基于SSL的交易認證技術研究*

丁澤侖,單志勇,王 卉

(東華大學信息科學與技術學院,上海201620)

基于SSL的交易認證技術研究*

丁澤侖,單志勇,王 卉

(東華大學信息科學與技術學院,上海201620)

SSL技術在互聯網安全通信領域應用廣泛,尤其近年來電子商務發展迅速,SSL協議由于可以提供網絡信息的安全傳輸,受到了廣大電子網站的青睞,但由于電子商務業務的復雜性,SSL協議在實際應用中存在一些不足,通過對SSL協議分析,提出了一種基于SSL的交易認證技術,彌補了SSL在電子商務不可抵賴性方面功能的不足。

電子安全 身份認證 SSL協議 加密算法

0 引 言

隨著信息時代的到來,電子商務等新興產業發展火熱,這些新興產業通過互聯網傳輸巨量的機密信息,由此,互聯網安全通信受到人們的高度重視,經過近幾年的發展,SSL協議(Secure Sockets Layer),成為了國內使用最為廣泛,發展最為成熟的網絡安全協議。它可以提供信息在網絡傳輸層的安全傳輸,防止機密信息被第三方竊聽。而且相比起其他的網絡安全協議,SSL協議結構簡單,易于搭建和使用,因此在電子商務使用中具有很大的優勢[1]。

然而SSL協議只能提供信息的安全傳輸,不可抵賴性是現代電子商務的基本特性之一,這要求安全協議為網絡數據雙方提供事后無法抵賴的交易認證,SSL協議在這個方面仍然存在缺陷[2]。為此本文提出了網絡交易的新的認證系統設計方案,通過對單筆交易信息加密生成交易證書,從而彌補了這個缺陷。

1 SSL協議概述

SSL安全協議工作于在TCP/IP和應用層之間,可以使用戶和服務器之間建立一條加密信道,從而保護雙方傳輸的數據不被剽竊,它基于公開密鑰體制和X.509數字證書,最適于點對點通信使用[3]。

1.1 SSL工作原理

SSL提供4個基本功能,即為身份認證,數據加密,消息完整性和密鑰交換。結構簡單明了,由兩層結構4個協議組成,如圖1所示[4]。

SSL安全協議運行時,首先進行的是握手協議,也是SSL最重要的協議,這里SSL協議要完成3個功能:

1)身份認證。在互聯網通信中,服務端和客戶會在某個中立權威的證書授權中心(CA)各自注冊,CA中心會根據RSA算法給雙方分配私鑰和公鑰,并且公鑰在網上公布,私鑰發給雙方自己保存。當雙方通信時。雙方各自把密文用對方公布的公鑰進行加密發出,這樣,如果接收方正確,自然可以用私鑰解密出信息,從而驗證雙方(也可以只驗證單方,即只驗證服務端),參考文獻[1-2],流程圖如圖2所示。

圖1 SSL結構Fig.1 SSL structure

圖2 身份認證過程Fig.2 Authentication process

2)確認算法。在通信雙發確認身份后,SSL協議會加密雙方的信息,這里使用的是對稱加密算法,即加密解密共用一個密鑰,因為對稱加密算法較多,因此在這個環節雙方要確認這次通信使用的加密算法。這里協商的過程是安全的。

3)密鑰交換。在加密算法確認后,SSL協議會生成本次通信的共用密鑰,并發給通信的雙方,雙方此次對話之后所有的信息都使用這個密鑰加密,除了持有這個密鑰的客戶和服務端,任何第三方都無法偽造信息或者篡改信息[5]。

除了握手協議,SSL還擁有改變加密協議,警告協議等功能,但最為重要的功能仍然是握手協議,它完成了安全協議需要完成的絕大部分功能。分析SSL協議,可以發現雖然SSL提供了身份認證功能,但是這次身份認證僅僅限于當次對話,如果雙方發生糾紛,作為客戶一端無法提供服務端和自己之間的通信證據,因此客戶無法證明自己和商家發生了交易行為。目前SSL協議有利于商家,由于目前市場上電子商務公司普遍是大商家,發生商業欺詐的可能性較小,客戶沒有相應的技術抵制商業欺詐,完全取決于商家的信譽。這種現象非常不合理,并且隨著電子商務的發展,互聯網商務必將涌現越來越多的小商家,電子商務欺詐的可能性大大增加。因此,這就要求SSL協議擁有一個可以抗抵賴的交易認證功能。

2 交易認證系統

目前并沒有專門的交易認證技術,一般商家通過身份認證技術來作為雙方通信的證據,市場上流行的身份認證技術為PKI,PMI,單點登錄技術等,其中PKI技術最為符合電子商務的特性,由于PKI技術采用數字證書來認證商家,而數字證書在目前仍然是一種有效認證商家的方式,因此,當前有些學者認為可以通過SSL加上PKI共同工作的方式,在SSL警告協議工作后,增加一個發送數字證書的環節,客戶收到商家的身份證書后,即可以在發生糾紛后,通過身份證書,來證明曾經和商家發生過交易。但當事后發生商務糾紛,客戶無法證明自己的交易細節。

2.1 交易認證系統設計

基于上述分析,提出了一個針對網絡交易的認證系統設計方案,通過商務交易的需求分析,交易系統需要滿足以下功能:

①包含交易信息:第三方可以通過信息查詢相關的交易信息,從而做出判決;②機密性:除了相關企業和第三方權威機構,其他機構或個人無法制造和識別交易認證信息,這樣就可以防止他人通過偽造交易信息進行商務欺詐;③時效性:由于電子商務交易量巨大,不可能有數據庫長時間存儲所有的交易認證信息,交易認證信息有時效性。由于交易加密信息設計是用來監控企業,所以應該有權威的第三方機構來負責相關工作的進行,本文通過CA認證中心增加企業交易信息加密模塊,來實現對交易信息認證功能,具體流程如圖3所示。

圖3 交易認證流程Fig.3 Trading certification process

CA中心交易認證模塊流程如下:

1)首先,CA中心針對企業生成獨特的交易認證方案,CA中心生成方案后,將方案發給企業。

2)企業在收到方案后,對于之后和客戶發生的交易行為,選擇需要的交易信息,使用交易認證方案對交易信息進行加密,生成交易證書發送給客戶。

3)客戶在收到交易證書后,如果日后與企業發生糾紛,可以把交易證書發送至CA中心,請求CA中心驗證交易信息的正確性。

2.2 CA中心交易認證模塊設計

文中提出了一種基于RSA算法和MD5算法的交易認證加密方案,利用第三方CA中心添加交易認證功能來實現交易認證。設計交易認證模塊功能如圖4所示。

圖4 CA中心交易認證Fig.4 CA centre transaction authentication

在設計的交易認證方案中,企業在CA中心注冊后,按照規定的交易認證方案對交易信息進行一系列操作,最后將生成的加密信息PKINFO發送給用戶,具體流程如下:

1)生成交易認證密鑰對,通過RSA算法原理,生成公鑰PUK和私鑰PSK。

2)隨機生成企業字符串RMK,將交易信息生成交易信息字符串,如圖5所示。

圖5 交易信息字符串產生過程Fig.5 Transaction string generation process

3)將交易信息按照信息順序排序后生成交易驗證信息字符串a,通過MD5散列函數f(x),對字符串信息進行處理,得到處理后的信息INFO=f(a)。

4)最后將INFO使用PUK通過RSA加密,得到密文PKINFO,PKINFO是最后發給客戶的密文,本文通過Java實現,相關代碼如下:

通過上述代碼,交易認證模塊就可以實現信息加密信息,例如,當客戶張三與商家A發生交易行為,金額100,A企業編號ARK,客戶身份證號碼為14019023425,系統會按照如下順序進行工作:

1)首先,作為交易公司,企業會從CA中心獲得的隨機生成的RSA公鑰。

本案例中隨機公鑰為:MIGfMA0GCSqGSIb3DQ EBAQUAA4GNADCBiQKBgQCSYab0N8lG1GBkzGwB pL/vnS4KfsMYWpRUYOmQ8ppMAmw0Vu9AomenQz 8NPq7v9TMKEubQ0uL3JYpUrSFX64VDqbnMifwitdM L6AkOXEAVlNpObf+FFlkOUCIUzK7S6k86a7IaWSMr 677WhzQFuCz/sgli+VrCijh+CrGSyXzZuQIDAQAB。

2)然后,系統根據客戶的交易信息,生成字符串,針對本案例交易信息,生成“張三100ARK14019023425”字符串,作為交易信息載體。

3)交易公司對于交易信息字符串進行相應處理,采用MD5算法,對字符串“張三100ARK14019023425”處理后生成相對應的字符串INFO:0TwP6BlgFBoJO7soLgc+9Q==。

4)生成INFO字符串后,企業再對信息進行進一步加密,對于INFO字符串,使用CA中心系統分配的RSA密鑰進行加密,生成PKINFO,這個字符串就是最終發送給客戶的交易憑證。

2.3 CA中心仲裁方案

當客戶與企業發生商務糾紛后,客戶可以請求CA中心進行仲裁,CA中心會要求客戶出示企業發送的PKINFO,并根據發于企業的排序對找客戶索求交易相關信息,然后根據以下流程確定客戶提供交易信息的可靠性,如圖6所示。

圖6 CA中心判定交易可靠性Fig.6 CA center determine the reliability of the transactions

1)將PKINFO使用PSK通過RSA算法解密,還原密文INFO。

2)將客戶發來的信息根據相關企業交易信息排序,然后使用MD5處理生成INFO1。

3)INFO與INFO1,如果相同,則說明客戶提供的交易信息正確,如果不相同,則不予認可。相關判斷代碼如下:

3 結 語

本文提出了一個新的交易認證方案,該方案包含交易信息:具有機密性,除了相關企業和第三方權威機構,其他機構或個人無法制造和識別交易認證信息,并通過CA認證中心增加企業交易信息加密模塊,來實現對交易信息認證功能的實現.提出了一種基于SSL的交易認證技術,彌補了SSL在電子商務不可抵賴性方面功能的不足。

[1] 蔡盛勇,吳靜.基于SSL協議的智能電視支付安全研究[J].通信技術,2013,46(10):41-44.

CAI Sheng-yong,WU Jing.Smart TV based on Payment Security SSL Protocol[J].Communications Technology, 2013,46(10):41-44.

[2] 尋大勇.基于SSL與SET協議的電子商務支付安全系統[J].通信技術,2009,42(04):156-158.

XUN Da-yong.SSL and SET Protocol based E-Commerce Payment Security System[J].Communications Technology,2009,42(04):156-158.

[3] 莫賦.基于動態密鑰的電子支付模式研究與實現[D].廣東:華南理工大學,2012.

MO Fu.Research and Implementation of Electronic Payments based on Dynamic Secret Key[D].Guangdong: South China University,2012.

[4] 楊宇.基于PKI身份認證系統的研究和實現[D].西安:電子科技大學,2009.

YANG Yu.Research and Implementation of PKI-based Authentication System[D].Xian:University of Electronic Science and Technology,2009.

[5] 郭林鳳.基于RSA的動態口令身份認證技術研究[D].邯鄲:河北工程大學,2012.

GUO Lin-feng.Authentication Research based on RSA Dynamic Password[D].Handan:Hebei University of Engineering,2012.

DING Ze-lun(1990-),male,graduate student,mainly engaged in software engineering.

單志勇(1974—),男,碩士生導師,主要研究方向為信息與通信工程;

SHAN Zhi-yong(1974-),male,M.Sci.tutor,mainly engaged in information and communication engineering.

王 卉(1990—),女,碩士研究生,主要研究方向為軟件工程。

WANG Hui(1990-),female,graduate student,mainly engaged in software engineering.

Transaction Authentication Technology based on SSL

DING Ze-lun1,SHAN Zhi-yong2,WANG Hui3
(College of Information Science and Technology,Donghua University,Shanghai 201620,China)

SSL technology has been widely applied in the field of Internet security communication,especially e-commerce has developed rapidly in recent years.As SSL protocol can provide security of the network information transmission,it gets the favor of the electronic website.But because of the complexity of the e-commerce business,SSL protocol has some deficiencies in actual application.Through analyzing the SSL protocol,this paper proposes a transaction authenticcation technology based on SSL,thus to make up for the function of SSL in e-commerce non-repudiation.

electronic security;authentication;SSL protocol;encryption algorithm

TP31

A

1002-0802(2014)08-0955-04

10.3969/j.issn.1002-0802.2014.08.023

丁澤侖(1990—),男,碩士研究生,主要研究方向為軟件工程;

2014-05-30;

2014-06-30 Received date：2014-05-30;Revised date：2014-06-30