本站原创[摘 要]安全性和可靠性是电子商务交易中的一个重要课题,文章在分析SSL协议的基础上,介绍了支持SSL协议的Ja安全套接字扩展JSSE,并利用JSSEAPI的功能实现在服务器端和客户端上建立电子商务网络应用程序及它们之间的安全通信.
[关 键 词]SSLJSSE电子商务安全通信
随着Inter的发展,电子商务得到了广泛应用.由于电子商务具有降低商务活动成本、缩短交易时间、不受时空限制等优点,被越来越多的企业所认可和应用.然而,Inter上的安全威胁如来自“”(hackers)的攻击、计算机病毒(Virus)、拒绝服务攻击(DenialofserviceAttack),以及网络系统的脆弱性和人的因素等,使得网上电子交易的安全性成为人们考虑的首要问题.普通HTTP、FTP等通信协议所发送的数据并不安全,它没有提供数据加密和客户端及服务器端的身份验证等功能,数据容易在网络上被截取而造成商业机密泄露.可见,如何在网上保证交易的公正性和安全性,保证交易双方身份的真实性,保证传递信息的完整性以及交易的不可抵赖性,便成为了电子商务发展的一个关键问题,也是电子商务中非常重要的一个研究内容,本文主要探讨了如何利用支持SSL安全协议的JSSEAPI类包,实现电子商务网络应用程序的安全通信.
一、SSL和JSSEAPI概述
在电子商务网上交易安全性研究中,目前已提出很多使用性强的协议,如SSH、PKI、SET、SSL等.其中安全套接层协议(SecureSocketsLayer,SSL)是部署最为广泛的安全协议之一,绝大多数商业浏览器和服务器都在其内部使用SSL来支持安全的web交易.SSL采用对称技术和公开技术相结合,在SSL客户机和服务器之间通过算法和密钥的协商,建立起一个安全通道.以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息.同时,SSL利用算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏.最后,利用证书技术和可信的第三方CA(认证授权机构),可以让客户机和服务器相互识别对方的身份.为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性.
SSL协议的实现属于Socket层,处于应用层和传输层之间,由SSL记录协议(SSLRECORDPROTOCOL)和SSL握手协议(SSLHAND-SHEPROTOCOL)组成,如图所示:
在电子商务网络程序的开发中,由于Ja的跨平台特性和安全特性而得到了广泛使用.同时,鉴于网络安全性的需求,Ja也提供了许多支持网络安全协议的API,如Ja安全性原则、Ja身份验证和授权服务(JAAS)、Ja加密扩展(JCE)和Ja安全套接字扩展(JSSE).其中JSSE是主要支持SSL与TLS(传输层协议)网络通信安全的JaAPI软件包,它提供数据加密、客户端身份验证、服务器端身份验证和消息完整性等服务,并支持DES、DSAPublicKey等加密算法.
二、JSSEAPI在电子商务中的应用
随着Inter信息技术的高速发展和个人、企业上网的迅速普及,企业WWW网站在商业活动中发挥着越来越大的作用,在信息时代,建立一个功能强大、界面美观的电子商务网站,建立电子商务系统平台等,对企业的发展是至关重要的.基于JSSEAPI的安全性,其技术可以应用到B2C(Business-to-Consumer,企业对客户)、B2B(Business-to-Business,企业对企业)、SCM(SupplyChainManagement,供应链管理)、EAI(EnterpriseApplicationIntegration,企业应用系统整合)、Portal(门户网站)等电子商务类活动中.比如B2C是企业构建B/S模式的网页型网站,是为客户提供通过浏览器进行安全产品查询、网络订单、客户数据维护或网络付款等功能.尤其是利用JSSEAPI来开发支持SSL和TLS协议的HTTPSSecureSocketWeb服务器.以下内容实现了电子商务中利用JSSEAPI包的功能开发网络程序的简要过程.
1.省略.ssl.SSLServerSocketFactory的方法publicabstractServerSocketcreateServerSocket(intport,intbacklog,IAddressIpAddress)throwsIOException建立服务器端SecureSocket和SSLServerSocket,并以此客户端的连接请求.其中参数port为端口号,一般SSL通信端口号HTTPS的为443,参数backlog表示SSLServerSocket客户端连接数,默认最大为50,参数IpAddress表示SSLServerSocket在建立时,会以本机的IP地址作为服务器端SecureSocket所需使用的IP地址.
(2)当服务器端到来自客户端的连接请求时,则接收此请求并建立客户端的SecureSocket.即使用SSLServerSocket的accept方法接收客户端的连接请求,建立代表客户端的SSLSocket对象.然后通过getInpuStream方法和getOutputStream方法建立服务器端与客户端之间的输入/输出数据流通道,在此基础上可以利用Ja输入/输出包中的数据流类的一般方法,用read方法完成读取从客户端发送来的信息或用write方法发送数据至客户端.
(3)当服务器端程序执行结束或客户端结束链接时,服务器程序调用SSLServerSocket的close方法关闭服务器端或客户端链接,以便释放资源.
2.省略.ssl.SSLSocketFactory的方法publicabstractSocketcreateSocket(IAddress[String]host,intport,[IAddressclientAddress],[intclientPort])throwsIOException建立客户端SecureSocket和SSLSocket.其中参数host表示可设置服务器端的IP地址或主机名称.
(2)客户端与服务器端建立连接后,客户端向服务器端发送请求同时也响应服务器端发回的处理结果.客户端SecureSocket和SSLSocket对象利用方法getInpuStream和getOutputStream建立服务器端与客户端之间的输入/输出数据流通道,并可利用read方法和write方法和服务器端进行数据交流.
(3)当客户端结束与服务器端的链接时,调用SSLSocket的close方法关闭链接,释放资源.
3.测试JSSEAPI开发的应用程序
由JSSEAPI开发的支持SSL的SecureSocket网络应用程序,在执行前首先要设置其类路径CLASSPATH和Ja安全性原则的SecurityProvider.而且在Ja中测试时,对于RSA公钥的获取可暂时利用JDK提供的keytool,在命令方式下产生测试用的keystore文件,形式为:c:\>keytoolgenkeyvkeyalgrsakeystorekeystore.
三、结论
本文分析了安全套接层协议SSL和对支持此协议的Ja安全套接子扩展JSSE的功能,在此基础上,结合目前电子商务网络应用系统对安全性和可靠性的要求,用JSSEAPI分别实现了服务器端和客户端的搭建及安全通信过程.保证客户端认证、数据流加密,以及对数据库的访问限制等安全功能,从而有效地防范和抵御了连接中的攻击出现.
rveyMDeitel,PaulJDeitel,SeanESantry.高级Ja2大学教程(英文版)[M].北京:电子工业出版社,2004[4]林琪卢昱:使用Ja安全Socket扩展包实现SSL[J].北京:装备指挥技术学院学报,2002.13(3)
[5]朱良锋李健刘立辉庄俊玺:JSSE访问带有未验证证书的HTTPS[J].北京:计算机与信息技术,2005
[6]肖文凯孙丽君阮永良:基于JSSE的JDBC安全连接的研究与实现[J].北京:计算机应用研究,2004(2)
[7]黄嘉辉:Ja网络程序设计[M].北京:清华大学出版社,2002