基于PKI电子商务安全管理技术研究.docVIP

基于PKI电子商务安全管理技术研究 　　【摘要】近年来，我国电子商务发展迅猛，PKI技术已经为电子商务的安全问题奠定的基础。本文介绍了PKI以及PKI体系下电子商务存在的安全问题，并提出相应的有效管理措施。 　　【关键词】PKI；电子商务；安全管理 　　【中图分类号】TP399 　　【文献标识码】A 　　【文章编号】1672—5158（2012）10-0107-01 　　1　引言 　　电子商务随着计算机技术的发展，已经进入了人们的日常生活，得到了普及。但是，得不到安全保障，电子商务在生活中会发生虚假和欺骗，任何人和公司都不想让自己的重要个人信息受到侵犯。所以说，安全是电子商务的核心，是基础。越来越多的技术已经实施在电子商务的安全上，这些技术都是基于PKI技术的支持。PKI技术具有良好的体系，是一项有效保证电子商务安全性的解决方案，它已经为安全的网络环境奠定了基础。 　　2　PKI和电子商务的概念 　　2.1　PKI是英文Public　Key　Infrastructure的缩写形式，意思是公开密钥基础设施。它是网络安全体系和认证体系。随着电子商务的发展，PKI诞生。PKI的价值是使用户可以方便操作加密，数字签名等等服务，是网络安全建设的核心，是基础部分，更是安全实施电子商务的重要保障，作为电子商务的安全基础和核心技术，PKI用来建立不同实体问的信任关系，它可以提供的安全要求有完整性，不可否认性，身份认证，机密『生和存取控制几大方面。 　　数字证书由证书授权认证中心CA签发，结合了加密技术，人们使用它，可以保证交易的正常进行，可以保证对通信内容的保密，信息的完整可靠，可以进行识别用户身份。加密技术是PKI的基础，证书服务是PKI核心。通常情况下PKI系统包括了四个部分：注册机构RA，证书机构CA，PKI策略软硬件系统，证书发布系统和PKI应用。一、证书机构CA的作用是发放证书，规定证书的有效期，通过发布证书废除列表CRL，确保必要时可以废除证书。证书机构CA是PKI的信任基础。它负责管理公钥的整个生命周期。二、注册机构RA的作用是增强应用系统的安全，它在用户和CA之间提供一个接口，获取和认证用户的身份，向证书机构CA提出请求。有时候不另外设立独立运行???RA，而把注册管理的职能可以交由证书机构CA来操作。但国际上的标准还是赞成由一个独立的RA来完成注册管理的任务。三、证书发布系统的作用是通过PKI应用发放证书或者通过用户自己发放证书，通过电子数据和电子邮件中交换EDI，或者在浏览器和Web服务器之间的通讯发放证书，或者通过虚拟私有网VPN发放证书等等，通过在Internet上的信用卡交易发放证书。四、PKI策略的作用是对密码系统使用的处理方法和原则进行定义，同时对一个在组织信息安全方面的指导方针进行建立和定义，PKI策略还包括一个组织怎样根据风险的级别，对安全控制的级别进行定义。 　　2.2　电子商务就是通过计算机互联网进行商务贸易和交易，包括商户之间的网上交易，消费者的网上购物，以及在线电子支付等。电子商务主要依靠电子数据交换（EDI）和互联网来完成。目前电子商务的经营模式有B2C（企业到消费者）、B2B（企业与企业）、C2B（消费者到企业）、C2C（消费者与消费者）、B2G（企业与政府）等等。不断增多的电子交易，使电子商务的安全性受到威胁，网络环境开放中怎样预防未被授权的非法入侵者，怎样保证信息传递过程中的可靠性，完整性，都成为需要解决的问题。 　　3　基于PKI的电子商务安全问题 　　3.1　认证身份的安全 　　电子交易中，如果不进行身份认证的工作，不法者就有机会冒充是电子交易的一方，或破坏其信誉，或窃取交易利益等等对正常交易造成破坏。如果可以进行识别身份，交易的双方就可避免不确定不信任的情况，从而放心交易。所以人们首先要可以确定对方身份是否真实，并要确定和对方所说的是否相同。尤其在涉及到网上支付时，更要确定和核实对方的账户，信用卡等是不是真实可靠和有效的。 　　3.2　泄露信息的安全 　　在电子商务中，泄露的信息主要就是泄露的商业机密。电子交易的双方在进行交易的时候，交易内容存在被不法者窃取的可能，交易这方提供给交易那方的信息存在被未授权用户私自使用的可能。尤其是网上支付等流程中，如账号这些重要的商务信息。 　　3.3　交易抵赖情况 　　电子交易时，当一项操作发生，信息正常传送，交易抵赖情况就是买卖的双方对发送消息或者接收消息出现否认行为。这时就要确定买卖双方的身份，并且有足够的证据来证明买卖双方确实发送或接收过信息，使电子交易产生纠纷有确凿的证据可用。 　　3.4　篡改信息情况 　　篡改信息的情况主要是指信息传递中失去了完整性，公证性和真实性。 　　因为电子交易中，在网络上传