是CA中心為網上作業主體頒發的數字證書。CA架構包括PKI結構、高強度抗攻擊的公開加解密算法、數字簽名技術、運行安全管理技術、可靠的信任責任體系等等。從業務流程涉及的腳色看，包括認證機構、數字證書庫和黑名單庫、密鑰托管處理系統、證書目錄服務、證書下級中心（子CA）、證書審批中心（RA中心）、證書審批受理點（RAT）等。CA中心一般要發布認證體系聲明書（SDCA白皮書），向服務的對象鄭重聲明CA的政策、保證安全的措施、服務的范圍、服務的質量、承擔的責任、操作流程等條款。
    根據的PKI結構，身份人證的實體需要有一對密鑰，分別為私鑰和公鑰。其中私鑰是保密的，公鑰是公開的。從原理上講，不能從公鑰推導出私鑰，窮舉法來求私鑰則由于目前的技術、運算工具和時間的限制而不可能。每個實體的密鑰總是成對出現，即一個公鑰必定對應一個私鑰。公鑰加密的信息必須由對應的私鑰才能解密，同樣，私鑰做出的簽名，也只有配對的公鑰才能解密。公鑰有時傳送對稱密鑰，這就是數字信封技術。密鑰的管理政策是把公鑰和實體綁定，由CA中心把實體的信息和實體的公鑰制作成數字證書，證書的尾部必須有CA中心的數字簽名。由于CA中心的數字簽名是不可偽造的，因此實體的數字證書不可偽造。CA中心對實體的物理身份資格審查通過后，才對申請者頒發數字證書，將實體的身份與數字證書對應起來。由于實體都信任提供第三方服務的CA中心，因此，實體可以信任由CA中心頒發證書的其他實體，放心地在網上進行作業和交易。
    數字證書主要內容包含一個公開密鑰、名稱以及CA中心的數字簽名、密鑰的有效時間，發證機關的名稱，證書的序列號等等，證書格式遵循ITU-T X.509標準。這里要說明兩個問題。其一是數字簽名，假設A做數字簽名，A要做什么事，表達在信息原文里。A首先將信息原文進行摘要處理（即HASH算法），得到一定長度（通常為128-160BITS）的數字指紋（一堆雜亂碼），再用A的私鑰對數字指紋進行加密。信息原文和加密后的數字指紋一起形成數字簽名?？梢姅底趾灻欢ㄒ托畔⒃囊黄鸫嬖?。由于簽名私鑰只有A有，因此別人不可能A偽造的數字簽名。驗證數字簽名則相反。接收方B得到信息原文后，再做摘要處理，得到數字指紋B，然后用A證書的公鑰將加密過的數字指紋解密，得到數字指紋A，只要對照兩份數字指紋，便可以驗證數字簽名。如果不一致，可以肯定發送的信息是假的。