专利名称:电子商务信息安全处理方法
技术领域:
rooi]本发明属于电子信息领域。特别涉及一种电子商务信息安全处理 领域。
背景技术:
电子商务是一种依托现代信息技术和网络技术,集金融电子化、管
理信息化、商贸信息网络化为一体,旨在实现物流、资金流与信息流和 谐统一的新型贸易方式。电子商务在互联网的基础上,突破传统的时空 观念,缩小了生产、流通、分配、消费之间的距离,大大提高了物流、 资金流和信息流的传输和处理效率,开辟了世界范围内更为公平、公正、 广泛竟争的大市场,为制造者、销售者和消费者提供了能更好地满足各
自需求的机会。Internet给整个社会带来了巨大的变革,成为驱动各种产 业发展的动力。随着电脑的普及应用和互联网的快速发展,电子商务已经逐渐成为 人们进行商务活动的新模式,电子商务在提高商务效率、降低商务交易 成本的同时,本身安全性也随之而至,成为制约其进一步发展的重要瓶 颈。目前影响电子商务安全的主要因素有计算机网络安全和商务交易信 息安全两个方面。由于互联网上电子商务交易平台的虚拟性和匿名性, 计算机网络安全和商务交易信息安全问题也变得越来越突出,电子签名 技术的应用及其立法为电子商务安全运行提供了重要保障。
电子商务系统的关键是保证交易数据和交易过程的安全,Internet 本身的开放性使电子商务系统面临着各种各样的安全威胁。因此对其安 全性要求很高,要求电子商务系统具备防止交易信息被非法截获或读 取的保密性(Confi dentiali2ty)、防止交易过程被跟踪的匿名性 (Anonymity)、防止交易信息丢失并保证信息传递次序统一的完整性(Integrity)、防止假冒身份在网上交易、诈骗的可靠性(Reliability)、防 止交易各方对已敗交易无法抵赖的抗否认性(AntiOdensity)以及原子性 (Atomicity)等安全需》jt。
发明内容
roosi本发明的目的在于,提供一种电子商务信息安全处理方法,以实现 信息保密性的要求。
f006i本发明通过下面的技术方案实现将用户个人特征码和注册用户所在网络计算机的网络节点信息提 交给安全通信服务器;
[oi引安全通信^^务器负责网络计算机环境中的用户认证,安全通信策略 管理和用户证书管理。
[oi5i所述CA认证中心的CA信息项存放本CA中心的相关信息,包 含有CA根证书,包含的信息有证书序列号、CA名称、组织单元、CA 的URL, CA的邮件地址,证书签发者的名称等。
10161安全认证中心要求用户提供必要的个人身份信息和合法的个人识 别号,安全i人证中心将为注册用户生成个人特征码、用户密钥和用户证 书。
图1:本发明电子商务信息安全处理系统的框图; 图2:本发明电子商务信息安全处理方法的示意图; 图3:非对称密钥加密过程。
具体实施例方式
10171本发明是在网络计算机环境下,将面向网络节点的网络层安全通信
技术进一步拓展为面向用户的网络层安全通信方法。适用于安全认证中
心(Certificate Authority ,简称CA)、智能卡、安全通信服务器 (Communication Server,简称CS)和网络计算机(Network Computer,简 称NC)可信的网络计算机环境;希望在网络计算机环境下实现安全通信 的用户必须到安全认证中心注册;注册用户的私钥、个人特征码和安全 认证中心自签名的根证书存储在安全认证中心颁发给该注册用户的智能 卡内;所有注册用户的用户证书连同安全认证中心的私钥都将通过特定 的安全信道存储到安全通信服务器上;注册用户在网络计算机环境中的 任意一台网络计算机上登录后,必须立即将用户个人特征码和注册用户 所在网络计算机的网络节点信息(包括该网络计算机的IP地址、网关IP 地址和子网掩码)安全可靠的提交给安全通信服务器;安全通信服务器负 责网络计算机环境中的用户认证,安全通信策略管理和用户证书管理; 每当网络计算机环境的网络拓朴结构或安全通信策略发生变化时,网络 计算机环境中的每个网络节点(包括网络计算机、安全通信服务器和其它
服务器)所存储的安全通信配置信息都要重构一次;安全通信服务器根据 自己所收集的登录用户信息和当前安全通信策略,完成对网络计算机环 境中的安全通信链路的管理。
[oi8i CA中心作为整个电子商务系统安全性的核心,完成身份审核、 证书签发、交易认证等重要服务。为维护CA中心的权威性和公正性, 技术上必须采用先进的设计方法。加密技术是数字证书的核心,所采 用的加密技术应考虑先进性、业界标准和普遍性,同时,为使数字证书能实现可互操作性,需要与主要的Internet安全协议兼容以支持多 应用环境。本系统在严格遵守ITU的X.509标准的基础上,设计一 个具有较高安全性的认证中心。
[0191 (l)采用LDAP月l务器作为证书管理和CRL管理月l务器。 LDAP服务器支持大容量的读请求,并为读密集型的操作进行了专门 的优化;同时也提供了复杂的不同层次的ACL(—般都称为ACL或 者访问控制列表)来控制对数据读和写的权限,保证了较高的安全性和 可靠性;LDAP协议是跨平台的和标准的协议,因此应用程序就不用 为LDAP目录放在什么样的服务器上操心了。
(2) 为保证系统的可扩展性,支持交叉认证,使之既能满足当前 小范围内CA认证需求,又能满足今后大范围多种CA系统间的域 间交叉认证的需求;
(3) 身份认证、密钥管理以及数据的完整性采用可靠性高的RSA 算法,指示加密采用DES算法,采用Hash消息摘要及RSA数字 签名算法。加密公钥和私钥长度可为512, 1024或更高。
(4) 实现公钥/私钥的生成、用户证书申请、证书签发、证书吊销、 证书验证、密钥存储等功能。
(5) 为用户提供功能完善的客户端管理,方便用户管理和使用证 书。支持用户自己证书的申请、下载、查询、更新等,同时能对他人 证书进行查询及下载;
(6) 提供证书及密钥的多种存储方式。
[0201本系统采用了 LDAP服务器作为证书管理和CRL管理服务器。 LDAP轻载目录存取协议支持国际电信联盟(ITU-T)制定X.500-X.509 标准。X.500定义了目录服务的基本框架,包括目录信息库DIB,目录 项entry、目录信息树DIT以及目录协议。X.509则为目录服务器和用 户间提供认证鉴别业务。LDAP采用跨平台的标准协议,支持分布式的 目录服务。在目录结构庞大时可使用多个服务器分别存放目录的不同部 分,目录服务器间通过指针连接。LDAP检索功能强大,它为读密集型 操作进行了专门的优化,免去了数据库中完整性约束,大大简化了数据操作。作为一个跨平台的和标准的协议,LDAP现已得到业界的广泛认 可及应用。本系统目录中存放有三种目录项:用户信息项,CA信息项及 证书注销列表项。
用户信息项主要存放与证书用户相关的信息。包含的信息有证书序 列号,用户名称、组织单元、签发证书的CA的URL、签发证书的CA 邮件地址、用户的证书等。
CA信息项存放本CA中心的相关信息。包含有CA根证书,包含的 信息有证书序列号、CA名称、组织单元、CA的URL, CA的邮件地址, 证书签发者的名称等。
证书注销列表项存放有CA签发的证书注销列表,包含的信息有 CRL分布点名称,CA签发的CRL等。
10211获得广泛应用的2种加密技术是对称密钥加密体制和非对称密钥加 密体制。它们的主要区别是所使用的加密和解密的密码是否相同。
[0221对称密钥加密算法,又称私钥加密算法,即信息的发送方和接收方
用一个密钥去加密和解密数据。它的最大优势是加、解密速度快,适合 对大数据量进行加密,但密钥管理困难。使用对称加密技术将简化加密 的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是 采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能 够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就 可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发 送报文摘要或报文散列值来实现。
[023〗非对称加密算法与对称加密算法不同,非对称加密算法需要两个密
钥公开密钥(publickey)和私有密钥(privatekey )。公开密钥与私有 密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥 才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密 钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法 叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程 曱方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该 公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;曱方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用 其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保 密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时 间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。
非对称密钥加密过程如图3所示。
权利要求
1.一种电子商务信息安全处理方法,其特征在于,包括可与多个交易系统连接并提供安全认证中心CA,还包括通过一定方式与所述CA认证中心连接的CA数据缓冲库,所述CA数据缓冲库中的交易信用信息与所述CA认证中心的相关数据保持同步;该方法包括以下步骤用户向安全认证中心提供足以表明自己身份的个人信息;安全认证中心验证用户提供的个人信息,如果用户提供的个人信息通不过安全认证中心的验证,安全认证中心将立刻终止对用户的注册;用户向安全认证中心提供自己选择的个人识别号;安全认证中心为用户生成密钥;将注册用户的用户证书连同安全认证中心的私钥存储到安全通信服务器上;将用户个人特征码和注册用户所在网络计算机的网络节点信息提交给安全通信服务器;安全通信服务器负责网络计算机环境中的用户认证,安全通信策略管理和用户证书管理。
2. 根据权利要求1的电子商务信息安全处理系统,其特征在于,CA信 息项存放本CA中心的相关信息,包含有CA根证书,包含的信息有 证书序列号、CA名称、组织单元、CA的URL, CA的邮件地址,证 书签发者的名称等。
3. 根据权利要求2的电子商务信息安全处理系统,其特征在于,安全认 证中心要求用户提供必要的个人身份信息和合法的个人识别号,安全认 证中心将为注册用户生成个人特征码、用户迷钥和用户证书。
4. 根据权利要求3的电子商务信息安全处理系统,其特征在于,采用非 对称加密算法或对称加密算法对用户密钥加密。
全文摘要
本发明属于电子信息技术领域。主要解决电子商务信息安全问题。该系统包括可与多个交易系统连接并提供安全认证中心CA,其特征在于,还包括通过一定方式与所述CA认证中心连接的CA数据缓冲库,所述CA数据缓冲库中的交易信用信息与所述CA认证中心的相关数据保持同步;安全认证中心CA,完成身份审核、证书签发、交易认证等重要服务;安全通信服务器,用于网络计算机系统中的用户认证,基于角色的安全通信策略管理和用户证书管理,并基于用户角色和安全通信策略完成对网络层安全通信链路的管理。保证电子商务信息安全、可靠、公正和规范。
文档编号G06Q30/00GK101593333SQ200810113348
公开日2009年12月2日 申请日期2008年5月28日 优先权日2008年5月28日
发明者胡天石 申请人:北京中食新华科技有限公司