PKI技術下電子商務信息安全研究

1、Word參考資料，下載后可編輯PKI技術下電子商務信息安全研究 摘要：作為一種全新的商業(yè)運營模式，電子商務的出現(xiàn)極大地方便了人們的生產(chǎn)生活，但同時因其作為互聯(lián)網(wǎng)爆炸式開展的產(chǎn)物及互聯(lián)網(wǎng)本身所具有的開放性等特點，信息的安全性問題也日益突出。PKI作為一種基于公鑰密碼學算法的安全根底服務設施，其應用能夠為用戶的通信提供全面的安全服務，滿足電子商務中信息安全的要求。基于電子商務環(huán)境中常見的信息安全問題，本文對PKI技術體系進行了介紹，并簡要闡釋了其在電子商務信息安全方面的應用。 關鍵詞：電子商務；信息安全；PKI；應用 1常見的電子商務信息安全威脅 與傳統(tǒng)商業(yè)活動不同，但凡以電子交易形式開展的商務活

2、動都屬于電子商務的范疇，既包括狹義上的各種基于網(wǎng)絡的商務貿易活動，如大家熟悉的網(wǎng)上購物活動，也包括廣義上所有采納電子形式開展的服務活動，如電子數(shù)據(jù)交換技術、在線事務處理、電子郵件等。隨著互聯(lián)網(wǎng)的迅速開展，電子商務的出現(xiàn)不僅使我們的生活更加便捷，而且也在很大程度上推動了我國經(jīng)濟社會的蓬勃開展。據(jù)中國電子商務報告(20_)指出，近年來互聯(lián)網(wǎng)經(jīng)濟在我國國民經(jīng)濟的開展中奉獻了巨大力量，僅20_年全國電子商務交易額就高達34.81萬億元。但隨之而來的是開放性網(wǎng)絡所帶來的信息安全問題，包括病毒感染、網(wǎng)絡攻擊、數(shù)據(jù)信息泄露等，信息安全事故的頻繁發(fā)生不僅對人們的生產(chǎn)生活造成了重大影響，同時也成了阻礙我國信息化

3、建設開展的絆足石。常見的信息安全威脅包括：1.1用戶身份的假冒。由于商貿及服務活動是在。網(wǎng)絡環(huán)境下進行的，交易雙方無法碰面，所以交易雙方身份的核實就顯得尤其重要，特別是在電子貨幣支付過程中，假冒交易方身份進行欺詐、詐騙的案件時有發(fā)生。1.2通訊數(shù)據(jù)的篡改。數(shù)據(jù)包(信息或資金)在網(wǎng)絡系統(tǒng)通訊的過程中，不乏存在不法之人利用非法手段截獲數(shù)據(jù)并進行篡改，或插入誤導信息，或刪除局部數(shù)據(jù)包。1.3通訊數(shù)據(jù)的竊取。高度開放的網(wǎng)絡環(huán)境下也使得竊聽事件時有發(fā)生，不法之人通過竊聽接收裝置(包括路由器或交換機的電磁波)，精準截獲通訊過程中傳輸?shù)臄?shù)據(jù)包，并通過分析，盜取通訊數(shù)據(jù)，如用戶的個人身份信息、通訊方式、銀行信

4、息、商品的報價、客戶名單、技術工藝等商業(yè)機密，給用戶及企業(yè)造成了重大的經(jīng)濟損失。1.4交易行為的抵賴交易誠信度的降低也是虛擬網(wǎng)絡帶來的一個問題，交易的履約情況難以保障，抵賴行為時有發(fā)生。局部用戶以非法獲利為目的，否認自己在虛擬電子商務環(huán)境下做出的各種商務行為，躲避責任。 2PKI體系概述 公鑰根底設施(PublicKeyInfrastructure，PKI)，簡稱PKI技術體系，主要利用加密密鑰與解密密鑰不對稱的特點，將公開密鑰公開出去，以證書為中樞，對網(wǎng)絡中的用戶身份進行認證，為電子商務提供了全面的信息安全服務，從而使那些互不相識的或距離很遠的用戶能夠通過信任鏈安全地通信。PKI技術體系由以

5、下5個局部組成：(1)證書簽發(fā)系統(tǒng)CA(CertificationAuthorities)：作為PKI的中樞，它的管理貫穿于公鑰的整個生命周期，完成用戶身份與公鑰是否匹配的公證工作，主要包括接收并驗證證書的申請請求，證書的頒發(fā)、證書的廢止及歸檔。(2)證書注冊系統(tǒng)RA(RegistrationAuthorities)：作為連接證書受理點和CA的橋梁，RA主要負責審核證書申請者的資格，并決定是否同意CA為該用戶簽發(fā)證書。此過程不僅核驗了用戶的身份，同時保證了公共密鑰的有效性。除核驗用戶身份外，RA還負責登記及黑名單證書。若PKI的應用規(guī)模較小，可考慮將證書注冊系統(tǒng)RA與證書簽發(fā)系統(tǒng)CA合二為一。

6、(3)證書和證書庫：證書是網(wǎng)絡環(huán)境中各類實體(機關、企業(yè)、個人、服務器等)身份的證明，符合X_509國際標準，類似于現(xiàn)實世界中的個人身份證。證書由具備權威性、可信性和公正性的證書簽發(fā)系統(tǒng)簽發(fā)。而證書庫，一般采納多級分布式映像結構來集中存放CA簽發(fā)和撤銷的證書，公眾可就證書的有效性或公鑰是否獲得等問題在證書庫處進行查詢。(4)密鑰備份及恢復系統(tǒng)：PKI提供了用于備份及恢復密鑰的系統(tǒng)，以防止因用戶遺失解密密鑰而造成的數(shù)據(jù)讀取失敗問題1。(5)應用接口系統(tǒng)：完整的PKI技術體系需提供匹配的應用接口系統(tǒng)供用戶使用相關加密服務。PKI實際應用的效果及效率直接取決于應用接口是否容易使用及其是否完整。 3P

7、KI技術體系的加密原理 PKI技術體系的加密原理主要包括以下4種：3.1對稱加密原理。對稱加密是指在發(fā)送方和接收方之間存在一把共享的密鑰，即發(fā)送方的加密密鑰與接收者的解密密鑰是完全相同的。這種共享密鑰的工作方式雖然處理速度較快，但不適用于大量用戶的通信，且共享密鑰在分發(fā)過程中的傳送也存在一定安全風險。常用的加密算法包括DES及3-DES。3.2非對稱加密原理。非對稱加密亦稱公鑰加密，這種加密方式改良了對稱加密的局部缺陷，降低了大量用戶在通信過程中密鑰泄露的風險。非對稱加密利用加密和解密使用不同密鑰的特點實現(xiàn)通信安全，其中用戶可公開且用來加密消息的密鑰稱為公鑰；而用戶隱蔽保存且用來解密消息的密鑰

8、稱為私鑰，其工作原理如下列圖1所示：若甲向乙傳送機密消息，首先，乙將自己的公鑰發(fā)送至甲，甲利用乙的公鑰對消息加密并發(fā)送至乙。由于乙的私鑰只能對使用了乙公鑰加密的消息進行解密，因此即使在通訊過程中乙的公鑰被非法截獲，消息仍為安全的。而乙在收到密文后，用自己的私鑰進行解密從而讀取原始消息。這種非對稱加密的機制降低了大量消息加密過程中密鑰分發(fā)的風險問題，但加密效率較低、資源占用較明顯2。常用的非對稱加密算法包括RSA、ECC及Diffie-Hellman。圖1非對稱加密的工作原理3.3數(shù)字摘要。數(shù)字摘要，亦稱哈希算法(Hash)。Hash算法可將任何長度的信息轉換為長度為128比特或160比特的數(shù)據(jù)

9、摘要，原始信息中任何一個字節(jié)的變化都會引起數(shù)據(jù)摘要的變化，且這種信息的哈希轉換具有不可逆性，即信息一旦被轉換，便無法復原其原始信息。這一特點為信息的完整性、正確性及不可篡改性提供了保障，也為電子文件的加密提供了有力手段。3.4數(shù)字證書與數(shù)字簽名。數(shù)字證書是由證書簽發(fā)系統(tǒng)簽發(fā)的一種基于非對稱密碼的文件，文件包含了用戶的身份信息、用戶的公鑰信息及數(shù)字簽名3。其中，數(shù)字簽名的生成進一步保證了信息的真實性，通過密碼算法進行加密操作后，將生成的密文附在原文一同發(fā)送。其工作原理如下列圖2所示：若甲向乙傳送機密消息，首先甲利用哈希算法將消息轉換為固定長度的數(shù)字摘要，且利用甲的私鑰對數(shù)字摘要進行加密，加密后的

10、密文將與用戶的身份信息、數(shù)字簽名及明文打包作為一個數(shù)據(jù)包發(fā)送至乙；而乙首先使用與甲相同的哈希算法將接收到的密文轉換為數(shù)字摘要，接著再利用甲的公鑰對接收到的數(shù)據(jù)包進行解密，若兩個數(shù)字摘要相同，那么乙便可確認甲的身份且確認密文在傳輸過程中未被截獲及篡改。 4PKI技術在電子商務信息安全方面的應用 4.1在交易過程中用戶身份驗證上的應用。由于互聯(lián)網(wǎng)用戶數(shù)量的激增，虛擬網(wǎng)絡環(huán)境下的用戶身份問題成了人們關注的熱點問題。PKI系統(tǒng)中的第三方CA能夠將用戶個人信息與密鑰捆綁在一起，一旦用戶進行對信息進行操作，系統(tǒng)便會連忙核驗用戶的權限，若核驗通過，則CA會具有唯一性的簽名證書，這種方式有效防止了偽造身份的可

11、能性，使信息能夠傳送到指定的接收方。隨著互聯(lián)網(wǎng)用戶對密碼或口令等信息的安全要求越來越高，包括支付寶、各大電子商務網(wǎng)站均采納了PKI身份驗證功能，用戶的信息安全得到了很大程度上的保證。4.2在訪問網(wǎng)絡資源時用戶信任關系建立上的應用?；诨ヂ?lián)網(wǎng)的電子商務的另一個難題是用戶信任關系的建立。信任機制的有效建立不僅保證了雙方交易的安全性，而且大大提高了電子商務交易的效率。對于企業(yè)來講，他們盼望向每一個有權訪問企業(yè)內網(wǎng)的用戶頒發(fā)證書，使用戶通過外網(wǎng)來訪問公司內部網(wǎng)絡。但對于用戶來講，他們可能會接收到來自不同企業(yè)的若干個訪問授權證書，但卻疏于對這若干個證書的管理，用戶盼望用一個證書便可訪問多家企業(yè)的網(wǎng)絡。P

12、KI技術體系中的CA便是一個很好的解決方案。CA認證將一個公共密鑰、一名用戶、一臺計算機或實體聯(lián)系起來，通過分層的組織結構，由父CA為子CA的公共密鑰簽發(fā)證書。認證的過程則從用戶證書方開始，沿著證書的路徑向上進行。目前，電子商務交易信任關系主要有以下兩種模式：直接信任模式：由同一供給商向兩企業(yè)提供數(shù)字簽名證書，且兩方的組織結構應保持不變，在雙方企業(yè)內部公布頂層數(shù)字簽名證書并交換。交叉信任模式：在其他驗證模式保持一致的前提下，兩企業(yè)的頂層數(shù)字簽名證書分別為對方頂層的公開密鑰簽發(fā)數(shù)字簽名證書，此時，交叉信任模式建立成功。其工作原理如下：當乙企業(yè)的用戶收到甲企業(yè)用戶網(wǎng)絡數(shù)據(jù)的請求時，可沿著證書路徑上溯到甲企業(yè)的頂層證書，再使用甲企業(yè)的證書對其進行驗證，交叉證書便可直接完整身份認證工作4。此外，當甲企業(yè)的用戶想訪問乙企業(yè)的內部網(wǎng)絡數(shù)據(jù)時，也可直接利用交叉證書直接進行認證訪問，實現(xiàn)了一證多用的效果。4.3在信息傳輸方面上的應用。在虛擬網(wǎng)絡環(huán)境下，交易雙方對信息在傳輸過程中的保密性要求極高。數(shù)據(jù)包的加密和解密通過PKI技術的密鑰配對機制得以實現(xiàn)。若沒有接收方的私鑰，即使數(shù)據(jù)包在傳輸過程中被非法截獲，密文也不會被成功讀取，數(shù)據(jù)包的保密性和安全性得到了保障。此外，PKI技術利用數(shù)字證書和數(shù)字簽名這種雙重加