基于PKI的电子商务安全管理技术研究

【摘要】近年来，我国电子商务发展迅猛，PKI技术已经为电子商务的安全问题奠定的基础。本文介绍了PKI以及PKI体系下电子商务存在的安全问题，并提出相应的有效管理措施。　　1引言　　电子商务随着计算机技术的发展，已经进入了人们的日常生活，得到了普及。但是，得不到安全保障，电子商务在生活中会发生虚假和欺骗，任何人和公司都不想让自己的重要个人信息受到侵犯。所以说，安全是电子商务的核心，是基础。越来越多的技术已经实施在电子商务的安全上，这些技术都是基于PKI技术的支持。PKI技术具有良好的体系，是一项有效保证电子商务安全性的解决方案，它已经为安全的网络环境奠定了基础。　　2PKI和电子商务的概念　　2.1PKI是英文PublicKeyInfrastructure的缩写形式，意思是公开密钥基础设施。它是网络安全体系和认证体系。随着电子商务的发展，PKI诞生。PKI的价值是使用户可以方便操作加密，数字签名等等服务，是网络安全建设的核心，是基础部分，更是安全实施电子商务的重要保障，作为电子商务的安全基础和核心技术，PKI用来建立不同实体问的信任关系，它可以提供的安全要求有完整性，不可否认性，身份认证，机密『生和存取控制几大方面。　　数字证书由证书授权认证中心CA签发，结合了加密技术，人们使用它，可以保证交易的正常进行，可以保证对通信内容的保密，信息的完整可靠，可以进行识别用户身份。加密技术是PKI的基础，证书服务是PKI核心。通常情况下PKI系统包括了四个部分：注册机构RA，证书机构CA，PKI策略软硬件系统，证书发布系统和PKI应用。一、证书机构CA的作用是发放证书，规定证书的有效期，通过发布证书废除列表CRL，确保必要时可以废除证书。证书机构CA是PKI的信任基础。它负责管理公钥的整个生命周期。二、注册机构RA的作用是增强应用系统的安全，它在用户和CA之间提供一个接口，获取和认证用户的身份，向证书机构CA提出请求。有时候不另外设立独立运行的RA，而把注册管理的职能可以交由证书机构CA来操作。但国际上的标准还是赞成由一个独立的RA来完成注册管理的任务。三、证书发布系统的作用是通过PKI应用发放证书或者通过用户自己发放证书，通过电子数据和电子邮件中交换EDI，或者在浏览器和Web服务器之间的通讯发放证书，或者通过虚拟私有网VPN发放证书等等，通过在Internet上的信用卡交易发放证书。四、PKI策略的作用是对密码系统使用的处理方法和原则进行定义，同时对一个在组织信息安全方面的指导方针进行建立和定义，PKI策略还包括一个组织怎样根据风险的级别，对安全控制的级别进行定义。　　2.2电子商务就是通过计算机互联网进行商务贸易和交易，包括商户之间的网上交易，消费者的网上购物，以及在线电子支付等。电子商务主要依靠电子数据交换(EDI)和互联网来完成。目前电子商务的经营模式有B2C(企业到消费者)、B2B(企业与企业)、C2B(消费者到企业)、C2C(消费者与消费者)、B2G(企业与政府)等等。不断增多的电子交易，使电子商务的安全性受到威胁，网络环境开放中怎样预防未被授权的非法入侵者，怎样保证信息传递过程中的可靠性，完整性，都成为需要解决的问题。　　3基于PKI的电子商务安全问题　　3.1认证身份的安全　　电子交易中，如果不进行身份认证的工作，不法者就有机会冒充是电子交易的一方，或破坏其信誉，或窃取交易利益等等对正常交易造成破坏。如果可以进行识别身份，交易的双方就可避免不确定不信任的情况，从而放心交易。所以人们首先要可以确定对方身份是否真实，并要确定和对方所说的是否相同。尤其在涉及到网上支付时，更要确定和核实对方的账户，信用卡等是不是真实可靠和有效的。　　3.2泄露信息的安全　　在电子商务中，泄露的信息主要就是泄露的商业机密。电子交易的双方在进行交易的时候，交易内容存在被不法者窃取的可能，交易这方提供给交易那方的信息存在被未授权用户私自使用的可能。尤其是网上支付等流程中，如账号这些重要的商务信息。　　3.3交易抵赖情况　　电子交易时，当一项操作发生，信息正常传送，交易抵赖情况就是买卖的双方对发送消息或者接收消息出现否认行为。这时就要确定买卖双方的身份，并且有足够的证据来证明买卖双方确实发送或接收过信息，使电子交易产生纠纷有确凿的证据可用。　　3.4篡改信息情况　　篡改信息的情况主要是指信息传递中失去了完整性，公证性和真实性。　　因为电子交易中，在网络上传输的信息，存在被另外不相关者的删除，修改。　　3.5数据非法截获，读取或者修改　　在电子商务中，信息流和资金流以数据形式在计算机网络中传输，很多传输还是远距离的。在这一过程当中，数据可能被别有用心者截获，读取，从而造成商业机密和个人隐私的泄密。更为严重的是，别有用心者还可能修改截获的数据，如把资金的数量，货物的数量，交货方式等进行修改，这会严重地影响电子商务的正常进行。　　4基于PKI的电子商务安全管理措施　　从理论上来讲，公钥加密是PKI的基础，应该是可以保证数据的完整性和可靠性，并可以实现电子交易双方身份认证。但是在网络操作的实际情况里，还是有一定的安全问题相继出现，这些安全问题主要表现在攻击安全协议，攻击公钥，攻击私钥，所以为保护电子交易双方的利益，需要采取一系列的安全保障措施。　　4.1针对定制协议的攻击　　定制协议攻击就是另外定制一个协议，然后用它来与安全协议交流，进而对安全协议中可以利用的消息造成影响。对于公钥的认证协议来说，这类攻击是最多的，PKI中允许在多个协议中使用相同的公钥是它攻击的前提，这样的攻击中，是用另外定制的协议来侵犯安全协议，用安全协议中的交易信息来冒充某一方达到完成协议。　　保证定制协议的完善和安全是PKI中十分重要的内容，安全的协议才是PKI安全的基础。但是，即使安全的协议，也不是百分之百没有问题，攻击者也可能利用这些安全协议。　　从本质上说，攻击定制协议就是使几个定制协议相互交流的办法来进行攻击，避免这类攻击有一个基本原则就是在使用某一个密钥时，在产生的消息和消息标示符之间，加以密码绑定，使定制协议中的消息受到保护，就可以不被另一个协议中的虚假信息替代。　　4.2针对CRL的攻击　　CRL是常用的注销证书的方法，它们的原理是，用链表的形式将组织申请注销的证书，在PKI中发布和传播。因为证书的注销信息需要一段时间才在PKI中传播开来，如果攻击者可以阻止注销的进程，那么攻击者就达到破坏PKI注销流程的目的，进而就可以用被某个CA注销的证书来非法访问。　　PKI中，如果用户发生证书过期的情况，私钥泄露的情况，或者要变更证书中一些内容的时候，用户必须向CA申请注销旧的证书。当旧的证书被注销后，相关的公钥和私钥就会失效，用它们进行交易的行为也相应是失效。　　4.3针对证书持有者态度的攻击　　由于证书持有者的安全态度不积极，表现在可能泄露私钥了而不申请注销证书，长时间不用证书，盲目签名证书等等方面，这些薄弱的防范意思给攻击者提供了不法行为的机会。　　5结语　　目前，电子商务还只能说是机遇和挑战并存，因为在交易活动中，这种挑战必须依赖于可靠的安全技术保障，信息铭文传送是交易信息传送的基础，虽然使用PKI作为安全基础，但电子商务交易双方无论买方、卖方，都面临安全威胁因此对于安全问题，技术和自身都需要加以防范。（来源：《中国信息化》杂志 编选：中国电子商务研究中心）　　参考文献　　[1]李晶.电子商务安全及其防范措施[J].当代通信.2002(24)　　[2]胡红升，马东平.电子商务安全策略[J].电子商务世界.2001(12)　　[3]蔡鹏.电子商务安全简析[J].福建电脑.2010(03)

分享到