PKI技术在电子商务安全中的应用

信｝息｝科ｌ学　袁志锋　科　ＰＫＩ技术在电子商务安全中的应用　（濮阳职业技术学院，河南濮阳４５７０００）　摘要：随着电子商务的迅速发展和应用，其面临的安全威胁成为制约发展的瓶颈。ＰＫＩ技术作为一种先进的公钥管理理念，为电子商务的发　展提供了安全保证。目前国内外ＰＫＩ的研究均有进展。　关键词：ＰＫＩ；信息安全；电子商务　并设为三个工作组：技术工作　源的访问进行控制，保证只有对资源拥有访问权　础设施指导委员会，１ｗｑ、事务工作组　ｗＧ）和法规政策工作组　随着信息技术日新月异的发展，人类正进＾　限的主体才能访问资源。ｅ不可否认性（Ｎｏｎ－Ｒｅ—　组ｆＬＰＷＧ）。而基于Ｘ５０９的ＰＫＩ（ＰＸｌＸ）的研究主要是　个以网络为媒介的信息时代，基于Ｉｎｔｅｍｅｔ开展　ｐｕｄｉａｔｉｏｎ）：主要目的是保护通信用户免于来自系　（ｎｔｅｒａｃｔ工程技术组　研　发起和负责的。１９９５　的电子商务己经逐渐成为人们进行商务活动的新　统其它合法用户的威胁，而不是来自未知攻击者　由ＩＩＥＴＦ成立了ＰＫＩＸ工作组，它的任务是集中制　模式。广义的讲，除了传统的商务活动外，网络会　的威胁。由于电子商务的兴起对公共网络信息传　年，５０９标准的公钥基石ｉｌｆ设施。ＰＫＩＸ工作组　议、网上谈判、网上会诊、网上投标等所有的网上　输的安全性提出了现实需求，加速了人们对各种　定基于Ｘ．的工作始于删＿Ｔ给出Ｘ５０９建议后，该建议定　业务都可称为电子商务。越来越多的人通过Ｉｎ—　安全机制的研究　ｔｅｒｎｅｔ进行商务活动，电子商务的发展前景十分可　而目应该具有　义数字证书的数据格式和证书绑定公钥的分配方　法。但Ｘ．５０９未对公钥证书数据结构子域、证书扩　观，但随之而来的信息安全问题也变得越来越突　觯、便捷和容易大规模实施的特点。　展以及特定数据值的具体使用给出说明。因此，　出。如何建立—个安全、便捷的电子商务应用环　２　ＰＫＩ信息安全技术的应用　网络的发展催生了信息时代的到来，网络媒　ＰＫＩＸ工作组的第一个草案就是Ｉｎｔｅｒａｃｔ　ＰＫＩ的　境，保证电子商务过程中信息的安全陛，使得基于　互联网的电子交易方式与传统交易方式—样安全　体作为一种前所未有的工具改变着人们的日常生　Ｘ．５０９　Ｖ３和ＣＲＬ　Ｖ２的概况。接下来，各个工作组　可靠，已经成为—个广泛关注的问题。Ｉｎｔｅｒｎｅｔ之　活。随着人们对网络安全的进一步渴望，要求产生　在相互协调的情况下，各自根据相应的情况分别　所以能够迅猛发展，成为全球性的网络，主要依赖　种新的安全模式来满足社会发展的需求。根据　给出了一系列ＰＫＩ实施标准。目前国外比较有代　．Ｂａｌｔｉｍｏｒｅ公司的ＵｎｉＣＥＲＴ，Ｅｎｔｒｕｓｔ　于它的开放性。但是，这种开放式的信息交换方式　上面提出的电子商务的安全需求，一种遵循标准　表性的产品有＂ｍｓｔ／ＰＫＩＳ．Ｏ，ＶｅｒＳｉｇｎ公司的Ｏｎｓｉｔｅ，　的脆弱性。据美国　的利用公钥加密技术为互联网上电子商务提供安　公司的ＥｎｔＢＭ公司的Ｊｏ咖　ＲＳＡ公司的Ｋｅｏｎ等等。同时，　联邦调查局统计，　全平台的公钥基础睃施（Ｐｕｂｉｃ　Ｋｅｙ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅｓ，　Ｉｌ应运而生。ＰＫＩ是—个利用公钥概念与技术来　这些国ｇ－ｋ￣司联合成立了ＰＫＩ技术的业界团体　－的损失为５Ｏ万美元，而—个大银行的数据中心停　ＰＫＩ机一秒的损失为５０００美元。据专家估计，通过计　的具有一般通用性的安　“ＰＫＩ　Ｆｏｒｍ”，负责向软件开发商、Ｉｎｔｅｒｎｅｔ服务提　算机网络入侵、盗窃工商业机密信息、信用卡伪造　全基础设施。　供商　ｓｆ＇、个体用户等普及ＰＫＩ技术知识，以及统　筹ＰＫＩ应用技术的开发。　与犯罪、修改系统关键数据、植入计算机病毒等，　ＰＫＩ技术实质匕是一种先进的密钥　－｛葑）管　每年给全球造成的经济损失达１５０亿美元之巨。　理理念，采用证书概念来绑定实体信息和相应公　３．２国内ＰＫＩ研究发展。我国信息安全技术　但发展迅速，与国际先进国家　如ｆ可保证电子交易的安全性，如何对敏感信窟和　钥，使得别的实体能够验证这种绑定，从而提供彼　研究工作起步较晚，个人信息提供机密性保证，认证交易各方的合法　此间进行交易的凭证。ＰＫＩ为电子商务的发展提　的差距正在缩小。我国从八十年代中期开始研究　身份，保证数据的完整性和交易的不可否认性等，　供如下的安全保、正　计算机网络的安全保密系统，并在各信息系统中　已经成为制约电子商务进一步发展的瓶颈。　２１发送交易消息的人一定是真正的发送　陆续推广应用。为了满足发展我国电子商务的需　且不可否认。　要，国家授权信息产业部、中国人民银行、上海市　总的来看，计算机网络和信息系统面临的安　者，全威胁主要分为四种类型：ａ信息泄漏：指信息被泄　２２接收交易消息的人一定是真正的接收　等职能部门和政府部门负责建立行业或地区ＣＡ　中心。目前来看，作为ＰＫＩ核心技术的认证机构　漏或透露给某个非授权的人或实体。这种威胁来　者。且不可否认。　ＣＡ（Ｃｅｒｔｆｉｃａｔｉｏｎ　Ａｕｔｈ０ｒｉｔ　我国开展电子商务　自诸如窃听、搭线，或者其它更加复杂的信息探测　２３数据的完整性不会遭到破坏。　攻击。ｈ完整性破坏指数据的一致性通过非授权　２’４数据不会泄漏给其他第三者。在电子商　的增删、修改而受到损坏。迎务拒绝　对信息或　务环境中，客户和商家不能依赖传统的面对面的　准化原则，标准包括　５ｏ９标准、ｘ５０ｏ及ＬＤＡＰ　标准、客户端标准和ＰＫＣＳ标准等。目前，全国各　其它资源的合法访问被无条件阻止。其原因可能　交易方式来进行彼此间实体的认证，所以需要一　　地的ＣＡ认证中心己经有几十家，投入的建设资金　是：攻击者通过对系统进行非法的、根本无法成功　种特别的认证手段。ＰＫＩ不仅能够提供ｂ　服务，的访问尝试而产生过量的负荷，从而导致系统资　而且考虑以基础设施的方式进行建设，是一种信　超过ｌＯ亿元人民币，从事ＣＡ运营的人员超过千　人。这些ＣＡ中心主要分为行业性和区域性两种，　源在合法用户看来是不可使用的，也可能是由于　息安全的综合解决方案。　３　ＰＫ／的现状与展望　中国电信认证中心（（ＣＴＣＡ）和中国金融认证中心　系统在物理Ｅ或者逻辑上受到破坏而中断业务。ｄ．　３．１国外ＰＫＩ研究琏Ｅ展。以美国为代表的发　（ＣＦＣＡ）是开发最早、影响最大的两个行业级ＰＫＩ／　非法使用：指某一资源被某个非授权的人或以某一　非授权的方式使用。例如幔入某个计算机系统的　达国家十分重视信息安全理论的研究、产品或系　ＣＡ系统；区域级ＣＡ大多以地方政府为背景，以公　影响较大的是上海电子商务ＣＡ认　攻击者会利用此系统作为盗用电信业务的基点，　统的开发，并目成立了许多信息安全组织，以推动　司机制来运作，信息安全技术标准的制定。九十年代初，随着互联　证中心和广东省电子商务认证中Ｊ　。　或者作为侵＾其它系统的出发点。　根据上述开放网络所面临的种种危险，提出　网应用的普及，为了给电子政务和电子商务的发　参考文献　了相应的安全服务要求，概括起来这些安全需求　展提供—个安全的网络环境，美国国家惦；准技术　［１】聂元名，丘平．网络信息安全技术　北京科学出　￣－．２００５．　服务主要包括以下几个方面：　研究所联合几个联邦机构研究公钥在政府机构中　ｆ２ｌｉｔ￣锌　公钥密码体制的密码分析１　中国学术期　ａ保密性（Ｃｏ　ｄｅｎｔｉａｌｉｔｙ）：指系统能够防止敏　的应用，开始制定国家级ＰＫＩ系列规范ＦＰＫＩ。联　［１电子商务的安全需求　—。—感信息的非授权泄漏，即防止敏感信息泄漏给根　据系统的安全策略不该拥有该信息的主体。ｈ鉴别　与认证（Ｉｄｅｎｔｉｉｆｃａｔｉｏｎ　ａｎｄ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ）：用于通　信过程中彼此认汪通ｆ￣－ＴＹ的身份和数据源的合　法性。蝴完整性（Ｄａｔａ　Ｉｎｔｅｇｒｉｔｙ）：保证系统中的　软件和数据不被非法删改，从而使得网络传输中　的数据具有真实陛、有效性和一致性。ｄ访问控制　（Ａｃｃ￣ｓ　Ｃｏｎｔｍ￣：又称安全访问，指系统能够对资　邦公钥基础设施支持联邦政府安全地使晤信皂资　源和国家信息基础设施（ＮＩＤ。除此之外，它还支持　联邦各种政府机构、各州地方政府、商业组织以及　公众之间的安全通信与安全商务。加拿大政府也　制定了本国ＰＫＩ标准ＧＯＣＰＫＩ。从１９９６年起，美　国成立了国家信息技术服务局、国家航空与空间　局　ＡｓＡ】、国家技术标准研究所￣ｄｓ３）、国家安全　局（ＮＳＡ）等２０个联合机构所参与的联邦公钥基　刊文摘２ｏｏＯ矗　『３］关振胜．公钥基础设施ＰＫＩ与认证机构ＣＡ兀　北　京：电子工业￣ｋ２００６．　作者简介：袁志￣＇（１９７０－），男，濮阳职业技术　学院工商管理系，高级经济师。　一７３—