作者单位:重庆工程职业技术学院
摘要:本文介绍了电子商务网络安全、面临的威胁及PKI和证书认证的概念,提出了基于PAK 密钥管理平台的证书认证系统模型,探讨了证书认证的安全性以及对保障我国电子商务网络的安全重要性。
关键词:电子商务;网络安全;PKI;证书认证;系统模型
随着网络以及经济的飞速发展,全球经济发展正在进入信息经济时代,互联网正以惊人的速度彻底地改变着人们的工作效率和生活方式。通过它, 人们可以方便快捷地完成许多的商务和政务。作为21 世纪的主要经济增长方式之一的电子商务,将给各国和世界经济带来巨大的变革、产生深远的影响。然而, 由于互联网的开放性和匿名性, 不可避免的存在许多安全隐患。如何保证Internet 网上信息传输的安全,是发展电子商务的重要环节。
1 网络不安全性
电子商务网络安全是网络系统的硬件、软件、数据受到保护,使之不因偶然或恶意的原因而遭到破坏、更改、泄露,系统能连续正常地工作。但是,网络用户群体日益扩大,其复杂程度也在日益增加,会对网络造成危害的各类人物有增无减。显然,网络中的安全问题已日趋严重,网络安全性是影响电子商务健康发展的关键。目前, 许多网上业务都采用用户名和密码的识别方式进行交易, 这种简单方式也给了不法分子入侵的机会。
1. 1 密码容易泄露给他人
用户为了记住密码, 经常采取一些诸如自己生日、门牌号、电话号码等熟悉的号码, 同时还可能将号码记在纸上, 也有可能在不经意间泄密给他人, 这都存在着许多安全隐患。
1. 2 密码网上传输容易截获
信用卡号、银行号、私钥等安全信息密码在网络传输中极易被黑客窃取, 令企业防不胜防。因此, 现在许多机构运用PKI(public key infrastructure 的缩写, 即“公开密钥体系”) 技术实施构建完整的加密/ 签名体系, 更有效地解决上述难题, 在充分利用互联网实现资源共享的前提下, 从真正意义上确保了网上交易与信息传递的安全。
1.3 计算机病毒传播迅速
随着因特网技术的发展,网络中一些恶性病毒的破坏性较严重,这些病毒通过使用者打开网页,攻击计算机系统,会导致管理员重做系统。恶性病毒是在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这些针对计算机或网络发起的、能对网络中的数据或系统的完整性、保密性和可用性造成损害病毒在网络中传播迅速,严重影响了电子商务的信息安全。
2 网络环境下电
子商务的安全需求由于电子商务是一种利用互联网资源进行的商业交易活动, 因而在交易安全方面与互联网的安全性密切相关。
在交易过程中, 主要涉及信息的安全传输、在线支付的安全认证等问题。
2.1 数据保密性需求
在电子商务中, 无论是企业自己的数据, 如计划书、图纸、生产销售数据等, 还是企业间交换的契约、合同或者是用户的订单、支付等都是十分重要和敏感的数据, 这些数据都需要使用良好的加密措施, 保证其在存储和传输中的安全性,保障信息不被非法窃取、泄露、删除和破坏。
2.2 数据完整性需求
必须保证在交易过程中信息的完整性和有效性, 即要保证信息从交易一方送达另一方时, 数据是正确的、有效的, 且发送方不可否认此次交易的存在性和真实性。这需要对传送的数据进行签名和验证。
2.3 身份确认需求
交易是在网上进行的, 所以必须要保证对方确实是要进行交易的一方, 因而身份认证, 是电子商务中非常重要的环节, 是关系在线交易成败的关键。为满足电子商务的安全需要, 实现安全的、有效的在线交易, 需要在Internet 上建立可信的安全的通信基础设施, 通过强认证机制和加密机制来保证安全性,防止计算机网络资源被未授权者使用。
2.4 不可抵赖性
交易一旦达成, 发送方不能否认他发送的信息, 接收方则不能否认他收到的信息。200 4 年 8 月,我国诞生了首部真正意义上的信息化法律一《中华人民共和国电子签名法》,并于2005年4 月1 号正式发布,从此电子签名行为有了法律依据。数字证书和密钥是实现电子签名的技术基础,密钥安全将影响到实施电子签名的效益,因此国家密码管理部门及国家电子签名法严格要求电子认证服务机构必须具备实现完善的身份认证和密钥安全管理的技术能力和市场服务能力。
3 证书认证系统的体系结构
一个实用的PKI/CA 体系应该是安全的、易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它所包含的认证机构(CA)、注册机构(RA)、策略管理、密钥(Key) 与证书(Certificate) 管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。通常来说,CA 是证书的签发机构, 它是PKI的核心。
3.1 PKI 的含义
PKI(Public Key Infrastructure)是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务具有普遍性的安全基础设施, 即“公开密钥体系”。该体系是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI 区别于原有的单密钥加密技术, 它采用的是非对称的加密算法。这种网络加密方式保证了网上交易和信息传输的机密性、真实性、完整性、不可抵赖性。PKI 的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事、和管理行为行为主
体(包括组织和个人)身份的唯一性、真实性和合法性。是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。
3.2 证书认证系统
证书认证系统是证书和密钥的管理平台,是整个PKI 体系的核心部件,可以为用户生成加密证书和签名证书。实行网上安全支付是顺利开展电子商务的前提,建立安全的认证体系(CA)则是电子商务的中心环节。建立CA 的目的是加强电子证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
4 证书认证系统的主要功能
数字证书与日常生活中的身份证相似, 是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份, 并使用数字证书来进行相关的操作, 数字证书主要包括三方面的内容: 证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。
4.1 证书认证在网络安全中的作用
证书认证是判明交易双方真实身份的重要环节,也是电子商务交易过程中的薄弱环节,其主要目标是:(1)确保交易者是交易者本人,而非他人,通过证书认证解决交易者是否存在的问题,避免与虚假交易者进行交易。
(2)避免与超过权限的交易者进行交易。有的交易者真实存在,但违反商业道德,提供假冒伪劣商品,或者恶意透支。利用证书认证,可以有效保护交易安全。
(3)访问控制。拒绝非法用户访问系统,限定合法用户可以访问的系统权限和指定资源。
4.2 证书认证的系统模型
证书认证系统应提供对生命周期内的数字证书进行全过程管理的功能,包括用户注册管理、证书/ 证书注销列表的生成与签发、证书/ 证书注销列表的存储与发布、证书状态的查询和密钥的生成与管理以及安全管理等。(见图1 证书认证系统功能组成)
其中,证书/CRL 存储发布子系统实现数字证书和证书注销列表的存储和发布。
证书/CRL 签发子系统签发各种证书和CRL,并与KMC 通信申请、更新、注销、恢复、下载加密密钥对和变更加密密钥对相关信息。
CA(认证机构)管理子系统实现对以体系的配置、资源管理、授权管理等控制。
安全管理子系统由两部分组成:1)安全审计子系统: 实现事件级的审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。2)系统监控子系统: 提供系统各运行功能模块的监视,实现系统运行故障的告警。
用户/ 远程用户注册子系统实现用户证书的受理、审核、申请和证书下载,以及实现这些操作的授权管理和业务统计。
证书/CRL 查询子系统实现用户和应用系统对证书和证书状态的查询和下载,包括证书状态的在线查询和CRL 下载查询。
在证书认证的系统模型中各功能模块相对独立,通过各模块之间的安全连接,实现各项功能;模块间通信采用TCP/IP 协议和基于身份验证机制的安全通信协议;各功能模块采用统一的调用接口,所有的密码运算都在密码设备中完成;各模块产生的审计日志文件采用统一的格式传递和存储;各功能模块对数据库的访问采用统一接口;系统具备访问控制功能。
5 结束语
随着基于网络环境下数据加密/ 签名的应用越来越广泛,PKI 及数字证书作为技术基础可以很好地实现网络的统一标准的身份认证,包含有线和无线通信领域。而证书认证系统具有可靠性、安全性和兼容性,对保障我国电子商务的安全具有深远意义,能够从全方位为用户提供密钥管理、证书管理和密码服务。电子商务的安全运行, 不仅要从技术角度进行防范, 更要从法律角度加强, 保证电子商务快速健康地发展, 从而促进整个国民经济的不断发展。
参考文献:
1. 甄埠铭. 电子商务基础教程[M]. 大连:东北财经大学出版社,2001. 3.
2. 姜旭平. 电子商务基础与应用[M]. 西安:西安电子科技大学出版社,2000. 第二版
3. 李磊. 电子商务网络安全问题浅析[J]. 西安航空技术高等专科学校学报. 2005 年1 月(25 ~ 27)
4. 杨坚争 杨洁. 电子商务网络信任体系结构研究[J]. 电子商务.2007.5(65 ~ 67)
5. 张伟. 论如何保证电子商务的网络安全[J]. 集团经济研究.2005.12下半月刊( 总第188 期).(189)
| 
