吳明禮+李同剛+方耀耀
摘要:隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展及多數(shù)據(jù)庫電子商務(wù)的普及,在利用互聯(lián)網(wǎng)平臺交易的時候,需要雙方身份信息的驗證,姓名、電話及銀行卡號等敏感信息需要在網(wǎng)絡(luò)上傳輸?shù)?,此時信息的安全是交易雙方最關(guān)心的問題。如何保證傳輸過程中信息的保密性、完整性、一致性、不可抵賴性等。本文的基于多數(shù)據(jù)環(huán)境的電子商務(wù)信息安全策略經(jīng)過分析、編碼實現(xiàn)與測試,具有較好的安全效果,在多數(shù)據(jù)庫環(huán)境中具有一定的實用和推廣價值。
關(guān)鍵詞:多數(shù)據(jù)庫;電子商務(wù);信息安全;加密;https;SSL
中圖分類號:TP309 文獻標識碼:A 文章編號:1009-3044(2016)10-0046-03
Abstract:With the popularity of the rapid development of Internet technology and database of electronic commerce, in the use of the Internet trading platform and need to verify the identity information of each, name, phone number and bank card number and other sensitive information need to upload network transmission. At this time information security is transaction both sides are most concerned about the problem. How to ensure the information transmission in the process of confidentiality, integrity, non repudiation and so on. In this paper, based on the multi data environment of e-commerce information security strategy through analysis, coding and testing, has a good safety effect, in a multi database environment with a certain practical and promotional value.
Key words: multi database; electronic commerce;information safety;encryption;https; SSL
1多數(shù)據(jù)環(huán)境信息安全現(xiàn)狀分析
隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展及多數(shù)據(jù)庫電子商務(wù)的快速普及,企業(yè)敏感數(shù)據(jù)、網(wǎng)絡(luò)通信數(shù)據(jù)安全及不同企業(yè)間的數(shù)據(jù)隔離安全等問題日益嚴重。由于電子商務(wù)及電子商務(wù)平臺的開放性、基于網(wǎng)絡(luò)的信息共享性、動態(tài)性,攻擊者可以利用網(wǎng)絡(luò)隨意截取、篡改信息等,給信息的安全傳遞帶來了許許多多的問題。
在多數(shù)據(jù)庫環(huán)境下,尤其是在多數(shù)據(jù)環(huán)境的電子商務(wù)中,網(wǎng)絡(luò)通信數(shù)據(jù)安全面臨的問題主要有以下幾個方面:1)保密性:在電子商務(wù)交易中,交易雙方的敏感信息可能被非法竊??;2)完整性:用戶的敏感信息或者電子商務(wù)交易數(shù)據(jù),在無線網(wǎng)絡(luò)傳輸過程中,由于某些原因使信息在傳輸中遭到破壞,接收方收到的信息并非是發(fā)送方發(fā)送的完整數(shù)據(jù);3)一致性:數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中,遭到了非法篡改,使得接收方收到的數(shù)據(jù)與發(fā)送方發(fā)送的數(shù)據(jù)不一致;4)不可抵賴性:發(fā)送消息的一方對發(fā)送消息的行為予以否認,沒有足夠的信息來證明已經(jīng)發(fā)生的消息發(fā)送行為。
2多數(shù)據(jù)環(huán)境信息安全設(shè)計方案
本文借鑒當下互聯(lián)網(wǎng)中比較成熟的相關(guān)技術(shù),結(jié)合多數(shù)據(jù)庫的特點,探索多數(shù)據(jù)庫環(huán)境下電子商務(wù)信息安全策略。對部分網(wǎng)頁使用SSL協(xié)議進行HTTPS服務(wù),企業(yè)與表空間一一對應(yīng),并采用認證方式防止攻擊,對企業(yè)的敏感數(shù)據(jù)采用AES加密算法進行加密處理后保存在數(shù)據(jù)庫。在本文中比較企業(yè)級認證與員工級認證兩種認證方式,探索認證與效率的相對均衡,這樣在保證企業(yè)數(shù)據(jù)安全的同時,也盡可能保證數(shù)據(jù)的傳輸效率。本文設(shè)計方案綜合采用SSL協(xié)議、CA認證、AES加密等技術(shù)保證多數(shù)據(jù)環(huán)境下電子商務(wù)的保密性、完整性、一致性、不可抵賴性。為了保證瀏覽器與服務(wù)器之間數(shù)據(jù)的通信安全,使用SSL協(xié)議對交易數(shù)據(jù)進行加密;使用CA認證保證企業(yè)數(shù)據(jù)的隔離性和不可抵賴性。圖1為客戶端、服務(wù)器、數(shù)據(jù)庫之間的主要處理流程及數(shù)據(jù)走向。
3采用的關(guān)鍵技術(shù)
3.1 SSL協(xié)議
安全套接層協(xié)議(SSL,Secure Sockets Layer)是在傳輸層對網(wǎng)絡(luò)連接進行加密,從而保證鏈路上的數(shù)據(jù)機密性和數(shù)據(jù)完整性的安全協(xié)議。它已被廣泛應(yīng)用于客戶端和服務(wù)器端之間信息交互的身份認證和數(shù)據(jù)加密傳輸中。該協(xié)議使用戶可以在公共網(wǎng)絡(luò)上搭建私有通信網(wǎng)絡(luò),如圖2所示,協(xié)議位于TCP和UDP協(xié)議上層。SSL協(xié)議主要包括兩個階段:1)建立私密性通信信道階段;2)客戶認證階段。
3.2 HTTPS通信
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細內(nèi)容就需要SSL。表1對http連接與https連接進行對比。
3.3加密技術(shù)
數(shù)據(jù)的加密過程是指通過加密系統(tǒng)把明文通過加密方式轉(zhuǎn)換為密文的過程。密碼算法大體分為兩類:
1)對稱加密:在通信網(wǎng)絡(luò)的兩端,客戶端與服務(wù)器端約定一致的加密與解密密鑰,在通信的源點用密鑰對數(shù)據(jù)進行加密,然后以密碼方式在網(wǎng)絡(luò)中傳輸?shù)浇K點,數(shù)據(jù)到達后,服務(wù)器端使用同樣的密鑰對數(shù)據(jù)進行解密,還原為明文形式的數(shù)據(jù)。這樣保證了數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全性和可靠性。缺點在于交易雙方使用同樣的密鑰,安全性得不到保證。常用的對稱加密算法:AES算法,DES算法,RC5算法等。表2對常用的加密技術(shù)進行比較。
2)非對稱加密:非對稱加密算法需要兩個密鑰:公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對,如果用公開密鑰對數(shù)據(jù)進行加密,只有用對應(yīng)的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進行加密,那么只有用對應(yīng)的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種算法叫做非對稱加密算法。 非對稱加密算法實現(xiàn)機密信息交換的基本過程是:甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開;得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方;甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。非對稱加密算法安全性依賴于算法與密鑰但是由于其算法復(fù)雜,而使得加密解密速度沒有對稱加密解密的速度快,但安全性比對稱加密算法強。常用的非對稱加密算法有:RSA、Elgamal、背包算法、Rabin、D-H、ECC。
4設(shè)計方案實現(xiàn)
本文研究方案基于多數(shù)據(jù)環(huán)境下的一個綜合項目,包括一個web服務(wù)器、一個路由服務(wù)器及三個數(shù)據(jù)庫服務(wù)器共同組成,實現(xiàn)B2B電子商務(wù)進銷存業(yè)務(wù)。在客戶端與服務(wù)器進行網(wǎng)絡(luò)數(shù)據(jù)交互的過程中,會涉及到客戶姓名、電話、銀行卡號等敏感信息。對于非敏感信息直接采用http明文傳輸,對登陸等頁面進行https密文傳輸。同時根據(jù)企業(yè)密鑰對敏感數(shù)據(jù)進行加密處理并保存數(shù)據(jù)庫,在顯示時根據(jù)企業(yè)的密鑰進行解密并顯示在客戶端。
4.1證書申請
1)生成keystore文件。生成密鑰庫文件keystore.jks需要使用JDK的keytool工具。命令行進入JDK或JRE下的bin目錄,運行keytool命令:
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass 123456 -keypass 123456
2)生成證書請求文件:
keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass 123456 -storepass 123456
3)查看keystore文件內(nèi)容
進入JDK安裝目錄下的bin目錄,運行keytool命令查詢keystore文件信息。
keytool -list -keystore D:\keystore.jks -storepass 123456
查詢到PrivateKeyEntry屬性的私鑰別名(alias)為server。記住該別名,在稍后導入服務(wù)器證書時需要用到。導入證書時,一定要使用生成證書請求文件時生成的keystore.jks文件。
4.2導入證書
1)導入第一張中級CA證書
keytool -import -alias ca1 -keystore D:\keystore.jks -trustcacerts -storepass 123456 -file D:\ca1.cer -noprompt
2)導入第二張中級CA證書
keytool -import -alias ca2 -keystore D:\keystore.jks -trustcacerts -storepass 123456 -file D:\ca2.cer -noprompt
3)再次查看keystore文件內(nèi)容
keytool -list -keystore D:\keystore.jks -storepass 123456
4.3配置tomcat
復(fù)制已正確導入認證回復(fù)的keystore.jks文件到Tomcat安裝目錄下的conf目錄。打開conf目錄下的server.xml文件,找到并修改以下內(nèi)容
<!--
maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" /> --> 修改為 5 實驗結(jié)果分析 5.1 https訪問 啟動tomcat,訪問https:yourdomain:port,或者直接訪問已發(fā)布的項目,測試證書的安裝。 5.2 服務(wù)器端敏感數(shù)據(jù)加密 利用AES加密算法,生成的企業(yè)密鑰對企業(yè)數(shù)據(jù)進行加解密操作,加密前后的數(shù)據(jù)及解密前后數(shù)據(jù)如下所示: 6 結(jié)束語 本文的設(shè)計方案在客戶端與web服務(wù)器端之間的數(shù)據(jù)交互使用了SSL協(xié)議支持的HTTPS通信實現(xiàn)了數(shù)據(jù)交互的安全通信;使用AES加密算法將企業(yè)敏感數(shù)據(jù)保存在數(shù)據(jù)庫中,保證了即使存儲設(shè)備丟失,也不會泄露用戶的敏感信息;這樣就可以保證客戶端與服務(wù)器端數(shù)據(jù)通信的保密性、完整性、一致性、不可抵賴性。 參考文獻: [1] 王建軍. 基于SSL的文件安全傳輸系統(tǒng)研究與設(shè)計[D]. 成都:成都理工大學,2012. [2] 劉振. 基于PKI的CA認證中心的設(shè)計與實現(xiàn)[D]. 北京:北京交通大學,2011. [3] 吳慶敏,韓義勇,覃東海,等. CA認證系統(tǒng)的設(shè)計[J]. 微型機與應(yīng)用,2011(22):1-3+6. [4] 劉強. 基于SSL協(xié)議的網(wǎng)絡(luò)安全系統(tǒng)研究與設(shè)計[D].濟南:山東大學,2009. [5] 楊揚. SSL的設(shè)計和實現(xiàn)[D]. 北京:北京郵電大學,2008. [6] 陸潔茹. 基于ECC的CA認證中心的研究與設(shè)計[D]. 蘇州:蘇州大學,2006. [7] 令曉靜. SSL安全傳輸協(xié)議在網(wǎng)絡(luò)通信中的應(yīng)用研究[D]. 西安:西安電子科技大學,2006. [8] 曾強. 網(wǎng)絡(luò)安全協(xié)議SSL原理及應(yīng)用[D]. 天津:天津大學,2005. [9] 劉姝. 基于PKI的CA認證系統(tǒng)的設(shè)計與實現(xiàn)[D]. 鄭州:鄭州大學,2005. [10] 蔣良英. 基于SSL協(xié)議的電子商務(wù)系統(tǒng)的設(shè)計與實現(xiàn)[D].成都:西南交通大學,2004.