PKI/PMI與電子商務(wù)安全

摘要： 隨著(zhù)網(wǎng)絡(luò )的飛速發(fā)展，網(wǎng)絡(luò )與信息系統的安全與保密問(wèn)題越來(lái)越重要，電子商務(wù)安全問(wèn)題引起了人們的密切關(guān)注。本文對電子商務(wù)安全的需求及PKI/PMI技術(shù)進(jìn)行了探討。

關(guān)鍵字： PKI/PMI 電子商務(wù) 安全

一、電子商務(wù)及其安全需求

近年來(lái)，隨著(zhù)網(wǎng)絡(luò )技術(shù)和電子商務(wù)的迅猛發(fā)展，人們以各種方式使用著(zhù)Internet從事電子商務(wù)活動(dòng)。電子商務(wù)已經(jīng)成為人們進(jìn)行商務(wù)活動(dòng)的新模式。電子商務(wù)有比傳統商務(wù)方式更巨大的方便性和靈活性。
然而，網(wǎng)絡(luò )面臨的安全問(wèn)題也隨之而來(lái)，例如內部竊密和破壞，截收，非法訪(fǎng)問(wèn)，破壞信息的完整性，破壞系統的可用性等等諸多問(wèn)題。于是需要構建一個(gè)安全的信息基礎設施平臺，為電子商務(wù)提供良好的應用環(huán)境。解決網(wǎng)絡(luò )與系統安全的技術(shù)與設備有防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò )隔離等。這些信息安全技術(shù)對防外來(lái)攻擊、防非法入侵等發(fā)揮著(zhù)較大的作用。但是，這些技術(shù)并不能全面地滿(mǎn)足電子商務(wù)的安全需要，電子商務(wù)的發(fā)展對信息安全提出的不僅僅是信息的機密性，還包括信息的完整性和不可否認性。PKI技術(shù)能很好地滿(mǎn)足這一需求。由于通過(guò)網(wǎng)絡(luò )進(jìn)行的電子商務(wù)活動(dòng)缺少物理的接觸，因而使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適用于電子商務(wù)的密碼技術(shù)，它能夠有效地解決電子商務(wù)應用中的機密性、真實(shí)性、完整性、不可否認性和存取控制等安全問(wèn)題。

二、PKI/PMI技術(shù)

1．公鑰基礎設施PKI
PKI（Public Key Infrastructure）即公開(kāi)密鑰體系，是一種遵循既定標準的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò )應用提供加密和數字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論的技術(shù)建立的提供安全服務(wù)的基礎設施。PKI技術(shù)是一種新的網(wǎng)絡(luò )安全技術(shù)，是一個(gè)集硬件、軟件、人力資源、相關(guān)政策和操作規范為一體的綜合系統，它由公開(kāi)密鑰密碼技術(shù)、數字證書(shū)、證書(shū)發(fā)放機構（CA）和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。嚴格地講，一個(gè)完善的PKI必須具有認證機構CA、證書(shū)庫、密鑰備份及恢復系統、證書(shū)作廢處理系統、PKI應用接口系統等組成部分。其中，認證機構CA是整個(gè)系統的核心。用戶(hù)使用由證書(shū)授權認證中心（Certificate Authority，CA）簽發(fā)的數字證書(shū)，結合加密技術(shù)，可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴(lài)性，并進(jìn)行用戶(hù)身份的識別。PKI的基礎是加密技術(shù)，核心是證書(shū)服務(wù)。 2．授權管理基礎設施PMI

PKI能夠實(shí)現ISO7498-2定義的五大安全服務(wù)（身份認證、訪(fǎng)問(wèn)控制、數據保密性、數據完整性、不可否認性）中的大部分功能，但在訪(fǎng)問(wèn)控制上存在一些不足，這主要是因為作為PKI基礎的CA證書(shū)只是綁定了用戶(hù)的身份。在有些情況下，單獨的身份認證技術(shù)不能完全滿(mǎn)足系統要求，如基于角色的訪(fǎng)問(wèn)控制。電子商務(wù)系統不僅要求用戶(hù)提供合法的身份證書(shū)用于身份認證，而且要求提供相應的授權管理機制，用于控制用戶(hù)在系統中的行為和動(dòng)作。授權管理基礎設施(Privilege Management Infrastructure，簡(jiǎn)稱(chēng)PMI)是在PKI發(fā)展過(guò)程中被提出并逐漸從PKI中分離出來(lái)的一個(gè)新的概念。PMI提出了一個(gè)新的信息保護基礎設施，能夠系統地建立起對認可用戶(hù)的授權，它是由屬性證書(shū)（Attribute Certificate AC）、屬性權威、屬性證書(shū)庫等部件的集合體，用來(lái)實(shí)現權限和屬性證書(shū)的產(chǎn)生、管理、存儲、分發(fā)和撤銷(xiāo)等功能。屬性證書(shū)是經(jīng)過(guò)簽名的結構，將用戶(hù)的一組屬性和其它信息通過(guò)認證機構的私鑰進(jìn)行數字簽名，使其不能偽造。其簽名和頒發(fā)的機構是屬性管理機構（Attribute Authority , AA）。賦予屬性證書(shū)的簽名不是用于證明公鑰/私鑰和身份之間的關(guān)系，而是用于證明證書(shū)所有者擁有的特權。PMI以資源管理為核心，對資源的訪(fǎng)問(wèn)控制權統一交由授權機構統一進(jìn)行處理，即由資源的所有者來(lái)進(jìn)行訪(fǎng)問(wèn)控制�；�于PMI的集中授權系統采用基于屬性證書(shū)的授權模式，向應用提供與應用相關(guān)的授權服務(wù)管理，提供用戶(hù)身份到應用授權的映射功能。
PMI作為一個(gè)基礎設施能夠系統地建立起對認可用戶(hù)的授權。通過(guò)結合授權管理系統和身份認證系統補充了PKI的弱點(diǎn)。PMI權限管理和授權服務(wù)基礎平臺應該滿(mǎn)足下面的需求：作為權限管理和授權服務(wù)的基礎設施，可以為不同類(lèi)型的應用提供授權管理和訪(fǎng)問(wèn)控制的平臺支持。

3．PKI/PMI的比較

PMI和PKI有很多相似的概念。如屬性證書(shū)（Attribute Certificate, AC） 與公鑰證書(shū)（PKC） ，屬性權威（Attribute Authority, AA ）與認證權威（CA）。公鑰證書(shū)是對用戶(hù)名稱(chēng)和他/她的公鑰進(jìn)行綁定，而屬性證書(shū)是將用戶(hù)名稱(chēng)與一個(gè)或更多的權限屬性進(jìn)行綁定。數字簽名公鑰證書(shū)的實(shí)體被稱(chēng)為CA，簽名屬性證書(shū)的實(shí)體被稱(chēng)為AA。PKI和PMI之間的主要區別在于：PMI主要進(jìn)行授權管理，證明這個(gè)用戶(hù)有什么權限，能干什么，即“你能做什么”；PKI主要進(jìn)行身份鑒別，證明用戶(hù)身份，即“你是誰(shuí)”。將PKI和PMI技術(shù)結合，實(shí)現可信的身份認證和可信授權管理是目前較為完善的安全保障措施。

三、小結

PKI和PMI是目前較為完善的Internet解決方案，其目的是為用戶(hù)建立起一個(gè)安全的網(wǎng)絡(luò )運行環(huán)境，為電子商務(wù)提供身份認證、訪(fǎng)問(wèn)控制、數據保密性、數據完整性以及不可否認性等服務(wù)。通過(guò)PKI/PMI系統，能夠為電子商務(wù)提供強大的系統安全保障，使用戶(hù)可以在多種應用環(huán)境下進(jìn)行安全的電子交易，PKI/PMI技術(shù)在電子商務(wù)系統中發(fā)揮著(zhù)重要作用。 論文出處(作者):
畢業(yè)論文:影響我國電子商務(wù)發(fā)展關(guān)鍵因素的分析和策略
試論價(jià)值鏈與電子商務(wù)的和諧發(fā)展

【PKI/PMI與電子商務(wù)安全】相關(guān)文章：

PKI在企業(yè)電子商務(wù)的應用論文11-14

PKI在企業(yè)電子商務(wù)中的運用論文11-14

公鑰基礎設施PKI及其在公鑰基礎設施PKI中的應用研究03-08

基于PKI機制的公鑰加密體系研究12-08

電子商務(wù)安全分析03-08

電子商務(wù)安全論文07-21

電子商務(wù)安全論文（經(jīng)典）05-27

電子商務(wù)安全題目及策略03-20

電子商務(wù)安全策略12-07