專利名稱:電子商務信息安全處理系統的制作方法
技術領域:
本發明屬于電子信息領域。特別涉及一種電子商務信息安全處理 領域。
背景技術:
電子商務是一種依托現代信息技術和網絡技術,集金融電子化、管 理信息化、商貿信息網絡化為一體,旨在實現物流、資金流與信息流和 諧統一的新型貿易方式。電子商務在互聯網的基礎上,突破傳統的時空 觀念,縮小了生產、流通、分配、消費之間的距離,大大提高了物流、 資金流和信息流的傳輸和處理效率,開辟了世界范圍內更為公平、公正、 廣泛竟爭的大市場,為制造者、銷售者和消費者提供了能更好地滿足各
自需求的機會。Internet給整個社會帶來了巨大的變革,成為驅動各種產 業發展的動力。隨著電腦的普及應用和互聯網的快速發展,電子商務已經逐漸成為 人們進行商務活動的新模式,電子商務在提高商務效率、降低商務交易 成本的同時,本身安全性也隨之而至,成為制約其進一步發展的重要瓶 頸。目前影響電子商務安全的主要因素有計算機網絡安全和商務交易信 息安全兩個方面。由于互聯網上電子商務交易平臺的虛擬性和匿名性, 計算機網絡安全和商務交易信息安全問題也變得越來越突出,電子簽名 技術的應用及其立法為電子商務安全運行提供了重要保障。
電子商務系統的關鍵是保證交易數據和交易過程的安全,Internet 本身的開放性使電子商務系統面臨著各種各樣的安全威脅。因此對其安 全性要求很高,要求電子商務系統具備防止交易信息被非法截獲或讀 取的保密性(Confi dentiali2ty)、防止交易過程#1跟蹤的匿名性 (Anonymity)、防止交易信息丟失并保證信息傳遞次序統一的完整性
3(Integrity)、防止假冒身份在網上交易、詐騙的可靠性(Reliability)、防 止交易各方對已做交易無法抵賴的抗否認性(AntiOdensity)以及原子性 (Atomicity)等安全需求。
發明內容
本發明的目的在于,提供一種電子商務信息安全處理系統,以實現 信息保密性的要求。本發明通過下面的技術方案實現 —種電子商務信息安全處理系統,包括可與多個交易系統連接并提
供安全認證中心CA,其特征在于,還包括通過一定方式與所述CA認證 中心連接的CA數據緩沖庫,所述CA數據緩沖庫中的交易信用信息與 所述CA認證中心的相關數據保持同步;安全認證中心CA,完成身份審核、證書簽發、交易認證等重要
服務;安全通信服務器,用于網絡計算機系統中的用戶認證,基于角色的 安全通信策略管理和用戶證書管理,并基于用戶角色和安全通信策略完 成對網絡層安全通信鏈路的管理。安全認證中心要求用戶提供必要的個人身份信息和合法的個人識
別號,安全認證中心將為注冊用戶生成個人特征碼、用戶密鑰和用戶證書。
圖1:本發明電子商務信息安全處理系統的框圖; 圖2:本發明電子商務信息安全處理方法的示意圖; 圖3:非對稱密鑰加密過程。
本發明是在網絡計算機環境下,將面向網絡節點的網絡層安全通信 技術進一步拓展為面向用戶的網絡層安全通信方法。適用于安全認證中
心(Certificate Authority ,簡稱CA)、智能卡、安全通信服務器 (Communication Server,簡稱CS)和網絡計算機(Network Computer,簡 稱NC)可信的網絡計算機環境;希望在網絡計算機環境下實現安全通信 的用戶必須到安全i人證中心注冊;注冊用戶的私鑰、個人特征碼和安全 認證中心自簽名的根證書存儲在安全認證中心頒發給該注冊用戶的智能 卡內;所有注冊用戶的用戶證書連同安全認證中心的私鑰都將通過特定 的安全信道存儲到安全通信服務器上;注冊用戶在網絡計算機環境中的 任意一臺網絡計算機上登錄后,必須立即將用戶個人特征碼和注冊用戶 所在網絡計算機的網絡節點信息(包括該網絡計算機的IP地址、網關IP 地址和子網掩碼)安全可靠的提交給安全通信服務器;安全通信服務器負 責網絡計算機環境中的用戶認證,安全通信策略管理和用戶證書管理; 每當網絡計算機環境的網絡拓樸結構或安全通信策略發生變化時,網絡 計算機環境中的每個網絡節點(包括網絡計算機、安全通信服務器和其它 服務器)所存儲的安全通信配置信息都要重構一次;安全通信服務器根據 自己所收集的登錄用戶信息和當前安全通信策略,完成對網絡計算機環 境中的安全通信鏈路的管理。 CA中心作為整個電子商務系統安全性的核心,完成身份審核、 證書簽發、交易認證等重要服務。為維護CA中心的權威性和公正性, 技術上必須采用先進的設計方法。加密技術是數字證書的核心,所采 用的加密技術應考慮先進性、業界標準和普遍性,同時,為使數字證 書能實現可互操作性,需要與主要的Internet安全協議兼容以支持多 應用環境。本系統在嚴格遵守ITU的X.509標準的基礎上,設計一 個具有較高安全性的認證中心。 (l)采用LDAP服務器作為證書管理和CRL管理服務器。 LDAP服務器支持大容量的讀請求,并為讀密集型的操作進行了專門 的優化;同時也提供了復雜的不同層次的ACL(—般都稱為ACL或者訪問控制列表)來控制對數據讀和寫的權限,保證了較高的安全性和
可靠性;LDAP協議是跨平臺的和標準的協議,因此應用程序就不用 為LDAP目錄放在什么樣的服務器上操心了。
(2) 為保證系統的可擴展性,支持交叉認證,使之既能滿足當前 小范圍內CA認證需求,又能滿足今后大范圍多種CA系統間的域 間交叉認證的需求;
(3) 身份認證、密鑰管理以及數據的完整性采用可靠性高的RSA 算法,指示加密釆用DES算法,釆用Hash消息摘要及RSA數字 簽名算法。加密公鑰和私鑰長度可為512, 1024或更高。
(4) 實現公鑰/私鑰的生成、用戶證書申請、證書簽發、證書吊銷、 證書驗證、密鑰存儲等功能。
(5) 為用戶提供功能完善的客戶端管理,方便用戶管理和使用證 書。支持用戶自己證書的申請、下載、查詢、更新等,同時能對他人 證書進行查詢及下載;
(6) 提供證書及密鑰的多種存儲方式。本系統采用了 LDAP服務器作為證書管理和CRL管理服務器。 LDAP輕載目錄存取協議支持國際電信聯盟(ITU-T)制定X.500-X.509 標準。X.500定義了目錄服務的基本框架,包括目錄信息庫DIB,目錄 項entry、目錄信息樹DIT以及目錄協議。X.509則為目錄服務器和用 戶間提供認證鑒別業務。LDAP采用跨平臺的標準協議,支持分布式的 目錄服務。在目錄結構龐大時可使用多個服務器分別存放目錄的不同部 分,目錄服務器間通過指針連接。LDAP檢索功能強大,它為讀密集型 操作進行了專門的優化,免去了數據庫中完整性約束,大大簡化了數據 操作。作為一個跨平臺的和標準的協議,LDAP現已得到業界的廣泛認 可及應用。本系統目錄中存放有三種目錄項用戶信息項,CA信息項及 證書注銷列表項。
用戶信息項主要存放與證書用戶相關的信息。包含的信息有證書序 列號,用戶名稱、組織單元、簽發證書的CA的URL、簽發證書的CA 郵件地址、用戶的證書等。CA信息項存放本CA中心的相關信息。包含有CA根證書,包含的 信息有證書序列號、CA名稱、組織單元、CA的URL, CA的郵件地址, 證書簽發者的名稱等。
獲得廣泛應用的2種加密技術是對稱密鑰加密體制和非對稱密鑰加 密體制。它們的主要區別是所使用的加密和解密的密碼是否相同。
對稱密鑰加密算法,又稱私鑰加密算法,即信息的發送方和接收方 用一個密鑰去加密和解密數據。它的最大優勢是加、解密速度快,適合 對大數據量進行加密,但密鑰管理困難。使用對稱加密技術將簡化加密 的處理,每個參與方都不必彼此研究和交換專用設備的加密算法,而是 采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能 夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就 可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發 送報文摘要或報文散列值來實現。
非對稱加密算法與對稱加密算法不同,非對稱加密算法需要兩個密 鑰公開密鑰(publickey)和私有密鑰(privatekey )。公開密鑰與私有 密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰 才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密 鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法 叫作非對稱加密算法。非對稱加密算法實現機密信息交換的基本過程 甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開;得到該 公用密鑰的乙方使用該密鑰對機密信息進行加密后再發送給甲方;曱方 再用自己保存的另一把專用密鑰對加密后的信息進行解密。甲方只能用 其專用密鑰解密由其公用密鑰加密后的任何信息。非對稱加密算法的保 密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費時 間長、速度慢,它不適合于對文件加密而只適用于對少量數據進行加密。 非對稱密鑰加密過程如圖3所示。
權利要求
1.一種電子商務信息安全處理系統,包括可與多個交易系統連接并提供安全認證中心CA,其特征在于,還包括通過一定方式與所述CA認證中心連接的CA數據緩沖庫,所述CA數據緩沖庫中的交易信用信息與所述CA認證中心的相關數據保持同步;安全認證中心CA,完成身份審核、證書簽發、交易認證等重要服務;安全通信服務器,用于網絡計算機系統中的用戶認證,基于角色的安全通信策略管理和用戶證書管理,并基于用戶角色和安全通信策略完成對網絡層安全通信鏈路的管理。
2. 根據權利要求1的電子商務信息安全處理系統,其特征在于,CA信 息項存放本CA中心的相關信息,包含有CA根證書,包含的信息有 證書序列號、CA名稱、組織單元、CA的URL, CA的郵件地址,證 書簽發者的名稱等。
3. 根據權利要求2的電子商務信息安全處理系統,其特征在于,安全認 證中心要求用戶提供必要的個人身份信息和合法的個人識別號,安全認 證中心將為注冊用戶生成個人特征碼、用戶迷鑰和用戶證書。
4. 根據權利要求3的電子商務信息安全處理系統,其特征在于,采用非 對稱加密算法或對稱加密算法對用戶密鑰加密。
全文摘要
本發明屬于電子信息技術領域。主要解決電子商務信息安全問題。該系統包括可與多個交易系統連接并提供安全認證中心CA,其特征在于,還包括通過一定方式與所述CA認證中心連接的CA數據緩沖庫,所述CA數據緩沖庫中的交易信用信息與所述CA認證中心的相關數據保持同步;安全認證中心CA,完成身份審核、證書簽發、交易認證等重要服務;安全通信服務器,用于網絡計算機系統中的用戶認證,基于角色的安全通信策略管理和用戶證書管理,并基于用戶角色和安全通信策略完成對網絡層安全通信鏈路的管理。保證電子商務信息安全、可靠、公正和規范。
文檔編號H04L29/06GK101593334SQ200810113349
公開日2009年12月2日 申請日期2008年5月28日 優先權日2008年5月28日
發明者胡天石 申請人:北京中食新華科技有限公司