談電子商務系統(tǒng)中的CA認證

談電子商務系統(tǒng)中的 認證談電子商務系統(tǒng)中的 認證 摘要 CA Certificate Authority 認證是CA作為權威的 可信賴的 公正的第三方機構(gòu) 專 門負責發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書 CA通過對密鑰進行有效的管 理 并頒發(fā)認證證書證明密鑰的有效性 然后將公開密鑰同某一個實體 消費者 商家 銀行等 聯(lián)系在一起 從而確保電子交易有效 安全的進行 并使網(wǎng)上交易信息除發(fā)送方 和接收方外 不被其他方知悉 保證信息在傳輸過程中不被篡改 使發(fā)送方確信接收方不 是假冒的 同時也使發(fā)送方不能否認自己的發(fā)送行為 CA認證是企業(yè)電子商務平臺的真正 核心 企業(yè)信息化是現(xiàn)化企業(yè)發(fā)展的必然趨勢 在企業(yè)信息化過程中 通過大量 采用信息化技術改進和強化了企業(yè)物資流 資金流等信息的管理 對企業(yè)固有 的經(jīng)營思想和管理模式產(chǎn)生了強烈的沖擊 帶來了根本性的變革 信息技術與 企業(yè)管理技術的發(fā)展與融合 使企業(yè)競爭戰(zhàn)略不斷創(chuàng)新 企業(yè)競爭力不斷提高 電子商務是在企業(yè)信息化大潮下采用數(shù)字化方式 利用計算機網(wǎng)絡進行商務數(shù) 據(jù)交換 全面實現(xiàn)在線交易電子化的過程 是企業(yè)開展商業(yè)活動的新形式 企 業(yè)電子商務平臺不僅是相關企業(yè)宣傳產(chǎn)品 銷售產(chǎn)品 進行售后服務的窗口 也是樹立企業(yè)形象的前沿 通常企業(yè)電子商務系統(tǒng)會涉及到參與商務活動的各方 買家 服務商 供 貨商 銀行和認證中心 CA 一個完善的電子商務系統(tǒng)應當包括那些部分 目前還沒有權威的論述 從企業(yè)電子商務實踐來看 企業(yè)電子商務系統(tǒng)的系統(tǒng) 架構(gòu)是三層結(jié)構(gòu)的 最底層是計算機網(wǎng)絡平臺 這一層是電子商務過程中的信 息傳送的載體和用戶接入企業(yè)電子商務平臺的途徑 中間是電子商務基礎平臺 包括 CA 認證 支付網(wǎng)關和會員服務中心等內(nèi)容 這一層主要用于保障網(wǎng)絡交 易的有效性和安全性 第三層是以電子商務平臺為基礎的各種各樣的電子商務 應用系統(tǒng) 由于電子商務系統(tǒng)基于開放式的 Internet 平臺 而 Internet 用戶數(shù)量巨大 各種各樣的人都有 這使得網(wǎng)上交易面臨著種種危險 因此 電子商務發(fā)展的 核心和關鍵問題是交易的安全性問題 電子商務的安全問題 總的來說分為二 部分 一是網(wǎng)絡安全 二是商務安全 計算機網(wǎng)絡安全主要包括 計算機網(wǎng)絡設備安全 計算機網(wǎng)絡系統(tǒng)安全 數(shù)據(jù)庫安全等方面 其特征是針對計算機網(wǎng)絡本身可能存在的安全問題 實施 網(wǎng)絡安全增強方案 以保證計算機網(wǎng)絡自身的安全性為目標 目前針對計算機 網(wǎng)絡安全的防護技術主要有數(shù)據(jù)加密技術 身份識別和驗證技術 防火墻技術 虛擬專用網(wǎng)絡技術 網(wǎng)絡安全掃描技術和網(wǎng)絡攻擊檢測技術等技術 由于對計 算機網(wǎng)絡安全的研究已經(jīng)比較深入了 其安全保障技術也比較成熟 這里就不 多加討論了 商務安全則緊緊圍繞傳統(tǒng)商務在 Internet 上應用時產(chǎn)生的各種安全問題 在計算機網(wǎng)絡安全的基礎上 如何保障電子商務過程的順利進行 即實現(xiàn)電子 商務的保密性 在電子商務系統(tǒng)交易過程中的商務信息均有保密的要求 如信 用卡的賬號和用戶名被人知悉 就可能被盜用 訂貨和付款的信息被競爭對手 獲悉 就可能喪失商機 完整性和一致性 電子交易的過程是一個完整的過程 期間產(chǎn)生的信息是不能被修改的必需保證其一致性 身份的真實性和不可偽裝 性 網(wǎng)上交易的雙方很可能素昧平生 相隔千里 要使交易成功首先要能確認 對方的身份 對商家要考慮 客戶端不能是騙子 而客戶也會擔心網(wǎng)上的商店不 是一個玩弄欺詐的黑店 因此能方便而可靠地確認對方身份是交易的前提 對 于為顧客或用戶開展服務的銀行 信用卡公司和銷售商店 為了做到安全 保 密 可靠地開展服務活動 都要進行身份認證的工作 及不可抵賴性 由于 商情的千變?nèi)f化 交易一旦達成是不能被否認的 否則必然會損害一方的利益 目前 電子商務交易過程中的商務安全性主要是通過 CA 認證來實現(xiàn)的 下面我們對電子商務過程中與 CA 認證有關的內(nèi)容進行具體介紹 一 CA 數(shù)字證書認證中心 Certficate Authority CA 就是一個負責發(fā)放和管理 數(shù)字安全證書的權威機構(gòu) 對于一個大型的應用環(huán)境 認證中心往往采用一種 多層次的分級結(jié)構(gòu) 各級的認證中心類似于各級行政機關 上級認證中心負責 簽發(fā)和管理下級認證中心的證書 最下一級的認證中心直接面向最終用戶 認 證中心主要有以下幾種功能 證書的頒發(fā) 證書的更新 證書的查詢 證書 的作廢 證書的歸檔 二 PKI 公鑰基礎設施 PKI Public Key Infrastructure 是一種遵循既定標準的密 鑰管理平臺 它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的 密鑰和證書管理體系 簡單來說 PKI 就是利用公鑰理論和技術建立的提供安 全服務的基礎設施 PKI 技術是信息安全技術的核心 也是電子商務的關鍵和 基礎技術 PKI 采用非對稱的加密算法 即由原文加密成密文的密鑰不同于由密文解 密為原文的密鑰 以避免第三方獲取密鑰后將密文解密 PKI 的基礎技術包括加密 數(shù)字簽名 數(shù)據(jù)完整性機制 數(shù)字信封 雙重 數(shù)字簽名等 完整的 PKI 系統(tǒng)必須具有權威認證機構(gòu) CA 數(shù)字證書庫 密鑰備份及恢 復系統(tǒng) 證書作廢系統(tǒng) 應用接口 API 等基本構(gòu)成部分 構(gòu)建 PKI 也將圍 繞著這五大系統(tǒng)來著手構(gòu)建 三 數(shù)字安全證書 數(shù)字安全證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù) 用來在網(wǎng)絡通訊 中識別通訊各方的身份 數(shù)字安全證書是由權威公正的第三方機構(gòu)即 CA 中心 簽發(fā)的 以數(shù)字安全證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密 和解密 數(shù)字簽名和簽名驗證 確保網(wǎng)上傳遞信息的機密性 完整性 以及交 易實體身份的真實性 簽名信息的不可否認性 從而保障網(wǎng)絡應用的安全性 數(shù)字安全證書采用公鑰密碼體制 即利用一對互相匹配的密鑰進行加密 解密 每個用戶擁有一把僅為本人所掌握的私有密鑰 私鑰 用它進行解密 和簽名 同時擁有一把公共密鑰 公鑰 并可以對外公開 用于加密和驗證簽 名 當發(fā)送一份保密文件時 發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密 而接收方 則使用自己的私鑰解密 這樣 信息就可以安全無誤地到達目的地了 即使被 第三方截獲 由于沒有相應的私鑰 也無法進行解密 通過數(shù)字的手段保證加 密過程是一個不可逆過程 即只有用私有密鑰才能解密 在公開密鑰密碼體制中 常用的一種是 RSA 體制 其數(shù)學原理是將一個大 數(shù)分解成兩個質(zhì)數(shù)的乘積 加密和解密用的是兩個不同的密鑰 即使已知明文 密文和加密密鑰 公開密鑰 想要推導出解密密鑰 私密密鑰 在計算上 是不可能的 按現(xiàn)在的計算機技術水平 要破解目前采用的 1024 位 RSA 密鑰 需要上千年的計算時間 公開密鑰技術解決了密鑰發(fā)布的管理問題 商戶可以公開其公開密鑰 而 保留其私有密鑰 購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密 安全地傳送給商戶 然后由商戶用自己的私有密鑰進行解密 用戶也可以采用自己的私鑰對信息加以處理 由于密鑰僅為本人所有 這 樣就產(chǎn)生了別人無法生成的文件 也就形成了數(shù)字簽名 采用數(shù)字簽名 能夠 確認以下兩點 1 保證信息是由簽名者自己簽名發(fā)送的 簽名者不能否認或難以否認 2 保證信息自簽發(fā)后到收到為止未曾作過任何修改 簽發(fā)的文件是真實文 件 數(shù)字安全證書的格式一般采用 X 509 國際標準 它包含了以下幾點 數(shù)字 安全證書擁有者的名稱 數(shù)字安全證書擁有者的公共密鑰 公共密鑰的有效期 頒發(fā)數(shù)字安全證書的單位 數(shù)字安全證書的序列號 頒發(fā)數(shù)字安全證書單位的 數(shù)字簽名等內(nèi)容 數(shù)字安全證書根據(jù)應用領域的不同一般有 個人數(shù)字安全證書 機構(gòu)數(shù)字安 全證書 個人簽名安全證書 機構(gòu)簽名安全證書 設備安全數(shù)字證書等幾種類 型 個人數(shù)字安全證書中包含個人身份信息和個人的公鑰 用于標識證書持有 人的個人身份 數(shù)字安全證書和對應的私鑰存儲于 ikey 或 IC 卡中 用于個人 在網(wǎng)上進行合同簽定 定單 錄入審核 操作權限 支付信息等活動中標明身 份 機構(gòu)數(shù)字安全證書中包含企業(yè)信息和企業(yè)的公鑰 用于標識證書持有企業(yè) 的身份 數(shù)字安全證書和對應的私鑰存儲于 Keynet 卡中 可以用于企業(yè)在電子 商務方面的對外活動 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 個人簽名證書中包含個人身份信息和個人的簽名私鑰 用于標識證書持有 人的個人身份 簽名私鑰存儲于 Keynet 卡中 用于個人在網(wǎng)上進行合同簽定 定單 錄入審核 操作權限 支付信息等活動中標明身份 機構(gòu)簽名證書中包含企業(yè)信息和企業(yè)的簽名私鑰 用于標識證書持有企業(yè) 的身份 簽名私鑰存儲于 Keynet 卡中 可以用于企業(yè)在電子商務方面的對外活 動 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 設備數(shù)字安全證書中包含服務器信息和服務器的公鑰 用于標識證書持有 服務器的身份 數(shù)字安全證書和對應的私鑰存儲于 Keynet 卡中 用于表征該服 務器的身份 主要用于網(wǎng)站交易服務器 目的是保證客戶和服務 數(shù)字安全證書由用戶向相關的 CA 機構(gòu)提供相應資料 不同類型的證書所 需提交的資料是不一樣的 進行申請并交納一定費用 然后 CA 對用戶提供資 料進行審核 審核通過后由 CA 向用戶頒發(fā)數(shù)字安全證書 并對數(shù)字安全證書 進行管理 數(shù)字安全證書可用于 發(fā)送安全電子郵件 訪問安全站點 網(wǎng)上證券 網(wǎng) 上招標采購 網(wǎng)上簽約 網(wǎng)上辦公 網(wǎng)上繳費 網(wǎng)上稅務等網(wǎng)上安全電子事務 處理和安全電子交易活動 四 小結(jié) 由于利用 Internet 作為商務平臺的電子商務系統(tǒng)可以提供網(wǎng)上電子交易 使得客戶能夠極其方便的獲得企業(yè)和其產(chǎn)品的信息 并進行網(wǎng)上交易 降低了 交易成本 提高了交易效率 但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫 用的風險 電子商務系統(tǒng)必須保障在 Internet 上進行的一切金融交易運作都是 安全可靠的 只有這樣才能夠使顧客 商家和企業(yè)等交易各方對電子商務系統(tǒng) 具有絕對的信心 也只有這樣電子商務系統(tǒng)才能進一步發(fā)展 因此 安全性在 整個電子商務系統(tǒng)占據(jù)十分重要的地位 目前 電子商務系統(tǒng)的安全體系結(jié)構(gòu)是主要是通過構(gòu)建認證中心 CA 證 書的信任過程來實現(xiàn)的 在電子商務應用中主要有以下五個交易參與方 買家 服務商 供貨商 銀行和認證中心 CA 電子商務的交易流程主要有以下三個階段 第一階段 認證中心 CA 證書的注冊申請 交易各方通過認證中心 CA 獲取各自的數(shù)字安全證書 第二階段 銀行的支付中心對買家的數(shù)字安全證書進行驗證 通過驗證后 將買家的所付款凍結(jié)在銀行中 此時服務商和供應商也相互進行數(shù)字安全證書 的驗證 通過驗證后 可以履行交易內(nèi)容進行發(fā)貨 第三階段 銀行驗證服務商和供貨商的數(shù)字安全證書后 將買家凍結(jié)在銀 行中的貨款轉(zhuǎn)到服務商和供貨商的戶頭上 完成了此項電子交易 由于參與交易的各方都持有認證中心 CA 所頒發(fā)的數(shù)字安全證書 所以 能夠保證在交易的過程中參與各方的真