随着Internet的发展,电子商务的兴起,经常需要在开放网络环境中不明身份的实体之间通信,安全问题也因此日益突出。为确保网上电子商务交易的顺利进行,必须在通信网络中建立并维持一种可信任的安全环境和机制。一个完整的电子商务系统主要包括商家、支付系统和认证机构,而认证机构是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上参与交易各方的身份,并通过加密证书对传输的数据进行加密,从而保证信息的安全性、完整性和交易的不可抵赖性。公钥基础设施(PKI)是目前保证网络信息安全的一种比较可靠的安全体系。它通过第三方信任机构—认证中心(CA)发布证书将用户公钥和用户的身份绑定在一起,从而可以为网上各种应用提供机密性、完整性和身份鉴别等方面有效安全保障。本文从安全性的角度对认证系统的组成与实现进行了深入地分析,并对当前较为完善的、安全的加密技术和算法进行了探讨。在多种安全认证技术和认证协议理论研究的基础上,本文从安全性和扩展性角度为PKI/CA认证中心的构建提出了一个基于WEB的证书管理系统的设计模型。该模型适合中小企业或局域网内部建立适合自己、经济适用的安全的CA认证中心,对局域网中的用户发布和管理数字证书,从而在较高安全层次上管理了用户。CA系统采用Client/Server结构,服务器端由CA服务器、RA服务器、LDAP服务器组成,并实现了证书申请、查询、撤销、验证证书等证书管理功能。论文中详细论述了CA总体结构、功能设计以及使用Java和OpenSSL两种工具来实现系统软件的方案。在电子商务采用公开加密技术后,伴随而来的是密钥的管理问题。模型中对传统的密钥管理方法进行了创新改良,在简化应用同时又不以丧失安全性为代价的角度出发,提出了把签名私钥直接移植到CPU卡来实现,期望能有所创新。论文详细介绍了安全电子商务所涉及到的密码学方面有关知识和常用的算法,探讨电子商务的安全认证技术和认证协议。此外,论文还重点阐述了安全认证机制PKI的组成以及CA的构造。在以上理论研究的基础上,论文最终实现了CA认证系统模型的设计,并对密钥管理进行了创新,提出了一个加密签名卡存储密钥的方案。最后,给出了将文中实现的CA认证模型应用于广东省教育领域行业的一个实例。