电子商务安全策略

时间：2015-12-20 23:41:57 所属分类：微电子 浏览量:

摘要: 电子商务的实施，其关键是要保证整个商务过程中系统的安全性。针对这个问题，该文仔细分析了认证系统、SSL协议和SET协议，指出了其应用中的一些局限，另外，还介绍了几种与商务安全有关的其它技术。 关键词：安全、认证、证书、CA 、SSL协议、SET协议

摘要: 电子商务的实施，其关键是要保证整个商务过程中系统的安全性。针对这个问题，该文仔细分析了认证系统、SSL协议和SET协议，指出了其应用中的一些局限，另外，还介绍了几种与商务安全有关的其它技术。
关键词：安全、认证、证书、CA 、SSL协议、SET协议

一 引言
近几年，随着互联网的不断发展，在世界范围内掀起了一股电子商务热潮。许多国家政府部门对电子商务的发展十分重视，把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论，并纷纷出台了有关政策和举措。
中国对电子商务的发展也给予了应有的重视，考虑到电子商务必然涉及到网上支付、必然涉及到银行支付结算，为了作好前瞻性的研究，1998年6月，人民银行支付科技司组织成立了电子商务课题组，对银行支付在电子商务中的作用和对策进行研究，并在研究基础上，组织各商业银行联合共建金融认证中心，为网上安全支付创造条件。
实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在向基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。电子商务的安全主要采用数据加密和身份认证技术。
下面分别从认证系统，SSL（Secure Sockets Layer）协议和安全电子交易SET（Secure Electronic Transaction）协议三个方面来加以论述。

二 认证系统
电子商务的关键是安全，网上安全交易的基础是数字证书。证书类似于生活中的身份证，用以在网络上鉴别一个人或组织的真实身份。证书的颁发机构叫做Certificate Authority，通常简称CA。要建立安全的电子商务系统，必须首先建立一个稳固、健全的CA；否则，一切网上的交易都没有安全保障。
2.1 认证系统的基本原理
　　 传统的对称密钥算法具有加密强度高、运算速度快的优点，但密钥的传递与管理的问题限制了它的一些应用。为解决此问题，七十年代密码界出现了公开密钥算法，该算法使用一对密钥即一个私钥和一个公钥，其对应关系是唯一的，公钥对外公开，私钥个人秘密保存。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。RSA算法是公开密钥算法中研究最为深入，使用最为广泛的算法，为大多数国家地区的官方或非官方所采用。利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA为用户发放电子证书，用户之间（比如网银服务器和某客户之间）利用证书来保证信息安全性和双方身份的合法性。
　　国际邮联ITU在1994年公布了关于证书格式的最新标准，称为X.509协议，在X.509的证书格式中，包含很多域，其中比较重要的有：用户名称、签发者名称、有效期、用户公钥信息、签发者对证书信息的数字签名。在浏览器和Web Server产品中都已集成了证书申请和证书的验证功能，只要能用符合X.509协议的证书安装在浏览器上和Web Server服务器端，就能实现双方证书的自动验证，从而识别身份。
2.2 系统结构
　　整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA和Web Publisher。
　　核心系统根CA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时，颁发证书。一般的个人证书发放过程都是自动进行，无须人工干预。
　　证书的登记机构Register Authority，简称RA，分散在各个网上银行的地区中心。RA与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过建设银行企业内部网发送给CA中心。RA与CA双方的通信报文也通过RSA进行加密，确保安全。系统的分布式结构适于新业务网点的开设，具有较好的扩充性。通信协议为TCP/IP。
证书的公布系统Web Publisher，简称WP，置于Internet网上，是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后，CA用E－mail通知用户，然后用户须用浏览器从这里下载证书。
2.3 我国认证系统的建设情况
　　为保证电子商务在中国的顺利开展，必须建立全国统一的金融认证中心。
　 目前，经"金融系统电子商务联络与研究小组"提议，由人民银行和各家商业银行联合建立金融部门的安全认证体系得到了国内十几家商业银行的支持和响应。经金融信息化领导小组会议批准，现已决定由人民银行牵头，联合工商银行等11家商业银行，共同出资建立金融认证中心。
金融认证中心工程建设目前正在顺利进行。它将是面向全国的、金融系统联合共建的统一的认证中心，将支持B to C和B to B两种模式的网上交易；在体系结构上，金融认证中心的设计充分考虑了各地方开展电子商务的认证需求，计划在中心城市或某些银行系统内设立若干面对客户的注册机构。

三 SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为 Internet 上 Web 浏览器和服务器的标准安全性措施。SSL 提供了用于启动 TCP/IP 连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别，并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。
　　这种简单加密模式的特点是：
　　 部分或全部信息加密；
　 采用对称的和非对称的加密技术；
　 通过数字证书验证身份；
　 采用防止伪造的数字签名。
SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如HTTP、FTP、TELNET等）以保证应用层数据传输的安全性。SSL协议独立于应用层协议，因此，在电子交易中被用来安全传送信用卡号码。
　　SSL协议握手流程由两个阶段组成：服务器认证和用户认证（可选）。
3.1 服务器认证阶段
在一次交易过程中，客户的证书首先传送到银行Server方，服务器先验证有效期，再根据签发者(CA)名称找到签发者公钥(在CA的根证书内)，验证证书的数字签名的合法性。
Web 服务器上的 SSL 安全性要求步骤如下：
1 生成密钥对文件和请求文件。
2 从身份验证权限中请求一个证书。
3 在服务器上安装证书。
4 激活 WWW 服务文件夹上的 SSL 安全性。
　　服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息；
　　客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；
　　服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。
这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器，从而建立安全的通信通道。
3.2 用户认证阶段（可选）
　　在此之前，服务器已经过了客户认证，这一阶段主要完成对客户的认证。

经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。
SSL支持各种加密算法。在“握手”过程中，使用RSA公开密钥系统。密钥交换后，使用一系列密码，包括RC2、RC4、IDEA、DES、triple-DES及MD5 信息摘要算法。公开密钥认证遵循X.509标准。
SSL协议独立于应用层协议，且被大部分的浏览器和Web服务器所内置，便于在l
[3] 杨千里,王育民等着 电子商务技术与应用 北京：电子工业出版社，1999
[4] 卢开澄编著 计算机密码学 计算机网络中的数据保密与安全 第2版 北京：清华大学出版社，1998
[5] Peter Loshin,着 Extranet设计与实现 付筱，乔一林,译 北京：电子工业出版社, 1998,2

转载请注明来自：http://www.zazhifabiao.com/lunwen/dzxx/wdz/31670.html