前言：本站為你精心整理了電子商務(wù)安全管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

[摘要]公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是電子商務(wù)安全實(shí)施的基本保障，已充分應(yīng)用到各種電子商務(wù)安全解決方案之中，因此，對(duì)PKI技術(shù)的研究和開(kāi)發(fā)成為目前信息安全領(lǐng)域的熱點(diǎn)。在分析了當(dāng)前電子商務(wù)面臨的威脅后，利用PKI理論給出了解決電子商務(wù)安全的合理方案。

[關(guān)鍵詞]公鑰基礎(chǔ)設(shè)施電子商務(wù)認(rèn)證中心

一、引言

隨著網(wǎng)絡(luò)的不斷發(fā)展和計(jì)算機(jī)的普及，許多企業(yè)和商家逐漸開(kāi)始和擴(kuò)大在網(wǎng)上的商務(wù)活動(dòng)，發(fā)展非常迅速。電子商務(wù)(electroniccommerce)也成為當(dāng)今網(wǎng)絡(luò)時(shí)代的重要課題。電子商務(wù)可以改善服務(wù)，降低成本，提高效率，增加利潤(rùn)，預(yù)期還會(huì)取得更大的發(fā)展。電子商務(wù)是信息技術(shù)與商務(wù)的結(jié)合?？紤]到Internet的開(kāi)放性與商務(wù)活動(dòng)的保密性之間的矛盾,電子商務(wù)的安全保障成了亟待解決的關(guān)鍵問(wèn)題。

二、電子商務(wù)面臨的安全問(wèn)題

電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)并存的新領(lǐng)域，這種挑戰(zhàn)在很大程度上來(lái)源于對(duì)有關(guān)安全技術(shù)的信賴(lài)。由于現(xiàn)在網(wǎng)絡(luò)的信息傳輸是建立在信息明文傳輸?shù)幕A(chǔ)之上，使得電子商務(wù)交易雙方：銷(xiāo)售者和消費(fèi)者都面臨不同的安全威脅。

1.信息泄露

商務(wù)信息一般都有保密的要求，尤其是涉及到一些商業(yè)機(jī)密及有關(guān)支付等敏感的信息內(nèi)容。信息泄露在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄露。交易雙方進(jìn)行交易的內(nèi)容有可能被第三方竊取，交易一方提供給另一方的文件有可能被未授權(quán)用戶(hù)非法使用。

2.信息篡改

電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能被他人非法修改或刪除，這樣就使信息失去了真實(shí)性、完整性和公正性。

3.身份認(rèn)證

參與交易的人首先要能確定對(duì)方的真實(shí)身份與對(duì)方所聲稱(chēng)的是否一致，特別是在涉及到電子支付時(shí)，更應(yīng)該確定對(duì)方的信用卡、賬戶(hù)等是否真實(shí)有效。如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等，進(jìn)行身份識(shí)別后，交易雙方就可防止“相互猜疑”的情況,從而解決信任問(wèn)題。

4.抵賴(lài)性

抵賴(lài)性包括發(fā)送方對(duì)發(fā)送消息的否認(rèn)和接收方否認(rèn)接收過(guò)某消息。在交易中，當(dāng)一條信息被發(fā)送或被接受后，應(yīng)該保證信息的收發(fā)方都有足夠的證據(jù)來(lái)證明對(duì)該信息的操作確實(shí)發(fā)生了，并能確定收發(fā)方的真實(shí)身份，以保證交易發(fā)生糾紛時(shí)有所對(duì)證。

三、PKI在電子商務(wù)安全方面的應(yīng)用

1.PKI技術(shù)

PKI是公開(kāi)密鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure）的英文縮寫(xiě)，是基于公開(kāi)密鑰理論與技術(shù)的網(wǎng)絡(luò)安全與認(rèn)證體系。PKI能便利的提供下列幾項(xiàng)安全要求:身份認(rèn)證、不可否認(rèn)性、完整性、機(jī)密性及存取控制。PKI是電子商務(wù)的安全基礎(chǔ)，用來(lái)建立不同實(shí)體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù)，核心是證書(shū)服務(wù)。用戶(hù)使用由證書(shū)授權(quán)認(rèn)證中心CA簽發(fā)的數(shù)字證書(shū)，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴(lài)性，并進(jìn)行用戶(hù)身份的識(shí)別。一個(gè)典型的PKI系統(tǒng)包括PKI策略、軟硬件系統(tǒng)、證書(shū)機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、證書(shū)系統(tǒng)和PKI應(yīng)用。

(1)PKI策略:建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。它包括一個(gè)組織怎樣根據(jù)風(fēng)險(xiǎn)的級(jí)別定義安全控制的級(jí)別；

(2)證書(shū)機(jī)構(gòu)CA:是PKI的信任基礎(chǔ)，它管理公鑰的整個(gè)生命周期，其作用包括:發(fā)放證書(shū)、規(guī)定證書(shū)的有效期和通過(guò)證書(shū)廢除列表(CRL)確保必要時(shí)可以廢除證書(shū);

(3)注冊(cè)機(jī)構(gòu)RA:提供用戶(hù)和CA之間的一個(gè)接口，它獲取并認(rèn)證用戶(hù)的身份，向CA提出證書(shū)請(qǐng)求。對(duì)于一個(gè)規(guī)模較小的PKI應(yīng)用系統(tǒng)，可以把注冊(cè)管理的職能由認(rèn)證中心CA來(lái)完成，而不設(shè)立獨(dú)立運(yùn)行的RA。PKI國(guó)際標(biāo)準(zhǔn)推薦由一個(gè)獨(dú)立的RA來(lái)完成注冊(cè)管理的任務(wù)，可以增強(qiáng)應(yīng)用系統(tǒng)的安全；

(4)證書(shū)系統(tǒng):負(fù)責(zé)證書(shū)的發(fā)放，如可以通過(guò)用戶(hù)自己，也可以通過(guò)目錄服務(wù)器;

(5)PKI應(yīng)用:包括在Web服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換（EDI）、在Internet上的信用卡交易和虛擬私有網(wǎng)(VPN)等。

2.PKI在電子商務(wù)安全中的應(yīng)用

(1)數(shù)據(jù)傳輸?shù)臋C(jī)密性。PKI的主要的功能之一就是保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，即：數(shù)據(jù)在傳輸過(guò)程中,不能被非授權(quán)者偷看。PKI是建立在公共密鑰理論的基礎(chǔ)上的，公鑰和私鑰配合使用可以保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。數(shù)據(jù)的發(fā)送者希望其所發(fā)送的數(shù)據(jù)能安全的傳送到接收者手中，并且只被有權(quán)查看該數(shù)據(jù)的接收者所閱讀。數(shù)據(jù)發(fā)送者首先利用接收者的公鑰將其明文加密，然后將密文傳送給接收者，接收者收到數(shù)據(jù)以后，利用其私鑰將其解密，還原為明文，即使是數(shù)據(jù)被非法截獲，因?yàn)闆](méi)有接收者的私有密鑰，別人也無(wú)法將其解碼。這樣使數(shù)據(jù)的發(fā)送者可以放心地發(fā)送數(shù)據(jù)。

(2)用戶(hù)身份的識(shí)別。PKI另一個(gè)主要的功能就是在電子交易中進(jìn)行身份驗(yàn)證，交易雙方利用PKI提供的數(shù)字證書(shū)來(lái)證實(shí)并驗(yàn)證其身份，保證交易的有效性,即交易不可被否認(rèn)的功能。

(3)信任關(guān)系的建立。建立對(duì)Internet交易的信任是電子商務(wù)領(lǐng)域的一個(gè)最重要的也最具有挑戰(zhàn)性的課題。PKI由認(rèn)證中心(CA)，數(shù)字證書(shū)庫(kù)，密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、應(yīng)用接口等部分構(gòu)成。PKI的關(guān)鍵組成部分是CA，CA負(fù)責(zé)生成、分發(fā)和撤消數(shù)字證書(shū)。CA具有分層的組織結(jié)構(gòu)，其中每個(gè)父CA為下屬CA的公共密鑰簽署證書(shū)提供擔(dān)保。認(rèn)證過(guò)程由用戶(hù)證書(shū)開(kāi)始，并沿著證書(shū)的路徑向上進(jìn)行，直到證書(shū)可以為一個(gè)更高層次的CA確認(rèn)。為了保證CA分層體系之間具有可操作性，不同的分層體系，必須能夠索取和驗(yàn)證每個(gè)CA體系的有效性。

四、基于PKI的電子商務(wù)安全系統(tǒng)

經(jīng)過(guò)分析電子商務(wù)面臨的威脅和所需要的安全保障條件，利用PKI技術(shù)可以構(gòu)造電子商務(wù)安全系統(tǒng)，如圖所示。

(5)站點(diǎn)向商家發(fā)送訂單，確定交易成功。電子商務(wù)站點(diǎn)生成訂單通知，進(jìn)行簽名，通過(guò)安全信道傳送給商家，并把相關(guān)訂單信息簽名后傳送給用戶(hù)，整個(gè)網(wǎng)上交易過(guò)程結(jié)束。在站點(diǎn)向商家和用戶(hù)進(jìn)行訂單消息發(fā)送時(shí)，屏蔽對(duì)方的相關(guān)信息，使得用戶(hù)得到訂單后，用戶(hù)能確認(rèn)是站點(diǎn)發(fā)送的合法訂單而得不到商家的其他信息，對(duì)商家亦然。

2.特性分析

(1)基于PKI的安全性。PKI體系的安全性依賴(lài)于公鑰技術(shù)的安全性，公鑰體制是建立在一些難解的數(shù)學(xué)問(wèn)題之上的，如大數(shù)分解、離散對(duì)數(shù)等問(wèn)題。從目前市場(chǎng)上廣泛使用的1024位的RSA公開(kāi)密鑰算法來(lái)說(shuō)，它被破解的可能性是微乎其微的。然而它的安全性受到了計(jì)算能力的發(fā)展和數(shù)學(xué)的發(fā)展兩方面的挑戰(zhàn)。數(shù)學(xué)的飛速發(fā)展也直接威脅著現(xiàn)行的公鑰體制，但是至今這類(lèi)難解的數(shù)學(xué)問(wèn)題尚未有比較好的解決辦法。

(2)保證商務(wù)活動(dòng)的完整性。一般地商務(wù)活動(dòng)可以劃分為三個(gè)級(jí)別的事件原子性:其一是錢(qián)原子性，錢(qián)從一方撥款給另一方，要么對(duì)方肯定收到，要么退回，而不可能有丟失、偽造、篡改等可能。錢(qián)原子性是電子商務(wù)中的起碼要求，本系統(tǒng)中的安全電子商務(wù)系統(tǒng)就能夠有力的保證錢(qián)原子性。其二是貨原子性，當(dāng)且僅當(dāng)貨款已到，顧客必將收到他所購(gòu)買(mǎi)的貨物。即不可能付了錢(qián)得不到貨，也不可能得了貨而未付錢(qián)，本系統(tǒng)中這一點(diǎn)可以有交易雙方和電子商務(wù)站點(diǎn)各自的簽名來(lái)保證。三是檢定交貨，除保證錢(qián)原子性和貨原子性外，還要求銷(xiāo)售方能夠證明他所交運(yùn)的是什么貨物，顧客能夠證明他實(shí)際收到的是什么貨物。這些事件的原子性通過(guò)為錢(qián)對(duì)象和貨物對(duì)象簽發(fā)證書(shū)及事務(wù)流程的審計(jì)功能來(lái)實(shí)現(xiàn)。

五、總結(jié)

安全是電子商務(wù)的核心和靈魂，沒(méi)有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨(dú)立的個(gè)人或團(tuán)體都不會(huì)愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。電子商務(wù)的安全日受到越來(lái)越多的重視，其應(yīng)用可以很好的由PKI技術(shù)來(lái)支持。PKI體系結(jié)構(gòu)是保證電子商務(wù)安全的一套完整有效的解決方案。作為網(wǎng)絡(luò)環(huán)境的一種基礎(chǔ)設(shè)施，PKI具有良好性能，是一個(gè)比較完整的安全體系。

參考文獻(xiàn):

[1]馮登國(guó):網(wǎng)絡(luò)安全原理與技術(shù)[M].北京:科學(xué)出版社,2003.9

[2]中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心.信息安全理論與技術(shù).北京:人民郵電出版社，2003

[3]汪立東余祥湛方濱興:PKI中幾個(gè)安全問(wèn)題的研究.計(jì)算機(jī)工程,2000(1):14～16

[4]孟博熊麗陳浩然:基于PKI的電子商務(wù)安全研究.計(jì)算機(jī)工程與應(yīng)用,2005(11):237～239

[5]吳永英黃凌翼:易寶林PKI在電子商務(wù)中的應(yīng)用[J].華中科技大學(xué)學(xué)報(bào)2001,29(9):7～9

[6]李金庫(kù)張德運(yùn)張勇:身份認(rèn)證機(jī)制及其安全性分析.計(jì)算機(jī)應(yīng)用研究．2007

[7]吳曉平:PKI/CA在專(zhuān)用信息系統(tǒng)中的建設(shè)及應(yīng)用研究[D].四川大學(xué),2006

[8]丁惠春:PKI及其在電子政務(wù)中的應(yīng)用研究[D].西北工業(yè)大學(xué),2005

[9]強(qiáng)勇軍:PKI/CA的構(gòu)建與應(yīng)用[D].電子科技大學(xué),2006