基于ＰＫＩ技術的電子商務身份認證系統的研究

摘要：隨著互聯網的發展，電子商務己經逐漸成為人們進行商務活動的新模式。同時，電子商務的安全問題也變得越來越突出。公開密鑰基礎設施（Public Key Infrastructure，PKI）是實現電子商務安全的關鍵基礎技術，是解決電子商務發展中安全問題的最可行、有效的措施。對基于PKI技術的電子商務身份認證系統進行了研究，并提出了具體的實施方案。

關鍵詞：電子商務；身份認證；PKI；實施方案

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)24-1140-02

PKI-based Certificate Authentication System in E-commerce Study

FAN Fang

(Information Engineering Department of Shandong University of Science and Technology，Tai'an 271000，China)

Abstract:With the development of the Internet，e-commerce has gradually become an accepted business model.Meanwhile，security problems with e-commerce are also becoming noticeable.PKI is a key fundamental technology to achieve Electronic Commence security，and the most feasible and effective mode to solve the security problems during the development of Electronic Commerce. This paper studies the Certificate Authentication System in E- commerce based on PKI and proposes a e-commerce security scheme.

Key words: E-commerce;Certificate authority;PKI;Implementation Scheme

1 引言

電子商務的發展給人們的工作和生活帶來了方便，但它的發展并沒有達到人們預期的速度，其中一個很重要的原因就是電子商務的安全性，它成為了阻礙電子商務發展的瓶頸。所以，研究和分析電子商務的安全性問題，發展電子商務安全技術就成為發展電子商務的關鍵。而身份認證技術作為保障電子商務安全的核心技術和手段受到了廣泛的重視及應用。

2 身份認證的含義

身份認證技術是指能夠對信息收發方進行真實身份鑒別的技術，是保護網絡信息資源安全的第一道大門，它的任務是識別、驗證網絡信息系統中用戶身份的合法性和真實性，按授權訪問系統資源，并將非法訪問者拒之門外。可見，身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴于它。

身份認證的基本方法就是由被認證方提交該主體獨有的并且難以偽造的信息來表明自己的身份。常用的方式有：基于公開密鑰基礎設施（Public Key Infrastructure，PKI）的數字證書，智能卡，靜態口令，動態口令以及生物特征等。本文主要探討電子商務中基于PKI的身份認證。

3 PKI技術

在電子商務信息安全系統中，PKI 是主要的技術之一，它是數字證書和公開密鑰密碼體制的基礎上發展起來的一種安全應用框架（包括協議、服務和標準），涉及公開密鑰技術、數字簽名、數字證書和認證中心等技術，為各種業務應用提供信息傳輸機密性、數據交換的完整性、交易者雙方身份的真實性和發送信息的不可否認性等安全服務。

3.1 PKI的組成

完整的PKI系統是有權威認證機構（CA）、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口（API）等組成。如圖1所示：

圖1PKI結構簡單模型

PKI 策略：PKI 策略建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。

認證機構（CA）：即數字證書的申請和簽發機構，CA 必須具備權威性的特征，也就是要經過國家有關部門的批準。在整個PKI系統中證書的簽發機構CA 將決定PKI系統的安全性和可靠性。

注冊機構（RA， Registration Authority）提供用戶和CA之間的一個橋梁，它本身并不給用戶簽發證書，只負責接受用戶的注冊申請和初始鑒別。

數字證書庫：用于存儲已簽發的數字證書即公鑰，用戶可由此獲得所需的其他用戶的證書。CA 中心將在網站上公布用戶證書信息，同時提供相關下載。

證書作廢系統：證書作廢處理系統是PKI 的一個必備的組件。它公布左右作廢的證書信息。

應用接口（API）：PKI 的價值在于讓用戶能夠方便地使用加密、身份認證和數字簽名等安全服務。因此一個完整的PKI 必須提供良好的應用接口系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI進行交互，確保安全網絡環境的完整性和易用性。

3.2 PKI 提供的認證性服務

在雙方進行通信以前，必須首先確認對方身份的真實性。為了保證只有事先約定好的一方才能獲取機密信息，對這一方的身份進行驗證就顯得極為重要。這是保證通信正常進行的前提條件。

在應用程序中，通常存在兩種認證：實體鑒別和數據來源鑒別。實體認證往往和訪問控制想關聯，允許實體進行那些操作和通信，如產生一個用于加/解密文件的對稱密鑰，或者在兩個實體之間建立一個安全通信的通道。數據來源鑒別確定某一個實體與特定通信數據的聯系，確定通信數據是否來源于某個實體。

PKI的認證服務在ITU- T X.509 標準中定義為強鑒別服務，即采用公開密鑰技術、數字簽名技術和安全的認證協議進行強鑒別的服務。

3.3 PKI 的職能

PKI 中采用了數字證書對公鑰進行管理，可是對數字證書的管理就必須通過第三方的可信任機構（CA）才能實現。CA 為每個使用公開密鑰的用戶發放數字證書，用以證明證書中的公開密鑰只屬于證書的持有者。數字證書中所包含的CA 中心的數字簽名似的攻擊者不能偽造和篡改數字證書。因此在電子交易的各個環節，交易各方檢驗對方數字證書的有效性就可確定其身份的合法性，從而解決了用戶信任問題。

4 基于PKI安全的現代遠程教育系統的設計實例

本實例是以校園網為依托而設計的一個現代遠程教育系統的方案。

該方案的第一層是證書機構CA。它由學校教務處的信息服務中心負責建立和維護。它的服務對象是學校的所有學生（包括在校的全日制的、成教的和網絡學院的學生）、教師以及需要安全連接的服務器。同時還建有一個檔案服務器，以方便用戶（教師、學生）查找信息；對于證書機構所頒發的證書，同樣可以被存放在檔案服務器中。為了便于證書申請的審批和管理，在學校各系部還建立了證書注冊機構RA，它是用戶和CA的接口，負責學生、老師的證書申請，驗證申請信息的正確性。它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記，如通過電子郵件、瀏覽器等方式登記。要確保整個PKI系統的安全、靈活，就必須設計和實現網絡化、安全化且易于操作的RA系統。另外，對于申請信息可以留作備份，以便將來管理。注冊中心把經審核通過的注冊信息提交給證書機構。然后由證書機構對該信息進行處理。該系統的操作過程為：

1) 用戶（教師、學生）向設在學校各系部的注冊機構RA提交證書申請。該申請中，包括客戶的姓名、班級、學號、通信地址、證書公鑰等信息。

2) 注冊機構RA驗證客戶提交的請求信息。主要包括：

(1) 查詢客戶的證書請求，顯示請求內容。這里請求信息可以是書面形式的，可以是電子形式的。但簽發證書所需的公鑰必須是電子形式的。

(2) 根據請求信息，驗證請求者的身份。例如可以通過身份證或學生證來驗證。

(3) 檢查請求信息是否完整和正確。如果正確，則進行下一步，否則，退回請求。

(4) 對該請求分配一個標識名（Distinguished Name，簡稱DN名）。所分配的DN名必須是唯一的，并對請求信息、數字公鑰和DN名進行簽名。

(5) 將上述簽名連同以上信息提交給證書機構CA，并把提交信息在本地作一個備份。這里RA與CA間的通信信道應該是加密的，而且對提交的請求應做數字簽名，保證其不被修改。

3) 檢查提交信息的完整性和數字簽名的正確性，如果正確則進行下一步， 否則向注冊機構RA提出詢問。

4) 根據請求信息提供的數字公鑰和RA分配的DN，以及證書機構關于證書政策簽發數字證書，并把該證書存放到檔案服務器中。

5) 證書機構CA在簽發證書后，通知客戶和注冊機構RA，該證書請求已被批準并告知該證書的證書序列號。

6) 客戶在得知證書序列號后，通過CA主頁面或檔案服務器下載其證書。

5 結束語

安全是電子商務的核心和靈魂，制約電子商務發展的瓶頸是安全問題。而PKI技術是保障開放式網絡環境下網絡和信息系統安全的最可行、有效的措施。因此將PK技術引入電子商務身份認證系統，可以有效的改善電子商務安全現狀和促進身份認證系統的開發與運用，為我國電子商務的發展提供必要的安全保證。

參考文獻：

[1] 祝凌曦.電子商務安全[M].北京:清華大學出版社，2006.

[2] 孟博，熊麗，陳浩然.基于PKI 的電子商務安全研究[J].計算機工程與應用，2002(11):237-239.

[3] 沙瀛，白碩.當前公開密鑰基礎設施的主要問題分析[J].微電子學與計算機，200219(6):18-21.

[4] 羅斌，裘正定. 網絡身份認證新技術[J].計算機安全，2005(10):29-31.

[5] 陳小滿，陶牡丹，吳波，林海皇.電子商務參與下的交易信用[J].重慶郵電大學學報，2006，19(1):33-35.