基于pki技术的网上交易系统.doc

基于 P KI 技术的网上交易系统 　　随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展。但是,伴随着电子商务的迅速发展,安全问题也像幽灵一样如影随形而来。最新资料显示,信用卡在线支付已经成为网上交易最重要的付款方式,而由此引发的在线交易账户的安全问题便成为网上交易进一步发展的瓶颈。为了解决这一问题,本文提出了基于PKI技术的网上交易系统。 一　网上交易目前所面临的问题 网上交易与传统的面对面或书面的交易方式不同,它是通过网络传输商务信息和进行贸易活动的。网上交易的安全问题意味着: (1)保密性:网上交易是建立在一个较为开放的网络环境上的,维护商业机密是网上交易全面推广应用的重要保障。因此,要防止非法的信息存取和信息在传输过程中被非法窃取。 (2)完整性:在网上交易过程中,数据输入时的意外差错或欺诈行为时有发生。另外,在数据传输过程中信息的丢失或重复传送也会导致交易各方收到信息的不同。所以,信息的完整性也是网上交易中的一个关键问题。 (3)不可否认性:由于网上交易的特殊性,交易双方对一笔交易的认可不能通过提交手写签名的方式来实现。因此,要在交易信息的传输过程中为交易双方提供可靠的认证标识,防止交易争端的发生。 (4)真实性:真实性指对交易双方真实身份的认证过程。这一过程为授权和审计所必需,也是实现授权、审计的访问控制过程运行的前提,是保证网上交易安全进行不可缺少的要素。 二　P KI技术简介 1　何谓PKI技术 所谓PKI(Public Key Infrastructure)技术,即公钥基础设施。它是利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架[2]。一个典型的PKI系统应由以下部分组成:PKI客户端、注册机构(RA)、认证机构(CA)和证书库。 (1)P KI客户端。P KI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与PKI交互,从而使用户能够方便地使用加密、数字签名等安全服务。 (2)注册机构(RA)。RA是用户与认证中心的接口,其主要功能是核实证书申请者的身份,它所获证书的申请者身份的准确性是CA颁发证书的基础。 (3)认证机构(CA)。作为P KI核心的认证中心是证书颁发机构,由CA签发的证书是网上用户的电子身份标识。 (4)证书库。证书库用来存放经CA签发的证书和证书注销列表(CRL),为用户和网络应用提供证书及验证证书状态[3]。 2.PKI原理 ??? PKI公共密钥体系是利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系，来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI 体系可以有多种不同的体系结构、实现方法和通信协议。 ??? 公共（非对称）密钥算法使用加密算法和一对密钥：一个公共密钥（公钥，public key）和一个私有密钥（私钥，private key）。其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构（CA, Certificate Authority）认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方，让别人能够方便地找到和下载。 ??? 公共密钥方法还提供了进行数字签名的办法：签字方对要发送的数据提取摘要并用自己的私钥对其进行加密；接收方验证签字方证书的有效性和身份，用签字方公钥进行解密和验证，确认被签字的信息的完整性和抗抵赖性。公共密钥方法通常结合使用对称密钥（单密钥）方法，由计算效率高的对称密钥方法对文件和数据进行加密。目前在 Internet 上主要使用 RSA 公共密钥方法，密钥长度 512 或 1024 位，是广泛使用的 SSL/TLS 和S/MIME 等安全通信协议的基础。 3.　引入PKI技术的原因 由于信用卡网上交易是一种非面对面的、通过网络进行的交易,因而使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合这种活动的密码技术。它能够有效地解决保密性、完整性、真实性和不可否认性等安全问题。我们考虑在网上交易系统中引入PKI技术,来实现网上交易的安全进行。。P KI技术利用认证机构CA来实现对用户的身份认证,即真实性。认证机构CA是双方共同信任的一个第三方证书签发机构。CA对用户的基本信息和公钥用CA自己的私钥进行数