談電子商務(wù)系統(tǒng)中的CA認(rèn)證

談電子商務(wù)系統(tǒng)中的 認(rèn)證談電子商務(wù)系統(tǒng)中的 認(rèn)證 摘要 CA Certificate Authority 認(rèn)證是CA作為權(quán)威的 可信賴的 公正的第三方機(jī)構(gòu) 專 門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書 CA通過(guò)對(duì)密鑰進(jìn)行有效的管 理 并頒發(fā)認(rèn)證證書證明密鑰的有效性 然后將公開密鑰同某一個(gè)實(shí)體 消費(fèi)者 商家 銀行等 聯(lián)系在一起 從而確保電子交易有效 安全的進(jìn)行 并使網(wǎng)上交易信息除發(fā)送方 和接收方外 不被其他方知悉 保證信息在傳輸過(guò)程中不被篡改 使發(fā)送方確信接收方不 是假冒的 同時(shí)也使發(fā)送方不能否認(rèn)自己的發(fā)送行為 CA認(rèn)證是企業(yè)電子商務(wù)平臺(tái)的真正 核心 企業(yè)信息化是現(xiàn)化企業(yè)發(fā)展的必然趨勢(shì) 在企業(yè)信息化過(guò)程中 通過(guò)大量 采用信息化技術(shù)改進(jìn)和強(qiáng)化了企業(yè)物資流 資金流等信息的管理 對(duì)企業(yè)固有 的經(jīng)營(yíng)思想和管理模式產(chǎn)生了強(qiáng)烈的沖擊 帶來(lái)了根本性的變革 信息技術(shù)與 企業(yè)管理技術(shù)的發(fā)展與融合 使企業(yè)競(jìng)爭(zhēng)戰(zhàn)略不斷創(chuàng)新 企業(yè)競(jìng)爭(zhēng)力不斷提高 電子商務(wù)是在企業(yè)信息化大潮下采用數(shù)字化方式 利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行商務(wù)數(shù) 據(jù)交換 全面實(shí)現(xiàn)在線交易電子化的過(guò)程 是企業(yè)開展商業(yè)活動(dòng)的新形式 企 業(yè)電子商務(wù)平臺(tái)不僅是相關(guān)企業(yè)宣傳產(chǎn)品 銷售產(chǎn)品 進(jìn)行售后服務(wù)的窗口 也是樹立企業(yè)形象的前沿 通常企業(yè)電子商務(wù)系統(tǒng)會(huì)涉及到參與商務(wù)活動(dòng)的各方 買家 服務(wù)商 供 貨商 銀行和認(rèn)證中心 CA 一個(gè)完善的電子商務(wù)系統(tǒng)應(yīng)當(dāng)包括那些部分 目前還沒有權(quán)威的論述 從企業(yè)電子商務(wù)實(shí)踐來(lái)看 企業(yè)電子商務(wù)系統(tǒng)的系統(tǒng) 架構(gòu)是三層結(jié)構(gòu)的 最底層是計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái) 這一層是電子商務(wù)過(guò)程中的信 息傳送的載體和用戶接入企業(yè)電子商務(wù)平臺(tái)的途徑 中間是電子商務(wù)基礎(chǔ)平臺(tái) 包括 CA 認(rèn)證 支付網(wǎng)關(guān)和會(huì)員服務(wù)中心等內(nèi)容 這一層主要用于保障網(wǎng)絡(luò)交 易的有效性和安全性 第三層是以電子商務(wù)平臺(tái)為基礎(chǔ)的各種各樣的電子商務(wù) 應(yīng)用系統(tǒng) 由于電子商務(wù)系統(tǒng)基于開放式的 Internet 平臺(tái) 而 Internet 用戶數(shù)量巨大 各種各樣的人都有 這使得網(wǎng)上交易面臨著種種危險(xiǎn) 因此 電子商務(wù)發(fā)展的 核心和關(guān)鍵問(wèn)題是交易的安全性問(wèn)題 電子商務(wù)的安全問(wèn)題 總的來(lái)說(shuō)分為二 部分 一是網(wǎng)絡(luò)安全 二是商務(wù)安全 計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全 數(shù)據(jù)庫(kù)安全等方面 其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題 實(shí)施 網(wǎng)絡(luò)安全增強(qiáng)方案 以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo) 目前針對(duì)計(jì)算機(jī) 網(wǎng)絡(luò)安全的防護(hù)技術(shù)主要有數(shù)據(jù)加密技術(shù) 身份識(shí)別和驗(yàn)證技術(shù) 防火墻技術(shù) 虛擬專用網(wǎng)絡(luò)技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)攻擊檢測(cè)技術(shù)等技術(shù) 由于對(duì)計(jì) 算機(jī)網(wǎng)絡(luò)安全的研究已經(jīng)比較深入了 其安全保障技術(shù)也比較成熟 這里就不 多加討論了 商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在 Internet 上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題 在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上 如何保障電子商務(wù)過(guò)程的順利進(jìn)行 即實(shí)現(xiàn)電子 商務(wù)的保密性 在電子商務(wù)系統(tǒng)交易過(guò)程中的商務(wù)信息均有保密的要求 如信 用卡的賬號(hào)和用戶名被人知悉 就可能被盜用 訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手 獲悉 就可能喪失商機(jī) 完整性和一致性 電子交易的過(guò)程是一個(gè)完整的過(guò)程 期間產(chǎn)生的信息是不能被修改的必需保證其一致性 身份的真實(shí)性和不可偽裝 性 網(wǎng)上交易的雙方很可能素昧平生 相隔千里 要使交易成功首先要能確認(rèn) 對(duì)方的身份 對(duì)商家要考慮 客戶端不能是騙子 而客戶也會(huì)擔(dān)心網(wǎng)上的商店不 是一個(gè)玩弄欺詐的黑店 因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提 對(duì) 于為顧客或用戶開展服務(wù)的銀行 信用卡公司和銷售商店 為了做到安全 保 密 可靠地開展服務(wù)活動(dòng) 都要進(jìn)行身份認(rèn)證的工作 及不可抵賴性 由于 商情的千變?nèi)f化 交易一旦達(dá)成是不能被否認(rèn)的 否則必然會(huì)損害一方的利益 目前 電子商務(wù)交易過(guò)程中的商務(wù)安全性主要是通過(guò) CA 認(rèn)證來(lái)實(shí)現(xiàn)的 下面我們對(duì)電子商務(wù)過(guò)程中與 CA 認(rèn)證有關(guān)的內(nèi)容進(jìn)行具體介紹 一 CA 數(shù)字證書認(rèn)證中心 Certficate Authority CA 就是一個(gè)負(fù)責(zé)發(fā)放和管理 數(shù)字安全證書的權(quán)威機(jī)構(gòu) 對(duì)于一個(gè)大型的應(yīng)用環(huán)境 認(rèn)證中心往往采用一種 多層次的分級(jí)結(jié)構(gòu) 各級(jí)的認(rèn)證中心類似于各級(jí)行政機(jī)關(guān) 上級(jí)認(rèn)證中心負(fù)責(zé) 簽發(fā)和管理下級(jí)認(rèn)證中心的證書 最下一級(jí)的認(rèn)證中心直接面向最終用戶 認(rèn) 證中心主要有以下幾種功能 證書的頒發(fā) 證書的更新 證書的查詢 證書 的作廢 證書的歸檔 二 PKI 公鑰基礎(chǔ)設(shè)施 PKI Public Key Infrastructure 是一種遵循既定標(biāo)準(zhǔn)的密 鑰管理平臺(tái) 它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的 密鑰和證書管理體系 簡(jiǎn)單來(lái)說(shuō) PKI 就是利用公鑰理論和技術(shù)建立的提供安 全服務(wù)的基礎(chǔ)設(shè)施 PKI 技術(shù)是信息安全技術(shù)的核心 也是電子商務(wù)的關(guān)鍵和 基礎(chǔ)技術(shù) PKI 采用非對(duì)稱的加密算法 即由原文加密成密文的密鑰不同于由密文解 密為原文的密鑰 以避免第三方獲取密鑰后將密文解密 PKI 的基礎(chǔ)技術(shù)包括加密 數(shù)字簽名 數(shù)據(jù)完整性機(jī)制 數(shù)字信封 雙重 數(shù)字簽名等 完整的 PKI 系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu) CA 數(shù)字證書庫(kù) 密鑰備份及恢 復(fù)系統(tǒng) 證書作廢系統(tǒng) 應(yīng)用接口 API 等基本構(gòu)成部分 構(gòu)建 PKI 也將圍 繞著這五大系統(tǒng)來(lái)著手構(gòu)建 三 數(shù)字安全證書 數(shù)字安全證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù) 用來(lái)在網(wǎng)絡(luò)通訊 中識(shí)別通訊各方的身份 數(shù)字安全證書是由權(quán)威公正的第三方機(jī)構(gòu)即 CA 中心 簽發(fā)的 以數(shù)字安全證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密 和解密 數(shù)字簽名和簽名驗(yàn)證 確保網(wǎng)上傳遞信息的機(jī)密性 完整性 以及交 易實(shí)體身份的真實(shí)性 簽名信息的不可否認(rèn)性 從而保障網(wǎng)絡(luò)應(yīng)用的安全性 數(shù)字安全證書采用公鑰密碼體制 即利用一對(duì)互相匹配的密鑰進(jìn)行加密 解密 每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰 私鑰 用它進(jìn)行解密 和簽名 同時(shí)擁有一把公共密鑰 公鑰 并可以對(duì)外公開 用于加密和驗(yàn)證簽 名 當(dāng)發(fā)送一份保密文件時(shí) 發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密 而接收方 則使用自己的私鑰解密 這樣 信息就可以安全無(wú)誤地到達(dá)目的地了 即使被 第三方截獲 由于沒有相應(yīng)的私鑰 也無(wú)法進(jìn)行解密 通過(guò)數(shù)字的手段保證加 密過(guò)程是一個(gè)不可逆過(guò)程 即只有用私有密鑰才能解密 在公開密鑰密碼體制中 常用的一種是 RSA 體制 其數(shù)學(xué)原理是將一個(gè)大 數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積 加密和解密用的是兩個(gè)不同的密鑰 即使已知明文 密文和加密密鑰 公開密鑰 想要推導(dǎo)出解密密鑰 私密密鑰 在計(jì)算上 是不可能的 按現(xiàn)在的計(jì)算機(jī)技術(shù)水平 要破解目前采用的 1024 位 RSA 密鑰 需要上千年的計(jì)算時(shí)間 公開密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題 商戶可以公開其公開密鑰 而 保留其私有密鑰 購(gòu)物者可以用人人皆知的公開密鑰對(duì)發(fā)送的信息進(jìn)行加密 安全地傳送給商戶 然后由商戶用自己的私有密鑰進(jìn)行解密 用戶也可以采用自己的私鑰對(duì)信息加以處理 由于密鑰僅為本人所有 這 樣就產(chǎn)生了別人無(wú)法生成的文件 也就形成了數(shù)字簽名 采用數(shù)字簽名 能夠 確認(rèn)以下兩點(diǎn) 1 保證信息是由簽名者自己簽名發(fā)送的 簽名者不能否認(rèn)或難以否認(rèn) 2 保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改 簽發(fā)的文件是真實(shí)文 件 數(shù)字安全證書的格式一般采用 X 509 國(guó)際標(biāo)準(zhǔn) 它包含了以下幾點(diǎn) 數(shù)字 安全證書擁有者的名稱 數(shù)字安全證書擁有者的公共密鑰 公共密鑰的有效期 頒發(fā)數(shù)字安全證書的單位 數(shù)字安全證書的序列號(hào) 頒發(fā)數(shù)字安全證書單位的 數(shù)字簽名等內(nèi)容 數(shù)字安全證書根據(jù)應(yīng)用領(lǐng)域的不同一般有 個(gè)人數(shù)字安全證書 機(jī)構(gòu)數(shù)字安 全證書 個(gè)人簽名安全證書 機(jī)構(gòu)簽名安全證書 設(shè)備安全數(shù)字證書等幾種類 型 個(gè)人數(shù)字安全證書中包含個(gè)人身份信息和個(gè)人的公鑰 用于標(biāo)識(shí)證書持有 人的個(gè)人身份 數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于 ikey 或 IC 卡中 用于個(gè)人 在網(wǎng)上進(jìn)行合同簽定 定單 錄入審核 操作權(quán)限 支付信息等活動(dòng)中標(biāo)明身 份 機(jī)構(gòu)數(shù)字安全證書中包含企業(yè)信息和企業(yè)的公鑰 用于標(biāo)識(shí)證書持有企業(yè) 的身份 數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于 Keynet 卡中 可以用于企業(yè)在電子 商務(wù)方面的對(duì)外活動(dòng) 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 個(gè)人簽名證書中包含個(gè)人身份信息和個(gè)人的簽名私鑰 用于標(biāo)識(shí)證書持有 人的個(gè)人身份 簽名私鑰存儲(chǔ)于 Keynet 卡中 用于個(gè)人在網(wǎng)上進(jìn)行合同簽定 定單 錄入審核 操作權(quán)限 支付信息等活動(dòng)中標(biāo)明身份 機(jī)構(gòu)簽名證書中包含企業(yè)信息和企業(yè)的簽名私鑰 用于標(biāo)識(shí)證書持有企業(yè) 的身份 簽名私鑰存儲(chǔ)于 Keynet 卡中 可以用于企業(yè)在電子商務(wù)方面的對(duì)外活 動(dòng) 如合同簽定 網(wǎng)上證券交易 交易致富信息等方面 設(shè)備數(shù)字安全證書中包含服務(wù)器信息和服務(wù)器的公鑰 用于標(biāo)識(shí)證書持有 服務(wù)器的身份 數(shù)字安全證書和對(duì)應(yīng)的私鑰存儲(chǔ)于 Keynet 卡中 用于表征該服 務(wù)器的身份 主要用于網(wǎng)站交易服務(wù)器 目的是保證客戶和服務(wù) 數(shù)字安全證書由用戶向相關(guān)的 CA 機(jī)構(gòu)提供相應(yīng)資料 不同類型的證書所 需提交的資料是不一樣的 進(jìn)行申請(qǐng)并交納一定費(fèi)用 然后 CA 對(duì)用戶提供資 料進(jìn)行審核 審核通過(guò)后由 CA 向用戶頒發(fā)數(shù)字安全證書 并對(duì)數(shù)字安全證書 進(jìn)行管理 數(shù)字安全證書可用于 發(fā)送安全電子郵件 訪問(wèn)安全站點(diǎn) 網(wǎng)上證券 網(wǎng) 上招標(biāo)采購(gòu) 網(wǎng)上簽約 網(wǎng)上辦公 網(wǎng)上繳費(fèi) 網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù) 處理和安全電子交易活動(dòng) 四 小結(jié) 由于利用 Internet 作為商務(wù)平臺(tái)的電子商務(wù)系統(tǒng)可以提供網(wǎng)上電子交易 使得客戶能夠極其方便的獲得企業(yè)和其產(chǎn)品的信息 并進(jìn)行網(wǎng)上交易 降低了 交易成本 提高了交易效率 但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫 用的風(fēng)險(xiǎn) 電子商務(wù)系統(tǒng)必須保障在 Internet 上進(jìn)行的一切金融交易運(yùn)作都是 安全可靠的 只有這樣才能夠使顧客 商家和企業(yè)等交易各方對(duì)電子商務(wù)系統(tǒng) 具有絕對(duì)的信心 也只有這樣電子商務(wù)系統(tǒng)才能進(jìn)一步發(fā)展 因此 安全性在 整個(gè)電子商務(wù)系統(tǒng)占據(jù)十分重要的地位 目前 電子商務(wù)系統(tǒng)的安全體系結(jié)構(gòu)是主要是通過(guò)構(gòu)建認(rèn)證中心 CA 證 書的信任過(guò)程來(lái)實(shí)現(xiàn)的 在電子商務(wù)應(yīng)用中主要有以下五個(gè)交易參與方 買家 服務(wù)商 供貨商 銀行和認(rèn)證中心 CA 電子商務(wù)的交易流程主要有以下三個(gè)階段 第一階段 認(rèn)證中心 CA 證書的注冊(cè)申請(qǐng) 交易各方通過(guò)認(rèn)證中心 CA 獲取各自的數(shù)字安全證書 第二階段 銀行的支付中心對(duì)買家的數(shù)字安全證書進(jìn)行驗(yàn)證 通過(guò)驗(yàn)證后 將買家的所付款凍結(jié)在銀行中 此時(shí)服務(wù)商和供應(yīng)商也相互進(jìn)行數(shù)字安全證書 的驗(yàn)證 通過(guò)驗(yàn)證后 可以履行交易內(nèi)容進(jìn)行發(fā)貨 第三階段 銀行驗(yàn)證服務(wù)商和供貨商的數(shù)字安全證書后 將買家凍結(jié)在銀 行中的貨款轉(zhuǎn)到服務(wù)商和供貨商的戶頭上 完成了此項(xiàng)電子交易 由于參與交易的各方都持有認(rèn)證中心 CA 所頒發(fā)的數(shù)字安全證書 所以 能夠保證在交易的過(guò)程中參與各方的真