基于PKI技術的電子商務安全問題探究

作者：佚名   時間：2010-11-08   分享到：

隨著電子商務的發展,如何保證在開放的Internet網絡環境下安全、完整、有效地傳輸敏感數據,讓高度機密的數據只能到達明確的有權知道該數據的個體手中,不被非法用戶截取、破譯和修改,是制約電子商務發展的關鍵問題。為解決這一問題,世界各國對其進行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被一些企業所采用的PKI體系結構。由于PKI體系結構在數據傳輸的安全性方面獨具優勢,目前被廣泛應用于電子商務之中。

　　一、電子商務的安全需求

　　由于電子商務是一種利用互聯網資源進行的商業交易活動,因此在交易安全方面與互聯網的安全性密切相關。在交易過程中，主要涉及信息的安全傳輸、在線支付的安全認證等問題。

　　1.數據保密性需求。在電子商務中，無論是企業自己的數據,如計劃書、圖紙、生產銷售數據等，還是企業間交換的契約、合同或者用戶的訂單、支付等都是十分重要和敏感的數據，這些數據都要使用良好的加密措施，保證其在存儲和傳輸中的安全性。

　　2.數據完整性需求。由于在交易過程中必須保證信息的完整性和有效性,即要保證信息從交易一方送達另一方時,數據是準確的、有效的,且發送方不可否認此次交易的存在性和真實性，這需要對傳送的數據進行簽名和驗證。

　　3.身份確認需求。由于交易是在網上進行的，所以在進行交易前，必須確認對方的身份，防止交易雙方的身份被假冒，因此需為參與交易的各方提供可靠的標識，通過驗證被認證對象標識的有效性，來證實被認證對象身份是否有效。

　　4.商務活動的不可抵賴性。為了保證商務活動的各參與方對自己的行動負責，一方面，電子商務系統會讓參與者留下參與活動的證據；另一方面，政府通過相應的法律條文保障參與方履行其申明的責任。為滿足電子商務的安全需要，實現安全的、有效的在線交易，需要在Internet上建立可信的安全的通信基礎設施，通過強認證機制和加密機制來保證安全性。

　　二、PKI技術

　　1.PKI的組成。PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。一個完整的PKI系統由策略管理、軟硬件系統、認證機構(CA)、注冊機構(RA)、證書管理系統和PKI應用接口等部分組成。

　　(1)策略管理：它建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。(2)CA是可信的第三方機構，負責頒發證書、驗證用戶身份的真實性。(3)RA提供用戶和CA之間的一個接口,它收集和確認用戶身份,接受用戶的注冊申請,向CA提出證書請求。(4)證書管理系統用來管理數字證書庫，包括發布證書、實時查詢證書和證書撤銷信息等。

　　2.PKI技術實現的主要功能

　　(1)用戶注冊:收集用戶信息,該功能在CA完成或由獨立的RA完成。(2)發行證書:響應用戶的請求創建證書，由CA完成。(3)廢止證書:創建和發布廢止證書列表(CRI，Certificate Revocation List)，由與CA相關的管理軟件完成。(4)存儲和檢索證書和CRI:使具有授權的用戶可以方便地使用證書和CRI，證書及CRI通常存儲在一個可通過LDAP協議訪問的安全的、備份的目錄。(5)證書路徑確認:在證書確認鏈中加入一個基于規則的約束，只有在約束全部滿足時證書才被確認，由CA完成。(6)時間戳:為每個證書打上時間標記，規定證書的有效時限，由CA或者是專用的時間服務器(TimeServer)完成。(7)密鑰生命期管理：進行密鑰的更新、存檔、恢復等工作，由軟件自動完成或手工完成。

　　3.PKI安全性分析

　　PKI是以公鑰加密為基礎的，為網絡安全提供安全保障的基礎設施。從理論上來講，是目前比較完善和有效的實現身份認證和保證數據完整性、有效性的手段，但在實際的實施中，仍有一些需要注意的問題。與PKI安全相關的最主要的問題是私有密鑰的存儲安全性。由于私有密鑰保存的責任是由持有者承擔的,而非PKI系統的責任。私鑰保存丟失,會導致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢止證書的聲明出現在公共可訪問列表的時間之間會有一段延遲,這會使無效證書這一段時間內被使用。

另外，Internet使得獲得個人身份信息很容易,如身份證號等,一個人可以利用別人的這些信息獲得數字證書,而使申請看起來像來自別人。同時,PKI系統的安全很大程度上依賴于運行CA的服務器、軟件等,如果黑客非法侵入一個不安全的CA服務器,就可能危害整個PKI系統。因此,從私鑰的保存到PKI系統本身的安全方面還要加強防范。在這幾方面都有比較好的安全性的前提下,PKI不失為一個保證網絡安全的一個非常合理和有效的解決方案。

　　三、結論

　　由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術。它能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的、易用的、靈活的和經濟的。