电子商务安全认证技术的研究及ca模型的设计与实现

重庆大学硕士学位论文电子商务安全认证技术的研究及CA模型的设计与实现姓名：张华申请学位级别：硕士专业：计算机技术指导教师：邢永康;汤霖20051001重庆大学硕士学位论文中文摘要I摘要随着Internet的发展，电子商务的兴起，经常需要在开放网络环境中不明身份的实体之间通信，安全问题也因此日益突出。为确保网上电子商务交易的顺利进行，必须在通信网络中建立并维持一种可信任的安全环境和机制。一个完整的电子商务系统主要包括商家、支付系统和认证机构，而认证机构是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上参与交易各方的身份，并通过加密证书对传输的数据进行加密，从而保证信息的安全性、完整性和交易的不可抵赖性。公钥基础设施(PKI)是目前保证网络信息安全的一种比较可靠的安全体系。它通过第三方信任机构—认证中心(CA)发布证书将用户公钥和用户的身份绑定在一起，从而可以为网上各种应用提供机密性、完整性和身份鉴别等方面有效安全保障。本文从安全性的角度对认证系统的组成与实现进行了深入地分析，并对当前较为完善的、安全的加密技术和算法进行了探讨。在多种安全认证技术和认证协议理论研究的基础上，本文从安全性和扩展性角度为PKI/CA认证中心的构建提出了一个基于WEB的证书管理系统的设计模型。该模型适合中小企业或局域网内部建立适合自己、经济适用的安全的CA认证中心，对局域网中的用户发布和管理数字证书，从而在较高安全层次上管理了用户。CA系统采用Client/Server结构，服务器端由CA服务器、RA服务器、LDAP服务器组成，并实现了证书申请、查询、撤销、验证证书等证书管理功能。论文中详细论述了CA总体结构、功能设计以及使用Java和OpenSSL两种工具来实现系统软件的方案。在电子商务采用公开加密技术后，伴随而来的是密钥的管理问题。模型中对传统的密钥管理方法进行了创新改良，在简化应用同时又不以丧失安全性为代价的角度出发，提出了把签名私钥直接移植到CPU卡来实现，期望能有所创新。论文详细介绍了安全电子商务所涉及到的密码学方面有关知识和常用的算法，探讨电子商务的安全认证技术和认证协议。此外，论文还重点阐述了安全认证机制PKI的组成以及CA的构造。在以上理论研究的基础上，论文最终实现了CA认证系统模型的设计，并对密钥管理进行了创新，提出了一个加密签名卡存储密钥的方案。最后，给出了将文中实现的CA认证模型应用于广东省教育领域行业的一个实例。关键词：加密算法，数字签名，公钥密码体制PKI，CA认证中心，数字证书重庆大学硕士学位论文英文摘要IIABSTRACTWiththedevelopmentofInternetandtheriseofElectronicCommerce,thecommunicationbetweentheundependableentitiesisfrequentlyneeded.Sothesecurityproblembecomesmoreobvious.InordertoensuretheElectronicTransaction,atrustedandsecureenvironmentofcommunicationnetworkisneeded.TheproblemtobesolvedfirstinthecourseofElectronicCommerceistobuildasecureframework.AnintegratedElectronicCommercesystemconsistsofthreepartsincludingMerchantSystem,PaymentSystemandCertificationAuthority(CA).Abovethemall,theCAisthemostimportantpart.Byissuingthedigitalcertification,CAcanauthenticatetheidentificationoftransactors,aswellasensurethesecurityandintegralityofinformationandthenegationoftransactionsbyencryptingthedatastobetransmitted.PublicKeyInfrastructure(PKI)isakindofsafesystemthatismorereliableinguaranteeingthesafetyofnetworkinformationatpresent.Theuser’sPublicKeyandtheidentitiescanbebindedtogetherbyissuingtheDigitalCertificationwiththethirddependableinstitution----CertificationAuthority(CA).Thus,thePKIensuretheconfidentialityandintegralityofinformationandthenegationoftransactors.Intheeyeofsecuritythisthesisanalyzestheconstitutionofthecertificationsystem,anddoesprofoundresearchontheencryptiontechnologyanditsalgorithm.Throughresearchingintothetechnologyofauthenticationandprotocol,thepaperpresentsadesignmodelonthebasisofWebcertificatemanagementsystemfortheframeworkofCertificationAuthorityofPKI.ThemediumandsmallsizedcorporationsandtheinternalLANareagreeabletosetuptheirownapplicableandeconomicalCertificationAuthoritybyusingtheCAmodel.TheycanissueandmanagetheDigitalCertificatefortheirusersandachievetheclientmanagementinahighlevel.ThestructureofClient/Serverispresentedinthissystem.TheServerismadeupofCAserver,RAserverandLDAPserver,andrealizesthefunctionofcertificateapplying,issuing,querying,repealingandvalidating.ThegenaralstructureofCA,withitssystemfunctionsandtherealizationsolutionofthesystemsoftwarebyusingtheJavaandOpenSSLaredetaileddiscussedinthethesis.WiththeadoptionofpublicEncryption,theproblemofhowtomanagethekeysisaquestionpresentingtous.Thetraditionalmanagementwayofthekeyisinnovatedinthemodel.Settingoutfromtheangleofpredigestingapplicationwhilenotlosingthe重庆大学硕士学位论文英文摘要IIIsecurity,themodelfeaturesthebreakthroughbyreplacingthesignaturekeytoCPUcard.Andthisisaninnovationinthispaper.ThepaperdiscussestheEncryptionanditsalgorithm,whichisrelatedtothesecureEC.Thenthethesisresearchesthesecureauthenticationtechnologyandauthenticationprotocol,emphasizingtheconstitutionofthesecureframeworkPKIandthesystemofCertificationAuthority.Basedonthetheoryabove,thethesisfinallyrealizestheCAsystemmodel,andinnovatesthemanagementwayofthekeybypresentingaprogramofsignaturedcardusedinstoragekey.Finally,anexampleoftheCAmodelthatisusedintheeducationindustryofGuangDongprovinceisshowninthispaper.Keywords：Encryptionalgorithm,Digitalsignature,PublicKeyInfrastructure(PKI),CertificationAuthority,Digitalcertificate重庆大学硕士学位论文1绪论11绪论1.1问题的提出及研究意义1.1.1问题的提出电子商务(ElectronicCommerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换和行政管理的全过程；是一种基于互联网、以交易双方为主体、以银行电子支付和结算为手段、以客户数据为依托的全新商务模式[1]。随着Internet技术的迅速发展和深入应用，以Internet作为交易平台的电子商务正逐步得到人们的认同和接受。电子商务作为一种新型的商务手段，正在迅速地改变着人们经济活动中传统的交易方式和流通技术。它不仅改变了贸易形态，也正在改变人们的生活习惯和思想观念，将对未来的社会经济发展和商务活动具有特别重要的意义。据Gartner组织[2]的研究报告说，2000年全球电子商务销售额超过4330亿美元，比上年增长189%。电子商务发展形式喜人、前景诱人。但是由于Internet的国际性、开放性和其他各种因素的影响，使得基于数字化媒体形式的电子商务交易在生成、传输、保存、验证和鉴定等多方面出现了新的技术需求、问题和困难。要在这样开放的平台上成功进行电子交易，必须解决交易网络平台的安全，交易双方身份的确认，交易信息在传输过程中的完整性以及交易操作的不可否认等问题，也由此提出了以下几方面的安全控制要求[3]：(1)信息的有效性(Validity)EC以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展EC的前提。EC作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。(2)信息的保密性(Confidentiality)传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。由于EC是建立在Internet这个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。保密性要求一些敏感的交易信息在存储和传输过程中不被非授权用户窃取或解读。电子商务系统应该对重要的机密信息进行加密处理，从而防止机密信息的泄露。(3)信息的完整性(Intergrity)电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或