前言：本站為你精心整理了電子商務(wù)安全管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心，是電子商務(wù)安全實施的基本保障，已充分應(yīng)用到各種電子商務(wù)安全解決方案之中，因此，對PKI技術(shù)的研究和開發(fā)成為目前信息安全領(lǐng)域的熱點。在分析了當(dāng)前電子商務(wù)面臨的威脅后，利用PKI理論給出了解決電子商務(wù)安全的合理方案。

[關(guān)鍵詞]公鑰基礎(chǔ)設(shè)施電子商務(wù)認證中心

一、引言

隨著網(wǎng)絡(luò)的不斷發(fā)展和計算機的普及，許多企業(yè)和商家逐漸開始和擴大在網(wǎng)上的商務(wù)活動，發(fā)展非常迅速。電子商務(wù)(electroniccommerce)也成為當(dāng)今網(wǎng)絡(luò)時代的重要課題。電子商務(wù)可以改善服務(wù)，降低成本，提高效率，增加利潤，預(yù)期還會取得更大的發(fā)展。電子商務(wù)是信息技術(shù)與商務(wù)的結(jié)合?？紤]到Internet的開放性與商務(wù)活動的保密性之間的矛盾,電子商務(wù)的安全保障成了亟待解決的關(guān)鍵問題。

二、電子商務(wù)面臨的安全問題

電子商務(wù)尚是一個機遇和挑戰(zhàn)并存的新領(lǐng)域，這種挑戰(zhàn)在很大程度上來源于對有關(guān)安全技術(shù)的信賴。由于現(xiàn)在網(wǎng)絡(luò)的信息傳輸是建立在信息明文傳輸?shù)幕A(chǔ)之上，使得電子商務(wù)交易雙方：銷售者和消費者都面臨不同的安全威脅。

1.信息泄露

商務(wù)信息一般都有保密的要求，尤其是涉及到一些商業(yè)機密及有關(guān)支付等敏感的信息內(nèi)容。信息泄露在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄露。交易雙方進行交易的內(nèi)容有可能被第三方竊取，交易一方提供給另一方的文件有可能被未授權(quán)用戶非法使用。

2.信息篡改

電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能被他人非法修改或刪除，這樣就使信息失去了真實性、完整性和公正性。

3.身份認證

參與交易的人首先要能確定對方的真實身份與對方所聲稱的是否一致，特別是在涉及到電子支付時，更應(yīng)該確定對方的信用卡、賬戶等是否真實有效。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等，進行身份識別后，交易雙方就可防止“相互猜疑”的情況,從而解決信任問題。

4.抵賴性

抵賴性包括發(fā)送方對發(fā)送消息的否認和接收方否認接收過某消息。在交易中，當(dāng)一條信息被發(fā)送或被接受后，應(yīng)該保證信息的收發(fā)方都有足夠的證據(jù)來證明對該信息的操作確實發(fā)生了，并能確定收發(fā)方的真實身份，以保證交易發(fā)生糾紛時有所對證。

三、PKI在電子商務(wù)安全方面的應(yīng)用

1.PKI技術(shù)

PKI是公開密鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure）的英文縮寫，是基于公開密鑰理論與技術(shù)的網(wǎng)絡(luò)安全與認證體系。PKI能便利的提供下列幾項安全要求:身份認證、不可否認性、完整性、機密性及存取控制。PKI是電子商務(wù)的安全基礎(chǔ)，用來建立不同實體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù)，核心是證書服務(wù)。用戶使用由證書授權(quán)認證中心CA簽發(fā)的數(shù)字證書，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性，并進行用戶身份的識別。一個典型的PKI系統(tǒng)包括PKI策略、軟硬件系統(tǒng)、證書機構(gòu)CA、注冊機構(gòu)RA、證書系統(tǒng)和PKI應(yīng)用。

(1)PKI策略:建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。它包括一個組織怎樣根據(jù)風(fēng)險的級別定義安全控制的級別；

(2)證書機構(gòu)CA:是PKI的信任基礎(chǔ)，它管理公鑰的整個生命周期，其作用包括:發(fā)放證書、規(guī)定證書的有效期和通過證書廢除列表(CRL)確保必要時可以廢除證書;

(3)注冊機構(gòu)RA:提供用戶和CA之間的一個接口，它獲取并認證用戶的身份，向CA提出證書請求。對于一個規(guī)模較小的PKI應(yīng)用系統(tǒng)，可以把注冊管理的職能由認證中心CA來完成，而不設(shè)立獨立運行的RA。PKI國際標(biāo)準(zhǔn)推薦由一個獨立的RA來完成注冊管理的任務(wù)，可以增強應(yīng)用系統(tǒng)的安全；

(4)證書系統(tǒng):負責(zé)證書的發(fā)放，如可以通過用戶自己，也可以通過目錄服務(wù)器;

(5)PKI應(yīng)用:包括在Web服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換（EDI）、在Internet上的信用卡交易和虛擬私有網(wǎng)(VPN)等。

2.PKI在電子商務(wù)安全中的應(yīng)用

(1)數(shù)據(jù)傳輸?shù)臋C密性。PKI的主要的功能之一就是保證數(shù)據(jù)傳輸?shù)臋C密性，即：數(shù)據(jù)在傳輸過程中,不能被非授權(quán)者偷看。PKI是建立在公共密鑰理論的基礎(chǔ)上的，公鑰和私鑰配合使用可以保證數(shù)據(jù)傳輸?shù)臋C密性。數(shù)據(jù)的發(fā)送者希望其所發(fā)送的數(shù)據(jù)能安全的傳送到接收者手中，并且只被有權(quán)查看該數(shù)據(jù)的接收者所閱讀。數(shù)據(jù)發(fā)送者首先利用接收者的公鑰將其明文加密，然后將密文傳送給接收者，接收者收到數(shù)據(jù)以后，利用其私鑰將其解密，還原為明文，即使是數(shù)據(jù)被非法截獲，因為沒有接收者的私有密鑰，別人也無法將其解碼。這樣使數(shù)據(jù)的發(fā)送者可以放心地發(fā)送數(shù)據(jù)。

(2)用戶身份的識別。PKI另一個主要的功能就是在電子交易中進行身份驗證，交易雙方利用PKI提供的數(shù)字證書來證實并驗證其身份，保證交易的有效性,即交易不可被否認的功能。

(3)信任關(guān)系的建立。建立對Internet交易的信任是電子商務(wù)領(lǐng)域的一個最重要的也最具有挑戰(zhàn)性的課題。PKI由認證中心(CA)，數(shù)字證書庫，密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口等部分構(gòu)成。PKI的關(guān)鍵組成部分是CA，CA負責(zé)生成、分發(fā)和撤消數(shù)字證書。CA具有分層的組織結(jié)構(gòu)，其中每個父CA為下屬CA的公共密鑰簽署證書提供擔(dān)保。認證過程由用戶證書開始，并沿著證書的路徑向上進行，直到證書可以為一個更高層次的CA確認。為了保證CA分層體系之間具有可操作性，不同的分層體系，必須能夠索取和驗證每個CA體系的有效性。

四、基于PKI的電子商務(wù)安全系統(tǒng)

經(jīng)過分析電子商務(wù)面臨的威脅和所需要的安全保障條件，利用PKI技術(shù)可以構(gòu)造電子商務(wù)安全系統(tǒng)，如圖所示。

(5)站點向商家發(fā)送訂單，確定交易成功。電子商務(wù)站點生成訂單通知，進行簽名，通過安全信道傳送給商家，并把相關(guān)訂單信息簽名后傳送給用戶，整個網(wǎng)上交易過程結(jié)束。在站點向商家和用戶進行訂單消息發(fā)送時，屏蔽對方的相關(guān)信息，使得用戶得到訂單后，用戶能確認是站點發(fā)送的合法訂單而得不到商家的其他信息，對商家亦然。

2.特性分析

(1)基于PKI的安全性。PKI體系的安全性依賴于公鑰技術(shù)的安全性，公鑰體制是建立在一些難解的數(shù)學(xué)問題之上的，如大數(shù)分解、離散對數(shù)等問題。從目前市場上廣泛使用的1024位的RSA公開密鑰算法來說，它被破解的可能性是微乎其微的。然而它的安全性受到了計算能力的發(fā)展和數(shù)學(xué)的發(fā)展兩方面的挑戰(zhàn)。數(shù)學(xué)的飛速發(fā)展也直接威脅著現(xiàn)行的公鑰體制，但是至今這類難解的數(shù)學(xué)問題尚未有比較好的解決辦法。

(2)保證商務(wù)活動的完整性。一般地商務(wù)活動可以劃分為三個級別的事件原子性:其一是錢原子性，錢從一方撥款給另一方，要么對方肯定收到，要么退回，而不可能有丟失、偽造、篡改等可能。錢原子性是電子商務(wù)中的起碼要求，本系統(tǒng)中的安全電子商務(wù)系統(tǒng)就能夠有力的保證錢原子性。其二是貨原子性，當(dāng)且僅當(dāng)貨款已到，顧客必將收到他所購買的貨物。即不可能付了錢得不到貨，也不可能得了貨而未付錢，本系統(tǒng)中這一點可以有交易雙方和電子商務(wù)站點各自的簽名來保證。三是檢定交貨，除保證錢原子性和貨原子性外，還要求銷售方能夠證明他所交運的是什么貨物，顧客能夠證明他實際收到的是什么貨物。這些事件的原子性通過為錢對象和貨物對象簽發(fā)證書及事務(wù)流程的審計功能來實現(xiàn)。

五、總結(jié)

安全是電子商務(wù)的核心和靈魂，沒有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。電子商務(wù)的安全日受到越來越多的重視，其應(yīng)用可以很好的由PKI技術(shù)來支持。PKI體系結(jié)構(gòu)是保證電子商務(wù)安全的一套完整有效的解決方案。作為網(wǎng)絡(luò)環(huán)境的一種基礎(chǔ)設(shè)施，PKI具有良好性能，是一個比較完整的安全體系。

參考文獻:

[1]馮登國:網(wǎng)絡(luò)安全原理與技術(shù)[M].北京:科學(xué)出版社,2003.9

[2]中國信息安全產(chǎn)品測評認證中心.信息安全理論與技術(shù).北京:人民郵電出版社，2003

[3]汪立東余祥湛方濱興:PKI中幾個安全問題的研究.計算機工程,2000(1):14～16

[4]孟博熊麗陳浩然:基于PKI的電子商務(wù)安全研究.計算機工程與應(yīng)用,2005(11):237～239

[5]吳永英黃凌翼:易寶林PKI在電子商務(wù)中的應(yīng)用[J].華中科技大學(xué)學(xué)報2001,29(9):7～9

[6]李金庫張德運張勇:身份認證機制及其安全性分析.計算機應(yīng)用研究．2007

[7]吳曉平:PKI/CA在專用信息系統(tǒng)中的建設(shè)及應(yīng)用研究[D].四川大學(xué),2006

[8]丁惠春:PKI及其在電子政務(wù)中的應(yīng)用研究[D].西北工業(yè)大學(xué),2005

[9]強勇軍:PKI/CA的構(gòu)建與應(yīng)用[D].電子科技大學(xué),2006