[发明专利]电子商务信息安全处理系统及其方法

说明书

本发明涉及网络交易安全技术，具体涉及一种电子商务信息安全处理系统及其方法。

近年来，信息安全成为极度热门的话题，特别是电子商务的兴起使信息安全问题更为突出。人们从现实世界进入电子世界，通过网络进行交流和商业活动，面临的最大问题是如何建立相互之间的信任关系以及如何保证信息的真实性、完整性、机密性和不可否认性。加密技术是解决这一系列问题的技术基础。加密数据是算法、密钥和明文的数学运算结果，现代密码学中，利用可公开的、标准的算法，通过对密钥的保护来达到数据的加密目的，这种做法称为基于密钥的安全性。若数据的加解密使用相同的密钥，则称这种密钥为对称密钥；若加解密采用不同的密钥，则称为非对称密钥，由于非对称密钥的加密密钥和解密密钥无法相互推算出来，因此，加密密钥可以公开，因此也称为公开密钥。公开密钥基础设施(Public Key Infrastructure，简称PKI)技术正是使用了非对称密钥的技术。PKI提供网上管理关系的技术，其基本机制是：定义及建立身份、认证及授权的技术，然后分发、交换这些技术，在企业与网络之间解释及管理这些信息。PKI的任务是在所有参与者之间建立平等的信誉关系，保证企业电子在线交易系统的安全。

依据PKI体制的工作机理，交易双方事先须有证书认证机构(简称CA中心)颁发的证书和相对应的私钥。在交易时，需要对方的证书，发送者从对方的证书中获得公钥用以加密打算传输的数据，同时可以用自己的私钥对数据进行签名；接收者则利用自己的私钥解开对方利用自己证书中公钥加密的数据，同时需要知道对方的证书来用以验证对方的电子签名。这样交易双方的证书均是公正的第三方权威认证机构所颁发，交易者通过对权威认证机构来达到对交易对方信任的目的。进行这种三方认证，交易者需要从CA中心获取交易对方的证书，同时还需要对对方送过来的证书进行校验以确定他的有效性。

当前业界的普遍做法是采用交易双方直接同CA中心建立连接的方式来进行。如图1所示，交易者甲需要同交易者乙进行业务往来时，需要实时向CA中心获取交易者乙的电子证书，检验电子证书的有效性，并利用该证书进行数据的加密工作。若需要电子签名，甲会利用自己的私钥对数据进行签名。乙在收到甲的数据后，利用自身的私钥进行解密。若有甲的电子签名，则乙通过从CA中心获取甲的电子证书，CA中心的证书和CA中心颁发的证书吊销列表进行甲的电子签名的校验工作。乙向甲发送数据的流程与上同。

上述传统做法存在着缺陷具体表现在：首先，进行交易的双方均需同CA中心直接通过Internet连接，交易会受网络传输速度和无法预料的网络故障的影响，由于进行交易的双方均需同CA中心直接通过Internet连接，对交易者环境要求较为苛刻，使用方式也太复杂，很大程度约束了基于PKI信息安全技术的交易系统的使用和推广；其次，每次涉及信息安全的交易均需同CA中心建立连接，获取所需数据，这会使交易系统的资源造成浪费。

本发明的目的在于，提供一种电子商务信息安全处理系统，通过采用构造一级或多级CA数据缓冲库，提高PKI体制的技能，以保证采用PKI机制的交易本身的信息安全。

本发明的另一目的是提供一种电子商务信息安全处理方法，通过构造CA数据缓冲库的方法，克服现有集中式的系统交易信用认证库存在的认证过程耗时长、特殊情况下无法实现信用认证的缺点，使得在保证整个系统交易安全的前提下，系统交易信用的认证更具有可实现性，使得信用认证不再成为电子商务的信息安全领域的瓶颈。

本发明的目的是这样实现的，构造一种电子商务信息安全处理系统，包括可与多个交易系统连接并提供安全服务认证的CA认证中心，其特征在于，还包括通过一定方式与所述CA认证中心连接的CA数据缓冲库，所述CA数据缓冲库中的交易信用信息与所述CA认证中心的相关数据保持同步。

在按照本发明提供的电子商务信息安全处理系统中，所述CA数据缓冲库的部分或全部存储在所述交易系统上。

在按照本发明提供的电子商务信息安全处理系统中，所述CA数据缓冲库的部分或全部存储在与所述交易系统连接的近端设备上。

在按照本发明提供的电子商务信息安全处理系统中，所述CA数据缓冲库包含的CA认证信息包括CA中心的根证书、证书吊销列表以及系统本身的和所属用户的电子证书。

在按照本发明提供的电子商务信息安全处理系统中，所述CA数据缓冲库中的交易信息是通过交易系统定时下载或实时读取所述CA中心的相关数据来实现其同步的。