《基于电子商务平台的可信身份管理的研究.docx》由会员分享,可在线阅读,更多相关《基于电子商务平台的可信身份管理的研究.docx(41页珍藏版)》请在三一办公上搜索。
1、分类号 密级 U D C 编号 本科毕业论文(设计) 题目 基于电子商务平台的可信身份管理的研究 姓 名: 肖宏伟 学 号: 017608201042 年 级: 2008 级 所 在 系 名 称: 计算机学院 专 业 名 称: 电子商务 指导教师姓名: 关群 指导教师职称: 讲师 二0一一年十月摘要:随着电子商务魅力的日渐显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批新型行业迅速崛起,但是虚假网站浑水摸鱼、病毒木马层出不穷、钓鱼网站防不胜防,在国内互联网快速发展的同时,网络欺诈和诚信缺失问题也不断凸显,成为我国电子商务繁荣和网络安全的重大障碍。一些业内专家表示,构建可
2、信的互联网已迫在眉睫,各方应创造条件,积极推进可信互联网生态链的形成,可信身份一次次被有关部门提上议事日程。随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁,但是要保证用户的财产信息安全,对人员进行统一身份认证,通过获取权限保证所有身份的合法性和安全性,从而保障用户信息财产安全。USBKey身份认证技术是与用户名加口令,是近几年发展起来的一种方便、快捷、安全的身份认证技术,它结合了现代密码学技术、智能卡技术和USB技术的一种新型身份识别技术,本文对当前电子商务平台可信身
3、份管理分析,并对其的相关应用进行了探讨,希望能够对我们认识和了解可信身份管理有所帮助。 关键词:风险分析;可信身份;USBKey身份管理; USBKey身份认证技术Abstract:With the charm of the growing e-commerce exposure, virtual enterprises, virtual banking, online marketing, online shopping, online payment, online advertising, a large number of the rapid rise of new industrie
4、s, but fake Web sites fish in troubled waters, virus, Trojan horse after another, very hard to detect phishing sites in the country the rapid development of Internet, network fraud and integrity continue to highlight the lack of problems, Chinas electronic commerce to flourish and become a major obs
5、tacle to network security. Some industry experts said, to build credibility of the Internet is imminent, the parties should create conditions for, and actively promote the formation of credible Internet ecosystem, as time and again by reliable authorities on the agenda.With the increasing size of so
6、ftware systems, system security holes or back door inevitable presence. Such as the cookie program, JAVA applications, IE browser and other software programs these are likely to pose a security threat to our e-commerce, but to ensure the users property information security, unified authentication of
7、 personnel, by ensuring that all access privileges legitimacy and identity security, in order to protect user information and property.USBKey authentication technology with the user name plus password, in recent years developed a convenient, fast and secure identity authentication technology, which
8、combines the techniques of modern cryptography, smart card technology and USB technology, a new identification technology this paper on the credibility of the current e-commerce platform identity management analysis, and its related applications are discussed in the hope of our knowledge and underst
9、anding of reliable identity management help.Key words: Risk analysis; credible identity; USBKey identity management; USBKey authentication technology目 录引论1一、电子商务安全风险分析2(一)信息风险2(二)信用风险3(三)交易风险3(四)电子商务风险的规避4二、电子商务的身份安全研究5(一)目前常用身份认证方式分析5(二)造成环境不安全性6(三)身份认证的重要性7三、基于电子商务平台可信身份管理的研究8(一)可信身份及应用8(二)电子商务平台可
10、信身份开门之匙9(三)可信身份管理的研究前景10四、身份认证USBKey管理的设计12(一)开发背景12(二)系统分析12(三)系统设计13(四)数据库分析与设计15(五)界面窗口设计19五、身份认证USBKey管理的实现21(一)系统演示21结语23参考文献24致谢25附录26引论随着互联网的发展和普及,信息化的时代已经来临。互联网深刻地影响和改变着人们生活的方方面面,电子商务无疑是网络时代的新生事物之一。网上购物、网上支付等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息, 并进行各种交易。从发展趋势来看,电子商务正在形成全球性的发展潮流。现在
11、,各个企业已经敏锐地意识到电子商务的重要性,书店、商店以及各类营销型企业纷纷建立电子商务网站,将电子商务作为了主要的营销手段之一。开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大的改变了人们的工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务平台下身份的不确定性,可信身份管理和身份认证制约电子商务的发展,因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务面临可信身份控制的方法。为了保证交易的安全性可以从登录身份
12、进行认证。身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录系统,保证进入系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。而身份识别为这种责任提供了重要的保证。网络安全机制的基本要素包括:身份认证、访问控制授权、完整性检测、防否认机制、可靠性保护。其中,身份认证在安全中的地位极其重要,是最基本的安全服务,其它的安全服务都依赖于它。身份认证是安全的重点,是解决目前网上在
13、线欺诈的唯一有效手段。一、电子商务风险分析随着Internet热潮席卷全球,电子商务日益成为当下时髦的词汇之一。电子商务就是利用电子数据交换、电子邮件、电子资金转帐及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中,如何保持电子化的贸易方式与传统方式一样安全可靠则是人们关注的焦点,同时也是电子商务全面应用的关键问题之一。电子商务已经深入社会生活,其优势不仅被商家所青睐,更深受广大客户的好评。然而,这种高速方便的交易环境却存在着不少安全隐患。在信息技术飞速发展的今天,面对不断出现的安全威胁,信息安全技术也要进行
14、不断更新。由于网络的复杂性和脆弱性,以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说,电子商务普遍存在着以下几个安全风险:(一)信息风险信息风险是指信息虚假、信息滞后、信息不完善、信息过滥、信息垄断等有可能带来的损失。在信息传递过程中,如果市场行为主体不能及时得到完备的信息,就无法对信息进行正确的分析和判断,无法做出符合理性的决策。信息风险的直接表现是网络欺诈,不仅使厂商和消费者在经济上蒙受重大损失,更重要的是它可能会使人们对电子商务这种新的经济形式失去信心。信息技术风险的存在不仅会给社会信息化带来负面影响,而且会给抗风险能力弱的企业的经营管理带来直接损失,因此必须加以重视。在
15、开展电子商务环境下,企业信息技术方面面临的问题也是日渐暴露,主要体现在以下两个方面:一方面,网络环境方面:在实践中,我国很多企业的网络系统都有被黑客攻击的经历,个别网络中的信息系统受到攻击后无法恢复正常运行。黑客攻击者非法用它们的网上资源,以它们的计算机系统作为工作平台,转而攻击第三人的系统或网络,而让企业代为承担责任,而使之遭受损失。另一方面,信息存取方面:无论是在信息的存储、传输还是信息的取回过程中,我国企业都面临着重重风险。另外,各种外界的物理性干扰,如通信线路质量差、地理位置复杂、自然灾害等,都有可能影响到数据的真实性和完整性。(二)信用风险由于网络具有虚拟性等特点,电子商务环境下的商
16、业信用有了新的内容和要求,电子商务使社会信用问题更加突出,欺骗、欺诈、抵赖等行为时有发生,社会信用环境岌岌可危,制约了电子商务的发展。电子商务信用是指电子商务交易中由买方、卖方、电子商务平台提供方、物流企业、银行和中介机构等多方构成的互动信任关系。电子商务信用风险是指电子商务活动中或虚拟市场中信用状态的不确定性,于是造成电子商务信用风险。 电子商务交易时的信用风险有以下三个方面:首先,卖方信用风险,这里主要指卖方不能按时、按质、按量交割消费者所购的货物,或者不能完全履行与企业购买者签订的购买合同,给货物购买方的风险。其次,买方信用风险,主要指消费者个人由于花钱无度和恶意透支,可能在网上使用了没
17、有存款的信用卡进行消费,或是犯罪分子使用非法伪造的信用卡骗取卖方的货物;对于企业购买者来说,还存在收到货物后,拖延货款等诚信问题,卖方需要为此承担一定的风险。最后,交易抵赖风险,买卖双方都有可能存在交易抵赖的可能性。在传统市场交易时,由于交易双方直接面对面进行商品交易,这种信用风险的控制往往靠经验和法制来保证,进行电子商务交易后,由于交易环境发生改变,物流和资金流在时间和空间上是相互分离的,交易双方常常互不见面,只有数字化交往,用电子方式谈判、签合同、结账,当贸易一方发现新的情况出现后原先的交易对自己不利时,可能就会企图否认已做出的电子交易行为。(三)交易风险交易风险包括发信者事后否认曾经发送
18、过某条信息;买家做了定单后不承认;卖家卖出的商品因价格差而不承认原先的交易等。电子商务交易所涉及的交易各方不是当面交换或直接面谈,而是在网络平台上以电子交易方式进行的,它可以减少消费环节和交易费用,节约时间,跨越空间,作为一种新的经济形式,它既存在高收益又存在高风险。到目前为止,对电子商务交易的风险还没有一个明确的范围划分,但研究中普遍地把信息安全作为电子商务交易风险的一个方面,用“计算机的风险”来定义与电子商务交易有关的风险,包括网上页面的破坏、操纵和非授权访问用户记录,互联网欺骗和长途通信偷窃,版权的侵害和访问拒绝等。事实上,产生电子商务交易风险的因素是多方面的,电子商务交易的威胁来自于互
19、联网上的安全入侵、隐私入侵、声望的毁坏、身份的盗用、知识产权的侵犯等多个方面。电子商务交易是一种全球范围内的活动,它还涉及到不同的文化、法规和货币的流通。类似于传统的交易活动,也有难以确定利润、缺少策略、不当的领导和残酷的竞争等风险的存在。此外,电子商务交易风险的存在还在于过多地依靠卖方或其他第三方,缺少技术上的可靠性和没有有效专家意见。因此,电子商务交易风险涉及到策略、领导、声誉、文化、安全、隐私和技术等多个方面。它不仅是技术领域的风险问题,它也是社会科学领域的风险问题。(四)电子商务风险的规避由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务
20、安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。电子商务的风险具有复杂性、多样性和隐蔽性等特点,电子商务交易风险管理研究涉及信息技术、市场营销与运作管理等方面,是一个新的涵盖范围较为宽泛的风险研究领域。充分利用有关技术规避风险: 1.利用防火墙技术保证电子商务系统的安全。防火墙的目的是提供安全保护、控制和鉴别出人站点的各种访问。它建立起网络通信的控制过滤机制从而有效保证交易的安全。为了将私有网络从公共网络中分离出来并保护起来, 主要可以采用如下几种形式的防火墙网络层防火墙应用层防火墙动态防火墙。2.用身份认证技术保证电子商务系统的安全。由于电子商务是在网
21、络中完成, 交易各方不见面, 为了保证每个参与者银行、企业都能无误地被识别, 必须使用身份认证技术。二、电子商务的身份安全研究由于电子商务安全的重要性,所以一个安全的身份显得十分重要。授权一个安全身份从而大大减小电子商务面临的不安全因素,安全的身份目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。(一)目前常用身份认证方式分析如何通过技术手段保证物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式:一是根据你所知道的信息来证明身份,假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份,假设某一物
22、品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份,比如指纹、虹膜等生物识别技术。这三种方式中,恐怕只有生物识别技术的安全系数是比较高的,其他方式都容易被他人仿冒。不过应用生物识别技术的企业可谓凤毛麟角,或者并没有用到保护数据上。首先,我们来介绍身份认证的三要素,他们分别是:需要使用者记忆的身份证内容,例如密码和身份证号码等;使用者拥有的特殊认证机制,例如USBKey认证,IC卡等;使用者拥有的唯一特征,例如指纹,瞳孔,声音等等。其次,现在计算机及网络中常用的身份认证方式有:1.用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法
23、。每个用户密码都是有自己设定的,只有用户才知道。只要能够输入正确的密码,计算机就会认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码记在纸上放在自认为安全的地方,这样很容易造成密码泄露。因此用户名/密码方式是一种极不安全的身份认证方式。2.IC卡(智能卡)一种内置集成电路的芯片,芯片中存有与用户身份相关的数据, 智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。 智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿
24、冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。3.USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。目前运用在电子商务、政务、网上银行, 此种技术是目前最常用的认证技术之一。4.生物识别技术主要是指通过可测量的身体或行为等生物特征进行身
25、份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。 (二)造成环境不安全性电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一
26、般规律,否则,电子商务是无法发展的。安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
27、电子商务发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。(三)身份认证的重要性用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。如何识别某人的真实身份,进而赋予其相应的权限,从而允许其完成一定的操作,已经成为目前安全领域中迫切需要解决的问题。身份认证技
28、术应运而生了,通过身份认证技术,可以识别人的真正身份,从而保护客户以及员工的重要电子信息。 建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。一旦身份认证系统被攻破,系统的所有安全措施将形同虚设,黑客攻击的目标往往就是身份认证系统。如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。而身份识别为这种责任提供了重要的保证。通过身份认证,可以有效防止黑客入侵。即使计算平台终端存在黑客软件,它也只能访问特定范围内的数据
29、,将破坏降低到最少,并且它所有的违规操作都被审计系统记录下来,终端平台管理员可以根据审计的违规记录对其进行追踪。身份认证在安全中的地位极其重要,是最基本的安全服务,其它的安全服务都依赖于它。身份认证是安全的重点,是解决目前网上在线欺诈的唯一有效手段。三、基于电子商务平台可信身份的管理研究电子商务平台即是一个为企业或个人提供网上交易洽谈的平台。然后要在这个平台上对可信身份进行管理是当前电子商务界争议最热的议题。利用简单、快捷、低成本的电子通讯方式,买卖双方不见面地进行各种商贸活动。目前电子商务工程正在全国迅速发展,实现电子商务的关键是要保证商务活动过程中系统的安全性。随着互联网的发展,无数的网络
30、应用如雨后春笋般的涌现,尤其是网上购物、在线支付等应用,极大的方便了大家日常生活,然而这些应用对安全性的要求都非常高,所以对于可信身份的的需求也非常大。(一)可信身份及应用所谓可信身份,顾名思义,就是可以信赖的身份。通过信任的传递保障整个信息系统的可信,因此可信身份在体系结构应该与信息系统的构建方式紧密相关,应该是一种层层叠加的体结构,保证每次叠加后得到的新实体可信。可信身份认证主要是利用以智能卡为核心的装置,以数字证书作为验证的依据进行用户身份鉴别的一种手段。与常见的用户名/密码方式相比,使用可信身份认证设备有(如USBKey),还需要知道这个身份认证设备的密码,两者缺一不可,这就极大的增强
31、了安全性。可信身份认证是随着网络的发展而逐渐发展起来的,主要解决单纯的用户名/密码认证方式的不安全因素。身份管理关系到未来网络基础设施,同时涉及到技术、社会、法律、国家政策等多方面因素。欧美等发达国家对网络空间身份管理高度重视,各国都希望充分发挥自己在此领域的主导作用。美国NSTIC(网络空间可信身份国家战略) 的出台,对我国网络安全工作具有诸多启示。第一,尽快制定我国网络空间可信身份国家政策。随着我国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要,美国、欧盟等都在加强身
32、份管理技术研发和部署,已经形成较强的技术优势。对我国而言,如果不及时加以部署和研发,将很可能丧失在未来网络中的话语权。为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。第二,支持网络空间身份管理技术研发和应用示范。目前美欧在身份管理技术和产品研发方面具有优势,我国在此方面还处于跟随阶段,缺乏相关的实施和尝试。鉴于身份管理的基础性和重要性,建议政府通过科技支撑计划等,支持研究机构、企业等开展相关技术研究和产品研发,支持建设应用示范系统,着力推进在电子政务、电子商务等方面的应用示范,探讨解决不同身份管理系统之间互联
33、互通问题,在技术成熟时可以建立国家性身份管理平台,确保关系国家民生的关键身份信息把握在国家而不是国外企业手中。第三,积极参与国际标准制定,掌握话语权。身份管理关系到未来网络架构,美国、欧盟等发达国家和地区都在争夺技术、标准方面话语权,目前有大量组织也在对身份管理标准进行研究,如自由联盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS 和IETF 等,但还没有形成统一标准。建议我国统筹协调研究、产业等各方面资源,有计划开展身份管理系列标准研究工作,同时组织国内力量积极向国际组织提交议案,争取设立由我国主导的研究议题,增强我国在身份管理标准化工作中的话语权与主导权。第四
34、,加强网络用户隐私信息保护。网络空间用户相关信息被收集,会产生一系列问题,包括这些信息应该存储在哪里,所有权应当归属于谁,谁有权利控制使用这些信息,谁应当对用户信息的使用承担责任等等。这些问题直接涉及到广大用户的个人权益。当前,网络上个人信息泄密现象非常严重,用户隐私信息面临威胁。因此,有必要加强网络空间用户隐私保护,出台相关的法律法规和标准规范,对用户隐私信息收集、使用以及泄露应当承担的法律责任等内容予以明确和规范。(二)电子商务平台可信身份开门之匙每个人在生活中都会接触到身份认证,最常见的就是用钥匙开门。在互联网世界中,身份认证也有个广泛的应用,如登录论坛、在线购物、网银转账等等。大多数时
35、候,我们使用用户名/密码的方式完成了身份认证,并获得访问权限,然而在一些对安全较高的场合,用户名/密码方式就无法满足需要了,这个时候,就需要使用可信身份认证了。可信身份就一次次的提上议题,只有在可信的身份前提下才能更好的在电子商务平台进行一系列的操作。更易于形成品牌的电子商务交易平台的提供者在人们的信任中有着至关重要的作用,可以通过技术的利用,通过认证方式的完备,通过信任评价体系的完善,通过有效的支付保证,促进诚信的互联网文化的形成。电子商务平台可信身份的管理监控是为了更好的保障消费者用户财产、信息、身份的安全,让拥有可信的身份下条件才能访问和使用电子商务平台。可以信赖的身份是交易安全的保证,
36、现由于用户名和密码方式无法应对日益猖獗的在线欺诈犯罪行为,各种身份认证技术纷纷登场,身份认证技术是解决目前网上身份盗窃和在线欺诈的唯一有效手段。它是安全系统中的第一道关卡,用户在访问电子商务平台安全系统和支付款等操作之前,首先经过身份认证系统识别。(三)可信身份管理的研究前景随着Internet和计算机网络技术的蓬勃发展,人类正在进入以网络为主的信息时代,传统的贸易正在向电子商务发展。目前,电子商务已成为各行各业扩展业务的有力方式,且发展前景十分诱人。然而,互联网络的开放性和匿名性的特征使电子商务的安全问题变得越来越突出,诸如信息的泄露或篡改,欺骗,抵赖等问题。 为了使基于Internet的电
37、子交易与传统交易一样安全可靠,必须建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性。而数据加密技术则构成了电子商务安全的基础,可以说,没有数据加密技术,就没有电子商务地安全。可信身份在当今体现电子化飞速发展社会的尤为重要,操作者的物理身份与数字身份相对应,身份认证就是为了解决这个问题,作为防护网络资产的第一道关口,可信身份认证有着举足轻重的作用。不同的身份做不同的事情,相互的关联和限制,从而大大的提高安全性。可信身份是以制度为基础的,正是通过它,在不熟悉的个体间才会产生信任,所以良好的可信身份对电子商务平台的可信性有很大的影响。由于商务网络环境大量地充斥着风险、不确定性而又
38、需要相互依赖且愈加复杂,电子商务信任问题已成为决定网上交易成功与否的关键因素。电子商务信任问题之所以显得重要,是因为电子商务自身所具有的特征决定了其面临的不确定性和风险性与传统商务相比,表现为程度更高、范围更广、情况更复杂。基于USBKey+ID+口令可以实时的保障用户财产信息安全,同时也是最常用的一种技术,用户输入自己的口令,计算机验证并给予用户相应的权限。在这些交易前提下必须保证买卖双方身份的可信性,只有在可信的身份环境下大家才能更放心的进行交易。从而保障了消费者用户的财产、信息的安全。四、身份认证USBKey管理的设计安全认证的目的有两个:一是验证信息发送者的真实性,即不是冒充的;二是验
39、证信息的完整性,即验证信息在传送或存储过程中未被窜改、重放等。USBKey身份认证技术是近年来快速发展的一门身份认证、识别技术,与传统的用户名加口令的认证方式比较,其安全性和保障性更强,与生物认证技术相比较,USBKey认证技术操作简单,技术成熟,推广应用成本低,显示了良好的发展前景,基于可信身份权限管理则应运而生。安全认证主要是对这个实体的身份进行鉴别和确认,以确认当事人是否名符其实,当前交易是否有效。(一)开发背景目前一般的认证都是以“用户ID+口令”来进行用户的身份认证,其中必然应用了密码技术。这种方法具有明显缺陷:一是难以记忆;二是容易被黑客破译。USBKey授权管理工具系统,极大的提
40、高保护用户的信息财产安全性。USBKey是结合了现代密码学技术、智能卡技术和USB技术的新一代身份认证产品,是一种的秘密数据存储设备。由于USBKey具有安全可靠、携带方便、成本低廉的优点,加上PKI的保护机制,使用USBKey认证方式已经成为目前主要认证模式。(二)系统分析1需求分析对USBKey的管理,目前最主要的需求有两个部分,一是USB Key管理,另一个就是日志审计。对USB Key管理的用户是操作员,对Key进行初始化,修改用户PIN码,修改用户名,注册,注销,解锁等,都是针对USBKey的操作。日志审计是为了规范操作员的操作,对操作员的各项操作进行审计,记录,查询功能。每个人都该
41、为自己所做的操作负责,所以在做完事情之后都要留下记录,以便核查责任。2功能分析为了保证数据系统的安全性和准确性,设置了三种用户角色:普通用户;操作员用户;审计员用户。操作员用户可以在现有的USBKey设置基础上,对USBKey基本信息进行管理,另外还可以查询Key的各项信息。具体功能如下:a.初始化,即USBKey初始化的过程,需要记录初始化Key时间、用户名、设定密码、单位信息等;b.修改用户名,即修改当前设置的USBKey的用户名;c.修改用户PIN码,即是修改当前USBKey用户PIN码;d.注册,也就是授权,操作员对使用的USBKey用户设置权限,用户身份被确认合法后,赋予该用户进行文
42、件和数据等操作的权限;e.注销,对当前USBKey用户的注销;f.解锁,输入PIN码连续输入三次失败则USBKey锁定,输入管理员PIN码,解锁用户USBKey;需要记录解锁时间、操作结果;g.修改密码,即修改登录用户密码。(三)系统设计1绘制用例图设计系统功能USBKey管理工具,将飞天Key分为普通用户、操作员、审计员三种角色。注册过的USBKey才能在单机客户端使用;使用管理工具的角色分为两种:admin是操作员,默认密码1234567a,密码可更改,用来管理USBKey;auditor是审计员,默认密码1234567a,密码可更改,用来审计admin的所有操作是否合乎规范。a.普通用户
43、:只能在客户端登录;b.操作员:能够进行策略管理、日志审计、系统卸载等;c.审计员:审计操作员的操作日志。本系统需要对用户身份进行验证,验证通过后是操作员还是审计员,根据用户角色判断用户可以使用系统中相应的操作功能。另外,对操作员的操作进行审计规范化。系统流程图如4-1和4-2所示:图4-1 USBKey授权管理工具流程图 图4-2 单机版系统流程图2开发工具和开发技术的选择本系统的设计是在Windows XP中文版操作系统环境下,使用Visual Studio 2008英文版和BCGControlBar类库下用MFC界面的单文档向导开发成功的。Visual C+是一种可视化的、面向对象和调用
44、事件驱动方式的结构化高级程序设计,可以开发Windows环境下应用程序。 BCGSoft BCGControlBar是基于MFC的界面扩展类库,它提供了丰富多彩的类库供开发用户界面使用。这套类库的核心使用了专有技术,从而可以实现复杂以及其它地方没有的功能,比如完全可定制的工具栏和菜单、自动隐藏控制条、开分离的页面窗口、复杂的Dock容器、换肤功能、高级的编辑器等等。应用程序向导可以让其生成类似Visual Studio .NET开发环境、Visio或MsOffice2000、Office及2003Office XP风格的界面。数据库采用的是Micorsoft的Access 2003数据库。3系
45、统的运行环境系统可以直接在Win98、Win2000、WinXP、Win7环境下运行。注意,系统运行时,不必手工设置ODBC数据源,只需要将“SCMKey.mdb”、飞天和BCG动态链接库复制到与系统的可执行文件“SCMKey.exe”同一目录下运行exe即可。4系统开发的难点和技巧系统中,数据显示和操作主要运用到列表控件、树空间。MFC的CListCtrl类、TreeCtrl类提供了对列表控件和树控件的封装,还有USBKey的枚举和Access数据库的运用。下面简单介绍下使用该类的成员函数实现对列表控件和树控件的常用操作。(1)刷新、删除列表控件的列;(2)树控件的响应;(3)驱动的注册和拔
46、除、飞天诚信USBKey的枚举;(4)Access数据库的记录如何插入、查询、修改语句的运用。(四)数据库分析与设计1数据库分析USBKey授权管理工具主要就是对权限进行分配,不同的权限可以做不同的事情,其系统就是对身份的认证,授权可信身份,且为单机使用。后台数据库系统设计采用的是Micorsoft的Access 2003数据库系统。2数据库概念设计数据库需要存储的主要是两方面的内容,USBKey的操作日志信息和用户信息。为了维护数据的完整性和准确性,将USBKKey中实体的用户信息、用户操作日志信息、USBKey信息提取出来,用单独的表来存储这些信息。用户操作日志信息实体记录了管理员操作的信
47、息,其E-R图如图4-3所示。图4-3 操作信息实体E-R图UserInfor用户信息记录关于用户的的信息,其中E-R图如图4-4所示。 图4-4 UserInfo实体E-R图USBKey信息记录关于UEBKey的信息,其中E-R图如图4-5所示。 图4-5 USBKey实体E-R图 此外,系统还需要对登录用户进行管理,就需要一个登录用户表管理用户信息,登录用户实体的E-R图如图4-6所示。图4-6 登录用户实体E-R图3数据库逻辑结构设计根据前面设计的E-R图,可以创建的相关的逻辑结构,本系统数据库创建了4个表,下面分别介绍数据库各表的结构。RptLog表用于记录操作员的操作日志信息,包含操作用户、USBKey序列号、操作类型、操作结果、操作时间等信息,该表的逻辑结构如表4-1所示。
