【文章內(nèi)容簡介】 保證網(wǎng)上數(shù)字信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。 2。 1。 1 PKI 的組成 一個典型的 PKI 系統(tǒng)如圖 組成框圖所示，其中包括 PKI 策略、軟硬件 系統(tǒng)、證書機構(gòu) CA、注冊機構(gòu) RA(RegisterAuthority，即證書注冊機構(gòu) )、證書 發(fā)布系統(tǒng)和 PKI 應(yīng)用等【 111。 PKI 安全策略建立和定義了一個組織信息安全方面的 指導(dǎo)方針，同 時也定義了密碼系統(tǒng)使用的處理方法和原則。證書機構(gòu) CA 是PⅪ 的信任基礎(chǔ)，它管理公鑰的整個生命周期，其作用包括：發(fā)放證書、規(guī)定證書的 有效期和通過發(fā)布 CRL(Certificate Revocation List，即證書廢除列表 )確保必要 時可以廢除證書。注冊機構(gòu) RA 提供用戶和 CA 之間的一個接口，它獲取并認證用 戶的身份，向 CA提出證書請求，主要完成收集用戶信息和確認用戶身份的功能。 證書發(fā)布系統(tǒng)負責證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。PKI 的應(yīng)用非常廣泛，包括在 web 服務(wù)器和瀏覽器之間的通訊 、電子郵件、電子數(shù)據(jù) 交換 (EDI)、在 Interact 上的信用卡交易和虛擬專用網(wǎng) (VPN)等。 PKI 的應(yīng)用 PKI 作為信息安全的基礎(chǔ)設(shè)施，可以應(yīng)用于所有的應(yīng)用系統(tǒng)中，目前 PKI技 PKI 技術(shù)可以保證 Web 交易多方面的安全需求，使 Web 上的交易和面對面的交易 一樣安全【 51。 PKI 技術(shù)是解決電子商務(wù)安全問題的關(guān)鍵，綜合 PKI 的各種應(yīng)用，可以建立 一個可信任和足夠安全的網(wǎng)絡(luò)。利用 PKI 技術(shù)可以建立可信的 CA認證中心，在 通信中，利用數(shù)字證書來消除匿名帶來的風險，利用加密技術(shù) 來消除開放的 Intemet 帶來的風險，使得商業(yè)交易可以安全可靠地在網(wǎng)上進行。 PKI 技術(shù)是一種適用于電 子商務(wù)的安全體系，它能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整 性、不可否認性和存取控制等安全問題 15】。 CA 理論基礎(chǔ) CA 系統(tǒng)目標 CA 在 PKI 中稱 認證機構(gòu) ，是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)， 它是整個 PKI 體系的核心【168。】。 CA 為各個實體頒發(fā)電子證書：對實體的身份信息和 相應(yīng)公鑰數(shù)據(jù)進行數(shù)字簽名，用以捆綁該實體的公鑰和身份，以證明各實體在網(wǎng) 上身份的真實性；并負責檢驗和管理證書。 CA 的系統(tǒng)目標是：為信息安全提供有效的、可靠的保護機制，提供網(wǎng)上身份 認證服務(wù)，提供信息保密性、數(shù)據(jù)完整性以及收發(fā)雙方的不可否認性服務(wù)【 9J。 2… 1 32 CA 系統(tǒng)功能 一個典型的 CA 系統(tǒng)包括安全服務(wù)器、注冊機構(gòu) RA、 CA 服務(wù)器、 LDAP 目 錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等168。引，典型 CA 框架模型如圖 所示中的 軟總線 ；在 ORB 之上定義了很多公共服務(wù)，可以提供諸如并發(fā)服務(wù)、名字 服務(wù)、事務(wù) (交易 )服務(wù)、安全服務(wù)等各種各樣的服務(wù)：最上層的公共設(shè)施則定義了 組件框架，提供可 直接為業(yè)務(wù)對象使用的服務(wù)，規(guī)定業(yè)務(wù)對象有效協(xié)作所需的協(xié) 定規(guī)則。 MICO，是 MICO is CORBA 的縮寫。 MICO 是一個完全符合 CORBA 標準的實 現(xiàn)，同時又是一個開源軟件，可以自由獲得它的源代碼。 MICO 自從 1997年 4 月 第一次發(fā)布以來，現(xiàn)在已廣泛用于各種目的，并被 OMG 認證為符合 CORBA標準。 MICO 已日趨完整，當前最新版本的主要特性有：動態(tài)調(diào)用接口 DII、動態(tài)框架接 口 DSI、 IDLC++映射、 IIOP、 IIOP over SSL、攔截器 interceptors、可移植對象 POA、命名服 務(wù)、交易服務(wù)和事件服務(wù)。 SSL 安全協(xié)議 SSL(Secure Sockets Layr)協(xié)議是由 Netscape 公司開發(fā)的一套 Intemet 數(shù)據(jù)安 全協(xié)議，被廣泛地用于電子商務(wù)系統(tǒng)中的 web 瀏覽器與網(wǎng)站服務(wù)器之間的身份認 證和加密數(shù)據(jù)傳輸【 131。 SSL 協(xié)議主要包含握手協(xié)議 (handshake protoc01)和記錄協(xié) 議 (record protoc01)[13】：記錄協(xié)議確定數(shù)據(jù)安全傳輸?shù)哪Ｊ?，握手協(xié)議用于客戶 機和服務(wù)器建立起安全連接之前交換一系列的安全信息，這些安全信息主要包括 以下內(nèi)容： 。 。 。 。 SSL 的加密安全通道。 SSL 記錄協(xié)議 SSL 記錄層協(xié)議是在描述 SSL 信息交換的過程中的記錄格式，它提供了通信、 身份認證功能。在 SSL 中，所有數(shù)據(jù)都被封裝在記錄中，一個記錄由兩部分組成： 記錄頭和非零長度的數(shù)據(jù)。記錄頭可以是 2 字節(jié)或 3字節(jié) (當有填充數(shù)據(jù)時使用 )。 SSL 握手協(xié)議的報文要求必須放在一個 SSL 記錄層的記錄里，但應(yīng) 用層協(xié)議的報 文允許占用多個 SSL 記錄來傳送。 SSL 記錄頭包含的信息有記錄頭的長度、記錄數(shù)據(jù)的長度、記錄數(shù)據(jù)中是否 有填充數(shù)據(jù)。 SSL 記錄數(shù)據(jù)部分有三個分量： (MAC 數(shù)據(jù) )、 ACTUALDATA(被傳送的應(yīng)用數(shù)據(jù) )、 (填充數(shù)據(jù) )。記錄層 SSL握手協(xié)議允許服務(wù)器和客戶機相互驗證，協(xié)商加密算法、摘要算法以及 保密密鑰，用來保護在 SSL 記錄中發(fā)送的數(shù)據(jù)。握手協(xié)議是在任何應(yīng)用程序數(shù)據(jù) 傳輸之前使用的。 SSL 握手協(xié)議包含兩個階段，第一個階段用于建立秘密性通信 信道，第二個 階段用于客戶認證【 14】。 ，通信雙方都發(fā)出 Hello 消息 (服務(wù)器端的 消息為 ServerHello，客戶端的消息為 ClientHello。當雙方都接收到Hello 消息 時，就有足夠的信息確定是否需要一個新的密鑰。若不需要新的密鑰，雙方立即 進入握手協(xié)議的第二階段。否則，此時服務(wù)器方的 ServerHello 消息將包含足夠 的信息使客戶方產(chǎn)生一個新的密鑰。這些信息包括服務(wù)器所持有的證書、加密規(guī) 約和連接標識。若密鑰產(chǎn)生成功，客戶方發(fā)出 ClientMasterKey 消息，否則發(fā) 出錯誤消息。最終當密鑰確定以后，服務(wù)器方向客戶方發(fā)出 ServerVerify 消息。 因為只有擁有合適的公鑰的服務(wù)器才能解開密鑰。 ，此時服務(wù)器已經(jīng)被認證了。服務(wù) 器方向客戶發(fā)出認證請求消息： RequestCertificate。當客戶收到服務(wù)器方的認證 請求消息，發(fā)出自己的證書，并且監(jiān)聽對方回送的認證結(jié)果。而當服務(wù)器收到客 戶的認證，認證成功返回 ServerFinish 消息，否則返回錯誤消息。到此為止，握 手協(xié)議全部結(jié)束。 OpenSSL 是一個非常優(yōu)秀的 SSL/TLS 開放源碼軟件包，主要是作為提供 SSL 算法的函數(shù)庫供其他軟件調(diào)用而出現(xiàn)的，可給任何 TCP/IP 應(yīng)用提供 SSL 功能。 OpenSSL 包括 SSL 庫、加密算法庫以及應(yīng)用程序三大部分，并提供了測試程 序和一些應(yīng)用例子，實現(xiàn)了 SSL/TLS 協(xié)議和其相關(guān)的 PKI 標準。 OpenSSL 應(yīng)用程序主要提供下列功能： 。 。 、證書生成和簽發(fā)以及證書其它相關(guān)標準的轉(zhuǎn)換。 算法以及其相關(guān)編碼的實現(xiàn)。 服務(wù)器和 SSL 客戶端通信的實現(xiàn)。 OpenSSL 是一個開放源代碼的 SSL 協(xié)議的產(chǎn)品實現(xiàn)，它采用 C語言作為開發(fā) 語言，具備了跨系統(tǒng)的性能。調(diào)用 OpenSSL 的函數(shù)就可以實現(xiàn)一個 SSL 加密的安 全數(shù)據(jù)傳輸通道，從而保護客戶端和服務(wù)器之間數(shù)據(jù)的安全。 密碼技術(shù)介紹 PKI 技術(shù)是基于公鑰密碼體系的，研究基于 PKI 的安全電子商務(wù)系統(tǒng)，必須 面對信息的加密問題，如何選定合適的加密算法也是本文的研究內(nèi)容之一。數(shù)據(jù) 加密是指在數(shù)據(jù)處理過程中將敏感數(shù)據(jù)轉(zhuǎn)換成不能識別的亂碼，還原的過程則稱 為解密，數(shù)據(jù)加、解密過程是由算法來具體實施的【 15】。根據(jù)數(shù)據(jù)加密的方式，可