基于SET的认证系统的构建及其安全性研究
摘要
随着Internet的迅猛发展,电子商务成为当前的热门话题。一个完整的电子商务系统主要包括三部分,即商家系统、支付系统和认证机构,而认证机构的实现是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上交易各方的身份,并通过加密证书对传输的数据进行加密,以保证信息的安全性、完整性和交易的不可抵赖性,它是电子商务系统安全的核心和基础。
要想实现电子商务,必须解决网上交易的安全问题。在目前已经实现的电子商务安全协议中,最常用的是SET和SSL两种协议。而相对SSL协议而言,SET协议具有更高的安全性,它被公认为全球Internet安全的标准,其交易形式被称为未来电子商务的规范。
本文主要在SET协议基础上,从安全性方面对认证系统的构建进行了深入的研究,并提出了一套可行的、先进的实现方案。
第一章和第二章介绍认证系统安全方面的核心技术,并对认证系统的功能模型进行了分析。第三章介绍SET协议的相关理论,详细阐述了SET协议中一些加密算法的基本原理和加密步骤。第四章在SET协议的基础上,设计了一个安全性较高的CA中心网络体系结构,并提出了一种基于X.509公钥证书的密钥管理系统的设计方案,利用LDAP目录服务和存取协议,描述了构造证书服务器的方法。同时详细分析了CA中心的功能实现,开发了功能完善的客户端软件,并对RSA算法密钥的生成、存储和运算进行了研究,在基于链表结构的基础上进行了程序实现。本文还针对SET协议中存在的缺陷,提出了一种较合理的改进措施,解决了在电子交易后数据的保存和销毁问题,同时通过提供时间戳服务保证了电子交易客体对交易的不可否认性。第五章对认证中心安全的其它要求和措施进行了分析和总结。
With the rapid development of Internet, Electronic Commerce (EC) has been being one of the most attractive research topics. The EC system mainly includes three parts, namely, Merchant System, Payment System and CA System. CA is the core and foundation of the security of EC. By issuing digital certificates that can authenticate the transactors' identities and encrypting the data to be transmitted, CA can ensure the security and integrality of information and the undeniablity of electronic transactions.
To develop EC efficiently, the security problems of the on-line transactions must be resolved. SET and SSL are two protocols that are currently used most commonly among the EC security protocols. Compared with SSL, SET is much securer, and, therefore, is acknowledged to be the standard of Internet security. Its transaction form is regarded as the criterion of future EC.
Focusing on security, this thesis does deeply research on the design of CA system based on SET protocol, and presents an advanced solution scheme that can be used in practice.
Chapters 1 and 2 introduce the core technologies of CA security, and analyze the functional model of CA system. In Chapter 3, the related theories of SET protocol are introduced, and the fundamentals and steps of some encryption algorithms adopted by SET are described in detail. Chapter 4 designs a high-security network architect of CA, presents a scheme to build Key Management System based on X.509 certification using LDA?and describes how to implement it. This thesis analyzes particularly the realization of CA's functions and develops a perfect client-side application. It also does research on the generation, storage and operation of the key of RSA, and completes software based on the structure of Linked List. In addition, this thesis presents a reasonable improvement on SET protocol, resolving the conservation and destruction of the electronic transaction data, and ensures the undeniablity of electronic transactions by providing Time-stamp service. In Chapter 5; the other requirements and measures of CA
security are analyzed and summarized.
要想实现电子商务,必须解决网上交易的安全问题。在目前已经实现的电子商务安全协议中,最常用的是SET和SSL两种协议。而相对SSL协议而言,SET协议具有更高的安全性,它被公认为全球Internet安全的标准,其交易形式被称为未来电子商务的规范。
本文主要在SET协议基础上,从安全性方面对认证系统的构建进行了深入的研究,并提出了一套可行的、先进的实现方案。
第一章和第二章介绍认证系统安全方面的核心技术,并对认证系统的功能模型进行了分析。第三章介绍SET协议的相关理论,详细阐述了SET协议中一些加密算法的基本原理和加密步骤。第四章在SET协议的基础上,设计了一个安全性较高的CA中心网络体系结构,并提出了一种基于X.509公钥证书的密钥管理系统的设计方案,利用LDAP目录服务和存取协议,描述了构造证书服务器的方法。同时详细分析了CA中心的功能实现,开发了功能完善的客户端软件,并对RSA算法密钥的生成、存储和运算进行了研究,在基于链表结构的基础上进行了程序实现。本文还针对SET协议中存在的缺陷,提出了一种较合理的改进措施,解决了在电子交易后数据的保存和销毁问题,同时通过提供时间戳服务保证了电子交易客体对交易的不可否认性。第五章对认证中心安全的其它要求和措施进行了分析和总结。
With the rapid development of Internet, Electronic Commerce (EC) has been being one of the most attractive research topics. The EC system mainly includes three parts, namely, Merchant System, Payment System and CA System. CA is the core and foundation of the security of EC. By issuing digital certificates that can authenticate the transactors' identities and encrypting the data to be transmitted, CA can ensure the security and integrality of information and the undeniablity of electronic transactions.
To develop EC efficiently, the security problems of the on-line transactions must be resolved. SET and SSL are two protocols that are currently used most commonly among the EC security protocols. Compared with SSL, SET is much securer, and, therefore, is acknowledged to be the standard of Internet security. Its transaction form is regarded as the criterion of future EC.
Focusing on security, this thesis does deeply research on the design of CA system based on SET protocol, and presents an advanced solution scheme that can be used in practice.
Chapters 1 and 2 introduce the core technologies of CA security, and analyze the functional model of CA system. In Chapter 3, the related theories of SET protocol are introduced, and the fundamentals and steps of some encryption algorithms adopted by SET are described in detail. Chapter 4 designs a high-security network architect of CA, presents a scheme to build Key Management System based on X.509 certification using LDA?and describes how to implement it. This thesis analyzes particularly the realization of CA's functions and develops a perfect client-side application. It also does research on the generation, storage and operation of the key of RSA, and completes software based on the structure of Linked List. In addition, this thesis presents a reasonable improvement on SET protocol, resolving the conservation and destruction of the electronic transaction data, and ensures the undeniablity of electronic transactions by providing Time-stamp service. In Chapter 5; the other requirements and measures of CA
security are analyzed and summarized.
引文
[1] 程代杰,刘卫宁.电子商务及相关技术.计算机应用,1999(19),P1-3
[2] 杨千里,王育民.电子商务技术与应用.北京:电子工业出版社,1999.5
[3] 王少锋,王克宏.电子商务技术的发展与研究.计算机工程与应用,2000.4,P36-37
[4] 关振胜.公钥基础设施 PKI 与认证机构 CA.北京:电子工业出版社,2002.1
[5] 佘堃,周明天.公开密钥基础设施(PKI)核心—签证机关(CA).计算机应用,1999.11(11),P1-3
[6] 中国金融认证中心,http://www.cfca.com.cn/
[7] 广东省电子商务认证中心,http://www.cnca.net/
[8] 上海市电子商务安全证书管理中心,http://www.sheca.com/
[9] 北京数字证书认证中心,http://www.bjca.org.cn/
[10] 中国数字认证网,http://www.ca365.com/
[11] VeriSign,Inc.http://www.verisign.com/
[12] 梁晋等.电子商务核心技术—安全电子交易协议的理论与设计.西安电子科技大学出版社,2000.1
[13] 中国邮电电信总局.电子商务总体技术规范(试行本).http://www.cndata.com/sjyw/dcd_eb/dxsw/texts/dxsw10.htm
[14] SET Secure Electronic Transaction Specification.Book 1:Business Description,Version 1.0,1997
[15] SET Secure Electronic Transaction Specification.Book 2:Programmer's Guide,Version 1.0,1997
[16] SET Secure Electronic Transaction Specification.Book 3:Formal Protocol Definitions,Version 1.0,1997
[17] Carlisle Adams,Steve Lloyd.Understanding Public-Key Iufrastructure -Concepts,Standards and Deployment,1999
[18] 唐礼勇.电子商务技术及其安全问题.计算机工程与应用,2000.7,P18-22
[19] 侯小梅.电子商务中加密方法的理论和应用研究.计算机工程与应用,2000.10,P19-22
[20] 许大为.电子商务及其安全体系.微型机与应用,2000(6),P18-21
[21] Bruce Schneier.Applied Cryptography(Second Edition).John Wiley & Sons,Inc.1997
[22] 冯登国,吴文玲.分组密码的设计与分析.北京:清华大学出版社,2000.9
[23] http://csrc.nist.gov/encryption/aes/
[24] 何明星,范平志.新一代私钥加密标准AES进展与评述.计算机应用研究.2001(10),P4-6
[25] 于增贵.AES—21世纪的数据加密标准.电子标准化与质量,2000(5),P13-16
[26] 吴文玲,冯登国,卿斯汉.简评美国公布的十五个AES候选算法.软件学报,
[27] 刘玉莎等.公钥基础设施在网络安全中的研究与应用.计算机工程与应用,2000.3,P133-136
[28] W.Stallings.Network and Internet Security,Principles and Practice.New Jersey:Prentice Hall,Inc.,1995
[29] Public Key Cryptography Standards(PKCS),RSA Date Security,Inc.,1999
[30] 卢开澄.计算机密码学(第二版).北京:清华大学出版社,1998.7
[31] RSA Security Inc.http://www.rsasecurity.com/
[32] 徐秋亮,李大兴.椭圆曲线密码体制.计算机研究与发展.1999.9(11),P1281-1288
[33] 张龙军,沈钧毅,赵霖.椭圆曲线密码体制安全性研究.西安交通大学学报,2001.10(10),P1038-1042
[34] 朱华飞等.密码安全杂凑算法的设计与分析.电子学报,1998,26(1),P126-128
[35] 李子臣,杨义先,吴伟陵.一类基于数字签名的密钥认证方案.电子学报,2000.4(4),P115-116
[36] D.R.Stinson.Cryptography,Theory and Practice.Florida:CRC Press,Inc.,1995
[37] Cryptography Research,Inc.http://www.cryptography.com
[38] 李中献.认证理论与技术的发展.电子学报,1999.19(1),P98-102
[39] 李建军,朱海波,张丽霞.电子商务安全中防火墙的体系结构及应用.哈尔滨商业大学学报,2001.9(3),P60-62
[40] 回文博.网络安全及防火墙技术的应用.辽宁教育学院学报,2001.9(9),P90-92
[41] 唐韶华.SET协议的支付模型分析.计算机工程与应用,2000.11,P23-25
[42] 蒋兴浩.基于SET协议的网上购物系统的实现.计算机工程与应用,2000.12,P120-122
[43] 王广清,杨学良.基于SET协议的网上购物系统的研究.通信世界,1999(9),P39-42
[44] 印鉴,刘星成,汤庸.网上购物系统的设计与实现.计算机工程与应用,2001(16),P88-90
[45] 刘少涛,凌捷.数据加密算法与大素数的生成及运算.广东工业大学学报,2001.12(4),P25-29
[46] 傅丽丽,陈公超,沈卫忠.安全电子交易流程的实现.电子技术,1999(2),P33-36
[47] 章晓痕,段浩.构筑可靠、实用的CA系统.微型机与应用,2000(11),P32-33
[48] 赵宏建,孙吉贵.LDAP技术在电子证书管理中的应用.计算机研究与发展,2000.10,P120-125
[49] Wabl M.Howes T.Kille S.Lightweight Directory Accesss Protocol(v3).RFC.2251,1997
[50] Howes T.Smith M.The LDAP Application Program Interface,RFC-1823,1995
[51] 黄锋,陈公超.SET协议的证书管理.电子技术,1999(3),P31-34
[52] 金波,王海龙,王行愚.X.509证书管理系统及其实现.微型电脑应用,1999.10(15),P19-21
[53] Sharon Boeyen.Internet X.509 Public Key Infrastructure:LDAPv2 Schema,Sep.1998
[54] R.Housely.Internet X.509 Public Key Infrastructure:Certificate and CRL Profile(RFC2459),Jan.1998
[55] 沈卫忠,傅丽丽,陈公超.公共密钥体系和X.509标准.电子技术,1999(4),P37-40
[56] 韦卫,杜炜,王行刚.构造基于X.509公钥证书的密钥管理系统.计算机工程,1999.10,P133-153
[57] Adams C.Farrell S.Internet X.509 Public Key Infrastructure Certificate Management Protocols.RFC2510,March 1999
[58] 邵兵,鲁东明.一个数据加密传输系统的设计与实现.计算机应用.2000.6(6),P11-13
[59] 杨建沾,王勇,易星.RSA公开密钥密码体制的密钥生成研究.武汉大学学报,1999.6(3),P303-306
[60] YU Xiu-yuan,XUE Zhao-xiong.Elements of Number Theory in Cryptographics[M].Jinan:Shandong Science and Technology Publishing House,1993.
[61] Rabin M.Probabilistic Algorithms for Testing Primality[J].Journal on Number Theory.1980.12
[62] 严蔚敏,吴伟民.数据结构(C语言版).北京:清华大学出版社,1997.4
[63] 汤志华,林浒,马跃.SET协议安全性分析.小型微型计算机系统 1999.9(9),P704-707
[64] 陈凡,许先斌.SET协议的分析与改进措施.计算机应用研究,2000.6 P42-44
[65] 杨坚争.电子商务认证机构问题研究.计算机工程,1999.10,P114-116
[66] Miyaji,A Elliptic Curves Suitable for Cryptosystems.IEICE Trans.Fundamentals,1994
[67] Lam K,Ling S.Efficient Generation of Elliptic Curve Cryptosystems.LNCS,1996
[68] 赵霖,张泽增.基于良好椭圆曲线的密码体制及其在数字签名中的应用.云南大学学报,1997,19(增刊),P328-331
[2] 杨千里,王育民.电子商务技术与应用.北京:电子工业出版社,1999.5
[3] 王少锋,王克宏.电子商务技术的发展与研究.计算机工程与应用,2000.4,P36-37
[4] 关振胜.公钥基础设施 PKI 与认证机构 CA.北京:电子工业出版社,2002.1
[5] 佘堃,周明天.公开密钥基础设施(PKI)核心—签证机关(CA).计算机应用,1999.11(11),P1-3
[6] 中国金融认证中心,http://www.cfca.com.cn/
[7] 广东省电子商务认证中心,http://www.cnca.net/
[8] 上海市电子商务安全证书管理中心,http://www.sheca.com/
[9] 北京数字证书认证中心,http://www.bjca.org.cn/
[10] 中国数字认证网,http://www.ca365.com/
[11] VeriSign,Inc.http://www.verisign.com/
[12] 梁晋等.电子商务核心技术—安全电子交易协议的理论与设计.西安电子科技大学出版社,2000.1
[13] 中国邮电电信总局.电子商务总体技术规范(试行本).http://www.cndata.com/sjyw/dcd_eb/dxsw/texts/dxsw10.htm
[14] SET Secure Electronic Transaction Specification.Book 1:Business Description,Version 1.0,1997
[15] SET Secure Electronic Transaction Specification.Book 2:Programmer's Guide,Version 1.0,1997
[16] SET Secure Electronic Transaction Specification.Book 3:Formal Protocol Definitions,Version 1.0,1997
[17] Carlisle Adams,Steve Lloyd.Understanding Public-Key Iufrastructure -Concepts,Standards and Deployment,1999
[18] 唐礼勇.电子商务技术及其安全问题.计算机工程与应用,2000.7,P18-22
[19] 侯小梅.电子商务中加密方法的理论和应用研究.计算机工程与应用,2000.10,P19-22
[20] 许大为.电子商务及其安全体系.微型机与应用,2000(6),P18-21
[21] Bruce Schneier.Applied Cryptography(Second Edition).John Wiley & Sons,Inc.1997
[22] 冯登国,吴文玲.分组密码的设计与分析.北京:清华大学出版社,2000.9
[23] http://csrc.nist.gov/encryption/aes/
[24] 何明星,范平志.新一代私钥加密标准AES进展与评述.计算机应用研究.2001(10),P4-6
[25] 于增贵.AES—21世纪的数据加密标准.电子标准化与质量,2000(5),P13-16
[26] 吴文玲,冯登国,卿斯汉.简评美国公布的十五个AES候选算法.软件学报,
[27] 刘玉莎等.公钥基础设施在网络安全中的研究与应用.计算机工程与应用,2000.3,P133-136
[28] W.Stallings.Network and Internet Security,Principles and Practice.New Jersey:Prentice Hall,Inc.,1995
[29] Public Key Cryptography Standards(PKCS),RSA Date Security,Inc.,1999
[30] 卢开澄.计算机密码学(第二版).北京:清华大学出版社,1998.7
[31] RSA Security Inc.http://www.rsasecurity.com/
[32] 徐秋亮,李大兴.椭圆曲线密码体制.计算机研究与发展.1999.9(11),P1281-1288
[33] 张龙军,沈钧毅,赵霖.椭圆曲线密码体制安全性研究.西安交通大学学报,2001.10(10),P1038-1042
[34] 朱华飞等.密码安全杂凑算法的设计与分析.电子学报,1998,26(1),P126-128
[35] 李子臣,杨义先,吴伟陵.一类基于数字签名的密钥认证方案.电子学报,2000.4(4),P115-116
[36] D.R.Stinson.Cryptography,Theory and Practice.Florida:CRC Press,Inc.,1995
[37] Cryptography Research,Inc.http://www.cryptography.com
[38] 李中献.认证理论与技术的发展.电子学报,1999.19(1),P98-102
[39] 李建军,朱海波,张丽霞.电子商务安全中防火墙的体系结构及应用.哈尔滨商业大学学报,2001.9(3),P60-62
[40] 回文博.网络安全及防火墙技术的应用.辽宁教育学院学报,2001.9(9),P90-92
[41] 唐韶华.SET协议的支付模型分析.计算机工程与应用,2000.11,P23-25
[42] 蒋兴浩.基于SET协议的网上购物系统的实现.计算机工程与应用,2000.12,P120-122
[43] 王广清,杨学良.基于SET协议的网上购物系统的研究.通信世界,1999(9),P39-42
[44] 印鉴,刘星成,汤庸.网上购物系统的设计与实现.计算机工程与应用,2001(16),P88-90
[45] 刘少涛,凌捷.数据加密算法与大素数的生成及运算.广东工业大学学报,2001.12(4),P25-29
[46] 傅丽丽,陈公超,沈卫忠.安全电子交易流程的实现.电子技术,1999(2),P33-36
[47] 章晓痕,段浩.构筑可靠、实用的CA系统.微型机与应用,2000(11),P32-33
[48] 赵宏建,孙吉贵.LDAP技术在电子证书管理中的应用.计算机研究与发展,2000.10,P120-125
[49] Wabl M.Howes T.Kille S.Lightweight Directory Accesss Protocol(v3).RFC.2251,1997
[50] Howes T.Smith M.The LDAP Application Program Interface,RFC-1823,1995
[51] 黄锋,陈公超.SET协议的证书管理.电子技术,1999(3),P31-34
[52] 金波,王海龙,王行愚.X.509证书管理系统及其实现.微型电脑应用,1999.10(15),P19-21
[53] Sharon Boeyen.Internet X.509 Public Key Infrastructure:LDAPv2 Schema,Sep.1998
[54] R.Housely.Internet X.509 Public Key Infrastructure:Certificate and CRL Profile(RFC2459),Jan.1998
[55] 沈卫忠,傅丽丽,陈公超.公共密钥体系和X.509标准.电子技术,1999(4),P37-40
[56] 韦卫,杜炜,王行刚.构造基于X.509公钥证书的密钥管理系统.计算机工程,1999.10,P133-153
[57] Adams C.Farrell S.Internet X.509 Public Key Infrastructure Certificate Management Protocols.RFC2510,March 1999
[58] 邵兵,鲁东明.一个数据加密传输系统的设计与实现.计算机应用.2000.6(6),P11-13
[59] 杨建沾,王勇,易星.RSA公开密钥密码体制的密钥生成研究.武汉大学学报,1999.6(3),P303-306
[60] YU Xiu-yuan,XUE Zhao-xiong.Elements of Number Theory in Cryptographics[M].Jinan:Shandong Science and Technology Publishing House,1993.
[61] Rabin M.Probabilistic Algorithms for Testing Primality[J].Journal on Number Theory.1980.12
[62] 严蔚敏,吴伟民.数据结构(C语言版).北京:清华大学出版社,1997.4
[63] 汤志华,林浒,马跃.SET协议安全性分析.小型微型计算机系统 1999.9(9),P704-707
[64] 陈凡,许先斌.SET协议的分析与改进措施.计算机应用研究,2000.6 P42-44
[65] 杨坚争.电子商务认证机构问题研究.计算机工程,1999.10,P114-116
[66] Miyaji,A Elliptic Curves Suitable for Cryptosystems.IEICE Trans.Fundamentals,1994
[67] Lam K,Ling S.Efficient Generation of Elliptic Curve Cryptosystems.LNCS,1996
[68] 赵霖,张泽增.基于良好椭圆曲线的密码体制及其在数字签名中的应用.云南大学学报,1997,19(增刊),P328-331