數(shù)字簽名和ACL安全在電子商務(wù)中的應(yīng)用

崔 鑫，杜煥友

（1.山東理工大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，山東 淄博 255091；山東省淄博郵政管理局，山東 淄博 255000）

隨著電子技術(shù)和互聯(lián)網(wǎng)的發(fā)展，信息技術(shù)作為一種重要的工具被引入到人們的生活中.越來越多的企業(yè)、機構(gòu)和個人進入互聯(lián)網(wǎng)，在計算機網(wǎng)絡(luò)的平臺上，按照一系列標(biāo)準(zhǔn)通過電子方式進行信息交流，利用其資源和服務(wù)進行商務(wù)活動，網(wǎng)絡(luò)安全問題引起了人們的高度重視［1］.計算機網(wǎng)絡(luò)承載著交易過程中的信息流和資金流，若要進行正常的電子交易，信息流和資金流的可靠傳輸是前提，這就需要保障互聯(lián)網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩裕幢ＷC網(wǎng)絡(luò)層安全，該設(shè)計中采用了訪問控制列表設(shè)置策略來實現(xiàn).

但是僅僅保障了數(shù)據(jù)的安全傳輸還不能實現(xiàn)安全的電子商務(wù)交易，電子商務(wù)交易中的各方并不直接面對，彼此的身份認(rèn)證就很難確保安全.如果參與交易各方身份的真實性得不到保障，電子商務(wù)活動的進行就無從談起［2］.為了保證信息的真實性，身份的可靠性，電子商務(wù)中的電子文檔都需要做數(shù)字簽名，以保障上層業(yè)務(wù)邏輯系統(tǒng)的安全.

文章給出了利用訪問控制列表和數(shù)字簽名技術(shù)解決電子商務(wù)交易平臺安全問題的策略.

1 主要技術(shù)原理

1.1 訪問控制列表

訪問控制列表是由Permit和Deny組成的順序列表，該列表應(yīng)用于地址或上層協(xié)議，控制數(shù)據(jù)流進出網(wǎng)絡(luò).訪問控制列表適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等.作為第三層設(shè)備，分組路由器通過訪問控制列表，使用規(guī)則決定允許還是拒絕數(shù)據(jù)流，這種決策是根據(jù)源和目標(biāo)IP地址、源端口和目標(biāo)端口以及分組的協(xié)議做出的.該設(shè)計中訪問控制列表可以限制網(wǎng)絡(luò)數(shù)據(jù)流以提高網(wǎng)絡(luò)性能，可以允許某臺主機訪問部分網(wǎng)絡(luò)，同時阻止另一臺主機訪問該區(qū)域，實現(xiàn)了在路由器接口上決定轉(zhuǎn)發(fā)或阻止哪些類型的數(shù)據(jù)，控制客戶端訪問網(wǎng)絡(luò)的特定區(qū)域等［3］.

在該設(shè)計中還使用了基于時間的訪問控制列表以及基于上下文的訪問控制列表等，用來輔助完成電子商務(wù)網(wǎng)絡(luò)層的安全.通過基于時間的訪問控制列表可以根據(jù)時間范圍來控制訪問，能夠更好的控制對資源的使用.基于上下文的訪問控制列表的包過濾方法超出了第三層和第四層檢測.他對數(shù)據(jù)包的數(shù)據(jù)內(nèi)容進行分析.通過檢查防火墻來查找和管理使用傳輸層協(xié)議會話狀態(tài)信息.該狀態(tài)信息用于防火墻的訪問控制列表，并創(chuàng)建一個臨時通道.通過配置IP INSPECT列表，指定允許會話返回，附加數(shù)據(jù)庫連接，打開該通路.對于指定的協(xié)議，只要數(shù)據(jù)通過配置了檢查的接口，無論數(shù)據(jù)從哪個方向經(jīng)過防火墻，都將被檢查［3］.為電子商務(wù)的安全運行提供了一個有效地網(wǎng)絡(luò)應(yīng)用平臺.

1.2 數(shù)字簽名技術(shù)原理

數(shù)字簽名是通過密碼運算產(chǎn)生一系列的符號和代碼組成的電子密碼簽名，而不是手寫簽名或蓋章.數(shù)字簽名是當(dāng)前電子商務(wù)、電子政務(wù)中應(yīng)用最常見、最成熟的技術(shù)，數(shù)字簽名的可操作性也最強.它采用一個標(biāo)準(zhǔn)化的程序和科學(xué)化的方法，用來確定簽名者的身份和電子數(shù)據(jù)內(nèi)容的識別.它還可以確保文本在傳輸過程中有沒有被改變，確保傳輸電子文件的完整性、真實性和不可抵賴性［4］.當(dāng)前的數(shù)字簽名基本建立在公鑰體制基礎(chǔ)上.

1.2.1 哈希簽名算法

哈希簽名是較普遍的數(shù)字簽名方法，也稱之為數(shù)字摘要法（Digital Digest）或數(shù)字指紋法（Digital Finger Print）.哈希簽名應(yīng)用較廣泛，它可以降低服務(wù)器的資源消耗，減輕中心服務(wù)器的負(fù)載.哈希簽名的主要限制是接受者必須持密鑰副本來驗證簽名，因為雙方都知道生成簽名的密鑰，較容易被攻擊［5］.

1.2.2 RSA簽名算法

RSA易于理解和操作.算法的名字以發(fā)明者的名字命名:Ron Rivest，Adi Shamir和Leonard Adleman.RSA簽名算法是研究的最廣泛的公鑰算法，從提出到現(xiàn)在已經(jīng)經(jīng)歷了各種攻擊的考驗，逐漸被大家接受，被認(rèn)為是一個優(yōu)秀的公鑰方案.它可以用來對數(shù)據(jù)進行加密，還可以用于身份認(rèn)證［6］.和哈希簽名相比，在公鑰系統(tǒng)由于生成簽名的密鑰只存儲在用戶的電腦，安全系數(shù)大一些.

2 訪問控制列表的安全設(shè)計

在該設(shè)計中訪問控制列表可用來保護電子商務(wù)公司內(nèi)部網(wǎng)絡(luò)的安全，若同時允許外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)210.44.176.0／24進行有限訪問，其中210.44.176.76／24假設(shè)為企業(yè)對外服務(wù)器地址.192.198.1.2／24為企業(yè)內(nèi)部服務(wù)器地址，并且不允許外網(wǎng)對其訪問.

表1 路由器R1接口

在路由器R1上設(shè)置訪問控制列表來保證電子商務(wù)業(yè)務(wù)的正常運作:

接下來我們在fa0／1接口上配置外出方向上的訪問列表，對于進入ICMP協(xié)議流，列表118能有效的限定除ICMP消息外的其它數(shù)據(jù)流從接口Fa0／0進入內(nèi)部網(wǎng)絡(luò):

下面是時間訪問控制列表，通過該列表可以控制網(wǎng)絡(luò)進行通信的日期和具體時間:

以下基于上下文的訪問控制列表配置為流量在外部接口的IN方向上動態(tài)的生成了ACL條目允許返回流量的進入，并對從內(nèi)部發(fā)起的流量生成狀態(tài)信息.

通過對訪問控制列表的添加和策略使用，使電子商務(wù)網(wǎng)絡(luò)層的通信安全更加靈活，并通過允許或拒絕條件的設(shè)計進一步保障了電子商務(wù)網(wǎng)絡(luò)層的通信安全.

3 數(shù)字簽名在電子商務(wù)中的安全實現(xiàn)

密鑰生成分為對稱密鑰的生成和非對稱密鑰的生成.對稱密鑰的實現(xiàn)方法:因為需要使用java的輸出功能和相關(guān)的加密算法，所以先導(dǎo)入所需要的包，然后聲明該算法為一個新建的類，以便用戶在其他窗體中引用［5］.因為該系統(tǒng)還可以選擇密鑰的加密算法RSA或者MD5，在選擇了加密算法后，用Java算法generateKey（）可以生成對稱加密的密鑰，然后選擇密鑰的保存位置，就可以成功的生成對稱加密的密鑰.關(guān)鍵代碼如下:

非對稱密鑰的實現(xiàn)方法:因為需要輸出和加密，所以首先導(dǎo)入必要的Java包，聲明為一個新類，以便在其他的窗體中引用［6］.若采用非對稱加密且使用RSA算法，在選擇了密鑰長度和公鑰及私鑰的保存位置后，就可以實現(xiàn)非對稱密鑰的生成.若是生成不成功，系統(tǒng)會返回False，并提示用戶生成密鑰失敗.關(guān)鍵代碼如下:

簽名和驗證使得網(wǎng)絡(luò)安全的功能更加完善.特別是在簽名和驗證的時候可選加密的算法使得系統(tǒng)的功能更加靈活.數(shù)字簽名的實現(xiàn)算法的關(guān)鍵代碼:

該設(shè)計可以實現(xiàn)對網(wǎng)絡(luò)通信文件進行簽名和驗證，保證電子商務(wù)通信的安全.

4 結(jié)束語

本文針對企業(yè)電子商務(wù)網(wǎng)絡(luò)接入及信息的安全通信提出了一個可利用的解決方案，該策略和應(yīng)用可以實踐于中小型企業(yè)商務(wù)網(wǎng)絡(luò)的組建和通信，功能完善，有較好的應(yīng)用價值.

［1］謝紅燕.電子商務(wù)安全問題及對策研究［J］.哈爾濱商業(yè)大學(xué)學(xué)報:自然科學(xué)版，2007，23（3）.51－58

［2］王昌旭，周振柳.網(wǎng)絡(luò)接入安全控制與研究［J］.計算機軟件與應(yīng)用.2008，25（11）.92－94

［3］Odom W.CCNP ROVTE認(rèn)證指南［M］.王兆文，譯.北京:人民郵電出版社，2010.

［4］Stinson D R.密碼學(xué)原理與實踐［M］.馮金國，譯.北京:電子工業(yè)出版社，2003.

［5］張浩華，齊維毅.基于JAVA技術(shù)的MD5機密算法的設(shè)計與實現(xiàn)［J］.沈陽師范大學(xué)學(xué)報:自然科學(xué)版，2009，7（1）.75－77

［6］殷兆麟，張永平，姜淑娟.JAVA網(wǎng)絡(luò)高級編程［M］.北京:清華大學(xué)出版社，2005.