1、 浅谈技术与电子商务安全|摘要 随着 Internet 和电子商务的迅速发展,电子商务安全问题也变得越来越重要,如何保障电子交易的真实性、完整性、机密性和不可否认性,已成为电子商务安全的研究热点问题, PKI 技术作为安全的基础设施,是电子商务安全的关键和基础技术。本文对电子商务安全以及 PKI 安全体系进行了探讨,说明了 PKI 在电子商务安全中的重要作用。 关键词 电子商务 安全 PKI 公钥 一、引言 随着计算机技术和通讯技术的飞速发展,络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。络的开放性,互连性,共享性程度的扩大,特别是 Internet 的出现,使络的重要性
2、和对社会的影响也越来越大。随着络上电子商务,电子现金,数字货币,络移动通信等新业务的兴起,信息安全问题变得越来越重要。在各种络信息技术的应用中,保障用户的合法访问、保证数据在传输过程中的保密性,以及确认发送者的合法身份是最基本的安全要求。越来越多的组织利用公钥基础设施(PKI)技术为用户提供信息安全服务。在我国,基于 PKI 技术的安全方案也从金融、电信等少数行业扩展到更多领域,出现在电子政务、电子商务等各类信息化应用中。 二、电子商务安全 电子商务是指各种具有商业活动能力的主体(如企业、个人、政府、银行等)利用络和先进的数字化传媒技术开展的各项商业贸易活动。电子商务作为一种全新的商务运作模式
3、,在不断发展的同时,也带来种种安全问题。电子商务安全分为两大部分:计算机络安全和商务交易安全。计算机络安全的内容包括计算机络设备安全、计算机络系统安全、数据库安全等。其特征是针对计算机络本身可能存在的安全问题, 实施强大的络安全监控方案, 以保证计算机络自身的安全性。常用的络安全技术有防火墙、虚拟专用、入侵检测技术、计算机防病毒技术等。 商务交易安全则紧紧围绕传统商务在互联上应用时产生的各种安全问题,在计算机络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。具体包括:如何确定通信中贸易伙伴的真实性,保证身份的可认证性; 如何保证电子单证的机密
4、性,防范电子单证的内容被第三方读取;如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;如何保证电子单证内容的真实性、准确性和完整性;如何保证存储信息的安全性;如何对数据信息进行审查并将审查的结果进行记录。 三、PKI 与电子商务安全 互联络的开放性和匿名性的特征使电子商务的安全问题变得越来越突出,诸如信息的泄露或篡改,欺骗,抵赖等问题。为了防范用户身份(包括人和设备)的假冒、数据的截取和篡改,以及行为的否认等安全漏洞,互联急需一种技术或体制来实现对用户身份的认证,建立可信的络应用环境,并保证互联上所传输数据的安全。PKI 是为适应络开放状态应运而生的一种技术,以前的信息安全技
5、术(如防火墙、入侵检测。防病毒等)基本上都是解决络安全某一方面的问题,而 PKI 则是比较完整的络安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。 1.什么是 PKI PKI(Public Key Infrastructure)即“公钥基础设施”,是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范,PKI 规定了该安全基础平台应遵循的标准。PKI 公钥基础设施的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务,包括身份认证和密码管理、机密性、完整性、身份认证和数字签名等。PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技术。
6、用户可利用 PKI 平台提供的服务进行安全的电子交易,通信和互联上的各种活动。 2.PKI 的组成 一个典型的PKI 系统应该包括 PKI 策略,软硬件系统,认证中心 CA、注册机构RA、证书签发系统和 PKI 应用等基本部分,见图 1 PKI 的组成框图。图 PKI 的组成框图 (1)PKI 策略:是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档,它建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。 (2)软硬件系统是:PKI 系统运行所需的所有软件、硬件的集合,主要包括认证服务器、目录服务器、PKI 平台等。 (3)认证中心 CA:是 P
7、KI 的信任基础,它负责管理密钥和数字证书的整个生命周期。其作用包括:证书申请、证书审批和发放、规定证书的有效期、证书更新、接收并处理合法身份者的证书查询和撤消申请、产生并管理证书废止列表 CRL、将各用户的数字证书归档、产生并管理密钥(包括密钥备份及恢复)、将用户的历史数据归档等。 (4)注朋机构 RA:是 PKI 信任体系的重要组成部分,是用户(可以是个人或团体)和认证中心 CA 之间的一个接口。主要完成收集用户信息、确认用户身份的功能。这里指的用户,是指将要向认证中心(以)申请数字证书的客户,它可以是个人,也可以是集团、企业等机构。 (5)证书签发系统:负责证书的发放,如可以通过用户自己
8、,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是 PKI 方案中提供的。 (6)PKI 应用:包括在 Web 服务器和浏览器之间的通讯、电子邮件、电子数据交换(EDI)、在 Internet 上的信用卡交易和虚拟专业( VPN)等。 (7)应用接口系统(API):一个完整的 PKI 必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与 PKI 交互,确保所建立起来的络环境的可信性,降低管理和维护的成本。 3.基于PKI 的电子商务安全体系 电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信
9、息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI 体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在 Internet 上验证用户的身份。PKI 是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认性服务。因此 PKI 是比较完整的电子商务安全解决方案,能够全面保证
10、信息的真实性、完整性、机密性和不可否认性。 通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的 Web 服务器并寻找卖方。当买方登录服务器时,买卖双方都要在上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的 这篇论文来自 lun 收集与整理,。支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在 PKI 所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。 四、结束语 综上所述,PKI 技术是解决电子商务安全问题的关键,综合 PKI 的各种应用,我们可以建立一个可信任和足够安全的络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
