談電子商務(wù)系統(tǒng)中的 認(rèn)證談電子商務(wù)系統(tǒng)中的 認(rèn)證 摘要 CA Certificate Authority 認(rèn)證是CA作為權(quán)威的 可信賴的 公正的第三方機構(gòu) 專 門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書 CA通過對密鑰進行有效的管 理 并頒發(fā)認(rèn)證證書證明密鑰的有效性 然后將公開密鑰同某一個實體 消費者 商家 銀行等 聯(lián)系在一起 從而確保電子交易有效 安全的進行 并使網(wǎng)上交易信息除發(fā)送方 和接收方外 不被其他方知悉 保證信息在傳輸過程中不被篡改 使發(fā)送方確信接收方不 是假冒的 同時也使發(fā)送方不能否認(rèn)自己的發(fā)送行為 CA認(rèn)證是企業(yè)電子商務(wù)平臺的真正 核心 企業(yè)信息化是現(xiàn)化企業(yè)發(fā)展的必然趨勢 在企業(yè)信息化過程中 通過大量 采用信息化技術(shù)改進和強化了企業(yè)物資流 資金流等信息的管理 對企業(yè)固有 的經(jīng)營思想和管理模式產(chǎn)生了強烈的沖擊 帶來了根本性的變革 信息技術(shù)與 企業(yè)管理技術(shù)的發(fā)展與融合 使企業(yè)競爭戰(zhàn)略不斷創(chuàng)新 企業(yè)競爭力不斷提高 電子商務(wù)是在企業(yè)信息化大潮下采用數(shù)字化方式 利用計算機網(wǎng)絡(luò)進行商務(wù)數(shù) 據(jù)交換 全面實現(xiàn)在線交易電子化的過程 是企業(yè)開展商業(yè)活動的新形式 企 業(yè)電子商務(wù)平臺不僅是相關(guān)企業(yè)宣傳產(chǎn)品 銷售產(chǎn)品 進行售后服務(wù)的窗口 也是樹立企業(yè)形象的前沿 通常企業(yè)電子商務(wù)系統(tǒng)會涉及到參與商務(wù)活動的各方 買家 服務(wù)商 供 貨商 銀行和認(rèn)證中心 CA 一個完善的電子商務(wù)系統(tǒng)應(yīng)當(dāng)包括那些部分 目前還沒有權(quán)威的論述 從企業(yè)電子商務(wù)實踐來看 企業(yè)電子商務(wù)系統(tǒng)的系統(tǒng) 架構(gòu)是三層結(jié)構(gòu)的 最底層是計算機網(wǎng)絡(luò)平臺 這一層是電子商務(wù)過程中的信 息傳送的載體和用戶接入企業(yè)電子商務(wù)平臺的途徑 中間是電子商務(wù)基礎(chǔ)平臺 包括 CA 認(rèn)證 支付網(wǎng)關(guān)和會員服務(wù)中心等內(nèi)容 這一層主要用于保障網(wǎng)絡(luò)交 易的有效性和安全性 第三層是以電子商務(wù)平臺為基礎(chǔ)的各種各樣的電子商務(wù) 應(yīng)用系統(tǒng) 由于電子商務(wù)系統(tǒng)基于開放式的 Internet 平臺 而 Internet 用戶數(shù)量巨大 各種各樣的人都有 這使得網(wǎng)上交易面臨著種種危險 因此 電子商務(wù)發(fā)展的 核心和關(guān)鍵問題是交易的安全性問題 電子商務(wù)的安全問題 總的來說分為二 部分 一是網(wǎng)絡(luò)安全 二是商務(wù)安全 計算機網(wǎng)絡(luò)安全主要包括 計算機網(wǎng)絡(luò)設(shè)備安全 計算機網(wǎng)絡(luò)系統(tǒng)安全 數(shù)據(jù)庫安全等方面 其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題 實施 網(wǎng)絡(luò)安全增強方案 以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo) 目前針對計算機 網(wǎng)絡(luò)安全的防護技術(shù)主要有數(shù)據(jù)加密技術(shù) 身份識別和驗證技術(shù) 防火墻技術(shù) 虛擬專用網(wǎng)絡(luò)技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)攻擊檢測技術(shù)等技術(shù) 由于對計 算機網(wǎng)絡(luò)安全的研究已經(jīng)比較深入了 其安全保障技術(shù)也比較成熟 這里就不 多加討論了 商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在 Internet 上應(yīng)用時產(chǎn)生的各種安全問題 在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上 如何保障電子商務(wù)過程的順利進行 即實現(xiàn)電子 商務(wù)的保密性 在電子商務(wù)系統(tǒng)交易過程中的商務(wù)信息均有保密的要求 如信 用卡的賬號和用戶名被人知悉 就可能被盜用 訂貨和付款的信息被競爭對手 獲悉 就可能喪失商機 完整性和一致性 電子交易的過程是一個完整的過程 期間產(chǎn)生的信息是不能被修改的必需保證其一致性 身份的真實性和不可偽裝 性 網(wǎng)上交易的雙方很可能素昧平生 相隔千里 要使交易成功首先要能確認(rèn) 對方的身份 對商家要考慮 客戶端不能是騙子 而客戶也會擔(dān)心網(wǎng)上的商店不 是一個玩弄欺詐的黑店 因此能方便而可靠地確認(rèn)對方身份是交易的前提 對 于為顧客或用戶開展服務(wù)的銀行 信用卡公司和銷售商店 為了做到安全 保 密 可靠地開展服務(wù)活動 都要進行身份認(rèn)證的工作 及不可抵賴性 由于 商情的千變?nèi)f化 交易一旦達(dá)成是不能被否認(rèn)的 否則必然會損害一方的利益 目前 電子商務(wù)交易過程中的商務(wù)安全性主要是通過 CA 認(rèn)證來實現(xiàn)的 下面我們對電子商務(wù)過程中與 CA 認(rèn)證有關(guān)的內(nèi)容進行具體介紹 一 CA 數(shù)字證書認(rèn)證中心 Certficate Authority CA 就是一個負(fù)責(zé)發(fā)放和管理 數(shù)字安全證書的權(quán)威機構(gòu) 對于一個大型的應(yīng)用環(huán)境 認(rèn)證中心往往采用一種 多層次的分級結(jié)構(gòu) 各級的認(rèn)證中心類似于各級行政機關(guān) 上級認(rèn)證中心負(fù)責(zé) 簽發(fā)和管理下級認(rèn)證中心的證書 最下一級的認(rèn)證中心直接面向最終用戶 認(rèn) 證中心主要有以下幾種功能 證書的頒發(fā) 證書的更新 證書的查詢 證書 的作廢 證書的歸檔 二 PKI 公鑰基礎(chǔ)設(shè)施 PKI Public Key Infrastructure 是一種遵循既定標(biāo)準(zhǔn)的密 鑰管理平臺 它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的 密鑰和證書管理體系 簡單來說 PKI 就是利用公鑰理論和技術(shù)建立的提供安 全服務(wù)的基礎(chǔ)設(shè)施 PKI 技術(shù)是信息安全技術(shù)的核心 也是電子商務(wù)的關(guān)鍵和 基礎(chǔ)技術(shù) PKI 采用非對稱的加密算法 即由原文加密成密文的密鑰不同于由密文解 密為原文的密鑰 以避免第三方獲取密鑰后將密文解密 PKI 的基礎(chǔ)技術(shù)包括加密 數(shù)字簽名 數(shù)據(jù)完整性機制 數(shù)字信封 雙重 數(shù)字簽名等 完整的 PKI 系統(tǒng)必須具有權(quán)威認(rèn)證機構(gòu) CA 數(shù)字證書庫 密鑰備份及恢 復(fù)系統(tǒng) 證書作廢系統(tǒng) 應(yīng)用接口 API 等基本構(gòu)成部分 構(gòu)建 PKI 也將圍 繞著這五大系統(tǒng)來著手構(gòu)建 三 數(shù)字安全證書 數(shù)字安全證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù) 用來在網(wǎng)絡(luò)通訊 中識別通訊各方的身份 數(shù)字安全證書是由權(quán)威公正的第三方機構(gòu)即 CA 中心 簽發(fā)的 以數(shù)字安全證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密 和解密 數(shù)字簽名和簽名驗證 確保網(wǎng)上傳遞信息的機密性 完整性 以及交 易實體身份的真實性 簽名信息的不可否認(rèn)性 從而保障網(wǎng)絡(luò)應(yīng)用的安全性 數(shù)字安全證書采用公鑰密碼體制 即利用一對互相匹配的密鑰進行加密 解密 每個用戶擁有一把僅為本人所掌握的私有密鑰 私鑰 用它進行解密 和簽名 同時擁有一把公共密鑰 公鑰 并可以對外公開 用于加密和驗證簽 名 當(dāng)發(fā)送一份保密文件時 發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密 而接收方 則使用自己的私鑰解密 這樣 信息就可以安全無誤地到達(dá)目的地了 即使被 第三方截獲 由于沒有相應(yīng)的私鑰 也無法進行解密 通過數(shù)字的手段保證加 密過程是一個不可逆過程 即只有用私有密鑰才能解密 在公開密鑰密碼體制中 常用的一種是 RSA 體制 其數(shù)學(xué)原理是將一個大 數(shù)分解成兩個質(zhì)數(shù)的乘積 加密和解密用的是兩個不同的密鑰 即使已知明文 密文和加密密鑰 公開密鑰 想要推導(dǎo)出解密密鑰 私密密鑰 在計算上 是不可能的 按現(xiàn)在的計算機技術(shù)水平 要破解目前采用的 1024 位 RSA 密鑰 需要上千年的計算時間 公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題 商戶可以公開其公開密鑰 而 保留其私有密鑰 購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密 安全地傳送給商戶 然后由商戶用自己的私有密鑰進行解密 用戶也可以采用自己的私鑰對信息加以處理 由于密鑰僅為本人所有 這 樣就產(chǎn)生了別人無法生成的文件 也就形成了數(shù)字簽名 采用數(shù)字簽名 能夠 確認(rèn)以下兩點 1 保證信息是由簽名者自己簽名發(fā)送的 簽名者不能否認(rèn)或難以否認(rèn) 2 保證信息自簽發(fā)后到收到為止未曾作過任何修改 簽發(fā)的文件是真實文 件 數(shù)字安全證書的格式一般采用 X 509 國際標(biāo)準(zhǔn) 它包含了以下幾點 數(shù)字 安全證書擁有者的名稱 數(shù)字安全證書擁有者的公共密鑰 公共密鑰的有效期 頒發(fā)數(shù)字安全證書的單位 數(shù)字安全證書的序列號 頒發(fā)數(shù)字安全證書單位的 數(shù)字簽名等內(nèi)容 數(shù)字安全證書根據(jù)應(yīng)用領(lǐng)域的不同一般有 個人數(shù)字安全證書 機構(gòu)數(shù)字安 全證書 個人簽名安全證書 機構(gòu)簽名安全證書 設(shè)備安全數(shù)字證書等幾種類 型 個人數(shù)字安全證書中包含個人身份信息和個人的公鑰 用于標(biāo)識證書持有 人的個人身份 數(shù)字安全證書和對應(yīng)的私鑰存儲于 ikey 或 IC 卡中 用于個人 在網(wǎng)上進行合同簽定 定單 錄入審核 操作權(quán)限 支付信息等活動中標(biāo)明身 份 機構(gòu)數(shù)字安全證書中包含企業(yè)信息和企業(yè)的公鑰 用于標(biāo)識證書持有企業(yè) 的身份 數(shù)字安全證書和對應(yīng)的私鑰存儲于 Keynet 卡中 可以用于企業(yè)在電子 商務(wù)方面的對外活動 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 個人簽名證書中包含個人身份信息和個人的簽名私鑰 用于標(biāo)識證書持有 人的個人身份 簽名私鑰存儲于 Keynet 卡中 用于個人在網(wǎng)上進行合同簽定 定單 錄入審核 操作權(quán)限 支付信息等活動中標(biāo)明身份 機構(gòu)簽名證書中包含企業(yè)信息和企業(yè)的簽名私鑰 用于標(biāo)識證書持有企業(yè) 的身份 簽名私鑰存儲于 Keynet 卡中 可以用于企業(yè)在電子商務(wù)方面的對外活 動 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 設(shè)備數(shù)字安全證書中包含服務(wù)器信息和服務(wù)器的公鑰 用于標(biāo)識證書持有 服務(wù)器的身份 數(shù)字安全證書和對應(yīng)的私鑰存儲于 Keynet 卡中 用于表征該服 務(wù)器的身份 主要用于網(wǎng)站交易服務(wù)器 目的是保證客戶和服務(wù) 數(shù)字安全證書由用戶向相關(guān)的 CA 機構(gòu)提供相應(yīng)資料 不同類型的證書所 需提交的資料是不一樣的 進行申請并交納一定費用 然后 CA 對用戶提供資 料進行審核 審核通過后由 CA 向用戶頒發(fā)數(shù)字安全證書 并對數(shù)字安全證書 進行管理 數(shù)字安全證書可用于 發(fā)送安全電子郵件 訪問安全站點 網(wǎng)上證券 網(wǎng) 上招標(biāo)采購 網(wǎng)上簽約 網(wǎng)上辦公 網(wǎng)上繳費 網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù) 處理和安全電子交易活動 四 小結(jié) 由于利用 Internet 作為商務(wù)平臺的電子商務(wù)系統(tǒng)可以提供網(wǎng)上電子交易 使得客戶能夠極其方便的獲得企業(yè)和其產(chǎn)品的信息 并進行網(wǎng)上交易 降低了 交易成本 提高了交易效率 但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫 用的風(fēng)險 電子商務(wù)系統(tǒng)必須保障在 Internet 上進行的一切金融交易運作都是 安全可靠的 只有這樣才能夠使顧客 商家和企業(yè)等交易各方對電子商務(wù)系統(tǒng) 具有絕對的信心 也只有這樣電子商務(wù)系統(tǒng)才能進一步發(fā)展 因此 安全性在 整個電子商務(wù)系統(tǒng)占據(jù)十分重要的地位 目前 電子商務(wù)系統(tǒng)的安全體系結(jié)構(gòu)是主要是通過構(gòu)建認(rèn)證中心 CA 證 書的信任過程來實現(xiàn)的 在電子商務(wù)應(yīng)用中主要有以下五個交易參與方 買家 服務(wù)商 供貨商 銀行和認(rèn)證中心 CA 電子商務(wù)的交易流程主要有以下三個階段 第一階段 認(rèn)證中心 CA 證書的注冊申請 交易各方通過認(rèn)證中心 CA 獲取各自的數(shù)字安全證書 第二階段 銀行的支付中心對買家的數(shù)字安全證書進行驗證 通過驗證后 將買家的所付款凍結(jié)在銀行中 此時服務(wù)商和供應(yīng)商也相互進行數(shù)字安全證書 的驗證 通過驗證后 可以履行交易內(nèi)容進行發(fā)貨 第三階段 銀行驗證服務(wù)商和供貨商的數(shù)字安全證書后 將買家凍結(jié)在銀 行中的貨款轉(zhuǎn)到服務(wù)商和供貨商的戶頭上 完成了此項電子交易 由于參與交易的各方都持有認(rèn)證中心 CA 所頒發(fā)的數(shù)字安全證書 所以 能夠保證在交易的過程中參與各方的真