一般来讲，Web上的交易可能带来的安全问题有以下几方面： 
  ●诈骗----建立网站是一件很容易也花钱不多的事，有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单，然后它就可以让访问者填一份详细的注册资料，还假装保证个人隐私，而实际上就是为了获得访问者的隐私。调查显示，邮件地址和信用卡号的泄漏大多是如此这般。 
  ●泄漏----当交易的信息在网上"赤裸裸"的传播时，窃听者可以很容易地截取并提取其中的敏感信息。 
  ●篡改----截取了信息的人还可以做一些更"高明"的工作，他可以替换其中某些域的值，如姓名、信用卡号甚至金额，以达到自己的目的。 
  ●攻击----主要是对Web服务器的攻击，例如著名的DDOS(分布式拒绝服务攻击)。攻击的发起者可以是心怀恶意的个人，也可以是同行的竞争者。 
  为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。 

 

PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)都是组成PKI的关键组件。作为提供信息安全服务的公共基础设施，PKI是目前公认的保障网络社会安全的最佳体系。 

CA是PKI的核心执行机构，是PKI的主要组成部分，通常称它为认证中心。以CFCA为例介绍：

 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（RA）两大部分组成：
CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，CA系统设在CFCA本部，不直接面对用户；

RA系统：是数字证书的申请注册、证书签发和管理机构。直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书。
　证书是数字证书或电子证书的简称，它符合X.509标准，是网上实体身份的证明。X.509是由国际电信联盟（ITU-T）制定的数字证书标准。证书......More↓↓↓