基于PKI B2B电子订单系统解决方案.docVIP

基于PKI B2B电子订单系统解决方案 　　摘#8195;要通过分析作为B2B(Business to Business,即企业对企业的电子商务)网上交易重要组成部分的电子订单管理所面临的主要安全问题,结合数字证书技术提出一种电子订单系统的解决方案:交易过程中买卖双方使用权威的CA(Certificate Authority,即证书授权中心)颁发的数字证书标识各自的身份,并对订单信息进行加密和签名,可以有效地解决身份认证的可靠性以及信息的机密性、完整性和不可抵赖性等安全问题。 　　关键词电子订单;数字证书;身份认证;加密;SSL;数字签名 　　中图分类号TP文献标识码A文章编号1673-9671-(2010)101-0025-02 　　 　　近年来,随着信息技术的不断发展,企业间电子商务(B2B)应用逐渐成熟。然而,作为B2B应用中一个重要的组成部分――电子订单管理的发展却由于多种原因明显滞后,其中最主要的因素就是作为电子订单管理关键环节的电子订单确认的真实性和有效性难以保证。 　　应用PKI技术,可以有效地解决电子商务中身份认证、信息的机密性、完整性和不可抵赖性等安全问题。 　　1当前B2B电子订单管理面临的安全问题 　　B2B网上交易相对于传统的商务流程可以大量降低企业成本,提高业务效率。但是由于网上交易是建立在开放的Internet之上,需要对交易参与各方进行身份认证和访问控制,保证只有身份真实且具有访问权限的用户才能访问电子订单系统。在传统的身份认证方式中,用户名/口令在未受保护的网络上传输,容易被截取和监听,即使口令被加密也无法防范重放攻击。如果选用足够长的密码或者经常修改密码,又会给维护带来很大的难题。 　　2PKI技术简介 　　PKI(PublicKeyInfrastructure)即“公开密钥体系”,PKI是一种基于公开密钥体制的密钥管理平台,通过采用认证技术确保电子合同的完整性和抗抵赖性,通过对信息进行加密确保信息在传输过程中的保密性。同时,通过采用基于PKI/CA结构及用户口令,可有效地对系统中的用户进行身份认证,防止系统中出现非法用户和伪造信息。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。其中CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。它是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。 　　动态口令(DynamicPassword),又称一次性口令(0TP-OneTimePassword),是相对于传统的静态口令而说的。它一般由某种终端设备,根据动态口令生成算法产生的随动态参数变化而变化的口令。动态口令是变化的密码,其变化来源于产生密码的运算因子是变化的。动态口令的生成算法一般都采用双运算因子,一是用户身份的识别码,是固定不变的,如用户的私有密钥;二是变动因子。 　　本文中将用户已注册成功的口令作为用户身份的识别码,并选定随机数作为变动因子,使得每次认证的用户口令不同。同时结合Hellman算法原理,在认证用户和服务器间安全交换一个密钥。 　　3数字证书的B2B电子订单系统的实现 　　3.1系统角色划分 　　系统中有三种角色,分别为:KeyCenter;电子商务服务平台(以下简称为平台);企业用户,包括买方和卖方。 　　三种角色在系统中的职能分别是: 　　1)KeyCenter:KeyCenter主要包括代理服务器(TR)和认证服务器(CA)。代理服务器主要完成截获用户发向服务平台认证的连接请求,将其转发到认证服务器进行用户的身份认证,它是实现客户端和认证服务器认证连接转发的中间环节,当用户认证成功后为用户建立访问服务平台的透明代理。使用代理服务器的主要目的是保证在正常传输信息时,实现用户信息数据库与认证服务器的分离,充分保证用户信息的安全。认证服务器主要完成与客户端的认证工作。各种用户的身份认证信息和本地的一些安全参数信息,都存放在用户信息数据库中。同时,为保护用户与认证服务器之间的通信以及实现用户对服务器的身份认证,认证服务器和用户分别拥有一对RSA公私密钥对和CA机构颁发的证书,用户可以通过使用认证服务器的公钥加密信息来验证服务器的身份是否合法,从而达到双向验证的目的。 　　2)电子商务服务平台。对用户提供注册、登录、商品信息的发布和查询、电子订单的管理、订单信息的加/解密、数字签名/验签、签名证据的保存等功能。 　　3)企业用户。数字证书的主体,也是B2B交易的实际参与者。三种角色之间的相互关系如图1所示。 　　图1 　　4)认证令牌(Ticket)。每一个用户拥有一个认证令牌,认证令牌主要用于认证服务器发送的随机动态数字和种子值,通过一个随机函数生成算法,计