采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。认证技术主要涉及身份认证和报文认证两个方面的内容。身份认证用于鉴别用户的身份,报文认证用于保证通信双方的不可抵赖性和信息的完整性。目前,在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、安全认证体系,以及其他一些身份认证技术和报文认证技术。
3. 基于XML的电子商务安全架构
(1)体系结构
根据现有的电子商务安全体系的优缺点之后,我们提出了基于XML组件的电子商务安全体系. 这种基于XML组件的电子商务安全体系主要是在安全认证层和安全管理层之间加入了XML安全组件。
a. XML加密:提供对电子商务数据信息的XML加密和解密。能够根据应用的需要选择加密粒度,实现多方位的加密解密访问。同时部分加密可以使XML文档能够进行文档的分级访问,也就是说同一份文档对于不同权限的用户看到的内容是不同的。
b. XML签名:对XML文档进行签名以及签名验证,为电子商务提供确认性和不可否认的服务。
c. XKMS:提供类似于PKI的密钥管理功能。XML密钥管理规范(XML Key Management Specification,XKMS)为访IA和集成公钥基础设施(Public Key Infrastructure,PKI)拟出了一种容易的机制
d. SAML和XACML:提供可迁移的信任体系和XML资源操作的权限控制。XML密钥管理规范(XML Key Management Specification,XKMS)使得安全性基础设施易于管理,而安全性断言标记语言(Security Assertion Markup Language, SAML)则使信任可以移植。XACML是用来决定是否允许一个请求使用一项资源,比如它是否能使用整个文件,多个文件,还是某个文件的一部分。
e. SOAP:提供基于SOAP协议的XML信息传输服务。SOAP (Simple Object AccessProtocol,简单对象访问协议)技术有助于实现大量异构程序和平台之间的互操作性,从而使存在的应用能够被广泛的用户所访问。SOAP是把成熟的基于HTTP的WEB技术与XML的灵活性和可扩展性组合在一起。
(2)工作流程
XML组件的构架设置客户机-客户端网关(XML组件)-服务端网关(XML组件)-Web服务器的形式提供服务。我们假设客户机和客户端网关服务器在同一内网之中,客户端发送的请求信息以SOAP信息结构的形式发往客户端网关服务器。在客户端网关服务器中对请求的SOAP信息进行加密和签名处理然后通过公网发送往服务端网关服务器。在服务端网关服务器中对刚才的SOAP信息进行解密和签名验证等处理,然后将原始的请求SOAP信息发送往Web服务器。这样就完成了一个单向的传输过程,服务端往客户端发送应答信息就是一个反向的过程。
我们可以把安全信道当作企业的内网系统。把XML组件服务器看成是内网之间的网关。信息在内网中传递是安全的,但是在内网之间的传递确实存在不安全因素的。通过XML组件就可以解决问题。
4. 基于XML组件的安全架构的优势
基于XML组件的电子商务安全体系主要使用XML安全组件取代了传统安全体系模型中的安全认证层和安全传输层。比较传统的安全模型有如下优势。
1.数据的粗粒度性
在XML安全电子商务体系中,无论消息单位是XML文件还是二进制附件,它们都是经过加密或签名的,或者既经过加密又包含签名的。对于XML文档来说,由于XML的结构化特性,具体的操作可能具有高度的粗粒度性。
2.信息的部分加密
传统的加密技术总是趋向于把整个信息文件进行整体的加密,然后传输,到达目的地后再进行整体解密。而XML加密解密的特点就是,可以针对信息中的每一特定部分进行解密,提高加密效率.