基于PKI技术网络交易系统设计.docVIP

基于PKI技术网络交易系统设计 　　[摘要]随着科技的发展，电子商务日益成为当前经济活动中的焦点，网络交易也成为热点。与此同时，网络安全却影响这网络交易的进行。分析探讨PKI技术应用于网络交易系统的情况。 　　[关键词]PKI 网络交易 　　中图分类号：TP2 文献标识码：A 文章编号：1671－7597（2008）1120040－01 　　 　　一、PKI技术简介 　　 　　（一）何谓PKI技术 　　所谓PKI（Public Key Infrastructure）技术，即公钥基础设施。它是利用公钥理论和技术建立的提供信息安全服务的基础设施，是国际公认的互联网电子商务的安全认证机制。它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。 　　一个典型的PKI系统应由以下部分组成：PKI客户端、注册机构（RA）、认证机构（CA）和证书库。 　　（1）PKI客户端。PKI客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与PKI交互，从而使用户能够方便地使用加密、数字签名等安全服务。 　　（2）注册机构（RA）。RA是用户与认证中心的接口，其主要功能是核实证书申请者的身份，它所获证书的申请者身份的准确性是CA颁发证书的基础。 　　（3）认证机构（CA）。作为PKI核心的认证中心是证书颁发机构，由CA签发的证书是网上用户的电子身份标识。 　　（4）证书库。证书库用来存放经CA签发的证书和证书注销列表（CRL），为用户和网络应用提供证书及验证证书状态。 　　（二）引入PKI技术的原因 　　PKI技术利用认证机构CA来实现对用户的身份认证，即真实性。认证机构CA是双方共同信任的一个第三方证书签发机构。CA对用户的基本信息和公钥用CA自己的私钥进行数字签名，来确认该用户的身份真实性。 　　PKI技术采用非对称加密（RSA算法）和文摘（HASH算法）来实现信息的完整性与不可否认性。 　　在此体系中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。 　　总的来说，就是利用PKI技术的非对称加密和对称加密相结合的原理，来保证网上交易中信息的保密性、完整性、真实性和不可否认性，从而保证网上交易的安全进行。 　　 　　二、基于PKI技术的网上交易系统 　　 　　（一）基于PKI技术的网上交易系统的要素 　　在基于PKI技术的网上交易系统中，我们利用PKI技术在浏览器和服务器之间进行加密通信。服务器端和浏览器端分别由可信赖的第三方，即国际清算组织颁发数字证书，在交易时双方可以通过数字证书来确认对方的身份，从而保证网上交易的安全。在本系统中，主要牵涉到以下几个要素： 　　CA：认证机构。在此系统中即国际清算组织，作为交易双方都信任的中立机构，负责向双方发放数字证书，并记录所有经过发卡银行处理过的持卡人验证交易。 　　持卡人：信用卡的合法拥有者。最终消费并获得商品的个人或组织。 　　商户：直接面对客户进行交易并且出售商品的组织。 　　发卡行：发卡银行。持卡人消费时候使用的信用卡的发行方。 　　收单行：收单银行。持卡人和商户之间进行交易时，后台的账务实际上是由发卡行将账目转入商户的银行账户。商户的银行账户所在行就是收单行。 　　（二）基于PKI技术的网上交易系统构建 　　在基于PKI的网上交易系统中，PKI技术是信息安全技术的核心。因此，建立规范的、基于PKI技术的安全认证系统是满足网上交易安全系统需求的安全认证的关键。在本系统的构建中，CA认证是关键的一点。另外值得指出的是，在商户端必须安装有商店嵌入模块MPI，才能将商户交易平台连接到网上交易系统认证的机制上。 　　下图是一个基于PKI技术的网上交易系统的示意图。 　　在本交易系统中，整个交易流程如下： 　　（1）持卡人访问商户的网站，购物完毕，启动支付过程，输入卡号、密码等信息；（2）商户通过MPI将该卡信息送到CA，即国际清算中心；（3）CA向发卡银行的控制中心发送请求，查询该卡是否支持该网上安全认证交易；（4）CA向商户转发发卡银行控制中心的查询结果；（5）商户通过客户浏览器将支付认证请求发送到发卡银行控制中心；（6）发卡银行控制中心收到支付认证请求，通过认证交易过程或者产生一个认证证明，然后对需要返回的认证相应信息进行数字签名；（7）发卡银行控制中心将认证结果发送给商户，同时将认证结果发送给CA备份。商户收到发卡银行的认证结果信息，验证其数字签名；（8）Web支付认证通过，商户支付系统形成支付信息，送收单银行。 　　在上述第（4）步中，如果