如何在数字化通信中建立起信任关系， 是电子商务发展的重中之重，建立认证中心(CA)是关键的一步。通过认证服务器， 企业可以为用户颁发各种电子证书， 比如用于网上购物的安全通道协议(SSL)使用的证书， 用于加密本地文件(EFS)的证书等等。证书基本上是一个由权威发布的电子声明，其作用在于担保证书持有者的身份。 证书将公用密码与持有相应私有密钥的个人、 机器或服务的身份绑定在一起。 证书由各种公用密钥安全服务和应用程序提供， 为非安全网（如 Internet ）提供数据验证、 数据完整性和安全通讯。认证服务器还管理证书的失效， 发布失效证书列表等。 每个用户或计算机都有自己的一个证书管理器，其中既放置着自己从CA申请获得的证书， 也有自己所信任的CA的根证书。 

  为了安全地保管私钥和电子证书，微软为用户还提供了一套智能卡的结构。 智能卡因其高安全性和轻便的可移动性，势必将发展成为类似鼠标/键盘一般的计算机的标准外设。 微软提供了一套基于32位Windows平台的Smart Card for Windows产品， 包括API和开发工具。 众多的智能卡厂家， 只要生产符合国际ISO工业标准的智能卡产品，就可以在微软的Smart Card软件平台上操作。 当用户用Internet Explorer向一个认证中心申请电子证书时， 就会有一对公钥和私钥自动产生出来； 私钥可以存储在智能卡中， 公钥和其他身份信息（比如姓名、电子邮件地址等）发给认证中心。如果认证中心批准该申请， 那么包含公钥的电子证书就会被返回来， 存储在智能卡中。

智能卡提供以下功能
（1）保护私钥和其他形式个人信息的防篡改存储区。
（2）将安全性关键计算隔绝起来包含从不必"必须知道"的其它组织部门进行的身份验证、数字签名和密钥交换。
（3）在单位、家庭或路上的不同计算机之间发凭据及其他私人信息的可携带性。
智能卡存储私钥和电子证书的做法， 给最终用户提供了对自己安全信息的最大的控制，可以方便地从一台机器携带到另一台机器使用； 可以在任何一个地点使用。 一般来说， 智能卡会用一个个人密码(PIN)保护起来，在要求高安全性的场合， PIN可以是一些生物信息， 比如指纹等。 智能卡中存储的信息是加密的， 即使破坏了智能卡也得不到里面的内容。

  如果企业实施了基于智能卡体制， 由企业保安机构给每个员工颁发一个智能卡。 员工就可以用这个卡完成很多的工作，比如打开公司的大门， 打开自己的抽屉， 登录到计算机和网络； 加密自己的邮件和文件， 这样即使管理员有完全控制的权限， 管理员也不能获知其中的内容； 员工还可以上网购物，比如购买一张机票， 然后直接到飞机舱前划卡即可上飞机； 还可以作为电话卡、 信用卡使用； 作为市政交费卡使用， 支付水、电、煤气等费用； 作为电子钱包式的储值卡来使用，支付小额的午餐费、 出租车费等等。

  除了使用智能卡存储私钥和电子证书外，也可以采用指纹U盘存储私钥和电子证书，两者的根本区别在于指纹U盘适用于单一的应用，而智能卡（指纹卡）更适用于将多项应用集中在一张智能卡片上。在智能卡上加入成熟的指纹生物识别就成是指纹卡。

  国际标准组织CCITT建议以X.509作为X.500目录检索的一个组成部分， 提供安全目录检索服务。X.509公钥证书原始的含义非常简单，即为某个人的身份提供不可更改的证据。但是，人们很快发现，在许多应用领域，比如电子政务、电子商务应用中，需要的信息远不止是身份信息，尤其是当交易的双方在以前彼此没有过任何关系的时候。在这种情况下，关于一个人的权限或者属性信息远比其身份信息更为重要。为了使附加信息能够保存在证书中，X.509 v3中引入了公钥证书扩展项，这种证书扩展项可以保存任何类型的附加数据，用来提供更多的灵活性及特殊应用环境下所需的信息传送。 X.500是CCITT建议的， 用于分布网络中存储用户信息的数据库的目录检索服务的协议标准。 X.509是采用公钥基础结构实施的认证协议， 对通信双方按所用密码体制规定了几种认证识别方法，X.509对所用具体加密、数字签名、 公用密钥以及Hash算法未作限制，因此可以用指纹做数字签名。

  采用自己的私钥对信息加以处理，由于私钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：
（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；
（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。
数字签名具体做法是:
（1）将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
（2）将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发送给接收者，而产生的报文即称数字签名。
（3） 接收方收到数字签名后，用同样的HASH算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。　
显然如果采用私钥和指纹数据形成的数字指纹签名更具有特别重要的意义，即使在私钥丢掉或被复制的情况下没有指纹也不可能形成有效的指纹数字签名。同样，在指纹数据被窃取后没有私钥也不可能伪造出有效的指纹数字签名。

  指纹数字认证中心可以提供各种信息架构最为安全的身份识别方式，当政府机关团体或民间机构，在执行各类应用系统时遇有身份识别需求时，可以向这些公开的第三者身份认证机构进行身份识别的请求，这些认证中心除了提供身份认证的服务外，若结合提供电子证书，利用公共密钥机制(PKI; Public Key Infrastructure)以供数据传输之电子签章用，如此将使未来各种透过传统渠道的信用和交易，或由公共网络、通讯及未来持续发展的各种虚拟交易渠道，能透过认证中心获得完整且具有公信力的认证服务。

  目前国内结合指纹识别的数字签名的产品极少，现有的认证方式是建立在PKI基础上的数字签名。建设具有指纹认证平台（后台服务器上指纹识别身份认证、指纹数字签名），以提供指纹身份认证及指纹数字证书服务，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。
通过指纹身份认证平台提供以下服务：
通过服务平台认证的用户，平台保证其身份的真实性
通过服务平台传输的数据，平台保证其安全性

  指纹身份认证及安全通道主要分为获取证书和使用证书两大功能。呈现给最终使用者的只是一个存储指纹证书的指纹U盘或指纹卡以及一个普通的WEB网站。用户只需要将指纹U盘或指纹卡插入计算机，访问对应的网站，则可实现用户所需要的所有安全以及其它服务。

指纹认证平台的主要功能模块图：

加密过程描述如下：
对信息进行病毒扫描
从证书服务器获得服务器的证书
从用户的指纹卡或指纹U盘中获得用户自己的私钥
用自己的私钥进行签名同时用服务器的证书进行加密
将加密后的信息传送的对应的数据库中
从数据库中获取数据时，先将加密数据用服务器私钥和用户的证书解密
然后用获取数据的用户的证书进行加密并用服务器的私钥后传送给用户
用户收到后用服务器证书和自己的私钥进行解密，得到明文
  在电子商务运作模型和业务流程中的三个环节—信息流、资金流和物流是促进电子商务发展的关键。作为中间环节的网络（在线）支付，是电子商务流程中交易双方最为关心的问题。如果这个环节不能解决，那么真正实现电子商务就成为空谈，就没有电子商务得以顺利发展的基础条件，电子商务就成了只能是信息传递的电子化、合同的无纸化，而无法完全实现网上交易，就象最初的网上购物不包括网络支付功能，只负责提供商品(服务)信息浏览和下订单。付款是通过其他途径（如电话、传真和邮局汇款，银行转帐、汇款等形式）完成的。不过，对于电子商务来说，这些付款方式使得其方便性与实效性大打折扣，甚至可以说非常类似于邮购方式，当然这些无法令追求效率和便捷的人们满意。

我们假设以支付宝为例，说明指纹卡或指纹数字签名的应用模式。

网上支付简介
  网上支付， 是指以计算机网络系统特别是互联网系统，以电子信息传递的形式来实现资金的流通和支付。

  目前国际通行的网上支付工具主要有电子信用卡、电子借记卡，电子支票和电子现金等。有了这些常用的支付工具，就可以通过一些常用的互联网支付手段来实现网络支付，例如登录网上银行，以及第三方支付平台，如PayPal和支付宝。

  信用卡支付是电子支付中最常用的工具，信用卡在欧美等发达国家和地区已经成为最普遍的支付方式。可以在许多公共场合使用。也可以刷卡、POS结帐以及自动取款机上提取现金等方式进行支付。广义的信用卡是指能够为持卡人提供信用证明，持卡人可以据此进行消费和享受服务的卡片。包括银行贷记卡、借记卡、储蓄卡和支票卡。

  信用卡比较适用于计算机网络空间的操作。在电子商务中最简单的形式是让用户提前在某一公司登记一个信用卡号码和口令，当用户通过网络在该公司购物时，用户只需将口令传送到该公司，购物完成后，用户会收到一个确认的电子邮件，询问购买是否有效。若用户对电子邮件回答有效时，公司就会从用户的信用卡帐户上减去这笔交易的费用。此种方式的缺点在于安全措施差，可以看出持卡人主要是依靠商家的诚信来保护自己的信用卡隐私信息，但是一旦信息披露出现纰漏，则难免出现安全问题和网络支付纠纷。

  目前常用的一种方法是在互联网的环境下通过前述SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互，进行网络支付。其突出的特点是用户在网上发送信用卡号和密码，加密后发送到银行进行支付。这样一来降低了用户的信用卡号和密码泄露的风险，相对提高了安全性。

  还有一种方式也可以相对降低网络支付的风险，那就是正在迅猛发展起来的利用第三方机构的支付模式及其支付流程，而这个第三方机构必须具有一定的诚信度。在实际的操作过程中这个第三方机构可以是发行信用卡的银行本身。在进行网络支付时，信用卡号以及密码的披露只在持卡人和银行之间转移，降低了应通过商家转移而导致的风险。

  同样当第三方是除了银行以外的具有良好信誉和技术支持能力的某个机构时，支付也通过第三方在持卡人或者客户和银行之间进行。持卡人首先和第三方以替代银行帐号的某种电子数据的形式（例如邮件）传递帐户信息，避免了持卡人将银行信息直接透露给商家，另外也可以不必登录不同的网上银行界面，而取而代之的是每次登录时，都能看到相对熟悉和简单的第三方机构的界面。

  第三方机构与各个主要银行之间又签订有关协议，使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在持卡人或消费者与各个银行，以及最终的收款人或者是商家之间建立一个支付的流程。如图１所示：

国内网上支付的现状
  总体来看，现阶段我国网上支付业务发展具有以下特点：一是网上支付业务初具规模。参与网上支付业务的商业银行、非银行机构、认证机构以及客户越来越多，网上支付的服务提供者、使用者、交易规模等都呈快速增长态势；二是网上支付市场潜力巨大。国内网上支付市场存在巨大的市场需求，同时也拥有庞大的客户资源，随着电子商务的发展，网上支付所占交易比例将进一步扩大；三是技术设备和支付工具等基础设施不断完善。一方面，国内机构在网上交易的支付信息处理、安全认证技术等方面不断改进；另一方面，随着银行卡产业的规模发展，卡类支付工具的普及为网上支付交易提供了便利的支付工具，基础设施的不断完善成为推动网上支付业务快速发展的一个重要因素。

  另外，据CFCA和央视咨询今年六七月份的调查，91.1％的网民表示安全是是首先要考虑的因素。不想用网上支付的网民，最担心的问题是网络不安全，网络支付安全性得不到保障。由此可见，网上支付安全确实是电子商务发展网上支付关键的因素。这与阿里巴巴总裁马云的观点“安全的支付平台是电子商务发展的基础”相当吻合。