PKI技術(shù)下電子商務(wù)信息安全研究

1、Word參考資料，下載后可編輯PKI技術(shù)下電子商務(wù)信息安全研究 摘要：作為一種全新的商業(yè)運(yùn)營(yíng)模式，電子商務(wù)的出現(xiàn)極大地方便了人們的生產(chǎn)生活，但同時(shí)因其作為互聯(lián)網(wǎng)爆炸式開展的產(chǎn)物及互聯(lián)網(wǎng)本身所具有的開放性等特點(diǎn)，信息的安全性問(wèn)題也日益突出。PKI作為一種基于公鑰密碼學(xué)算法的安全根底服務(wù)設(shè)施，其應(yīng)用能夠?yàn)橛脩舻耐ㄐ盘峁┤娴陌踩?wù)，滿足電子商務(wù)中信息安全的要求?；陔娮由虅?wù)環(huán)境中常見的信息安全問(wèn)題，本文對(duì)PKI技術(shù)體系進(jìn)行了介紹，并簡(jiǎn)要闡釋了其在電子商務(wù)信息安全方面的應(yīng)用。 關(guān)鍵詞：電子商務(wù)；信息安全；PKI；應(yīng)用 1常見的電子商務(wù)信息安全威脅 與傳統(tǒng)商業(yè)活動(dòng)不同，但凡以電子交易形式開展的商務(wù)活

2、動(dòng)都屬于電子商務(wù)的范疇，既包括狹義上的各種基于網(wǎng)絡(luò)的商務(wù)貿(mào)易活動(dòng)，如大家熟悉的網(wǎng)上購(gòu)物活動(dòng)，也包括廣義上所有采納電子形式開展的服務(wù)活動(dòng)，如電子數(shù)據(jù)交換技術(shù)、在線事務(wù)處理、電子郵件等。隨著互聯(lián)網(wǎng)的迅速開展，電子商務(wù)的出現(xiàn)不僅使我們的生活更加便捷，而且也在很大程度上推動(dòng)了我國(guó)經(jīng)濟(jì)社會(huì)的蓬勃開展。據(jù)中國(guó)電子商務(wù)報(bào)告(20_)指出，近年來(lái)互聯(lián)網(wǎng)經(jīng)濟(jì)在我國(guó)國(guó)民經(jīng)濟(jì)的開展中奉獻(xiàn)了巨大力量，僅20_年全國(guó)電子商務(wù)交易額就高達(dá)34.81萬(wàn)億元。但隨之而來(lái)的是開放性網(wǎng)絡(luò)所帶來(lái)的信息安全問(wèn)題，包括病毒感染、網(wǎng)絡(luò)攻擊、數(shù)據(jù)信息泄露等，信息安全事故的頻繁發(fā)生不僅對(duì)人們的生產(chǎn)生活造成了重大影響，同時(shí)也成了阻礙我國(guó)信息化

3、建設(shè)開展的絆足石。常見的信息安全威脅包括：1.1用戶身份的假冒。由于商貿(mào)及服務(wù)活動(dòng)是在。網(wǎng)絡(luò)環(huán)境下進(jìn)行的，交易雙方無(wú)法碰面，所以交易雙方身份的核實(shí)就顯得尤其重要，特別是在電子貨幣支付過(guò)程中，假冒交易方身份進(jìn)行欺詐、詐騙的案件時(shí)有發(fā)生。1.2通訊數(shù)據(jù)的篡改。數(shù)據(jù)包(信息或資金)在網(wǎng)絡(luò)系統(tǒng)通訊的過(guò)程中，不乏存在不法之人利用非法手段截獲數(shù)據(jù)并進(jìn)行篡改，或插入誤導(dǎo)信息，或刪除局部數(shù)據(jù)包。1.3通訊數(shù)據(jù)的竊取。高度開放的網(wǎng)絡(luò)環(huán)境下也使得竊聽事件時(shí)有發(fā)生，不法之人通過(guò)竊聽接收裝置(包括路由器或交換機(jī)的電磁波)，精準(zhǔn)截獲通訊過(guò)程中傳輸?shù)臄?shù)據(jù)包，并通過(guò)分析，盜取通訊數(shù)據(jù)，如用戶的個(gè)人身份信息、通訊方式、銀行信

4、息、商品的報(bào)價(jià)、客戶名單、技術(shù)工藝等商業(yè)機(jī)密，給用戶及企業(yè)造成了重大的經(jīng)濟(jì)損失。1.4交易行為的抵賴交易誠(chéng)信度的降低也是虛擬網(wǎng)絡(luò)帶來(lái)的一個(gè)問(wèn)題，交易的履約情況難以保障，抵賴行為時(shí)有發(fā)生。局部用戶以非法獲利為目的，否認(rèn)自己在虛擬電子商務(wù)環(huán)境下做出的各種商務(wù)行為，躲避責(zé)任。 2PKI體系概述 公鑰根底設(shè)施(PublicKeyInfrastructure，PKI)，簡(jiǎn)稱PKI技術(shù)體系，主要利用加密密鑰與解密密鑰不對(duì)稱的特點(diǎn)，將公開密鑰公開出去，以證書為中樞，對(duì)網(wǎng)絡(luò)中的用戶身份進(jìn)行認(rèn)證，為電子商務(wù)提供了全面的信息安全服務(wù)，從而使那些互不相識(shí)的或距離很遠(yuǎn)的用戶能夠通過(guò)信任鏈安全地通信。PKI技術(shù)體系由以

5、下5個(gè)局部組成：(1)證書簽發(fā)系統(tǒng)CA(CertificationAuthorities)：作為PKI的中樞，它的管理貫穿于公鑰的整個(gè)生命周期，完成用戶身份與公鑰是否匹配的公證工作，主要包括接收并驗(yàn)證證書的申請(qǐng)請(qǐng)求，證書的頒發(fā)、證書的廢止及歸檔。(2)證書注冊(cè)系統(tǒng)RA(RegistrationAuthorities)：作為連接證書受理點(diǎn)和CA的橋梁，RA主要負(fù)責(zé)審核證書申請(qǐng)者的資格，并決定是否同意CA為該用戶簽發(fā)證書。此過(guò)程不僅核驗(yàn)了用戶的身份，同時(shí)保證了公共密鑰的有效性。除核驗(yàn)用戶身份外，RA還負(fù)責(zé)登記及黑名單證書。若PKI的應(yīng)用規(guī)模較小，可考慮將證書注冊(cè)系統(tǒng)RA與證書簽發(fā)系統(tǒng)CA合二為一。

6、(3)證書和證書庫(kù)：證書是網(wǎng)絡(luò)環(huán)境中各類實(shí)體(機(jī)關(guān)、企業(yè)、個(gè)人、服務(wù)器等)身份的證明，符合X_509國(guó)際標(biāo)準(zhǔn)，類似于現(xiàn)實(shí)世界中的個(gè)人身份證。證書由具備權(quán)威性、可信性和公正性的證書簽發(fā)系統(tǒng)簽發(fā)。而證書庫(kù)，一般采納多級(jí)分布式映像結(jié)構(gòu)來(lái)集中存放CA簽發(fā)和撤銷的證書，公眾可就證書的有效性或公鑰是否獲得等問(wèn)題在證書庫(kù)處進(jìn)行查詢。(4)密鑰備份及恢復(fù)系統(tǒng)：PKI提供了用于備份及恢復(fù)密鑰的系統(tǒng)，以防止因用戶遺失解密密鑰而造成的數(shù)據(jù)讀取失敗問(wèn)題1。(5)應(yīng)用接口系統(tǒng)：完整的PKI技術(shù)體系需提供匹配的應(yīng)用接口系統(tǒng)供用戶使用相關(guān)加密服務(wù)。PKI實(shí)際應(yīng)用的效果及效率直接取決于應(yīng)用接口是否容易使用及其是否完整。 3P

7、KI技術(shù)體系的加密原理 PKI技術(shù)體系的加密原理主要包括以下4種：3.1對(duì)稱加密原理。對(duì)稱加密是指在發(fā)送方和接收方之間存在一把共享的密鑰，即發(fā)送方的加密密鑰與接收者的解密密鑰是完全相同的。這種共享密鑰的工作方式雖然處理速度較快，但不適用于大量用戶的通信，且共享密鑰在分發(fā)過(guò)程中的傳送也存在一定安全風(fēng)險(xiǎn)。常用的加密算法包括DES及3-DES。3.2非對(duì)稱加密原理。非對(duì)稱加密亦稱公鑰加密，這種加密方式改良了對(duì)稱加密的局部缺陷，降低了大量用戶在通信過(guò)程中密鑰泄露的風(fēng)險(xiǎn)。非對(duì)稱加密利用加密和解密使用不同密鑰的特點(diǎn)實(shí)現(xiàn)通信安全，其中用戶可公開且用來(lái)加密消息的密鑰稱為公鑰；而用戶隱蔽保存且用來(lái)解密消息的密鑰

8、稱為私鑰，其工作原理如下列圖1所示：若甲向乙傳送機(jī)密消息，首先，乙將自己的公鑰發(fā)送至甲，甲利用乙的公鑰對(duì)消息加密并發(fā)送至乙。由于乙的私鑰只能對(duì)使用了乙公鑰加密的消息進(jìn)行解密，因此即使在通訊過(guò)程中乙的公鑰被非法截獲，消息仍為安全的。而乙在收到密文后，用自己的私鑰進(jìn)行解密從而讀取原始消息。這種非對(duì)稱加密的機(jī)制降低了大量消息加密過(guò)程中密鑰分發(fā)的風(fēng)險(xiǎn)問(wèn)題，但加密效率較低、資源占用較明顯2。常用的非對(duì)稱加密算法包括RSA、ECC及Diffie-Hellman。圖1非對(duì)稱加密的工作原理3.3數(shù)字摘要。數(shù)字摘要，亦稱哈希算法(Hash)。Hash算法可將任何長(zhǎng)度的信息轉(zhuǎn)換為長(zhǎng)度為128比特或160比特的數(shù)據(jù)

9、摘要，原始信息中任何一個(gè)字節(jié)的變化都會(huì)引起數(shù)據(jù)摘要的變化，且這種信息的哈希轉(zhuǎn)換具有不可逆性，即信息一旦被轉(zhuǎn)換，便無(wú)法復(fù)原其原始信息。這一特點(diǎn)為信息的完整性、正確性及不可篡改性提供了保障，也為電子文件的加密提供了有力手段。3.4數(shù)字證書與數(shù)字簽名。數(shù)字證書是由證書簽發(fā)系統(tǒng)簽發(fā)的一種基于非對(duì)稱密碼的文件，文件包含了用戶的身份信息、用戶的公鑰信息及數(shù)字簽名3。其中，數(shù)字簽名的生成進(jìn)一步保證了信息的真實(shí)性，通過(guò)密碼算法進(jìn)行加密操作后，將生成的密文附在原文一同發(fā)送。其工作原理如下列圖2所示：若甲向乙傳送機(jī)密消息，首先甲利用哈希算法將消息轉(zhuǎn)換為固定長(zhǎng)度的數(shù)字摘要，且利用甲的私鑰對(duì)數(shù)字摘要進(jìn)行加密，加密后的

10、密文將與用戶的身份信息、數(shù)字簽名及明文打包作為一個(gè)數(shù)據(jù)包發(fā)送至乙；而乙首先使用與甲相同的哈希算法將接收到的密文轉(zhuǎn)換為數(shù)字摘要，接著再利用甲的公鑰對(duì)接收到的數(shù)據(jù)包進(jìn)行解密，若兩個(gè)數(shù)字摘要相同，那么乙便可確認(rèn)甲的身份且確認(rèn)密文在傳輸過(guò)程中未被截獲及篡改。 4PKI技術(shù)在電子商務(wù)信息安全方面的應(yīng)用 4.1在交易過(guò)程中用戶身份驗(yàn)證上的應(yīng)用。由于互聯(lián)網(wǎng)用戶數(shù)量的激增，虛擬網(wǎng)絡(luò)環(huán)境下的用戶身份問(wèn)題成了人們關(guān)注的熱點(diǎn)問(wèn)題。PKI系統(tǒng)中的第三方CA能夠?qū)⒂脩魝€(gè)人信息與密鑰捆綁在一起，一旦用戶進(jìn)行對(duì)信息進(jìn)行操作，系統(tǒng)便會(huì)連忙核驗(yàn)用戶的權(quán)限，若核驗(yàn)通過(guò)，則CA會(huì)具有唯一性的簽名證書，這種方式有效防止了偽造身份的可

11、能性，使信息能夠傳送到指定的接收方。隨著互聯(lián)網(wǎng)用戶對(duì)密碼或口令等信息的安全要求越來(lái)越高，包括支付寶、各大電子商務(wù)網(wǎng)站均采納了PKI身份驗(yàn)證功能，用戶的信息安全得到了很大程度上的保證。4.2在訪問(wèn)網(wǎng)絡(luò)資源時(shí)用戶信任關(guān)系建立上的應(yīng)用?；诨ヂ?lián)網(wǎng)的電子商務(wù)的另一個(gè)難題是用戶信任關(guān)系的建立。信任機(jī)制的有效建立不僅保證了雙方交易的安全性，而且大大提高了電子商務(wù)交易的效率。對(duì)于企業(yè)來(lái)講，他們盼望向每一個(gè)有權(quán)訪問(wèn)企業(yè)內(nèi)網(wǎng)的用戶頒發(fā)證書，使用戶通過(guò)外網(wǎng)來(lái)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)。但對(duì)于用戶來(lái)講，他們可能會(huì)接收到來(lái)自不同企業(yè)的若干個(gè)訪問(wèn)授權(quán)證書，但卻疏于對(duì)這若干個(gè)證書的管理，用戶盼望用一個(gè)證書便可訪問(wèn)多家企業(yè)的網(wǎng)絡(luò)。P

12、KI技術(shù)體系中的CA便是一個(gè)很好的解決方案。CA認(rèn)證將一個(gè)公共密鑰、一名用戶、一臺(tái)計(jì)算機(jī)或?qū)嶓w聯(lián)系起來(lái)，通過(guò)分層的組織結(jié)構(gòu)，由父CA為子CA的公共密鑰簽發(fā)證書。認(rèn)證的過(guò)程則從用戶證書方開始，沿著證書的路徑向上進(jìn)行。目前，電子商務(wù)交易信任關(guān)系主要有以下兩種模式：直接信任模式：由同一供給商向兩企業(yè)提供數(shù)字簽名證書，且兩方的組織結(jié)構(gòu)應(yīng)保持不變，在雙方企業(yè)內(nèi)部公布頂層數(shù)字簽名證書并交換。交叉信任模式：在其他驗(yàn)證模式保持一致的前提下，兩企業(yè)的頂層數(shù)字簽名證書分別為對(duì)方頂層的公開密鑰簽發(fā)數(shù)字簽名證書，此時(shí)，交叉信任模式建立成功。其工作原理如下：當(dāng)乙企業(yè)的用戶收到甲企業(yè)用戶網(wǎng)絡(luò)數(shù)據(jù)的請(qǐng)求時(shí)，可沿著證書路徑上溯到甲企業(yè)的頂層證書，再使用甲企業(yè)的證書對(duì)其進(jìn)行驗(yàn)證，交叉證書便可直接完整身份認(rèn)證工作4。此外，當(dāng)甲企業(yè)的用戶想訪問(wèn)乙企業(yè)的內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)時(shí)，也可直接利用交叉證書直接進(jìn)行認(rèn)證訪問(wèn)，實(shí)現(xiàn)了一證多用的效果。4.3在信息傳輸方面上的應(yīng)用。在虛擬網(wǎng)絡(luò)環(huán)境下，交易雙方對(duì)信息在傳輸過(guò)程中的保密性要求極高。數(shù)據(jù)包的加密和解密通過(guò)PKI技術(shù)的密鑰配對(duì)機(jī)制得以實(shí)現(xiàn)。若沒有接收方的私鑰，即使數(shù)據(jù)包在傳輸過(guò)程中被非法截獲，密文也不會(huì)被成功讀取，數(shù)據(jù)包的保密性和安全性得到了保障。此外，PKI技術(shù)利用數(shù)字證書和數(shù)字簽名這種雙重加