PKI在企业电子商务中的运用.docVIP

第 PAGE 第 PAGE 1 页 共 NUMPAGES 1 页 免责声明：图文来源网络征集，版权归原作者所有。若侵犯了您的合法权益，请作者持权属证明与本站联系，我们将及时更正、删除！谢谢！ PKI在企业电子商务中的运用 摘要：分析了电子商务企业面临的常见安全威胁，提出了基于公钥基础设施PKI的电子商务安全解决方案，能有效保证电子商务活动的安全。 关键词：PKI；CA；数字证书；数字签名 1PKI体系概述 PKI即公钥基础设施，是一个基于非对称算法中的公钥概念及技术而实施并提供安全服务的安全基础设施，网络通讯、网上交易可以利用它来保证信息安全。PKI应用系统至少应具有五个部分：CA、X.500目录服务器、安全WWW服务器、Web安全通信平台、安全应用系统；而CA则是整个PKI的核心，所有的安全应用全围绕CA展开。PKI提供的安全服务包括：身份认证、数据完整性、数据机密性等。 1.1CA CA的功能包括：处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。 1.2数字证书 数字证书是由CA发行的一种数字信息文件，用来标志和证明网络通信双方的身份，内容包括：主体身份及公钥信息、CA及签名信息、签名算法等。证书大多采用X.509标准。 1.3数字签名 数字签名是由信息发送者通过HASH函数对信息进行处理，产生别人无法伪造的一段数字串，用以认证信息的来源并核实信息是否发生了变化。发送者用私钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可以确定消息的来源，同时也是对发送者发送信息真实性的一个证明，发送者不能抵赖。 2企业电子商务活动面临的安全问题 企业电子商务活动主要包括售前咨询、在线下单、订单处理、网络支付、物流配送、售后服务等环节。这些环节除在线支付,其它部分没有采用安全加密技术，存在着严重的安全问题。 2.1数据传输过程中的泄露问题 企业使用的通信软件依赖TCP/IP协议，该协议并没有解决身份认证、信息泄密、数据篡改等安全问题，这导致了企业传输数据时面临着严重的安全威胁。例如，企业员工传输的电子邮件明文完全可能被攻击者截获，从而泄露了邮件的内容。 2.2数据存储时的篡改问题 企业存放在云数据库、内部数据库中的数据以明文存储，系统管理员固然可以设置数据文件的访问控制权限，然而却不能防范数据被篡改。一旦入侵者或内部非授权人员得到了数据的读写权限，就可以非法修改数据。系统无法检测数据是否被篡改、被谁篡改这样的安全问题。 2.3用户的身份识别问题 企业电子商务系统普遍采用账户加口令的方式进行认证，这种识别方法安全性较低，攻击者通过穷举尝试等方法就能得到合法用户的账户和口令。身份识别问题同样出现在电子邮件的收发上。员工贸然相信发信方的身份或将机密信件错发到其他人员信箱，都会给个人和企业带来巨大的损失。 3基于PKI的企业电子商务安全解决方案 3.1建立企业内部的CA 企业自建CA有两种技术路线。一是利用开源的OpenSSL软件包。优点是二次开发灵活，可以将安全措施应用于企业自行开发的系统中；缺点是技术性强，需要较为专业的计算机人员来部署。二是利用微软公司Windows服务器产品中提供的证书服务功能。虽然二次开发受限，但是建设简单快捷，且和Windows系列服务器、OutLook邮件客户端无缝结合，所以是首选。具体部署上，通过Windowsserver2008等服务器上的“证书服务”组件来实现，该CA服务器可满足证书申请、颁发等基本需求。 3.2信息传输采用安全的SSL通道 SSL协议由网景公司提出，用于保证浏览器和服务器之间的身份真实及数据秘密传输，其提供的服务包括：身份认证、数据加密、数据完整性校验。电商活动中，利用SSL协议能在客户端和服务器之间提供安全通道。企业可以利用自建CA生成网站服务器的数字证书，安装到WEB服务器上开通SSL，来实现数据加密传输。 3.3利用数字证书对存储的数据进行加密和签名 利用数字证书对机密数据加密并签名，将密文和签名一同存放在数据库，企业可通过签名来检验数据完整性。以企业采购单的存储为例，可将商品采购价格、数量等敏感信息加密、签名，然后存储。即使攻击者获得了企业数据的读写权，也因加密无法得到明文；同样也无法篡改，因为这会被企业通过对签名验证而识破。具体实施时，可以利用微软的CryptoAPI组件、JavaScript脚本来实现。 3.4利用数字证书进行身份识别和信息加密