谈电子商务系统中的CA认证

谈电子商务系统中的 认证谈电子商务系统中的 认证 摘要 CA Certificate Authority 认证是CA作为权威的 可信赖的 公正的第三方机构 专 门负责发放并管理所有参与网上交易的实体所需的数字证书 CA通过对密钥进行有效的管 理 并颁发认证证书证明密钥的有效性 然后将公开密钥同某一个实体 消费者 商家 银行等 联系在一起 从而确保电子交易有效 安全的进行 并使网上交易信息除发送方 和接收方外 不被其他方知悉 保证信息在传输过程中不被篡改 使发送方确信接收方不 是假冒的 同时也使发送方不能否认自己的发送行为 CA认证是企业电子商务平台的真正 核心 企业信息化是现化企业发展的必然趋势 在企业信息化过程中 通过大量 采用信息化技术改进和强化了企业物资流 资金流等信息的管理 对企业固有 的经营思想和管理模式产生了强烈的冲击 带来了根本性的变革 信息技术与 企业管理技术的发展与融合 使企业竞争战略不断创新 企业竞争力不断提高 电子商务是在企业信息化大潮下采用数字化方式 利用计算机网络进行商务数 据交换 全面实现在线交易电子化的过程 是企业开展商业活动的新形式 企 业电子商务平台不仅是相关企业宣传产品 销售产品 进行售后服务的窗口 也是树立企业形象的前沿 通常企业电子商务系统会涉及到参与商务活动的各方 买家 服务商 供 货商 银行和认证中心 CA 一个完善的电子商务系统应当包括那些部分 目前还没有权威的论述 从企业电子商务实践来看 企业电子商务系统的系统 架构是三层结构的 最底层是计算机网络平台 这一层是电子商务过程中的信 息传送的载体和用户接入企业电子商务平台的途径 中间是电子商务基础平台 包括 CA 认证 支付网关和会员服务中心等内容 这一层主要用于保障网络交 易的有效性和安全性 第三层是以电子商务平台为基础的各种各样的电子商务 应用系统 由于电子商务系统基于开放式的 Internet 平台 而 Internet 用户数量巨大 各种各样的人都有 这使得网上交易面临着种种危险 因此 电子商务发展的 核心和关键问题是交易的安全性问题 电子商务的安全问题 总的来说分为二 部分 一是网络安全 二是商务安全 计算机网络安全主要包括 计算机网络设备安全 计算机网络系统安全 数据库安全等方面 其特征是针对计算机网络本身可能存在的安全问题 实施 网络安全增强方案 以保证计算机网络自身的安全性为目标 目前针对计算机 网络安全的防护技术主要有数据加密技术 身份识别和验证技术 防火墙技术 虚拟专用网络技术 网络安全扫描技术和网络攻击检测技术等技术 由于对计 算机网络安全的研究已经比较深入了 其安全保障技术也比较成熟 这里就不 多加讨论了 商务安全则紧紧围绕传统商务在 Internet 上应用时产生的各种安全问题 在计算机网络安全的基础上 如何保障电子商务过程的顺利进行 即实现电子 商务的保密性 在电子商务系统交易过程中的商务信息均有保密的要求 如信 用卡的账号和用户名被人知悉 就可能被盗用 订货和付款的信息被竞争对手 获悉 就可能丧失商机 完整性和一致性 电子交易的过程是一个完整的过程 期间产生的信息是不能被修改的必需保证其一致性 身份的真实性和不可伪装 性 网上交易的双方很可能素昧平生 相隔千里 要使交易成功首先要能确认 对方的身份 对商家要考虑 客户端不能是骗子 而客户也会担心网上的商店不 是一个玩弄欺诈的黑店 因此能方便而可靠地确认对方身份是交易的前提 对 于为顾客或用户开展服务的银行 信用卡公司和销售商店 为了做到安全 保 密 可靠地开展服务活动 都要进行身份认证的工作 及不可抵赖性 由于 商情的千变万化 交易一旦达成是不能被否认的 否则必然会损害一方的利益 目前 电子商务交易过程中的商务安全性主要是通过 CA 认证来实现的 下面我们对电子商务过程中与 CA 认证有关的内容进行具体介绍 一 CA 数字证书认证中心 Certficate Authority CA 就是一个负责发放和管理 数字安全证书的权威机构 对于一个大型的应用环境 认证中心往往采用一种 多层次的分级结构 各级的认证中心类似于各级行政机关 上级认证中心负责 签发和管理下级认证中心的证书 最下一级的认证中心直接面向最终用户 认 证中心主要有以下几种功能 证书的颁发 证书的更新 证书的查询 证书 的作废 证书的归档 二 PKI 公钥基础设施 PKI Public Key Infrastructure 是一种遵循既定标准的密 钥管理平台 它能够为所有网络应用提供加密和数字签名等密码服务及所必需的 密钥和证书管理体系 简单来说 PKI 就是利用公钥理论和技术建立的提供安 全服务的基础设施 PKI 技术是信息安全技术的核心 也是电子商务的关键和 基础技术 PKI 采用非对称的加密算法 即由原文加密成密文的密钥不同于由密文解 密为原文的密钥 以避免第三方获取密钥后将密文解密 PKI 的基础技术包括加密 数字签名 数据完整性机制 数字信封 双重 数字签名等 完整的 PKI 系统必须具有权威认证机构 CA 数字证书库 密钥备份及恢 复系统 证书作废系统 应用接口 API 等基本构成部分 构建 PKI 也将围 绕着这五大系统来着手构建 三 数字安全证书 数字安全证书就是标志网络用户身份信息的一系列数据 用来在网络通讯 中识别通讯各方的身份 数字安全证书是由权威公正的第三方机构即 CA 中心 签发的 以数字安全证书为核心的加密技术可以对网络上传输的信息进行加密 和解密 数字签名和签名验证 确保网上传递信息的机密性 完整性 以及交 易实体身份的真实性 签名信息的不可否认性 从而保障网络应用的安全性 数字安全证书采用公钥密码体制 即利用一对互相匹配的密钥进行加密 解密 每个用户拥有一把仅为本人所掌握的私有密钥 私钥 用它进行解密 和签名 同时拥有一把公共密钥 公钥 并可以对外公开 用于加密和验证签 名 当发送一份保密文件时 发送方使用接收方的公钥对数据加密 而接收方 则使用自己的私钥解密 这样 信息就可以安全无误地到达目的地了 即使被 第三方截获 由于没有相应的私钥 也无法进行解密 通过数字的手段保证加 密过程是一个不可逆过程 即只有用私有密钥才能解密 在公开密钥密码体制中 常用的一种是 RSA 体制 其数学原理是将一个大 数分解成两个质数的乘积 加密和解密用的是两个不同的密钥 即使已知明文 密文和加密密钥 公开密钥 想要推导出解密密钥 私密密钥 在计算上 是不可能的 按现在的计算机技术水平 要破解目前采用的 1024 位 RSA 密钥 需要上千年的计算时间 公开密钥技术解决了密钥发布的管理问题 商户可以公开其公开密钥 而 保留其私有密钥 购物者可以用人人皆知的公开密钥对发送的信息进行加密 安全地传送给商户 然后由商户用自己的私有密钥进行解密 用户也可以采用自己的私钥对信息加以处理 由于密钥仅为本人所有 这 样就产生了别人无法生成的文件 也就形成了数字签名 采用数字签名 能够 确认以下两点 1 保证信息是由签名者自己签名发送的 签名者不能否认或难以否认 2 保证信息自签发后到收到为止未曾作过任何修改 签发的文件是真实文 件 数字安全证书的格式一般采用 X 509 国际标准 它包含了以下几点 数字 安全证书拥有者的名称 数字安全证书拥有者的公共密钥 公共密钥的有效期 颁发数字安全证书的单位 数字安全证书的序列号 颁发数字安全证书单位的 数字签名等内容 数字安全证书根据应用领域的不同一般有 个人数字安全证书 机构数字安 全证书 个人签名安全证书 机构签名安全证书 设备安全数字证书等几种类 型 个人数字安全证书中包含个人身份信息和个人的公钥 用于标识证书持有 人的个人身份 数字安全证书和对应的私钥存储于 ikey 或 IC 卡中 用于个人 在网上进行合同签定 定单 录入审核 操作权限 支付信息等活动中标明身 份 机构数字安全证书中包含企业信息和企业的公钥 用于标识证书持有企业 的身份 数字安全证书和对应的私钥存储于 Keynet 卡中 可以用于企业在电子 商务方面的对外活动 如合同签定 网上证券交易 交易致富信息等方面 个人签名证书中包含个人身份信息和个人的签名私钥 用于标识证书持有 人的个人身份 签名私钥存储于 Keynet 卡中 用于个人在网上进行合同签定 定单 录入审核 操作权限 支付信息等活动中标明身份 机构签名证书中包含企业信息和企业的签名私钥 用于标识证书持有企业 的身份 签名私钥存储于 Keynet 卡中 可以用于企业在电子商务方面的对外活 动 如合同签定 网上证券交易 交易致富信息等方面 设备数字安全证书中包含服务器信息和服务器的公钥 用于标识证书持有 服务器的身份 数字安全证书和对应的私钥存储于 Keynet 卡中 用于表征该服 务器的身份 主要用于网站交易服务器 目的是保证客户和服务 数字安全证书由用户向相关的 CA 机构提供相应资料 不同类型的证书所 需提交的资料是不一样的 进行申请并交纳一定费用 然后 CA 对用户提供资 料进行审核 审核通过后由 CA 向用户颁发数字安全证书 并对数字安全证书 进行管理 数字安全证书可用于 发送安全电子邮件 访问安全站点 网上证券 网 上招标采购 网上签约 网上办公 网上缴费 网上税务等网上安全电子事务 处理和安全电子交易活动 四 小结 由于利用 Internet 作为商务平台的电子商务系统可以提供网上电子交易 使得客户能够极其方便的获得企业和其产品的信息 并进行网上交易 降低了 交易成本 提高了交易效率 但同时也增加了对某些敏感或有价值的数据被滥 用的风险 电子商务系统必须保障在 Internet 上进行的一切金融交易运作都是 安全可靠的 只有这样才能够使顾客 商家和企业等交易各方对电子商务系统 具有绝对的信心 也只有这样电子商务系统才能进一步发展 因此 安全性在 整个电子商务系统占据十分重要的地位 目前 电子商务系统的安全体系结构是主要是通过构建认证中心 CA 证 书的信任过程来实现的 在电子商务应用中主要有以下五个交易参与方 买家 服务商 供货商 银行和认证中心 CA 电子商务的交易流程主要有以下三个阶段 第一阶段 认证中心 CA 证书的注册申请 交易各方通过认证中心 CA 获取各自的数字安全证书 第二阶段 银行的支付中心对买家的数字安全证书进行验证 通过验证后 将买家的所付款冻结在银行中 此时服务商和供应商也相互进行数字安全证书 的验证 通过验证后 可以履行交易内容进行发货 第三阶段 银行验证服务商和供货商的数字安全证书后 将买家冻结在银 行中的货款转到服务商和供货商的户头上 完成了此项电子交易 由于参与交易的各方都持有认证中心 CA 所颁发的数字安全证书 所以 能够保证在交易的过程中参与各方的真