基于PKI技术的电子商务安全问题研究

能够比较全面地解决安全问题的可能的方案。

因此,利用PKI技术提供的平台、服务和解决方案来保障电子商务的安全实施是十分合适的,也是十分必要的。

2、电子商务存在的主要安全问题
电子商务就是指利用电子网络进行的商务活动。

但随着电子交易的不断增多电子商务的安全问题也频繁出现,主要是在开放的网络环境中如何保证信息传递中的完整性、可靠性、真实性以及预防未经授权的非法入侵者这几个方面的问题上。

2.1数据被非法截获、读取或者修改
在电子商务中,信息流和资金流以数据的形式在计算机网络中传输,很多传输还是远距离的。

在这一过程当中,数据可能被别有用心者截获、读取,从而造成商业机密和个人隐私的泄密。

更为严重的是,别有用心者还可能修改截获的数据,如把资金的数量、货物的数量、交货方式等进行修改,这会严重地影响电子商务的正常进行。

2.2身份认证
参与交易的人首先要能确定对方的真实身份与对方所声称的是否一致,特别是在涉及电子支付时,更应该确定对方的信用卡、帐户等是否真实有效。

如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信
誉或盗取被假冒一方的交易成果,进行身份识别后,交易双方就可防止“相互猜疑”的情况,从而解决信任问题。

2.3冒名顶替和否认行为
在电子商务中,由于交易非面对面进行,如果安全措施不完善,无法对信息发送者或者接收者的身份进行验证,那么别有用心者就有可能冒充合法用户发送或者是接收信息,从而给合法用户造成商务损失。

另外,如果没有对交易者的身份进行验证,还可能有否认行为的发生,即别有
基于PKI 技术的
电子商务安全问题研究
张更生1田跃欣2
1,河南省福利彩票发行中心4500112,河南交通职业技术学院450005
1、引言
进入新的世纪,随着网络技术,特别是互联网技术在我国的迅速推广和普及,各种网络应用如电子商务、电子政、网上银行等也在我国迅速发展。

这大大地加快了我国经济发展的现代化节奏,同时也改变了人们的生活方式、工作方式,也大大提高了人们的提高了生活质量。

所谓电子商务是商务活动的电子化实现,如网上购物、网上订票、网上交费、股票的网上交割,信用卡等,都属于这一应用范畴。

它实现了商业信息的快速传递及共享,减少了商业事务的中间环节,规范了商业票据的格式,从而大大提高了商务活动的效率。

任何事物都有两面性,Internet给人们带来方便的同时,也把人们引进了安全陷阱。

目前,阻碍电子商务广泛应用的首要的也是最大的问题就是安全问题,Internet 的诞生并不是因为商业目的,而是为了能方便地共享计算资源,要在Internet上进行安全要求高的电子商务活动也就显得勉为其难了。

因此,人们要在现在的基础上增
加一些安全技术措施,如:防火墙、加密、数字签名、身份认证等技术,以保证数据的保密性、完整性和不可否认性。

在信息安全技术领域里,公开密钥加密技术近年来发展很快,在这项技术的基础之上形成和发展起来的PKI 很好地适应了互联网的特点,为互联网以及相类似网络的应用提供了全面的安全服务,如网络应用中的认证,加解密的密钥管理,数据的完整性,不可否认性的保证等等,是目前
用心者会否认自己在网络上进行过的操作,也就是赖账。

3、P K I 技术
PKI(Public Key Infrastructure即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI 就是利用公钥理论和技术建立的提供安全服务的基础设施。

PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技术。

PKI 的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据不能被否认。

PKI 的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事和管理行为行为主体(包括组织和个人身份的唯一性、真实性和合法性。

是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。

作为一个安全基础设施的全功能的PKI 由一系列组件和服务构成:
(1.证书机构(2.证书库(3.证书撤消(4.密钥备份和恢复(5.自动密钥更新(6.密钥文档管理(7.交差认证(8.支持不可否认(9.时间戳(10.客户端软件
通常来说,CA 是证书的签发机构,它是P K I 的核心。

众所周知,构建密码服务系统的核心内容是如何实现密钥管理。

公钥体制涉及一对密钥(即私钥和公钥,私钥
只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

4、PKI 在电子商务安全方面的应用
4.1数据传输的机密性
PKI 是建立在公共密钥理论的基础上的,从公共密钥理论出发,公钥和私钥配合使用可以保证数据传输的机密性。

数据的发送者希望其所发送的数据能安全的传送到接收者手中,并且只被有权查看该数据的接收者所阅读。

数据发送者首先利用接收者的公钥将其明文加密,然后将密文传送给接收者,接收者收到数据以后,利用其私钥将其解密,还原为明文,即使是数据被非法截获,因为没有接收者的私有密钥,别人也无法将其解码。

这样使数据的发送者可以放心地发送数据。

4.2用户身份的识别
在电子交易中P K I 可以进行身份验证,交易双方利用P K I 提供的电子证书(Digital ID来证实并验证其身份,在网络这一虚拟的环境中进行实时议价、采购、付款等商务活动,并保证交易的有效性,即交易不可被否认的功能。

PKI 已经成为识别用户身份的事实上的技术标准,要想用数字证书进行身份验证就必须具有PKI。

利用PKI 进行身份验证的原理是首先数据发送者利用其私钥将明文加密,为确保数据被指定的接收者接收,再用接收者的私有密钥加密,然后将双重加密后的密文传输给接收者,接收者先利用其私有密钥,再利用发送者的公共密钥将密文解密,这样接收者就可以确认数据确实是从指定的发送者发出的并且没有其他人截获这一数据。

利用发送者的私有密钥加密可以验证发送者的身份,而用接收者的私有密钥解密可以同时保证传输数据的机密性。

由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。

这就解决了接收方可能对数据进行改动的问题,也避免了发送方逃避责任的可能性。

4.3信任关系的建立
建立对Internet 交易的信任是电子商务领域的一个最重要的也最具有挑战性的课题。

由于Internet 的价格优势,各公司希望通过向每一个有权访问这个网络的用户签发证书的方式,使自己的客户和合作伙伴可以通过外联网来访问自己的内部网络。

对最终用户来说可能同时接受许多访问的授权,但他们并不想管理多个证书,而是希望只要拥有一个证书就能通过所有合作伙伴的网络认证。

解决这一问题的关键在于如何保证多厂商PKI 环境具有可互
操作性。

5、基于PKI 的电子商务安全问题研究
PKI 是以公钥加密为基础的,为网络安全提供了安全保障的基础设施。

从理论上来讲,是目前比较完善有效的实现身份认证和保证数据完整性、有效性的手段。

但在实际实施中,也存在着一定的安全问题,包括针对公钥、私钥和安全协议的攻击。

5.1针对CRL 的攻击
在P K I 中,若用户私钥泄露、证书过期或由于安全原因需要变更证书中某些属性的时候,必须向CA 申请注销与之相关的旧证书。

证书被注销后,与其相关的公钥和私钥将不再有效,用其实施的行为也不再有效。

证书注销方法常用的是CRL。

CRL 将申请注销的证书以链表形式组织并在PKI 中发布和传播。

由于证书注销信息在PKI 中传播需要一段时间,若攻击者可以避免被注销进程锁定,则攻击者即攻破了PKI 的注销机制,他可以用被某个CA 注销的证书来进行非法访问。

5.2针对证书持有者态度的攻击这类攻击源于证书持有者的消极态度,如盲目签名、证书持有者长时间不用证书、私钥可能泄露时不及时申请注销证书等等情况都给攻击者留下了可乘之机和时间。

5.3针对定制协议的攻击
在PKI 中,协议的安全和完善是至关重要的,它是P K I 的安全基石。

然而,即使是安全的协议,也可能被攻击者利用。

定制协议攻击是通过定制一个协议并用它来与安全协议进行交互,从而影响安全协议产生可以利用的消息。

这类攻击多是针对公钥的认证协议进行的,其条件是P K I 中允许在多个协议中使用同一个公钥,这时可用定制的协议来影响安全协议,用安全协议产生的信息来冒充某个参与者而成功完成协议。

定制协议攻击在本质上是利用多个协议间的交互来实施的,避免此类攻击的基本原则是在某个密钥被使用时,在产生的消息和消息标示符之间实施一个密码绑定,从而保证一个协议中的消息不能被另一个协议中的某些消息替代。

结束语
我国的电子商务近年来发展很快,但
是有关的安全保障还未建立起来。

为此,我们必须加快建设有关的电子商务安全系统。

而且,针对电子商务无国界的特点,我们还应该加强国际合作,使电子商务真正发挥其应有的作用。

唯有如此,我们才能顺应时代潮流,推动我国经济的发展;也唯有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。

PKI 不失为一个保证网络安全的一个非常合理和有效的解决方案。

利用PKI 作为电子商务的安全基础平台、使用PKI 发布的数字证书实现在线交易所必须的认证和加密功能,必将成为实现安全电子商务的主要发展方向。