公鑰基礎設施與安全電子商務(wù)

[摘要] 公鑰基礎設施PKI為解決電子商務(wù)安全題目提供了一個(gè)解決方案。本文主要以PKI原理為出發(fā)點(diǎn)，從電子商務(wù)安全中的數據傳輸機密性、身份驗證及信任關(guān)系建立等角度，先容了PKI在電子商務(wù)安全中的應用實(shí)現并提出實(shí)施中的安全題目。
　　[關(guān)鍵詞] 公鑰基礎設施PKI 電子商務(wù) 安全保障
　　
　　電子商務(wù)的基礎是信息化和網(wǎng)絡(luò )化，因此當信息化和網(wǎng)絡(luò )化的浪潮襲擊了全球以后，電子商務(wù)也得以實(shí)現。但電子商務(wù)發(fā)展至今，阻礙其發(fā)展的關(guān)鍵因素還是安全題目。近年來(lái)，伴隨寬帶互聯(lián)網(wǎng)技術(shù)和大規模集成電路技術(shù)的飛速發(fā)展，公鑰密碼技術(shù)有了其用武之地，加密、解密的系統開(kāi)銷(xiāo)已不再是其應用的障礙。
　　一、公鑰基礎設施體系結構概述
　　1.公鑰基礎設施簡(jiǎn)介
　　公鑰基礎設施(Public Key Infrastructure)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎設施。公鑰體制是目前應用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不相同，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專(zhuān)有的私鑰進(jìn)行解密。這種方式既保證了信息的機密性，又能保證信息具有不可抵賴(lài)性。到目前為止，它是公認的保障網(wǎng)絡(luò )社會(huì )的最佳體系結構。
　　2.公鑰基礎設施系統組成
　　公鑰基礎設施的體系結構的主要組件至少應包括以下部分：終端實(shí)體，是PKI用戶(hù)系統，終端實(shí)體可以是軟件系統，也可以是硬件系統，或是軟硬件系統的結合，它是PKI證書(shū)的用戶(hù)，因此其主要的功能是申請證書(shū)、下載證書(shū)、申請作廢證書(shū)、查詢(xún)證書(shū)的狀態(tài)及CRL等。認證中心CA(Certificate Authority)即數字證書(shū)的簽發(fā)機關(guān)，C A必須具備權威性的特征。它通過(guò)對一個(gè)包含身份信息和相應公鑰的數據結構進(jìn)行數字簽名來(lái)***用戶(hù)的公鑰和身份。注冊中心RA(Registration Authority)是數字證書(shū)的申請注冊、證書(shū)簽發(fā)和治理機構，是用戶(hù)和CA的接口，它所獲得的用戶(hù)標識的正確性是CA頒發(fā)證書(shū)的基礎。RA是CA的證書(shū)發(fā)放、治理的延伸。它負責證書(shū)申請者的信息錄進(jìn)、審批以及證書(shū)發(fā)放等工作(安全審計)。同時(shí)，對發(fā)放的證書(shū)完成相應的治理功能(安全治理)。RA系統是整個(gè)CA中心得以正常運營(yíng)不可缺少的一部分。數字證書(shū)庫是證書(shū)的集中存放地，是網(wǎng)上的一種公共信息庫，供廣至公眾進(jìn)行開(kāi)放式查詢(xún)。到證書(shū)庫訪(fǎng)問(wèn)查詢(xún)，可以得到想與之通訊實(shí)體的公鑰、密鑰備份及恢復系統。假如用戶(hù)丟失了密鑰，會(huì )造成已經(jīng)加密的文件無(wú)法解密，引起數據丟失，為了避免這種情況，PKI提供密鑰備份及恢復機制。整個(gè)PKI系統中，只有CA會(huì )和普通用戶(hù)發(fā)生聯(lián)系，其他所有部分對用戶(hù)來(lái)說(shuō)都是透明的。
　　二、公鑰基礎設施在電子商務(wù)安全中的作用
　　公鑰基礎設施是利用公鑰理論和技術(shù)建立的提供加密和數字簽名等安全服務(wù)的基礎設施。它以公然密鑰密碼算法為基礎，結合對稱(chēng)密碼算法、摘要算法，通過(guò)數字簽名、數字證書(shū)等技術(shù)來(lái)保證網(wǎng)絡(luò )傳輸數據的機密性、完整性、不可否認性以及身份鑒別。公鑰基礎設施作為一項有效的工具，提供在Intranet，Extranet及Internet網(wǎng)絡(luò )環(huán)境問(wèn)交換數據的信任基礎。其主要目的是通過(guò)自動(dòng)治理密鑰和證書(shū)，為用戶(hù)建立起一個(gè)安全的網(wǎng)絡(luò )運行環(huán)境，使用戶(hù)可以在多種應用環(huán)境下方便地使用加密和數字簽名技術(shù)，從而保證電子商務(wù)的交易安全。PKI應用系統應具有以下基本功能：公鑰密碼證書(shū)治理、黑名單的發(fā)布和治理、密鑰的備份和恢復、自動(dòng)更新密鑰、自動(dòng)治理歷史密鑰、支持交叉認證。
　　三、公鑰基礎設施在電子商務(wù)安全方面的應用
　　1.數據傳輸的機密性
　　PKI的主要的功能之一就是保證數據傳輸的機密性，即：數據在傳輸過(guò)程中，不能被非授權者偷看。PKI是建立在公共密鑰理論的基礎上的，從公共密鑰理論出發(fā)，公鑰和私鑰配合使用可以保證數據傳輸的機密性。數據的發(fā)送者�？雌渌�發(fā)送的數據能安全的傳送到接收者手中，并且只被有權查看該數據的接收者所閱讀。數據發(fā)送者首先利用接收者的公鑰將其明文加密，然后將密文傳送給接收者，接收者收到數據以后，利用其私鑰將其解密，還原為明文，即使是數據被非法截獲，由于沒(méi)有接收者的私有密鑰，別人也無(wú)法將其解碼。這樣使數據的發(fā)送者可以放心地發(fā)送數據。
　　2.身份標識和認證
　　PKI另一個(gè)主要的功能就是在電子交易中進(jìn)行身份驗證，交易雙方利用PKI提供的電子證書(shū)(Digital ID)來(lái)證實(shí)并驗證其身份。在網(wǎng)絡(luò )這一虛擬的環(huán)境中進(jìn)行實(shí)時(shí)議價(jià)、采購、付款等商務(wù)活動(dòng)，并保證交易的有效性，即交易不可被否認的功能。PKI已經(jīng)成為識別用戶(hù)身份的事實(shí)上的技術(shù)標準，要想用數字證書(shū)進(jìn)行身份驗證就必須具有PKI。在身份驗證過(guò)程中，利用發(fā)送者的私有密鑰加密可以驗證發(fā)送者的身份，而用接收者的私有密鑰解密可以同時(shí)保證傳輸數據的機密性。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據驗證結果來(lái)拒收該報文，也能使其無(wú)法偽造報文簽名及對報文進(jìn)行修改，原因是數字簽名是對整個(gè)報文進(jìn)行的，是一組代表報文特征的定長(cháng)代碼，同一個(gè)人對不同的報文將產(chǎn)生不同的數字簽名。這就解決了接收方可能對數據進(jìn)行改動(dòng)的題目，也避免了發(fā)送方逃避責任的可能性。
　　3.信任關(guān)系的建立
　　在電子商務(wù)環(huán)境下，其活動(dòng)可以分為以下幾類(lèi)：BtoB，企業(yè)與企業(yè)問(wèn)的電子商務(wù)；BtoC，企業(yè)與消費者間的電子商務(wù)；CtoC，消費者與消費者間的電子商務(wù)；BtoC，企業(yè)與政府間的電子商務(wù)。在虛擬的網(wǎng)絡(luò )環(huán)境下，對于如此錯綜復雜的關(guān)系，應建立一個(gè)有效的相互信任機制來(lái)保證雙方間的交易安全，以促進(jìn)整個(gè)電子商務(wù)活動(dòng)效率進(jìn)步。如何在Internet環(huán)境下建立公平、安全的交易信任關(guān)系是電子商務(wù)領(lǐng)域的一個(gè)最重要的也最具有挑戰性的課題�；�于Internet的各種上風(fēng)，各企業(yè)�？赐ㄟ^(guò)向每一個(gè)有權訪(fǎng)問(wèn)這個(gè)網(wǎng)絡(luò )的用戶(hù)簽發(fā)證書(shū)的方式，使自己的客戶(hù)和合作伙伴可以通過(guò)外聯(lián)網(wǎng)來(lái)訪(fǎng)問(wèn)自己的內部網(wǎng)絡(luò )。對終極用戶(hù)來(lái)說(shuō)可能同時(shí)接受很多訪(fǎng)問(wèn)的授權，但他們并不想治理多個(gè)證書(shū)，而是�？粗灰獡碛幸粋�(gè)證書(shū)就能通過(guò)所有合作伙伴的網(wǎng)絡(luò )認證。這一題目的關(guān)鍵解決思路在于如何保證多廠(chǎng)商PKI環(huán)境具有可互操縱性。
　　在前面提到：PKI的關(guān)鍵組成部分是CA，它負責天生、分發(fā)和撤消數字證書(shū)，通過(guò)認證過(guò)程將一個(gè)公共密鑰值和一個(gè)人、一臺計算機或一個(gè)實(shí)體聯(lián)系起來(lái)，并且具有分層的組織結構。當企業(yè)打算通過(guò)為得到可靠性和信任，而使用PKI而與另一家企業(yè)進(jìn)行通訊時(shí)，就出現了如何建立信任關(guān)系這一困難。為了保證CA分層體系之問(wèn)具有可操縱性，不同的分層體系，必須能夠索取和驗證每個(gè)CA體系的有效性。由于早期的PKI產(chǎn)品使用的是專(zhuān)利協(xié)議，不同PKI產(chǎn)品間的可互操縱性幾乎為零。但PKIX(Public Key Infrastructure and X．509)標準和X．509證書(shū)標準的開(kāi)發(fā)大大增加了互操縱性。目前解決電子交易中的信任關(guān)系題目主要有以下幾種方案。
　　(1)直接信任模型。即：在A(yíng)、B兩家企業(yè)都擁有自己的CA機構，并且兩家企業(yè)的CA產(chǎn)品都是同一家供給商提供的條件下，保持兩家企業(yè)現有的家譜結構不變，讓頂層的CA機構安全地交換它們的公然密鑰，并分別在A(yíng)、B兩家企業(yè)內部傳播對方企業(yè)的公然密鑰，這是一種直接信任關(guān)系建立。當然這個(gè)過(guò)程實(shí)現起來(lái)相當繁瑣，而信任關(guān)系作廢時(shí)的處理也則更加復雜。
　　(2)交叉信任模型。即：A、B兩家企業(yè)的頂層的CA機構分別為對方的頂層CA機構的公然密鑰簽發(fā)一個(gè)證實(shí)證書(shū)，其它驗證關(guān)系保持不變。這樣，A、B兩家企業(yè)就建立起了一種交叉信任關(guān)系。當B企業(yè)的終極用戶(hù)收到一封來(lái)自A企業(yè)的終極用戶(hù)的信件時(shí)，它就可以沿著(zhù)證書(shū)路徑上溯檢索到A企業(yè)的頂層證書(shū)，再使用A企業(yè)的證書(shū)對其終極用戶(hù)進(jìn)行驗證。同時(shí)，當A企業(yè)的終極用戶(hù)想訪(fǎng)問(wèn)B企業(yè)的內部網(wǎng)的數據時(shí)，身份驗證工作由交叉證書(shū)直接完成，他可以直接利用A企業(yè)簽發(fā)的證書(shū)連接到B企業(yè)的內部網(wǎng)絡(luò )。

【公鑰基礎設施與安全電子商務(wù)】相關(guān)文章：

公鑰基礎設施PKI及其在公鑰基礎設施PKI中的應用研究03-08

公鑰密碼原理及其應用12-27

基于PKI機制的公鑰加密體系研究12-08

一種基于“陷門(mén)收縮”原理的公鑰算法12-05

電子商務(wù)安全分析03-08

電子商務(wù)安全論文07-21

電子商務(wù)安全論文（經(jīng)典）05-27

PKI/PMI與電子商務(wù)安全03-20

電子商務(wù)安全題目及策略03-20

電子商務(wù)安全策略12-07