荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Jobs (温少), 信区: WinNT
标 题: 参赛方案:采用Windows 2000的电子商务设计
发信站: BBS 荔园晨风站 (Sat Jan 1 15:56:35 2000), 站内信件
参赛方案:采用Windows 2000的电子商务设计
--------------------------------------------------------------------------------
http://www.sina.com.cn 1999/12/01 18:35 来稿
西安交通大学梁晋
摘要
本文介绍了Windows 2000公钥体系结构及其在电子商务中应用, 公钥体
系结构简称PKI,它是在公共网络环境下使用公钥密码技术进行数字证书、证
书认证等的系统。PKI的标准在不断发展,成为电子商务应用的必须技术。
Windows 2000的PKI体系以其新特点,将成为电子商务的理想平台。
关键词:公钥体系,电子商务,
中国法分类号:TP393.4
The design of Electronic Commerce using Windows 200 0 PKI
Liang Jin Shi RenLiang Feng Peng Bo Xi'an JiaoTon g University
Abstract:This paper introduces the technology of Pu blic
Key Infrastructure in Windows2000 and describe how to use it in
electronic commerce. A public key infrastr ucture,often
shortened to PKI, is a system of digital c ertificates,
certification authorities(CAs) and other r egistration
authorities that verify and authenticate th e validity ofeach
party involved in an electronic trans action through the use of
public keycryptography. Stand ards for public key
infrastructure (PKI) are still evol ving even asthey are being
widely implemented as a nece ssary element of electronic
commerce. Thereare some new features in Windows 2000's PKI.
Windows 2000 will becom e the ideal platformof electronic
commerce.
Key word: Public Key Infrastructure , Electronic Co mmerce
引言
Windwos 2000为电子商务提供了一个理想的平台,其安全性(包括证书管
理、 CA服务、 公用密钥基本体系),保证了电子商务的开展。结合Windows
2000的IIS 5.0服务,可以快速创建一个网上电子商务的平台。
Windows 2000中有两种验证协议,即Kerberos和公用密钥体制
(Public Key In frastructure,PKI),这两者的不同之处在于:
Kerberos是对称密钥,而PKI是非对称密钥。在Internet环境中,需要使用非
对称密钥加密。即每个参与者都有一对密钥,可以分别指定为公钥(PK)和私钥
( SK),一个密钥加密的消息只有另一个密钥才能解密,而从一个密钥推断不
出另一个密钥。公钥可以用来加密和验证签名;私钥可以用来解密和数字签
名。每个人都可以公开自己的公钥,以供他人向自己传输信息时加密之用。只
有拥有私钥的本人才能解密,保证了传输过程中的保密性。关键是需要每个人
保管好自己的私钥。同时,为了保证信息的完整性,还可以采用数字签名的方
法。接下来的问题是,如何获得通讯对方的公钥并且相信此公钥是由某个身份
确定的人拥有的,这就要用到电子证书。电子证书是由大家共同信任的第三
方--认证中心(Certificate Authority,CA)颁发的,证书包含某人的身份
信息、 公钥和CA的数字签名。任何一个信任CA的通讯一方,都可以通过验证
对方电子证书上的CA数字签名来建立起和对方的信任,并且获得对方的公钥以
备使用。
Windows 2000的公用密钥基本体系
如何在数字化通信中建立起信任关系,是电子商务发展的重中之重。因
此,建立认证中心(CA)是关键的一步。W indows 2000可以作为建立CA的技术
方案,其内置了一整套颁发证书和管理证书的基础功能。Windows 2000
Server中有一个部件是证书服务器(Certificate Server),是原来
WindowsN T 4.0的选项包中Certificate Server 1.0的升级产品。
通过认证服务器,企业可以为用户颁发各种电子证书,比如用于网上购物
的安全通道协议(SSL)使用的证书,用于加密本地文件(EFS)的证书等等。认证
服务器还管理证书的失效,发布失效证书列表等。每个用户或计算机都有自己
的一个证书管理器,其中既放置着自己从CA申请获得的证书,也有自己所信任
的CA的根证书。
Windows 2000中的电子证书都是基于X.509协议的,保证了与其他系统的
互操作性。国际标准组织 CCITT建议以X.509作为X.500目录检索的一个组成
部分,提供安全目录检索服务。X.500是CCITT建议的,用于分布网络中存储用
户信息的数据库的目录检索服务的协议标准。X.509是采用公钥体系实施的认
证协议,对通信双方按所用密码体制规定了几种认证识别方法,它发表于1988
年,经多次修改,1993年又公布了新的版本。X.5 09对所用具体加密、 数字
签名、 公用密钥以及Hash算法未作限制,将会有广泛的应用,已纳入PEM
(Priva cy Enhanced Mail)系统中。
就网上购物的过程来说,目前常用的是SSL(安全通道协议)的方式,即
设置IIS就某些特定的文件或文件目录需要访问者提供客户端证书; 除非拥有
电子证书及相应的私钥,一个访问者的浏览器无法获得这些文件和文件目录。
SSL 的方式体现在浏览器的访问栏上,应该是Https而不是普通的Http。通过
网站验证后的访问者,可以被映射为活动目录中的用户或者用户组,实现合作
伙伴之间外部网(Extranet)的应用。
为了安全地保管私钥和电子证书,在Windows 2000中,微软为用户还提供了一套智能卡
的结构。智能卡因其高安全性和轻便的可移动性,势必将发展成为类似鼠标/键盘一般的计
算机的标准外设。微软还提供了一套基于32位W indows平台的Smart Card for Windows产品
,包括API和开发工具。众多的智能卡厂家,如 Gemplus,只要生产符合国际ISO工业标准的
智能卡产品,就可以在微软的Smart Card软件平台上操作。
当用户用Internet Explorer向一个认证中心申请电子证书时,就会有一对公钥和私钥
自动产生出来; 私钥可以存储在智能卡中,公钥和其他身份信息(比如姓名、 电子邮件地
址等)发给认证中心。如果认证中心批准该申请,那么包含公钥的电子证书就会被返回来,
存储在智能卡中。这种电子证书的申请过程也可以由管理员设定的批处理方法来进行,用户
还可以通过LDAP来查询CA中通讯对方的公钥,因为Windows 2000的认证服务器是可以与活动
目录相结合的,所以这方面的查询很方便。
智能卡存储私钥和电子证书的做法,给最终用户提供了对自己安全信息的最大的控制,
可以方便地从一台机器携带到另一台机器使用; 可以在任何一个地点使用。一般来说,智
能卡还会用一个个人密码(PIN)保护起来,在要求
高安全性的场合,PIN可以是一些生物信息,比如指纹等。智能卡中存储的信
息是加密的,即使破坏了智能卡也得不到里面的内容。智能卡的阅读器也越来
越普遍,有USB型的,也有PC卡型的,甚至Windows终端上也会有智能卡插槽。
智能卡正在逐渐走向大众化。
“公用密钥基本体系”通常简称为PKI(Public Key
Infrastructure),是一个数字认证、 证书授权和其他注册授权系统。使用
公用密钥密码检验及检证电子商务中所涉及的每个机构的有效性。公用密钥基
本体系的标准仍处于发展阶段,尽管它们作为电子商务的一个必要组成部分已
得到广泛使用。Windows 2000 的公用密钥体系,其核心是加密服务、 证书
管理服务,为应用程序的开发提供了加密API接口(CryptoAPI)。Wi ndows
2000 的公用密钥体系具有以下特点:
1.牢靠的安全性。Windows 2000的公用密钥体系包括采用智能卡的牢靠
验证,保持公用网的保密性,以及确保传输数据的完整性。此外,管理员可使
用 Windows 2000 安全权限指派用户证书的使用。
2.简易管理。Windows 2000的公用密钥与活动目录和组策略的集成,可
以对管理企业内部的委托关系进行调整,还提供将证书直接或经 Internet
Information Services 映射到活动目录中用户帐户的能力。
3.新机遇。可以安全地交换诸如Internet等公用网上的文件和数据,具有
实现安全E_mail(S/M IME)的能力。此外,作为电子商务的一个重要组成部
分,可以利用电子签名建立发送者的无法否认机制。
1. Windows 2000 公用密钥体系组件
Windows 2000 公用密钥基本体系的组件包括下述内容。
(1)证书。证书基本上是一个由权威发布的电子声明,其作用在于担保
证书持有者的身份。证书将公用密码与持有相应私有密钥的个人、 机器或服
务的身份绑定在一起。证书由各种公用密钥安全服务和应用程序提供,为非安
全网(如 I nternet )提供数据验证、 数据完整性和安全通讯。
Windows 2000 基于证书的过程所使用的标准证书格式是 X.509 V3,
X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信
息。实体信息包括实体名称、 公用密钥、 公用密钥运算法和可选的唯一主
体 ID。版本 3 证书的标准制定了以下规定: 密钥标识符、 密钥用法、 证
书策略、 替换名称和属性、证书路径约束以及对证书撤消原因和列表分区。
Windows 2000 Server 证书服务是 Windows 2000 中的组件,用于创建
和管理证书颁发机构(CA)。证书颁发机构负责建立和担保证书持有者的身份。
证书颁发机构还会在证书失效时,将其撤消并发布证书撤消列表,供证书检验
机构使用。最简单的公用密钥基本体系只有一个证书颁发机构。事实上,大多
数配置公用密钥基本体系的组织使用多个证书颁发机构,并将其有组织地形成
证书分层结构。
证书服务的一个单独组件是证书颁发机构的Web注册页。这些网页是在安
装证书颁发机构时默认安装的,它允许证书请求者使用Web浏览器提出证书请
求。此外,证书颁发机构网页可以安装在未安装证书颁发机构的 Windows 2
000 服务器上,在这种情况下,网页用于向不希望直接访问证书颁发机构的用
户服务。如果选择为组织创建定制网页访问 CA,则 Windows 2000 提供的网
页可作为示例。
(2)智能卡支持。Windows 2000 支持采用智能卡内证书登录,同时还
支持使用智能卡存储用于安全 E_mail 和其他与公用密钥密码活动相关的证
书。
(2)公用密钥策略。可使用 Windows 2000 的组策略向计算机自动发布
证书,建立证书信任列表和委托证书颁发机构,此外还可以管理加密文件系统
的恢复策略。
邮政邮购系统电子商务设计
下面是采用Windows 2000的平台设计的邮购系统,图 1描述了采用
Windows 2000平台建立的邮政邮购的电子商务网络图。邮政部门具有开展网上
邮购的优越条件:
图1 采用Windows 2000平台建立的邮政邮购的电子商务网络结构
---- 图1的网络由两大部分构成: 内部网和外部网,之间通过防火墙隔
离。
1.具有连接全国各个地方的投递、 运输渠道。
2.具有自己的金融机构(邮政储蓄)。
3.与社会上一般的邮购公司相比,具有信誉保证。
邮政邮购是邮政部门大力发展的业务,如果采用电子商务技术,将会如虎
添翼。以前由于电子商务的平台软件过于昂贵等其它原因,一直没有开展采用
电子商务的邮政邮购。Windows 2000系统为邮政邮购提供了一个可行的平台,
该方案综合利用了Windows 2000的证书服务、 网络连接、 网络安全等功
能。
1.外部网
外部网络主要指Internet网络和PSTN电话网,其中采用的Windows 2000
基于TAPI服务连接电话网,为用户提供通过电话定购方式,以及邮政部门使用
IP电话网关、远程访问等功能。在目前我国的实际情况下,上网用户太少,通
过电话定购商品,是可行的解决办法。 Internet上涉及的电子商务处理对象
主要有下列内容。
1.Internet上的购买者。用户通过Internet访问邮政网上的商店,查询
或购买商品。
2.商品提供商。邮政部门本身不生产邮购商品,需要厂家提供,经常需要
和厂家进行数据交流,厂家可以通过In ternet或电话线(如果需要可以采用
VPN方式)连接到邮政网络。
3.银行支付网关。国内一些商业银行已经在Internet上建立了本银行信用
卡的支付网关,用户在购物时输入自己的信用卡帐户信息,邮政邮购系统会自
动访问对应的银行支付网关验证用户身份,确认后完成用户指定的资金支付。
4.独立的CA认证中心。如果用户是在Internet网络上一个独立的CA认证
中心获得的证书,并且在购物时输入该证书,邮政邮购系统会连接该独立的CA
认证中心进行确认和处理。
2. 邮政网络对外部分
在邮政网络和Internet之间通过防火墙隔离,为加强安全性,将位于邮政
网络需要对外界开放的部分与内部网络再隔离,这部分网络对外提供以下服
务:
1.网上商店。网上商店是在IIS 5.0基础上开发的,也可以采用其它软件
(如微软的Site Serve r),为网络(Internet或者内部网络)上的用户提
供邮购商品的查询、 定购处理。
2.独立CA中心。采用Windows 2000的独立CA服务,可以面向Internet用
户,提供独立的证书服务。
3.路由和远程访问。采用Windows 2000路由和远程访问以及Internet认
证服务,提供外部用户的远程访问,以及通过VPN安全地连接。
4.电话网关和呼叫中心。采用Windows 2000,基于TAPI服务连接电话
网,可以完成多种功能: 可以为用户提供通过电话的订购方式; 可以作为邮
政网络的IP电话网关等。
邮政内部网络
邮政内部网络涉及电子商务的对象有:
1.绿卡支付网关。绿卡支付网关与一个普通的商业银行的支付网关类似,
只是为了安全的原因,暂时放到了邮政网络内部(以后可以连接到
Internet),只有通过邮政网络才能访问。绿卡支付网关连接邮政储蓄的计算
机主机系统,其功能是完成邮政内部资金结算,并为普通购物者提供结算功
能。当一个用户在Internet上访问邮政的网上商店时,输入其邮政储蓄卡(又
称绿卡)帐户信息,绿卡支付网关访问绿卡的主机,确认用户完成资金支
付。
2.企业内部CA中心。包括根CA和多个子CA,采用Windows 2000的证书服
务,为企业内部的安全处理提供证书服务。邮购用户可以直接到邮政营业窗口
的柜台订购物品,填写购物单,缴纳货款,营业员将用户订购信息和货款信
息,利用证书加密传输到邮政邮购的内部处理部门。如果需要资金结算,通过
绿卡支付网关结算。所有内部处理传输都需要从企业的CA中心取得证书。
3.邮政营业窗口。邮政营业窗口处理用户的邮购商品订单,通过邮政内部
网向邮购部门提交订单。
4.邮购中心部门。设立一个省中心及各地市中心,集中处理邮购业务。
结论
Windows 2000的PKI体系结构为网络安全应用打下了基础,为电子商务应
用提供了一个通用、开放、廉价的平台,由于是一个新功能、新产品,其安全
性将随着应用的不断深入不断发展。对大多数计算机用户来讲,与目前现有的
电子商务平台相比,Windows 2000将成为今后电子商务的最大平台。
参考文献
1.梁晋,中文版Windows 2000 Server(服务器版)实用大全, 西安电子
科技出版社,19 99.12
2.梁晋, 中文版Windows 2000 Professional(专业版)实用大全, 西
安电子科技出版社, 1999.11
3.梁晋, 中文版Windows 2000 Server(服务器版)简明教材 西安电子
科技出版社, 2 000.2
4.梁晋, 中文版Windows 2000 Professional(专业版)简明教材, 西
安电子科技出版社, 2000.2
作者介绍:
梁晋,1968年生,西安交通大学教师,硕士,在职博士,研究方向:计算
机网络技术、电子商务,编写10本计算机应用和开发专著,获全国优秀畅销图
书奖。
通讯地址:西安交通大学机械学院模具成型与塑性加工研究所梁晋收
邮编:710049
电话:029- 8485022
Email: liangjin@pub.xaonline.com, liang_jin@263.net
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.11.73]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店