試論電子商務系統中的CA認證
[摘要] CA(Certificate Authority)認證是CA作為權威的、可信賴的、公正的第三方機構,專門負責發放并管理所有參與網上交易的實體所需的數字證書。CA通過對密鑰進行有效的管理,并頒發認證證書證明密鑰的有效性,然后將公開密鑰同某一個實體(消費者、商家、銀行等)聯系在一起,從而確保電子交易有效、安全的進行,并使網上交易信息除發送方和接收方外,不被其他方知悉;保證信息在傳輸過程中不被篡改;使發送方確信接收方不是假冒的;同時也使發送方不能否認自己的發送行為。CA認證是企業電子商務平臺的真正核心。
[關鍵詞] 電子商務 信息化 網絡安全 數字證書 CA認證 加密
企業信息化是現化企業發展的必然趨勢,在企業信息化過程中,通過大量采用信息化技術改進和強化了企業物資流、資金流等信息的管理,對企業固有的經營思想和管理模式產生了強烈的沖擊,帶來了根本性的變革。信息技術與企業管理技術的發展與融合,使企業競爭戰略不斷創新,企業競爭力不斷提高。電子商務是在企業信息化大潮下采用數字化方式,利用計算機網絡進行商務數據交換,全面實現在線交易電子化的過程,是企業開展商業活動的新形式。企業電子商務平臺不僅是相關企業宣傳產品、銷售產品、進行售后服務的窗口,也是樹立企業形象的前沿。
通常企業電子商務系統會涉及到參與商務活動的各方(買家、服務商、供貨商、銀行和認證中心(CA)),一個完善的電子商務系統應當包括那些部分,目前還沒有權威的論述。從企業電子商務實踐來看,企業電子商務系統的系統架構是三層結構的:最底層是計算機網絡平臺,這一層是電子商務過程中的信息傳送的載體和用戶接入企業電子商務平臺的途徑;中間是電子商務基礎平臺,包括CA 認證,支付網關和會員服務中心等內容,這一層主要用于保障網絡交易的有效性和安全性;第三層是以電子商務平臺為基礎的各種各樣的電子商務應用系統。
由于電子商務系統基于開放式的Internet平臺,而Internet用戶數量巨大,各種各樣的人都有,這使得網上交易面臨著種種危險,因此,電子商務發展的核心和關鍵問題是交易的安全性問題。電子商務的安全問題,總的來說分為二部分:一是網絡安全,二是商務安全。
計算機網絡安全主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等方面,其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標,目前針對計算機網絡安全的防護技術主要有數據加密技術、身份識別和驗證技術、防火墻技術、虛擬專用網絡技術、網絡安全掃描技術和網絡攻擊檢測技術等技術。由于對計算機網絡安全的研究已經比較深入了,其安全保障技術也比較成熟,這里就不多加討論了。
商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行,即實現電子商務的保密性(在電子商務系統交易過程中的商務信息均有保密的要求。如信用卡的賬號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機)、完整性和一致性(電子交易的過程是一個完整的過程,期間產生的信息是不能被修改的必需保證其一致性)、身份的真實性和不可偽裝性(網上交易的雙方很可能素昧平生,相隔千里。要使交易成功首先要能確認對方的身份,對商家要考慮 客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店,為了做到安全、保密、可靠地開展服務活動,都要進行身份認證的工作。)及不可抵賴性(由于商情的千變萬化,交易一旦達成是不能被否認的,否則必然會損害一方的利益。)。
目前,電子商務交易過程中的商務安全性主要是通過CA認證來實現的,下面我們對電子商務過程中與CA認證有關的內容進行具體介紹。
一、CA
數字證書認證中心(Certficate Authority :CA)就是一個負責發放和管理數字安全證書的權威機構。對于一個大型的應用環境,認證中心往往采用一種多層次的分級結構,各級的認證中心類似于各級行政機關,上級認證中心負責簽發和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。認證中心主要有以下幾種功能:證書的頒發 ;證書的更新 ;證書的查詢 ;證書的作廢;證書的歸檔 。
二、PKI
公鑰基礎設施PKI(Public Key Infrastructure),是一種遵循既定標準的密鑰管理平臺,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。
PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。
PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口(API)等基本構成部分,構建PKI也將圍繞著這五大系統來著手構建。
三、數字安全證書
數字安全證書就是標志網絡用戶身份信息的一系列數據,用來在網絡通訊中識別通訊各方的身份。數字安全證書是由權威公正的第三方機構即CA中心簽發的,以數字安全證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網絡應用的安全性。
數字安全證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由于沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。
在公開密鑰密碼體制中,常用的一種是RSA 體制。其數學原理是將一個大數分解成兩個質數的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前采用的1024位RSA密鑰,需要上千年的計算時間。
公開密鑰技術解決了密鑰發布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密,安全地傳送給商戶,然后由商戶用自己的私有密鑰進行解密。
用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。采用數字簽名,能夠確認以下兩點:
1.保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
2.保證信息自簽發后到收到為止未曾作過任何修改,簽發的文件是真實文件。
數字安全證書的格式一般采用X.509國際標準。它包含了以下幾點:數字安全證書擁有者的名稱、數字安全證書擁有者的公共密鑰、公共密鑰的有效期、頒發數字安全證書的單位、數字安全證書的序列號,頒發數字安全證書單位的數字簽名等內容。
數字安全證書根據應用領域的不同一般有:個人數字安全證書、機構數字安全證書、個人簽名安全證書、機構簽名安全證書、設備安全數字證書等幾種類型。
個人數字安全證書中包含個人身份信息和個人的公鑰,用于標識證書持有人的個人身份。數字安全證書和對應的私鑰存儲于ikey或IC卡中,用于個人在網上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動中標明身份。
機構數字安全證書中包含企業信息和企業的公鑰,用于標識證書持有企業的身份。數字安全證書和對應的私鑰存儲于Keynet卡中,可以用于企業在電子商務方面的對外活動,如合同簽定、網上證券交易、交易致富信息等方面。
個人簽名證書中包含個人身份信息和個人的簽名私鑰,用于標識證書持有人的個人身份。簽名私鑰存儲于Keynet卡中,用于個人在網上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動中標明身份。
機構簽名證書中包含企業信息和企業的簽名私鑰,用于標識證書持有企業的身份。簽名私鑰存儲于Keynet卡中,可以用于企業在電子商務方面的對外活動,如合同簽定、網上證券交易、交易致富信息等方面。
設備數字安全證書中包含服務器信息和服務器的公鑰,用于標識證書持有服務器的身份。數字安全證書和對應的私鑰存儲于Keynet卡中,用于表征該服務器的身份。主要用于網站交易服務器,目的是保證客戶和服務。
數字安全證書由用戶向相關的CA機構提供相應資料(不同類型的證書所需提交的資料是不一樣的)進行申請并交納一定費用,然后CA對用戶提供資料進行審核,審核通過后由CA向用戶頒發數字安全證書,并對數字安全證書進行管理。
數字安全證書可用于:發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。
四、小結
由于利用Internet作為商務平臺的電子商務系統可以提供網上電子交易,使得客戶能夠極其方便的獲得企業和其產品的信息,并進行網上交易,降低了交易成本、提高了交易效率,但同時也增加了對某些敏感或有價值的數據被濫用的風險。電子商務系統必須保障在Internet上進行的一切金融交易運作都是安全可靠的,只有這樣才能夠使顧客、商家和企業等交易各方對電子商務系統具有絕對的信心,也只有這樣電子商務系統才能進一步發展。因此,安全性在整個電子商務系統占據十分重要的地位。
目前,電子商務系統的安全體系結構是主要是通過構建認證中心(CA)證書的信任過程來實現的。
在電子商務應用中主要有以下五個交易參與方:買家、服務商、供貨商、銀行和認證中心(CA)。電子商務的交易流程主要有以下三個階段:
第一階段:認證中心(CA)證書的注冊申請。交易各方通過認證中心(CA)獲取各自的數字安全證書。
第二階段:銀行的支付中心對買家的數字安全證書進行驗證,通過驗證后,將買家的所付款凍結在銀行中。此時服務商和供應商也相互進行數字安全證書的驗證,通過驗證后,可以履行交易內容進行發貨。
第三階段:銀行驗證服務商和供貨商的數字安全證書后,將買家凍結在銀行中的貨款轉到服務商和供貨商的戶頭上,完成了此項電子交易。
由于參與交易的各方都持有認證中心(CA)所頒發的數字安全證書,所以,能夠保證在交易的過程中參與各方的真實身份、防止他人假冒;也能夠保證交易信息的保密性、不可否認性和不可修改性。
參考文獻:
[1]石志國等編:計算機網絡安全.清華大學出版社出版,2007年1月
[2]張福德編:電子商務網絡市場.機械工業出版社,2001年8月
[3]祝凌曦編:電子商務安全.北方交通大學出版社,2006年11月
[4]鄧順國編:電子商務概論.清華大學出版社,北京交通大學出版社,2005年3月
[5]鄧順國編:電子商務戰略概念與案例.東北財大出版社,2006年01月
【試論電子商務系統中的CA認證】相關文章:
試論國際貿易實踐中的電子商務12-11
試論制藥企業GMP認證后設備管理11-28
試論電力系統的電壓調整12-03
試論網絡多媒體教學的系統結構11-15
試論電子檔案管理系統操作11-18
試論翻譯中的風格再現03-27
試論電子商務售后服務問題11-17
- 相關推薦