【正文】 中流行的BT軟件 中，也使用 SHA 系列算法來進行文件校驗。 小結 本章首先討論了 PKI 技術，并對 PKI 的核心技術 CA 的理論基礎進行了詳細 的介紹和分析；然后分析了 SSL 安全協(xié)議并介紹了一個 SSL/TLS 開放 源碼軟件包 OpenSSL；最后介紹了密碼技術中的各類加密算法，分析比較了各代表性算法的 性能。本章介紹的： PKI、 SSL 協(xié)議和密碼技術是設計和實現(xiàn)基于 PKI 的安全電子 商務系統(tǒng)不可缺少的理論。第三章基于 PKI 的安全電子商務框架的設計 電子商務的安全是以策略為指導、技術為基礎、管理為核心的安全系統(tǒng)框架。 安全框架對于整個電子商務系統(tǒng)的實現(xiàn)是至關重要的，框架設計的好壞直接關系 到基于 PKI 的電子商務系統(tǒng)的優(yōu)劣。本章首先分析電子商務系統(tǒng)的安全體系結構， 然后設計了基于 PKI 的安全電子商務框架。 電子商務系統(tǒng)的安全體系結構 一般的電子商務系統(tǒng)的安全包括物理安全、信息安全、通信安全、交易安全 和管理安全五個部分【 27】。計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息 系統(tǒng)安全的前提。物理安全的作用是保護計算機網(wǎng)絡設備、設施和其它數(shù)據(jù)信息 免遭威脅。 信息安全概括了一般性的安全技術問題，系統(tǒng)可能遭受的攻擊有：竊聽、偽 裝、報文篡改、滲透、流量分析和拒絕服務等。針對這些攻擊，目前主要采取加 密技術、數(shù)字簽名技術、訪問控制技術、數(shù)據(jù)完整性技術和身份認證技術等進行 防范。信息安全主要涉及信息傳輸?shù)陌踩?、信息存儲的安全和對網(wǎng)絡傳輸信息內(nèi) 容的審計等三方面。通信網(wǎng)絡是交換信息的基本設施，針對通信協(xié)議中最常出現(xiàn) 的安全威脅，實施了相應的安全協(xié)議用于實現(xiàn)網(wǎng)絡通信的安全。在電子商務中， 交易雙方的身份確認和安全通信非常重要，同時為了在用戶、商家和銀行之間能 夠?qū)崿F(xiàn)資金流動，需要確保交易安全：另外面對電子商務安全的脆弱性，還要加 強網(wǎng)絡的安全管理。電子商務安全可歸結為可靠性、保密性、完整性、不可否認 性、匿名性、原子性和有效性等核心問題【 291。 電子商務的安全體系結構是保證電子商務中數(shù)據(jù)安全的一個完整的邏輯結 構 ，同時它也為電子商務交易過程的安全提供了基本保障。電子商務系統(tǒng)的安全 體系結構是建立在網(wǎng)絡安全體系結構基礎之上的，共由 4個部分組成：加密技術 層、安全認證層、安全協(xié)議層和應用系統(tǒng)層。電子商務安全體系結構如圖 所示。 從圖中的層次結構可以看出，下層是上層的基礎，為上層提供技術支持；上層是 下層的擴展與遞進，各層次之間相互依賴、相互關聯(lián)構成統(tǒng)一整體。 電子商務是依賴網(wǎng)絡實現(xiàn)的，需要利用 Intemet 基礎設施和標準，所以網(wǎng)絡安 全是最基本的，在網(wǎng)絡安全體系之上的就是電子商務交易安全體系。加密技術是 保證電子商務系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務對保密 性的需求。安全認證層中的 CA 和 PKI 技術是保證電子商務安全的又一必要手段， 通過認證服務器上以數(shù)字證書為核心的加密傳輸，數(shù)字簽名和數(shù)字證書等安全技術，進一步滿足電子商務對完整性、抗抵賴性、可靠性的要求。安全協(xié)議層采用 SSL 安全協(xié)議提供客戶端和服務器端的認證，數(shù)據(jù)完整性和信息機密性等安全措 施，它為電子商務系統(tǒng)提供保障機制和交易標準。電子商務安全問題可歸結為網(wǎng) 絡安全和商務交易安全這兩個方面。網(wǎng)絡服務層提供網(wǎng)絡安全；加密技術層、安 全認 證層、安全協(xié)議層、應用系統(tǒng)層提供商務交易安全。 圖 電子商務安全體系 從以上分析來看，要解決電子商務的安全問題，必須選擇合適的安全模型和 安全協(xié)議。 PKI 是目前國際上公認的全面解決網(wǎng)絡安全的最佳方案， PKI 能有效支 撐起保密性、完整性、可靠性、有效性和不可否認性為基本要求的網(wǎng)絡安全應用【 291。 基于 I)KI 的安全電子商務框架設計 基于 PKI 的安全電子商務框架安全層次設計 結合 的分析本文在設計基于 PK[的安全電子商務框架時，按照 先安全后 系統(tǒng) 的電子商務系統(tǒng)的建設模式。首先構建電 子商務的安全平臺，再在安全平 臺上設計和實現(xiàn)電子商務系統(tǒng)。在設計電子商務安全平臺設計時，暫時不考慮網(wǎng) 絡安全的設計，主要考慮 CA 認證和安全協(xié)議層的設計。電子商務系統(tǒng)安全層次結 基于 PKI 的安全電子商務框架功能分析 圖 普通的電子商務系統(tǒng)交易流程 普通的電子商務系統(tǒng)通常采用用戶公鑰數(shù)字簽名的形式來驗證身份的合法 性，但是在這樣的電子商務交易模型中，在步驟 1處普通的電子商務交易流程如 圖 所示，如果網(wǎng)絡層口包被截獲，更換成黑客偽裝的 IP 包發(fā)送給服務提供商，由于 Web 網(wǎng)站無法得到?？康挠脩?RSA 公 鑰，就會造成用戶被假冒頂替。 圖 基于 PⅪ的電子商務交易流程 電子商務系統(tǒng)運用 PKI 體系中的 CA認證中心簽發(fā)數(shù)字證書的方式有效的解 決上面的問題?；?PKI 的電子商務交易流程如圖 所示，在一個電子商務系統(tǒng) 中，要求所有用戶包括 WEB 站點都必須從 CA 認證中心得到一個數(shù)字簽名和第三 方的 RSA 公鑰，該數(shù)字簽名包括了用戶的個人資料、用戶公鑰等基本信息。簽發(fā) 該數(shù)字證書等信息的 CA認證中心必須得到交易各方的認可，并具有很高的權威 性、獨立性和公正性。在建立 CA 認證中心后，交易雙方的 RSA 公鑰都隨自己的 數(shù)字證書一起傳送給對方。由于黑客沒有 CA 中心的 RSA 私鑰，所以如果擅自篡 改數(shù)字證書的某一部分內(nèi)容 (如 RSA 公鑰、數(shù)字簽名 )或者替換用戶數(shù)字證書，接 收方在驗證數(shù)字證書簽名時將會發(fā)現(xiàn)信息已經(jīng)被篡改，身份識別不能獲得通過， 電子商務交易就被終止。 通過以上對比分析，基于 PKI 的電子商務系統(tǒng)框架中建立了 CA 認證中心， 通信雙方的身份就能得到 CA 認證中心的認證，可以有效的解決電子商務交易中的 交易抵賴和不可否認性問題。 基于 PKI 的安全電子商務框架 電子商務系統(tǒng)的 PKI 框架設計為三層結構， CA認證系統(tǒng)是 最底層的安全層次， 在此基礎上設計和實現(xiàn) SSL 協(xié)議安全通信模塊， SSL 協(xié)議安全通信模塊包括兩個 部分：服務器和客戶端。 WEB 服務器端與瀏覽器之間通過 SSL 協(xié)議通信模塊建立 SSL 加密連接，并且通過互相驗證數(shù)字證書建立安全通信通道，通過 PKI體系下 的高強度加密技術，對重要信息進行加密保護。電子商務系統(tǒng)的 PKI 安全模型如 下圖 所示。 圖 電子商務系統(tǒng)的 PKI 模型 基于 PKI 安全電子商務框架的特點主要體現(xiàn)在 CA認證系統(tǒng)。采用了的訪問控制、權限機制、密鑰安 全管理等安全技術，從而保 證了 CA認證系統(tǒng)自身的安全性和獨立性。 SSL 協(xié)議安全通信模塊。針對 SSL 協(xié)議的 身份認證缺陷進行了協(xié)議改進；選擇合適的加密算對現(xiàn)有 WINDOWS 系統(tǒng)本身所 支持的 SSL 協(xié)議的加密方式進行了加密強度的提高。 ，在具有封閉的獨立的 CA 認證系統(tǒng)和獨立 的 SSL 安全通信模塊的電子商務安全平臺上，實現(xiàn)安全的電子商務系統(tǒng)。 。 PKI 應用接口系統(tǒng)是跨平臺的，支持目前廣泛應用的操作系 統(tǒng)平臺。 。向上層應用屏蔽密碼服務的實現(xiàn)細節(jié)；向上層屏蔽復雜性 的安全解決方案，讓密碼服務對用戶而言簡單易用，同時便于用戶完全控制其信 息資源。 小結 本章分析了電子商務系統(tǒng)的安全體系結構，并設計了基于 PKI 的安全電子商 務框架。設計完基于 PKI 的安全電子商務框架就有了電子商務系統(tǒng)安全平臺的理 論基礎，下章將對位于電子商務系統(tǒng)安全框架最底層的 CA 認證系統(tǒng)進行詳細的設 計與實現(xiàn)。 MSN 空間完美搬家到新浪博客！ 特別聲明： 1：資料來源于互聯(lián)網(wǎng)，版權歸屬原作者 2：資料內(nèi)容屬于網(wǎng)絡意見，與本賬號 立場無關 3：如有侵權，請告知，立即刪除。