基于ＰＫＩ的电子商务安全的研究与实现的论文.docVIP

　　基于ＰＫＩ的电子商务安全的研究与实现的论文 作者：樊景博　刘爱军　赵玉霞 [摘要] 公钥基础设施(public key infrastructure)是目前网络安全建设的基础与核心，是电子商务安全实施的基本保障，已充分应用到各种电子商务安全解决方案之中，因此，对pki技术的研究和开发成为目前信息安全领域的热点。在分析了当前电子商务面临的威胁后，利用pki理论给出了解决电子商务安全的合理方案。 　　[关键词] 公钥基础设施 电子商务 认证中心 　　 　　一、引言 　　随着网络的不断发展和计算机的普及，许多企业和商家逐渐开始和扩大在网上的商务活动，发展非常迅速。电子商务(electronic merce) 也成为当今网络时代的重要课题。电子商务可以改善服务，降低成本，提高效率，增加利润，预期还会取得更大的发展。电子商务是信息技术与商务的结合。考虑到inter的开放性与商务活动的保密性之间的矛盾,电子商务的安全保障成了亟待解决的关键问题。 　　二、电子商务面临的安全问题 　　电子商务尚是一个机遇和挑战并存的新领域，这种挑战在很大程度上来源于对有关安全技术的信赖。由于现在网络的信息传输是建立在信息明文传输的基础之上，使得电子商务交易双方：销售者和消费者都面临不同的安全威胁。. 　　1.信息泄露 　　商务信息一般都有保密的要求，尤其是涉及到一些商业机密及有关支付等敏感的信息内容。信息泄露在电子商务中表现为商业机密的泄露。交易双方进行交易的内容有可能被第三方窃取，交易一方提供给另一方的文件有可能被未授权用户非法使用。 　　2.信息篡改 　　电子的交易信息在网络上传输的过程中，可能被他人非法修改或删除，这样就使信息失去了真实性、完整性和公正性。 　　3.身份认证 　　参与交易的人首先要能确定对方的真实身份与对方所声称的是否一致，特别是在涉及到电子支付时，更应该确定对方的信用卡、账户等是否真实有效。如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止“相互猜疑”的情况,从而解决信任问题。 　　4.抵赖性 　　抵赖性包括发送方对发送消息的否认和接收方否认接收过某消息。在交易中，当一条信息被发送或被接受后，应该保证信息的收发方都有足够的证据来证明对该信息的操作确实发生了，并能确定收发方的真实身份，以保证交易发生纠纷时有所对证。 　　三、pki在电子商务安全方面的应用 　　1.pki技术 　　pki是公开密钥基础设施(public key infrastructure）的英文缩写，是基于公开密钥理论与技术的网络安全与认证体系。pki能便利的提供下列几项安全要求:身份认证、不可否认性、完整性、机密性及存取控制。pki是电子商务的安全基础，用来建立不同实体间的“信任”关系。它的基础是加密技术，核心是证书服务。用户使用由证书授权认证中心ca签发的数字证书，结合加密技术，可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性，并进行用户身份的识别。一个典型的pki系统包括pki策略、软硬件系统、证书机构ca、注册机构ra、证书发布系统和pki应用。 　　(1)pki策略:建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样根据风险的级别定义安全控制的级别； 　　(2)证书机构ca:是pki的信任基础，它管理公钥的整个生命周期，其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(crl)确保必要时可以废除证书; 　　(3)注册机构ra:提供用户和ca之间的一个接口，它获取并认证用户的身份，向ca提出证书请求。对于一个规模较小的pki应用系统，可以把注册管理的职能由认证中心ca 来完成，而不设立独立运行的ra。pki 国际标准推荐由一个独立的ra 来完成注册管理的任务，可以增强应用系统的安全； 　　(4)证书发布系统:负责证书的发放，如可以通过用户自己，也可以通过目录服务器; 　　(5)pki应用:包括在].北京:科学出版社,2003.9 　　[2]中国信息安全产品测评认证中心.信息安全理论与技术.北京:人民邮电出版社，2003 　　[3]汪立东余祥湛方滨兴:pki中几个安全问题的研究.计算机工程, 2000(1):14～16 　　[4]孟博熊丽陈浩然:基于pki的电子商务安全研究. 计算机工程与应用, 2005(11):237～239 　　[5]吴永英黄凌翼:易宝林pki在电子商务中的应用[j].华中科技大学学报2001, 29(9):7～9 　　[6]李金库张德运张勇:身份认证机制及其安全性分析. 计算机应用研究．2007 　　[7]