我的電子商務論文提綱
1 引言
電子商務給人們的生活和工作帶來了巨大的改變,但在電子商務給人們帶來好處的同時,其安全問題也逐漸暴露出來,而且越來越受到人們的關注,於是許多關於網路安全的新技術應運而生,其中認證機構CA作為解決網路資訊保安問題的開發性新技術,己經得到了廣泛應用。關於認證機構的瞭解也是在我教學過程中的一個重點讓學生去學習的知識點。
2 認證機構CA和數字證書
2.1 認證機構CA
在現在的網上交易過程中,無論是B2B,還是B2C,都面臨著一個問題,就是如何解決交易雙方的身份有效性,交易過程的合法性。認證機構CA認證機構(certificate Authority)是整個網上電子交易安全的關鍵環節,它主要負責產生、分配並管理所有參與網上交易的需要身份認證的實體的數字證書,為解決使用者信任問題,交易雙方在交易的各個環節中都需要檢驗對方數字證書的有效性,所以,認證機構發放的證書一定要具有權威性、公證性和可信賴性。CA是一個實體,是證書的簽發機關,是公鑰基礎設施的核心,為客戶提供簽發公鑰證書、認證證書、分配證書和管理證書的服務。CA將客戶的公鑰與客戶的名稱及其它屬性關聯起來,並制定政策和具體步驟來驗證、識別使用者身份,再對使用者證書進行簽名,確保證書持有者的身份和公鑰的擁有權。
2.2數字證書
數字證書是網路通訊各方身份資訊的一系列資料,是通過特定的加密演算法來實現的.它提供了一種在網上驗證身份的方式,在網上交易時可以用來驗證對方的身份。數字證書是一個由認證機構確認了相應私鑰持有者(人、裝置或其他實體)的身份或其它屬性後用數字方式簽名的包含公開金鑰持有者資訊以及公開金鑰的檔案。證書主要包括一個公開金鑰、證書名稱及認證機構的數字簽名。一般情況下,數字證書還包括金鑰的有效時間、發放證書機關的'名稱、該數字證書的序列號等資訊。
3 CA系統
一個典型的CA系統包括安全伺服器、CA伺服器、註冊機構RA ( Registration Authority)、LDAP(Lightweight Directory Access Protocol)目錄伺服器和資料庫伺服器。其中安全伺服器面向普通使用者,用於提供證書申請、瀏覽、證書撤銷列表以及證書下載等安全服務。CA伺服器負責證書的頒發。LDAP伺服器提供目錄瀏覽服務,負責將RA伺服器傳輸過來的使用者資訊及數字證書加入到伺服器上。資料庫伺服器用於CA資料、日誌和統計資訊的儲存和管理。目前,CA系統己經投入使用到很多領域,引入CA系統的必要性主要表現在:資訊的加密、網上交易的不可否認性、提供Internet上的各方信任以及保證交易資訊的完整性等方面。
4 開發CA系統
待開發的CA系統主要包括以下幾個執行實體:根CA、業務CA、使用者和網站。根CA負責為業務CA頒發證書,業務CA是根CA的使用者,同時又是個人使用者的直接CA,負責為使用者頒發證書,使用者通過向業務CA申請證書而獲得訪問網站的權利,網站負責向用戶提供需要安全認證的web服務。
此CA系統的執行流程如下。
( 1)建立兩個全域性物件:根CA全域性物件和業務CA全域性物件;
( 2)呼叫根CA的建構函式,對根CA進行初始化;
( 3)呼叫業務CA的建構函式,對業務以進行初始化,如果業務CA初始化失敗,則先向根CA申請證書,然後從根CA上下載證書和私鑰;
( 4)業務CA為使用者頒發證書;
( 5)使用者從業務CA上下載證書和私鑰。
在根CA中,存放金鑰和證書的地方均為登錄檔,查詢金鑰庫和證書庫是通過在登錄檔中查詢相應項來得到的,建立金鑰庫和證書庫也是在登錄檔中實現。作為根CA,首先需要給自己頒發一個證書,該證書由根CA本身進行簽名,然後利用該證書給其它業務CA頒發證書並簽名。在根CA給自己頒發證書之後,就可以給各業務CA頒發證書。在根CA實際頒發證書時,首先在證書庫和私鑰庫中生成業務CA的證書和私鑰,具體實現時,可以寫入到登錄檔中,也可以寫到資料庫中,或者寫到LDAP伺服器的相應項中,然後將生成的證書和金鑰寫入到業務CA的相應硬體中。
在網站方面,應該配置一個PKIserver伺服器用來進行加密、解密、簽名和驗籤等各種功能。實際執行時,可以將網站和PKIserver伺服器部署在同一臺伺服器上。在使用者與網站的互動過程中,網站先返回一個隨機數給使用者,使用者拿到該隨機數後,表示網站將要傳送的資訊以此隨機數作為對稱金鑰進行加密,使用者應該先對此隨機數進行簽名確認,表示正確收到該隨機數,如果該隨機數在傳輸過程中出錯,則後面進行驗籤時不會通過。網站在收到使用者的確認資訊之後,就可以使用使用者的加密證書對金鑰進行加密,並用自己的簽名證書對傳送資訊進行簽名,使用者收到資訊後,首先使用網站證書的公鑰進行驗證簽名,確認資訊正確後,用私鑰解開對稱金鑰,然後用該對稱金鑰解密資訊,得到所需的明文資訊。如果只是使用者之間進行安全資訊的互動,則只需將網站上的證書替換為相應的使用者證書即可。
根據以上流程,可以為系統設計如下幾個類:
class CABase {
void init(){ }
void downloadCert(){ }
void issueCert(){ }
Boolean isEmpty(){ }
void exportCert(){ }
void importCert(){ }
voidgenerateKey(){ }
}
其中函式init()用來初始化類物件,函式downloadCert ()用來實現下載證書的功能,函式issueCert ()用來實現頒發證書的功能,函式isEmpty()用來判斷當前物件是否己經初始化,函式exPortCert ()用來實現輸出證書的功能,函式imPortCert()用來實現匯入證書的功能,函式generateKey ()用來實現生成金鑰的功能。接著設計類RootCA和BuslCA,這兩個類都繼承類CABase,並且過載了類CABase裡init()、downloadCert()、issueCert()三個函式,分別來實現自己業務的操作。
最後設計類Key,其主要功能是從硬體裝置或軟體中讀取證書和金鑰以及向硬體裝置寫入證書和金鑰資訊。
class Key {
void readCert() {}
void writeCert() {}
void readKey(){}
void writeKey() {}
void generateSignKey(){ }
void exportSignKey() { }
其中函式readCert()用來實現讀取證書的功能,而函式writeCert()用來實現寫證書的功能,函式readKey()用來實現讀取金鑰的功能,而函式writeKey()用來實現寫金鑰的功能,函式generateSignKey()用來實現生成簽名金鑰的功能,而函式exportSignKey()用來實現匯出簽名金鑰的功能。