基于ＰＫＩ技術(shù)的電子商務(wù)身份認(rèn)證系統(tǒng)的研究

1、基于技術(shù)的電子商務(wù)身份認(rèn)證系統(tǒng)的研究    摘要：隨著互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)己經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。同時(shí)，電子商務(wù)的安全問題也變得越來越突出。公開密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）是實(shí)現(xiàn)電子商務(wù)安全的關(guān)鍵基礎(chǔ)技術(shù)，是解決電子商務(wù)發(fā)展中安全問題的最可行、有效的措施。對(duì)基于PKI技術(shù)的電子商務(wù)身份認(rèn)證系統(tǒng)進(jìn)行了研究，并提出了具體的實(shí)施方案。 關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；PKI；實(shí)施方案 Abstract:With the development of the Internet,e-commerce has

2、 gradually become an accepted business model.Meanwhile,security problems with e-commerce are also becoming noticeable.PKI is a key fundamental technology to achieve Electronic Commence security,and the most feasible and effective mode to solve the security problems during the development of Electron

3、ic Commerce. This paper studies the Certificate Authentication System in E- commerce based on PKI and proposes a e-commerce security scheme. Key words: E-commerce;Certificate authority;PKI;Implementation Scheme 1 引言 電子商務(wù)的發(fā)展給人們的工作和生活帶來了方便，但它的發(fā)展并沒有達(dá)到人們預(yù)期的速度，其中一個(gè)很重要的原因就是電子商務(wù)的安全性，它成為了阻礙電子商務(wù)發(fā)展的瓶頸。所以，研究和分

4、析電子商務(wù)的安全性問題，發(fā)展電子商務(wù)安全技術(shù)就成為發(fā)展電子商務(wù)的關(guān)鍵。而身份認(rèn)證技術(shù)作為保障電子商務(wù)安全的核心技術(shù)和手段受到了廣泛的重視及應(yīng)用。 2 身份認(rèn)證的含義 身份認(rèn)證技術(shù)是指能夠?qū)π畔⑹瞻l(fā)方進(jìn)行真實(shí)身份鑒別的技術(shù)，是保護(hù)網(wǎng)絡(luò)信息資源安全的第一道大門，它的任務(wù)是識(shí)別、驗(yàn)證網(wǎng)絡(luò)信息系統(tǒng)中用戶身份的合法性和真實(shí)性，按授權(quán)訪問系統(tǒng)資源，并將非法訪問者拒之門外?？梢?，身份認(rèn)證在安全系統(tǒng)中的地位極其重要，是最基本的安全服務(wù)，其它的安全服務(wù)都要依賴于它。 身份認(rèn)證的基本方法就是由被認(rèn)證方提交該主體獨(dú)有的并且難以偽造的信息來表明自己的身份。常用的方式有：基于公開密鑰基礎(chǔ)設(shè)施（Public Key In

5、frastructure，PKI）的數(shù)字證書，智能卡，靜態(tài)口令，動(dòng)態(tài)口令以及生物特征等。本文主要探討電子商務(wù)中基于PKI的身份認(rèn)證。 3 PKI技術(shù) 在電子商務(wù)信息安全系統(tǒng)中，PKI 是主要的技術(shù)之一，它是數(shù)字證書和公開密鑰密碼體制的基礎(chǔ)上發(fā)展起來的一種安全應(yīng)用框架（包括協(xié)議、服務(wù)和標(biāo)準(zhǔn)），涉及公開密鑰技術(shù)、數(shù)字簽名、數(shù)字證書和認(rèn)證中心等技術(shù)，為各種業(yè)務(wù)應(yīng)用提供信息傳輸機(jī)密性、數(shù)據(jù)交換的完整性、交易者雙方身份的真實(shí)性和發(fā)送信息的不可否認(rèn)性等安全服務(wù)。 3.1 PKI的組成 完整的PKI系統(tǒng)是有權(quán)威認(rèn)證機(jī)構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等組成。如圖1所

6、示： 圖1PKI結(jié)構(gòu)簡(jiǎn)單模型 PKI 策略：PKI 策略建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。 認(rèn)證機(jī)構(gòu)（CA）：即數(shù)字證書的申請(qǐng)和簽發(fā)機(jī)構(gòu)，CA 必須具備權(quán)威性的特征，也就是要經(jīng)過國家有關(guān)部門的批準(zhǔn)。在整個(gè)PKI系統(tǒng)中證書的簽發(fā)機(jī)構(gòu)CA 將決定PKI系統(tǒng)的安全性和可靠性。 注冊(cè)機(jī)構(gòu)（RA, Registration Authority）提供用戶和CA之間的一個(gè)橋梁，它本身并不給用戶簽發(fā)證書，只負(fù)責(zé)接受用戶的注冊(cè)申請(qǐng)和初始鑒別。 數(shù)字證書庫：用于存儲(chǔ)已簽發(fā)的數(shù)字證書即公鑰，用戶可由此獲得所需的其他用戶的證書。CA 中心將在網(wǎng)站上公布用戶證書信息，

7、同時(shí)提供相關(guān)下載。 證書作廢系統(tǒng)：證書作廢處理系統(tǒng)是PKI 的一個(gè)必備的組件。它公布左右作廢的證書信息。 應(yīng)用接口（API）：PKI 的價(jià)值在于讓用戶能夠方便地使用加密、身份認(rèn)證和數(shù)字簽名等安全服務(wù)。因此一個(gè)完整的PKI 必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI進(jìn)行交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。 3.2 PKI 提供的認(rèn)證性服務(wù) 在雙方進(jìn)行通信以前，必須首先確認(rèn)對(duì)方身份的真實(shí)性。為了保證只有事先約定好的一方才能獲取機(jī)密信息，對(duì)這一方的身份進(jìn)行驗(yàn)證就顯得極為重要。這是保證通信正常進(jìn)行的前提條件。 在應(yīng)用程序中，通常存在兩種認(rèn)證：實(shí)體鑒別和數(shù)據(jù)來

8、源鑒別。實(shí)體認(rèn)證往往和訪問控制想關(guān)聯(lián)，允許實(shí)體進(jìn)行那些操作和通信，如產(chǎn)生一個(gè)用于加/解密文件的對(duì)稱密鑰，或者在兩個(gè)實(shí)體之間建立一個(gè)安全通信的通道。數(shù)據(jù)來源鑒別確定某一個(gè)實(shí)體與特定通信數(shù)據(jù)的聯(lián)系，確定通信數(shù)據(jù)是否來源于某個(gè)實(shí)體。 PKI的認(rèn)證服務(wù)在ITU- T X.509 標(biāo)準(zhǔn)中定義為強(qiáng)鑒別服務(wù)，即采用公開密鑰技術(shù)、數(shù)字簽名技術(shù)和安全的認(rèn)證協(xié)議進(jìn)行強(qiáng)鑒別的服務(wù)。 3.3 PKI 的職能 PKI 中采用了數(shù)字證書對(duì)公鑰進(jìn)行管理，可是對(duì)數(shù)字證書的管理就必須通過第三方的可信任機(jī)構(gòu)（CA）才能實(shí)現(xiàn)。CA 為每個(gè)使用公開密鑰的用戶發(fā)放數(shù)字證書，用以證明證書中的公開密鑰只屬于證書的持有者。數(shù)字證書中所包含的

9、CA 中心的數(shù)字簽名似的攻擊者不能偽造和篡改數(shù)字證書。因此在電子交易的各個(gè)環(huán)節(jié)，交易各方檢驗(yàn)對(duì)方數(shù)字證書的有效性就可確定其身份的合法性，從而解決了用戶信任問題。 4 基于PKI安全的現(xiàn)代遠(yuǎn)程教育系統(tǒng)的設(shè)計(jì)實(shí)例 本實(shí)例是以校園網(wǎng)為依托而設(shè)計(jì)的一個(gè)現(xiàn)代遠(yuǎn)程教育系統(tǒng)的方案。 該方案的第一層是證書機(jī)構(gòu)CA。它由學(xué)校教務(wù)處的信息服務(wù)中心負(fù)責(zé)建立和維護(hù)。它的服務(wù)對(duì)象是學(xué)校的所有學(xué)生（包括在校的全日制的、成教的和網(wǎng)絡(luò)學(xué)院的學(xué)生）、教師以及需要安全連接的服務(wù)器。同時(shí)還建有一個(gè)檔案服務(wù)器，以方便用戶（教師、學(xué)生）查找信息；對(duì)于證書機(jī)構(gòu)所頒發(fā)的證書，同樣可以被存放在檔案服務(wù)器中。為了便于證書申請(qǐng)的審批和管理，在學(xué)

10、校各系部還建立了證書注冊(cè)機(jī)構(gòu)RA，它是用戶和CA的接口，負(fù)責(zé)學(xué)生、老師的證書申請(qǐng)，驗(yàn)證申請(qǐng)信息的正確性。它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登記，如通過電子郵件、瀏覽器等方式登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全化且易于操作的RA系統(tǒng)。另外，對(duì)于申請(qǐng)信息可以留作備份，以便將來管理。注冊(cè)中心把經(jīng)審核通過的注冊(cè)信息提交給證書機(jī)構(gòu)。然后由證書機(jī)構(gòu)對(duì)該信息進(jìn)行處理。該系統(tǒng)的操作過程為： 1) 用戶（教師、學(xué)生）向設(shè)在學(xué)校各系部的注冊(cè)機(jī)構(gòu)RA提交證書申請(qǐng)。該申請(qǐng)中，包括客戶的姓名、班級(jí)、學(xué)號(hào)、通信地址、證書公鑰等信息。

11、2) 注冊(cè)機(jī)構(gòu)RA驗(yàn)證客戶提交的請(qǐng)求信息。主要包括： (1) 查詢客戶的證書請(qǐng)求，顯示請(qǐng)求內(nèi)容。這里請(qǐng)求信息可以是書面形式的，可以是電子形式的。但簽發(fā)證書所需的公鑰必須是電子形式的。 (2) 根據(jù)請(qǐng)求信息，驗(yàn)證請(qǐng)求者的身份。例如可以通過身份證或?qū)W生證來驗(yàn)證。 (3) 檢查請(qǐng)求信息是否完整和正確。如果正確，則進(jìn)行下一步，否則，退回請(qǐng)求。 (4) 對(duì)該請(qǐng)求分配一個(gè)標(biāo)識(shí)名（Distinguished Name，簡(jiǎn)稱DN名）。所分配的DN名必須是唯一的，并對(duì)請(qǐng)求信息、數(shù)字公鑰和DN名進(jìn)行簽名。 (5) 將上述簽名連同以上信息提交給證書機(jī)構(gòu)CA，并把提交信息在本地作一個(gè)備份。這里RA與CA間的通信信道應(yīng)

12、該是加密的，而且對(duì)提交的請(qǐng)求應(yīng)做數(shù)字簽名，保證其不被修改。 3) 檢查提交信息的完整性和數(shù)字簽名的正確性，如果正確則進(jìn)行下一步， 否則向注冊(cè)機(jī)構(gòu)RA提出詢問。 4) 根據(jù)請(qǐng)求信息提供的數(shù)字公鑰和RA分配的DN，以及證書機(jī)構(gòu)關(guān)于證書政策簽發(fā)數(shù)字證書，并把該證書存放到檔案服務(wù)器中。 5) 證書機(jī)構(gòu)CA在簽發(fā)證書后，通知客戶和注冊(cè)機(jī)構(gòu)RA，該證書請(qǐng)求已被批準(zhǔn)并告知該證書的證書序列號(hào)。 6) 客戶在得知證書序列號(hào)后，通過CA主頁面或檔案服務(wù)器下載其證書。 5 結(jié)束語 安全是電子商務(wù)的核心和靈魂，制約電子商務(wù)發(fā)展的瓶頸是安全問題。而PKI技術(shù)是保障開放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息系統(tǒng)安全的最可行、有效的措施。

13、因此將PK技術(shù)引入電子商務(wù)身份認(rèn)證系統(tǒng)，可以有效的改善電子商務(wù)安全現(xiàn)狀和促進(jìn)身份認(rèn)證系統(tǒng)的開發(fā)與運(yùn)用，為我國電子商務(wù)的發(fā)展提供必要的安全保證。 參考文獻(xiàn)： 1 祝凌曦.電子商務(wù)安全M.北京:清華大學(xué)出版社,2006. 2 孟博,熊麗,陳浩然.基于PKI 的電子商務(wù)安全研究J.計(jì)算機(jī)工程與應(yīng)用,2002(11):237-239. 3 沙瀛,白碩.當(dāng)前公開密鑰基礎(chǔ)設(shè)施的主要問題分析J.微電子學(xué)與計(jì)算機(jī),200219(6):18-21. 4 羅斌,裘正定. 網(wǎng)絡(luò)身份認(rèn)證新技術(shù)J.計(jì)算機(jī)安全,2005(10):29-31. 5 陳小滿,陶牡丹,吳波,林?；?電子商務(wù)參與下的交易信用J.重慶郵電大學(xué)學(xué)報(bào)

14、,2006,19(1):33-35. 參考文獻(xiàn)： 1 祝凌曦.電子商務(wù)安全M.北京:清華大學(xué)出版社,2006. 2 孟博,熊麗,陳浩然.基于PKI 的電子商務(wù)安全研究J.計(jì)算機(jī)工程與應(yīng)用,2002(11):237-239. 3 沙瀛,白碩.當(dāng)前公開密鑰基礎(chǔ)設(shè)施的主要問題分析J.微電子學(xué)與計(jì)算機(jī),200219(6):18-21. 4 羅斌,裘正定. 網(wǎng)絡(luò)身份認(rèn)證新技術(shù)J.計(jì)算機(jī)安全,2005(10):29-31. 5 陳小滿,陶牡丹,吳波,林?；?電子商務(wù)參與下的交易信用J.重慶郵電大學(xué)學(xué)報(bào),2006,19(1):33-35. 參考文獻(xiàn)： 1 祝凌曦.電子商務(wù)安全M.北京:清華大學(xué)出版社,200

15、6. 2 孟博,熊麗,陳浩然.基于PKI 的電子商務(wù)安全研究J.計(jì)算機(jī)工程與應(yīng)用,2002(11):237-239. 3 沙瀛,白碩.當(dāng)前公開密鑰基礎(chǔ)設(shè)施的主要問題分析J.微電子學(xué)與計(jì)算機(jī),200219(6):18-21. 4 羅斌,裘正定. 網(wǎng)絡(luò)身份認(rèn)證新技術(shù)J.計(jì)算機(jī)安全,2005(10):29-31. 5 陳小滿,陶牡丹,吳波,林?；?電子商務(wù)參與下的交易信用J.重慶郵電大學(xué)學(xué)報(bào),2006,19(1):33-35. 參考文獻(xiàn)： 1 祝凌曦.電子商務(wù)安全M.北京:清華大學(xué)出版社,2006. 2 孟博,熊麗,陳浩然.基于PKI 的電子商務(wù)安全研究J.計(jì)算機(jī)工程與應(yīng)用,2002(11):237-239. 3 沙瀛,白碩.當(dāng)前公開密鑰基礎(chǔ)設(shè)施的主要問題分析J.微電子學(xué)與計(jì)算機(jī),200219(6):18-21. 4 羅斌,裘正定. 網(wǎng)絡(luò)身份認(rèn)證新技術(shù)J.計(jì)算機(jī)安全,2005(10):29-31. 5 陳小滿,陶牡丹,吳波,林?；?電子商務(wù)參與下的交易信用J.重慶郵電大學(xué)學(xué)報(bào),2006,19(1):33-35. 參