作者:刘丽娟 李伟英 刘仲鹏
随着电子商务的发展, 如何保证在开放的Internet 网络环境下安全、完整、有效地传输敏感数据, 让高度机密的数据只能到达明确的有权知道该数据的个体手中, 不被非法用户截取、破译和修改,是制约电子商务发展的关键问题。为解决这一问题,世界各国对其进行了多年的研究, 初步形成了一套完整的Internet安全解决方案, 即目前被一些企业所采用的PKI体系结构。由于PKI体系结构在数据传输的安全性方面独具优势, 目前被广泛应用于电子商务之中。
一、电子商务的安全需求
由于电子商务是一种利用互联网资源进行的商业交易活动,因此在交易安全方面与互联网的安全性密切相关。在交易过程中,主要涉及信息的安全传输、在线支付的安全认证等问题。
1.数据保密性需求。在电子商务中,无论是企业自己的数据,如计划书、图纸、生产销售数据等,还是企业间交换的契约、合同或者用户的订单、支付等都是十分重要和敏感的数据,这些数据都要使用良好的加密措施,保证其在存储和传输中的安全性。
2.数据完整性需求。由于在交易过程中必须保证信息的完整性和有效性,即要保证信息从交易一方送达另一方时,数据是准确的、有效的,且发送方不可否认此次交易的存在性和真实性,这需要对传送的数据进行签名和验证。
3.身份确认需求。由于交易是在网上进行的,所以在进行交易前,必须确认对方的身份,防止交易双方的身份被假冒,因此需为参与交易的各方提供可靠的标识,通过验证被认证对象标识的有效性,来证实被认证对象身份是否有效。
4.商务活动的不可抵赖性。为了保证商务活动的各参与方对自己的行动负责,一方面,电子商务系统会让参与者留下参与活动的证据;另一方面,政府通过相应的法律条文保障参与方履行其申明的责任。为满足电子商务的安全需要,实现安全的、有效的在线交易,需要在Internet上建立可信的安全的通信基础设施,通过强认证机制和加密机制来保证安全性。
二、PKI技术
1.PKI的组成。PKI技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。一个完整的PKI系统由策略管理、软硬件系统、认证机构(CA)、注册机构(RA)、证书管理系统和PKI应用接口等部分组成。
(1)策略管理:它建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。(2)CA 是可信的第三方机构,负责颁发证书、验证用户身份的真实性。(3)RA 提供用户和CA 之间的一个接口,它收集和确认用户身份,接受用户的注册申请,向CA 提出证书请求。(4)证书管理系统用来管理数字证书库,包括发布证书、实时查询证书和证书撤销信息等。
2.PKI技术实现的主要功能
(1)用户注册:收集用户信息,该功能在CA完成或由独立的RA完成。(2)发行证书:响应用户的请求创建证书,由CA完成。(3)废止证书:创建和发布废止证书列表(CRI,Certificate Revocation List),由与CA相关的管理软件完成。(4)存储和检索证书和CRI:使具有授权的用户可以方便地使用证书和CRI,证书及CRI通常存储在一个可通过LDAP协议访问的安全的、备份的目录。(5)证书路径确认:在证书确认链中加入一个基于规则的约束,只有在约束全部满足时证书才被确认,由CA完成。(6)时间戳:为每个证书打上时间标记,规定证书的有效时限,由CA或者是专用的时间服务器(TimeServer)完成。(7)密钥生命期管理:进行密钥的更新、存档、恢复等工作,由软件自动完成或手工完成。
3.PKI安全性分析
PKI是以公钥加密为基础的,为网络安全提供安全保障的基础设施。从理论上来讲,是目前比较完善和有效的实现身份认证和保证数据完整性、有效性的手段,但在实际的实施中,仍有一些需要注意的问题。与PKI安全相关的最主要的问题是私有密钥的存储安全性。由于私有密钥保存的责任是由持有者承担的,而非PKI系统的责任。私钥保存丢失,会导致PKI的整个验证过程没有意义。另一个问题是废止证书时间与废止证书的声明出现在公共可访问列表的时间之间会有一段延迟,这会使无效证书这一段时间内被使用。另外,Internet使得获得个人身份信息很容易,如身份证号等,一个人可以利用别人的这些信息获得数字证书,而使申请看起来像来自别人。同时,PKI系统的安全很大程度上依赖于运行CA 的服务器、软件等,如果黑客非法侵入一个不安全的CA服务器,就可能危害整个PKI系统。因此,从私钥的保存到PKI系统本身的安全方面还要加强防范。在这几方面都有比较好的安全性的前提下,PKI不失为一个保证网络安全的一个非常合理和有效的解决方案。
三、结论
由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术。它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的、易用的、灵活的和经济的。
参考文献:
[1]Robert C Elsenpeter,Toby J Velte.电子商务技术指南[M].前导工作室译.北京:机械工业出版社,2001
[2]李金库张德运张勇:身份认证机制及其安全性分析.计算机应用研究.2007
[3]吴晓平:PKI/CA在专用信息系统中的建设及应用研究[D].四川大学,2006
[4]丁惠春:PKI及其在电子政务中的应用研究[D].西41SJ-业大学,2005
[5]强勇军:PKI/CA的构建与应用[D].电子科技大学,2006