PKI技术下电子商务信息安全研究.docVIP

第 PAGE 第 PAGE 1 页 共 NUMPAGES 1 页 免责声明：图文来源网络征集，版权归原作者所有。若侵犯了您的合法权益，请作者持权属证明与本站联系，我们将及时更正、删除！谢谢！ PKI技术下电子商务信息安全研究 摘要：作为一种全新的商业运营模式，电子商务的出现极大地方便了人们的生产生活，但同时因其作为互联网爆炸式发展的产物及互联网本身所具有的开放性等特点，信息的安全性问题也日益突出。PKI作为一种基于公钥密码学算法的安全基础服务设施，其应用能够为用户的通信提供全面的安全服务，满足电子商务中信息安全的要求。基于电子商务环境中常见的信息安全问题，本文对PKI技术体系进行了介绍，并简要阐释了其在电子商务信息安全方面的应用。 关键词：电子商务；信息安全；PKI；应用 1常见的电子商务信息安全威胁 与传统商业活动不同，凡是以电子交易形式开展的商务活动都属于电子商务的范畴，既包括狭义上的各种基于网络的商务贸易活动，如大众熟悉的网上购物活动，也包括广义上所有采用电子形式开展的服务活动，如电子数据交换技术、在线事务处理、电子邮件等。随着互联网的迅速发展，电子商务的出现不仅使我们的生活更加便捷，而且也在很大程度上推动了我国经济社会的蓬勃发展。据《中国电子商务报告（2019）》指出，近年来互联网经济在我国国民经济的发展中贡献了巨大力量，仅2019年全国电子商务交易额就高达34.81万亿元。但随之而来的是开放性网络所带来的信息安全问题，包括病毒感染、网络攻击、数据信息泄露等，信息安全事故的频繁发生不仅对人们的生产生活造成了重大影响，同时也成了阻碍我国信息化建设发展的绊脚石。常见的信息安全威胁包括：1.1用户身份的假冒。由于商贸及服务活动是在。网络环境下进行的，交易双方无法碰面，所以交易双方身份的核实就显得尤其重要，特别是在电子货币支付过程中，假冒交易方身份进行欺诈、诈骗的案件时有发生。1.2通讯数据的篡改。数据包（信息或资金）在网络系统通讯的过程中，不乏存在不法之人利用非法手段截获数据并进行篡改，或插入误导信息，或删除部分数据包。1.3通讯数据的窃取。高度开放的网络环境下也使得窃听事件时有发生，不法之人通过窃听接收装置（包括路由器或交换机的电磁波），精准截获通讯过程中传输的数据包，并通过分析，盗取通讯数据，如用户的个人身份信息、通讯方式、银行信息、商品的报价、客户名单、技术工艺等商业机密，给用户及企业造成了重大的经济损失。1.4交易行为的抵赖交易诚信度的降低也是虚拟网络带来的一个问题，交易的履约情况难以保障，抵赖行为时有发生。部分用户以非法获利为目的，否认自己在虚拟电子商务环境下做出的各种商务行为，逃避责任。 2PKI体系概述 公钥基础设施（PublicKeyInfrastructure，PKI），简称PKI技术体系，主要利用加密密钥与解密密钥不对称的特点，将公开密钥公开发布出去，以证书为中枢，对网络中的用户身份进行认证，为电子商务提供了全面的信息安全服务，从而使那些互不相识的或距离很远的用户能够通过信任链安全地通信。PKI技术体系由以下5个部分组成：（1）证书签发系统CA（CertificationAuthorities）：作为PKI的中枢，它的管理贯穿于公钥的整个生命周期，完成用户身份与公钥是否匹配的公证工作，主要包括接收并验证证书的申请请求，证书的颁发、证书的废止及归档。（2）证书注册系统RA（RegistrationAuthorities）：作为连接证书受理点和CA的桥梁，RA主要负责审核证书申请者的资格，并决定是否允许CA为该用户签发证书。此过程不仅核验了用户的身份，同时保证了公共密钥的有效性。除核验用户身份外，RA还负责登记及发布黑名单证书。若PKI的应用规模较小，可考虑将证书注册系统RA与证书签发系统CA合二为一。（3）证书和证书库：证书是网络环境中各类实体（机关、企业、个人、服务器等）身份的证明，符合X_509国际标准，类似于现实世界中的个人身份证。证书由具备权威性、可信性和公正性的证书签发系统签发。而证书库，一般采用多级分布式映像结构来集中存放CA签发和撤销的证书，公众可就证书的有效性或公钥是否获取等问题在证书库处进行查询。（4）密钥备份及恢复系统：PKI提供了用于备份及恢复密钥的系统，以防止因用户丢失解密密钥而造成的数据读取失败问题[1]。（5）应用接口系统：完整的PKI技术体系需提供匹配的应用接口系统供用户使用相关加密服务。PKI实际应用的效果及效率直接取决于应用接口是否容易使用及其是否完整。 3PKI技术体系的加密原理 PKI技术体系的加密原理主要包括以下4种：3.1对称加密原理。对称加密是指在发送方和接收