如今，互联网正以惊人的速度彻底地改变着人们的工作效率和生活方式，通过它，人们可以方便快捷地完成许多的商务和政务，然而，由于互联网的开放性和匿名性，不可避免的存在许多安全隐患。网上交易中，各种黑客攻击严重威胁着交易的安全，他们一旦截获用户的交易身份认证密码，便可为所欲为，给商家和用户造成许多麻烦。目前，许多网上业务都采用用户名和密码的识别方式进行交易，但是这种简单方式存在很多的安全隐患：

1）密码容易泄露给他人

用户为了记住密码，经常采取一些诸如自己生日、门牌号、电话号码等熟悉的号码，同时还可能将号码记在纸上，也有可能在不经意间泄密给他人，这都存在着许多安全隐患。

2）密码网上传输容易截获

信用卡号、银行号、私钥等安全信息密码在网络传输中极易被黑客窃取，令企业防不胜防。因此，现在许多机构运用PKI（public key infrastructure的缩写，即“公开密钥体系”）技术实施构建完整的加密/签名体系，更有效地解决上述难题，在充分利用互联网实现资源共享的前提下，从真正意义上确保了网上交易与信息传递的安全。

【浅析PKI】

PKI是一种遵循既定标准的密钥管理平台，它能够为所有的网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI区别于原有的单密钥加密技术，它采用的是非对称的加密算法。这种网络加密方式保证了网上交易和信息传输的机密性、真实性、完整性、不可抵赖性。

构建密码服务系统的核心内容是如何实现密钥管理。公钥体系涉及到一对密钥（即公钥和私钥），私钥只由用户独立掌握，无需在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书体系。数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性，又称为数字ID。数字证书由公钥及用户信息等数据共同组成，可以写入一定的存储介质内，确保用户信息不被非法读取及篡改。

【ePass应运而生】

针对各种网上交易的安全漏洞，长期致力于网络安全领域的北京飞天诚信公司在大量分析网上交易的行业特性之后，推出了可以随身携带的数字证书存储介质ePass系列网络身份认证产品，为广大企业用户提供了一个安全交易的平台。

ePass是一种通过USB接口与计算机相连的硬件设备，内置微型CPU和存储器，大小跟钥匙差不多，重量仅为6克。ePass作为一种在PKI体系中应用的产品，是为PKI应用量身设计的。它可预置密钥或存入数字证书，来确定用户的身份。借助ePass，使系统有效避开了传统身份认证过程的安全隐患，以高度安全的方式完成对网络用户的身份验证过程。事实证明，ePass为网上交易的网络身份认证提供了一种安全的解决方案。它可满足所有服务器端对客户端身份认证的需要，其采用的独特加密方式，有效地避免了各种网上交易的信息传输过程中病毒和黑客的侵袭。

ePass系列产品适用于需要网络安全认证的各种行业，包括金融、保险、电信、税务以及机密单位等领域。如：各种在线银行、B2B/B2C 交易、在线支付、股票交易的身份认证及数字签名过程；各种有偿内容提供商和应用服务（如收费网站、电子报刊订阅和软件下载等）提供商对客户身份的认证过程；各种机密单位和部门的工作人员互相访问机密内容的身份认证过程；各种类型的远程收费、远程预订场合：如远程订票、异地订房、交纳养路费、交纳电话费等。

【ePass解决方案】

下面我们以证券行业为例，说明ePass产品在基于证书的安全认证体系中的作用。（参见下图）

网上交易隐患：

证券行业的网上交易，早已如火如荼，存在的隐患也有很多：如身份验证的用户名+密码容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；无法保证委托信息确实发送到券商服务器；用户的交易信息传输于网上，极易被人窃取……

网上证券交易究竟如何能保证信息传输的机密性、真实性、完整性、不可抵赖性呢？在使用数字证书的过程中，ePass应用公开密钥加密技术，建立起一套严密的身份认证系统，它能做到：

发送方和接收方信息不被他人窃取

信息在传输过程中不被篡改

接收方能通过数字证书来确认发送方的身份

发送方对于自己发送的信息不可抵赖

利用ePass进行网上交易的过程：

一、申请证书

数字证书与日常生活中的身份证相似，是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行相关的操作，数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。

1、券商申请证书

首先，券商要想获得从事证券代理的身份和资格，须向认证机关（CA）申请数字证书，然后券商将用户的公钥存于券商服务器的数据库内。

2、用户申请证书

作为用户在申请开立股票帐户时，同样须向CA申请数字证书，获得CA发放的证书存储在ePass内。

二、身份认证

券商与用户通过Internet互相交换从CA申请到的数字证书，并验证其真实性（包括验证数字签名、证书有效性等）。如任何一方发现对方数字证书有误，则立刻停止交易。

三、证券交易

1、用户输入相应委托交易申请后点击“确认”，发出委托交易申请。

2、委托申请的数据自动使用券商公钥加密（用以保证用户信息的安全性）和用户存于ePass中的私钥签名后传送到券商的服务器。

3、券商服务器从证书库中调出该用户的公钥，以确认发送信息的确是用户本人（不可抵赖性），并用券商私钥将委托信息解开。如果确认无误，则将委托交易信息发送至联交所。否则，系统将报错误信息，就无法进行交易。

4、交易结果出来后，券商向用户发送交易结果，并使用用户公钥加密，完成交易。实际的证券交易过程是相当复杂的，每次数据通讯都需要身份认证，进行加、解密或数字签名，这就需要从ePass中读取证书及密钥。要求用户首先输入正确的PIN码，PIN码被验证正确之后，方可利用ePass中储存的证书或密钥进行多种操作。

整个使用过程中认证信息始终没有暴露在其他人面前，即使信息在网络传输中被恶意捕获，由于ePass采用的是PKI非对称的加密算法，即由于加、解密过程使用不同的密钥，有效避免了第三方获取密钥后将密文解密。

交易过程中包含了签名程序，确保发出委托信息的确为用户本人。用户和券商的私钥都不参与网上流通，避免了密钥泄露；传输的数据全部经过加密，非法用户即使将数据截获亦毫无作用；作为证书载体的ePass具有抗读取、抗复制及便于携带的特性，能够很好地完成数据携带及保密的任务。

这种解决方案可以广泛应用于金融、保险、税务以及机密单位和部门的工作人员互相访问机密内容的身份认证过程，确保访问人员身份的真实可信，例如科研单位、行政监管部门等。

【ePass解决方案特色】

1、方便性：

ePass大小跟钥匙差不多，重量仅为6克，便于随身携带。采用普遍使用的USB接口，支持热插拔，插上即可通过身份认证，用完后只需从 USB 端口拔下，就可将敏感的安全证书随身携带在身上。

2、灵活性和适用性

开发商利用飞天诚信提供的ePass软件开发包所提供的集成开发环境，可以十分方便的开发多种基于ePass的自定义应用程序。例如，使用该软件开发包，用户可以轻松的把 ePass按照自己想要的方式集成到基于客户端/服务器和浏览器应用上，也可将 ePass集成到基于 PKI 应用中。此外，ePass也支持Visual Basic、C++、Java、ASP、CGI、PHP、JSP等开发语言。

3、安全性

ePass在硬件级别实现MD5-HMAC冲击/响应认证和RSA等算法，确保个人安全证书安全的保存在 ePass中，不会泄漏个人的身份信息，也不会受到黑客，病毒的攻击和其它的威胁。同时其可用双因子认证。如在使用ePass时，要求用户输入密码，就可形成双因子认证模式，进一步增强安全性。

4、稳定性、兼容性

每种ePass产品的数据存储年限至少可达10年，写次数至少可达10万次, 并支持PC/SC、ISO7816、T=0、T=1（有些同类产品不支持T=1）等行业标准。同时，ePass支持的操作系统除了常用的Windows98/2000/ME/XP/NT4.0之外，也支持某些同类产品不支持的MAC OS 8/9和Linux等操作系统。

【结语】：

目前，飞天诚信的ePass系列产品已通过了国内权威的中国人民银行金融认证中心的认证(CFCA)。业内专家们在鉴定后认为，这一国内拥有自主知识产权的技术和产品已达到同行业先进水平，并在一个较低的价位上较好的实现了网络安全身份认证这一核心功能。目前，以飞天诚信ePass为核心的解决方案已经成功应用在电子商务企业、政府部门机关、CA运营商等多家企业或单位，取得满意的应用效果。除此之外，ePass还可用于银行金融管理、内部网安全互访、远程访问控制、收费网站用户认证、电子合同的签署等凡是需要网络安全认证的领域。飞天诚信公司一直跟踪国内、国际的最新技术动向，全方位分析各行业特点，推出针对不同行业的解决方案。随着基于互联网和局域网应用的不断深入，ePass将具有广泛的市场前景和应用价值。