丁泽仑,单志勇,王 卉

(东华大学信息科学与技术学院,上海201620)

基于SSL的交易认证技术研究*

丁泽仑,单志勇,王 卉

(东华大学信息科学与技术学院,上海201620)

SSL技术在互联网安全通信领域应用广泛,尤其近年来电子商务发展迅速,SSL协议由于可以提供网络信息的安全传输,受到了广大电子网站的青睐,但由于电子商务业务的复杂性,SSL协议在实际应用中存在一些不足,通过对SSL协议分析,提出了一种基于SSL的交易认证技术,弥补了SSL在电子商务不可抵赖性方面功能的不足。

电子安全 身份认证 SSL协议 加密算法

0 引 言

随着信息时代的到来,电子商务等新兴产业发展火热,这些新兴产业通过互联网传输巨量的机密信息,由此,互联网安全通信受到人们的高度重视,经过近几年的发展,SSL协议(Secure Sockets Layer),成为了国内使用最为广泛,发展最为成熟的网络安全协议。它可以提供信息在网络传输层的安全传输,防止机密信息被第三方窃听。而且相比起其他的网络安全协议,SSL协议结构简单,易于搭建和使用,因此在电子商务使用中具有很大的优势[1]。

然而SSL协议只能提供信息的安全传输,不可抵赖性是现代电子商务的基本特性之一,这要求安全协议为网络数据双方提供事后无法抵赖的交易认证,SSL协议在这个方面仍然存在缺陷[2]。为此本文提出了网络交易的新的认证系统设计方案,通过对单笔交易信息加密生成交易证书,从而弥补了这个缺陷。

1 SSL协议概述

SSL安全协议工作于在TCP/IP和应用层之间,可以使用户和服务器之间建立一条加密信道,从而保护双方传输的数据不被剽窃,它基于公开密钥体制和X.509数字证书,最适于点对点通信使用[3]。

1.1 SSL工作原理

SSL提供4个基本功能,即为身份认证,数据加密,消息完整性和密钥交换。结构简单明了,由两层结构4个协议组成,如图1所示[4]。

SSL安全协议运行时,首先进行的是握手协议,也是SSL最重要的协议,这里SSL协议要完成3个功能:

1)身份认证。在互联网通信中,服务端和客户会在某个中立权威的证书授权中心(CA)各自注册,CA中心会根据RSA算法给双方分配私钥和公钥,并且公钥在网上公布,私钥发给双方自己保存。当双方通信时。双方各自把密文用对方公布的公钥进行加密发出,这样,如果接收方正确,自然可以用私钥解密出信息,从而验证双方(也可以只验证单方,即只验证服务端),参考文献[1-2],流程图如图2所示。

图1 SSL结构Fig.1 SSL structure

图2 身份认证过程Fig.2 Authentication process

2)确认算法。在通信双发确认身份后,SSL协议会加密双方的信息,这里使用的是对称加密算法,即加密解密共用一个密钥,因为对称加密算法较多,因此在这个环节双方要确认这次通信使用的加密算法。这里协商的过程是安全的。

3)密钥交换。在加密算法确认后,SSL协议会生成本次通信的共用密钥,并发给通信的双方,双方此次对话之后所有的信息都使用这个密钥加密,除了持有这个密钥的客户和服务端,任何第三方都无法伪造信息或者篡改信息[5]。

除了握手协议,SSL还拥有改变加密协议,警告协议等功能,但最为重要的功能仍然是握手协议,它完成了安全协议需要完成的绝大部分功能。分析SSL协议,可以发现虽然SSL提供了身份认证功能,但是这次身份认证仅仅限于当次对话,如果双方发生纠纷,作为客户一端无法提供服务端和自己之间的通信证据,因此客户无法证明自己和商家发生了交易行为。目前SSL协议有利于商家,由于目前市场上电子商务公司普遍是大商家,发生商业欺诈的可能性较小,客户没有相应的技术抵制商业欺诈,完全取决于商家的信誉。这种现象非常不合理,并且随着电子商务的发展,互联网商务必将涌现越来越多的小商家,电子商务欺诈的可能性大大增加。因此,这就要求SSL协议拥有一个可以抗抵赖的交易认证功能。

2 交易认证系统

目前并没有专门的交易认证技术,一般商家通过身份认证技术来作为双方通信的证据,市场上流行的身份认证技术为PKI,PMI,单点登录技术等,其中PKI技术最为符合电子商务的特性,由于PKI技术采用数字证书来认证商家,而数字证书在目前仍然是一种有效认证商家的方式,因此,当前有些学者认为可以通过SSL加上PKI共同工作的方式,在SSL警告协议工作后,增加一个发送数字证书的环节,客户收到商家的身份证书后,即可以在发生纠纷后,通过身份证书,来证明曾经和商家发生过交易。但当事后发生商务纠纷,客户无法证明自己的交易细节。

2.1 交易认证系统设计

基于上述分析,提出了一个针对网络交易的认证系统设计方案,通过商务交易的需求分析,交易系统需要满足以下功能:

①包含交易信息:第三方可以通过信息查询相关的交易信息,从而做出判决;②机密性:除了相关企业和第三方权威机构,其他机构或个人无法制造和识别交易认证信息,这样就可以防止他人通过伪造交易信息进行商务欺诈;③时效性:由于电子商务交易量巨大,不可能有数据库长时间存储所有的交易认证信息,交易认证信息有时效性。由于交易加密信息设计是用来监控企业,所以应该有权威的第三方机构来负责相关工作的进行,本文通过CA认证中心增加企业交易信息加密模块,来实现对交易信息认证功能,具体流程如图3所示。

图3 交易认证流程Fig.3 Trading certification process

CA中心交易认证模块流程如下:

1)首先,CA中心针对企业生成独特的交易认证方案,CA中心生成方案后,将方案发给企业。

2)企业在收到方案后,对于之后和客户发生的交易行为,选择需要的交易信息,使用交易认证方案对交易信息进行加密,生成交易证书发送给客户。

3)客户在收到交易证书后,如果日后与企业发生纠纷,可以把交易证书发送至CA中心,请求CA中心验证交易信息的正确性。

2.2 CA中心交易认证模块设计

文中提出了一种基于RSA算法和MD5算法的交易认证加密方案,利用第三方CA中心添加交易认证功能来实现交易认证。设计交易认证模块功能如图4所示。

图4 CA中心交易认证Fig.4 CA centre transaction authentication

在设计的交易认证方案中,企业在CA中心注册后,按照规定的交易认证方案对交易信息进行一系列操作,最后将生成的加密信息PKINFO发送给用户,具体流程如下:

1)生成交易认证密钥对,通过RSA算法原理,生成公钥PUK和私钥PSK。

2)随机生成企业字符串RMK,将交易信息生成交易信息字符串,如图5所示。

图5 交易信息字符串产生过程Fig.5 Transaction string generation process

3)将交易信息按照信息顺序排序后生成交易验证信息字符串a,通过MD5散列函数f(x),对字符串信息进行处理,得到处理后的信息INFO=f(a)。

4)最后将INFO使用PUK通过RSA加密,得到密文PKINFO,PKINFO是最后发给客户的密文,本文通过Java实现,相关代码如下:

通过上述代码,交易认证模块就可以实现信息加密信息,例如,当客户张三与商家A发生交易行为,金额100,A企业编号ARK,客户身份证号码为14019023425,系统会按照如下顺序进行工作:

1)首先,作为交易公司,企业会从CA中心获得的随机生成的RSA公钥。

本案例中随机公钥为:MIGfMA0GCSqGSIb3DQ EBAQUAA4GNADCBiQKBgQCSYab0N8lG1GBkzGwB pL/vnS4KfsMYWpRUYOmQ8ppMAmw0Vu9AomenQz 8NPq7v9TMKEubQ0uL3JYpUrSFX64VDqbnMifwitdM L6AkOXEAVlNpObf+FFlkOUCIUzK7S6k86a7IaWSMr 677WhzQFuCz/sgli+VrCijh+CrGSyXzZuQIDAQAB。

2)然后,系统根据客户的交易信息,生成字符串,针对本案例交易信息,生成“张三100ARK14019023425”字符串,作为交易信息载体。

3)交易公司对于交易信息字符串进行相应处理,采用MD5算法,对字符串“张三100ARK14019023425”处理后生成相对应的字符串INFO:0TwP6BlgFBoJO7soLgc+9Q==。

4)生成INFO字符串后,企业再对信息进行进一步加密,对于INFO字符串,使用CA中心系统分配的RSA密钥进行加密,生成PKINFO,这个字符串就是最终发送给客户的交易凭证。

2.3 CA中心仲裁方案

当客户与企业发生商务纠纷后,客户可以请求CA中心进行仲裁,CA中心会要求客户出示企业发送的PKINFO,并根据发于企业的排序对找客户索求交易相关信息,然后根据以下流程确定客户提供交易信息的可靠性,如图6所示。

图6 CA中心判定交易可靠性Fig.6 CA center determine the reliability of the transactions

1)将PKINFO使用PSK通过RSA算法解密,还原密文INFO。

2)将客户发来的信息根据相关企业交易信息排序,然后使用MD5处理生成INFO1。

3)INFO与INFO1,如果相同,则说明客户提供的交易信息正确,如果不相同,则不予认可。相关判断代码如下:

3 结 语

本文提出了一个新的交易认证方案,该方案包含交易信息:具有机密性,除了相关企业和第三方权威机构,其他机构或个人无法制造和识别交易认证信息,并通过CA认证中心增加企业交易信息加密模块,来实现对交易信息认证功能的实现.提出了一种基于SSL的交易认证技术,弥补了SSL在电子商务不可抵赖性方面功能的不足。

[1] 蔡盛勇,吴静.基于SSL协议的智能电视支付安全研究[J].通信技术,2013,46(10):41-44.

CAI Sheng-yong,WU Jing.Smart TV based on Payment Security SSL Protocol[J].Communications Technology, 2013,46(10):41-44.

[2] 寻大勇.基于SSL与SET协议的电子商务支付安全系统[J].通信技术,2009,42(04):156-158.

XUN Da-yong.SSL and SET Protocol based E-Commerce Payment Security System[J].Communications Technology,2009,42(04):156-158.

[3] 莫赋.基于动态密钥的电子支付模式研究与实现[D].广东:华南理工大学,2012.

MO Fu.Research and Implementation of Electronic Payments based on Dynamic Secret Key[D].Guangdong: South China University,2012.

[4] 杨宇.基于PKI身份认证系统的研究和实现[D].西安:电子科技大学,2009.

YANG Yu.Research and Implementation of PKI-based Authentication System[D].Xian:University of Electronic Science and Technology,2009.

[5] 郭林凤.基于RSA的动态口令身份认证技术研究[D].邯郸:河北工程大学,2012.

GUO Lin-feng.Authentication Research based on RSA Dynamic Password[D].Handan:Hebei University of Engineering,2012.

DING Ze-lun(1990-),male,graduate student,mainly engaged in software engineering.

单志勇(1974—),男,硕士生导师,主要研究方向为信息与通信工程;

SHAN Zhi-yong(1974-),male,M.Sci.tutor,mainly engaged in information and communication engineering.

王 卉(1990—),女,硕士研究生,主要研究方向为软件工程。

WANG Hui(1990-),female,graduate student,mainly engaged in software engineering.

Transaction Authentication Technology based on SSL

DING Ze-lun1,SHAN Zhi-yong2,WANG Hui3
(College of Information Science and Technology,Donghua University,Shanghai 201620,China)

SSL technology has been widely applied in the field of Internet security communication,especially e-commerce has developed rapidly in recent years.As SSL protocol can provide security of the network information transmission,it gets the favor of the electronic website.But because of the complexity of the e-commerce business,SSL protocol has some deficiencies in actual application.Through analyzing the SSL protocol,this paper proposes a transaction authenticcation technology based on SSL,thus to make up for the function of SSL in e-commerce non-repudiation.

electronic security;authentication;SSL protocol;encryption algorithm

TP31

A

1002-0802(2014)08-0955-04

10.3969/j.issn.1002-0802.2014.08.023

丁泽仑(1990—),男,硕士研究生,主要研究方向为软件工程;

2014-05-30;

2014-06-30 Received date：2014-05-30;Revised date：2014-06-30