基于数字证书网上支付系统安全性分析.docVIP

基于数字证书网上支付系统安全性分析 　　摘要：随着电子商务的日益发展，网上购物实现了人们足不出户即可购买到自己心仪的商品，但同时网络消费者也对在线支付系统的安全性十分关心，电子交易支付过程中的机密性要求增高，进而需要保证交易信息的机密性、有效性、完整性和不可否认性，基于公钥机密体系中的数字证书技术是保证在线购物系统安全的有效措施。 　　关键词：公钥加密；数字证书；网上支付 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 21-0000-02 　　随着计算机网络及信息技术的日益发展和融合，Internet已渗入到我们社会生活的各个方面。但人们更多的还在纠结于网上交易的安全性。网上购物实现了人们足不出户即可购买到自己心仪的商品，带来无限方便与商机的同时，网络消费用户对在线支付系统的安全性十分关心，电子交易支付过程中的机密性要求增高，进而需要保证交易信息的机密性、有效性、完整性和不可否认性。电子商务安全是制约电子商务发展的一个核心和关键问题。 　　针对电子商务的安全，需要考虑的安全因素主要包含有效性、机密性、完整性和不可否认性。网上电子交易安全，交易及支付过程中的欺诈，急需在互联网中建立并维持一种令人信任的环境和机制。基于公开密钥技术的数字证书解决方案已被普遍采用。第三方可信的认证机构颁发的数字证书，较好地解决了网络安全和身份认证问题。 　　1 数字证书的认证原理 　　数字证书基于公钥技术。在公钥加密体系中，每个用户可以生成一个公开密钥和一个与之相关联的私有密钥。公开密钥通过非保密方式向他人公开；私有密钥用户自己安全存放，任何其他用户都无法获得私有密钥，也无法通过相应的公开密钥得到私有密钥。这样交易双方进行信息交换的基本过程是： 　　1.1 发送方首先得到接收方的公钥，然后使用该密钥对信息加密后的密文发送给接收方； 　　1.2 接收方对信息进行解密，解密密钥是自己的私钥，得到信息明文。 　　注意：由于私钥的唯一性，只有接收方才能成功地解密该信息，从而保证了信息的机密性。 　　另外，如果发送方在发送信息时附带??自己的数字签名，接收方即可通过验证数字签名可以保证信息的完整性和不可抵赖性。 　　简单使用公钥加密技术不足以实现传输安全。例如入侵者用其他公钥值替代了有效的公钥值，那么发送者误认为入侵者的密钥是预期的通信方密钥，这样信息的安全保密性就会受到影响。数字证书能够很好地解决上述问题，证书将用户身份和他的公钥绑定在一起。证书是公开的，但它包含了认证机构的数字签名，而认证机构是值得信赖的第三方，这个签名不可抵赖也不可伪造，这使得证书本身具有自我保护功能，认证机构的数字签名不可能被入侵者篡改。 　　数字证书的作用不仅类似于发动汽车的钥匙，而且相当于建立了一条数据传送的安全通道。用户安装了数字证书后，即使黑客窃取了账户信息，由于没有数字证书，也无法动用账户；就算黑客监控了网络数据传输，他也无法破译传输的内容。与现实生活中的身份证不同的是，数字证书还提供了数字签名功能；可防止信息传输过程中被篡改。数字证书实现了如下功能： 　　（1）保密性-保证信息是秘密的； 　　（2）完整性-能检验信息未被篡改； 　　（3）身份鉴别-检验个人或机构的身份； 　　（4）不可否定性-确保信息不能被否认。 　　2 数字证书的颁发机构及颁发过程 　　数字证书由CA颁发，CA是证书的签发机构。CA负责证书的签发、证书审核、已颁发证书的管理。它要制定协议和具体步骤来对用户身份进行验证和识别，还要对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA是可以信任的第三方，具有权威性、公正性和可信性的特点，它负责检验公钥体系中公钥的合法性、申请、签发、发放、撤消和管理数字证书，并提供用户信息和密钥的管理。 　　用户得到了颁发机构颁发的数字证书后，就可以使用自己的数字证书进行相关的认证活动。可以从证书发行机构获得您自己的数字证书。普通购物用户在正式进行交易之前使用指定商家的数字证书即可完成信息加密，在整个数据传输过程中，只有指定的商家可以使用自己拥有的私钥对内容进行解密操作。 　　3 数字证书在网上支付系统中应用 　　3.1 申请条件 　　（1）支付系统个人实名认证中，通过证件审核后的会员，就能申请网上支付的数字证书； 　　（2）通过支付系统实名商家认证后，就能申请商家数字证书； 　　（3）在常用的电脑上申请数字证书，避免在网吧之类的公共场所电脑上申请和使用安全数字证书。 　　3.2 数字证书安全性 　　数字证书将被安装在用户个人使用的电脑上，如果想在其他公共电脑上使用，需要在新电脑里再次安装数字证书，要输入随机验证码及手机短信校验码确认才可以安装完成。使用后一定要在账