浅谈PKI体系和电子商务安全.docVIP

浅谈PKI体系和电子商务安全 　　摘要:在电子商务如此盛行的今天,如何保障电子商务活动的安全,一直是电子商务的核心研究领域也可以是电子商务的生存保障。只有保证了电子商务的安全,才能促进电子商务的良性发展。在目前的技术手段下,解决电子商务安全问题最成熟的方案是建立在公开密钥技术基础之上的PKI体系。 　　 　　关键词:电子商务;PKI;数字证书;加密;验证 　　 　　 一、电子商务及其安全需求 　　随着网络技术和电子商务的迅猛发展,人们以各种方式使用着Internet从事电子商务活动。电子商务已经成为人们进行商务活动的新模式。电子商务有比传统商务方式更巨大的方便性和灵活性。 　　然而,网络面临的安全问题也随之而来,例如内部窃密和破坏,截收,非法访问,破坏信息的完整性,破坏系统的可用性等等诸多问题。于是需要构建一个安全的信息基础设施平台,为电子商务提供良好的应用环境。解决网络与系统安全的技术与设备有防火墙、入侵检测、漏洞扫描、网络隔离等。这些技术并不能全面地满足电子商务的安全需要,电子商务的发展对信息安全提出的不仅仅是信息的机密性,还包括信息的完整性和不可否认性。 　　 　　二、PKI概述 　　公开密钥基础设施(PKI)是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。 　　(一)PKI的组成 　　1.认证机构CA(Certificate Authority) 　　电子商务认证授权机构(CA,Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,承担公钥体系中公钥的合法性检验的责任。电子商务用户在网上发布信息或传递信息时,为保证信息的安全、真实、可靠,需要一个权威的第三方来对对方身份进行真实性验证,CA就是这样一个机构,它负责向电子商务的各个主体颁发经过认证的数字证书,以证明拥有证书的用户的合法性并通过数字签名系统保证该证书的唯一性。 　　2.登记和审批机构RA(Registration Authority) 　　用户在向CA申请数字证书时,其申请资料将首先保存在RA登记和审批机构,RA的作用是对用户进行严格的身份认证后,由操作员审阅RA系统中的客户申请表,如用户申请资料满足审批条件,RA将对此次申请加以批准并将审批通过后的客户申请送交CA操作员审阅,再次审批通过后,最后由CA系统捆绑客户公钥和其个人信息,产生客户数字证书。 　　3.数字证书库 　　数字证书库顾名思义,指的是存储已经签发的数字证书及公钥的公共信息库,用户可以从数字证书库获得所需的数字证书及公钥。用户申请了数字证书后,在交易过程中,当其他用户需要验证其合法性、真实性时,则需要访问数字证书库,查看证书库中是否存在相应的证书。由于证书库的权威性和唯一性,也就保证了其下数字证书的完整和安全,防止用户伪造和篡改证书。 　　4.密钥备份及恢复系统 　　KPI提供的密钥备份及恢复系统,主要为解决用户丢失解密密钥后造成的数据丢失问题。为保证数据的安全性,密钥的备份和恢复由专门的机构来完成,但只针对解密密钥,用户的签名私钥不能备份,若丢失,则无法恢复,证书只好作废。 　　5.证书作废系统 　　在实际使用过程中,有可能由于用户的私钥丢失或者身份变更等等原因,已经签署的数字证书不适合继续使用,在这种情况下,该证书必须停止使用,即作废。因此,证书作废处理系统是PKI的一个必备的组件。已经作废的证书将被列入作废证收表(CRL:Certificate Revocation List),CRL由CA负责创建并维护,而用户在验证证书的合法性时,也必须检查该证书是否已被列入已经作废的CRL之列。 　　6.应用接口(API) 　　API(Application Program Interface )应用程序接口。在整个电子商务交易过程中,用户需要完成诸如加密、数字签名等安全服务,因此PKI还提供一个良好的应用接口系统,使得各种各样的服务能够安全、一致的与PKI进行交互,用以确保安全网络环境的易用性和完整性。 　　(二)PKI的功能 　　1.自动查询证书“黑名单”(CRL),实现双向身份认证。当客户需要在网上传输信息时,客户端软件会自动对信息传输双方的身份进行验证,包括:对方是否也拥有CA的证书?证书是否在有效期内?证书是否因为某种原因被撤销,即证书是否被列入CRL。 　　2.对传输信息自动加/解密,保证信息的私密性。客户端自动对其发出的信息进行加密,并对收到的信息解密,通信双方无须对这一过程进行任何干预。加密机制采取对称加密和非对称加密相结合的方式,前者使用国际通行的128位加密