基于PKI的电子订单系牡统的应用研究.docVIP

基于PKI的电子订单系统的应用研究 摘 要 公钥基础设施(PKI)是目前网络安全建设的基础。本文提出了一种基于PKI的保证电子订单安全有效的方案。该系统利用权威机构CA颁发的证书，实现了对网络上交易双方身份的确认，并对交易中产生的电子订单进行加密和数字签名，极大提高了网上交易的安全性。 关键词 PKI；电子订单；身份验证；加密；数字签名1 引言 随着电子商务的飞速发展，网上交易的规模也越来越大，电子订单以其使用简单，快捷，高效的特点，被越来越多的个人和企业接受，已经成为发展的趋势。然而，其中的安全问题也日益突出，严重阻碍了电子订单的应用和网上交易的发展。目前网上交易大多采用虚拟帐户，很难确认交易双方的身份，对交易的对象的不信任导致交易失败时有发生。网上交易产生的电子订单用采用明文传输，商业机密无法得到保护。电子订单又容易被篡改，必然损害交易一方的利益。这些都是电子订单系统中亟待解决的问题。本文运用公钥基础设施(PKI)技术构建安全方案，利用数字证书确认交易双方的身份；利用加密技术，保证电子订单的机密性；利用数字签名技术保证电子订单的完整性、不可否认性确保了电子订单的安全、有效。2 PKI 和数字证书2.1 PKI技术 PKI(Public Key Infrastructure)是一个利用公钥概念和技术进行实施并提供安全服务的具有普适性的安全基础设施。使用数字证书作为载体，结合多种密码技术，通过第三方可信任机构(认证中心，即CA ) 把用户的公钥和用户的其它标识信息捆绑在一起，为用户建立一个安全的网络运行环境。可以实现通信中各实体的身份认证，数据保密性，数据完整性以及不可否认性等服务。PKI 系统包括必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI应用接口系统等主要组成部分。2.2 数字证书 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，它是由一个由权威机构CA机构，又称为证书授权中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书包含一个公开密钥、名称以及证书授权中心的数字签名。3 密码技术介绍3.1对称加密 加密和解密用相同的密钥。优点是算法公开、计算量小、加密速度快、加密效率高，缺点是密钥分发管理困难。3.2非对称加密 加密和解密使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。用公钥加密，只能用私钥解密。用私钥加密，也只能用公钥解密。优点是密钥长度长，加密强度高，密钥分发管理容易，可以用私钥做数字签名，非常适合分布式网络系统。缺点是密钥长度长、加密速度慢、效率低。3.3数字摘要 也称为HASH函数，可以将任意长度的明文转化为固定长度的摘要，但是不能由摘要推导出明文。在数据完整性认证，数字签名领域应用广泛。3.4数字签名 数字签名是针对电子文档的签名确认方法，作用相当于现实中的签名或印章。方法是先对明文进行摘要计算，然后用私钥对摘要加密，形成数字签名。数字签名有抗抵赖性。4 基于PKI的电子订单系统的实现 电子订单系统分为两大部分：身份验证系统和订单生成系统。身份验证系统验证用户是否持有合法的证书，是否为合法用户，通过身份验证的用户才能进入订单生成系统。订单生成系统对交易生成的订单进行加密、签名等操作，确保电子订单的机密，完整，有效。4.1 身份验证系统流程设计 身份验证流程图如图1所示。 (1)首次登录系统的用户需要向权威的CA机构申请数字证书，证书是用户身份的惟一标识。 (2)系统验证用户证书是否有效。验证证书的颁发机构是否有效，证书是否在有效期，是否被吊销。如果证书无效，用户需要申请新的数字证书。 (3)通过验证的用户可以登录订单生成系统。保证进行订单操作的用户都为合法用户。图1 身份验证流程4.2 订单生成系统流程设计 订单生成系统流程如图2所示。图2 订单生成系统流程 (1)通过身份验证的用户登录订单生成系统，进行交易，系统中的所有用户为合法用户。 (2)买家下订单，从系统中获得卖家证书公钥，对订单信息加密，发送给卖方，可保证订单内容的机密性。 (3)卖家得到订单，用自己的私钥对订单解密。如果同意订单内容，则用自己的私钥对订单进行数字签名，用买方的公钥加密订单，发送给买家。 (4)买家得到卖家签名并加密的订单，先用自己的私钥解密订单。用自己的私钥对此订单签名，生成一个买卖双方都用自己私钥签名的电子订单。 (5)系统把双方都签名的订单保存，在产生纠纷的时候从系统中调出，用于仲裁机构判断交易双方的责任。4.3 性能评估 1)可信任性 系统中用户采用权威机构(CA)颁发的数字证书作为身份标识，验证证书是否有效由系统来完成。通过系统验证的交易对象都是可信