PKI在企业电子商务的应用

时间:2022-02-05 09:54:03

导语:PKI在企业电子商务的应用一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

PKI在企业电子商务的应用

摘要:分析了电子商务企业面临的常见安全威胁,提出了基于公钥基础设施pki的电子商务安全解决方案,能有效保证电子商务活动的安全。

关键词:PKI;CA;数字证书;数字签名

1PKI体系概述

PKI即公钥基础设施,是一个基于非对称算法中的公钥概念及技术而实施并提供安全服务的安全基础设施,网络通讯、网上交易可以利用它来保证信息安全。PKI应用系统至少应具有五个部分:CA、X.500目录服务器、安全WWW服务器、Web安全通信平台、安全应用系统;而CA则是整个PKI的核心,所有的安全应用全围绕CA展开。PKI提供的安全服务包括:身份认证、数据完整性、数据机密性等。

1.1CACA的功能包括

处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。

1.2数字证书

数字证书是由CA发行的一种数字信息文件,用来标志和证明网络通信双方的身份,内容包括:主体身份及公钥信息、CA及签名信息、签名算法等。证书大多采用X.509标准。

1.3数字签名

数字签名是由信息发送者通过HASH函数对信息进行处理,产生别人无法伪造的一段数字串,用以认证信息的来源并核实信息是否发生了变化。发送者用私钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可以确定消息的来源,同时也是对发送者发送信息真实性的一个证明,发送者不能抵赖。

2企业电子商务活动面临的安全问题

企业电子商务活动主要包括售前咨询、在线下单、订单处理、网络支付、物流配送、售后服务等环节。这些环节除在线支付,其它部分没有采用安全加密技术,存在着严重的安全问题。

2.1数据传输过程中的泄露问题

企业使用的通信软件依赖TCP/IP协议,该协议并没有解决身份认证、信息泄密、数据篡改等安全问题,这导致了企业传输数据时面临着严重的安全威胁。例如,企业员工传输的电子邮件明文完全可能被攻击者截获,从而泄露了邮件的内容。

2.2数据存储时的篡改问题

企业存放在云数据库、内部数据库中的数据以明文存储,系统管理员固然可以设置数据文件的访问控制权限,然而却不能防范数据被篡改。一旦入侵者或内部非授权人员得到了数据的读写权限,就可以非法修改数据。系统无法检测数据是否被篡改、被谁篡改这样的安全问题。

2.3用户的身份识别问题

企业电子商务系统普遍采用账户加口令的方式进行认证,这种识别方法安全性较低,攻击者通过穷举尝试等方法就能得到合法用户的账户和口令。身份识别问题同样出现在电子邮件的收发上。员工贸然相信发信方的身份或将机密信件错发到其他人员信箱,都会给个人和企业带来巨大的损失。

3基于PKI的企业电子商务安全解决方案

3.1建立企业内部的CA

企业自建CA有两种技术路线。一是利用开源的OpenSSL软件包。优点是二次开发灵活,可以将安全措施应用于企业自行开发的系统中;缺点是技术性强,需要较为专业的计算机人员来部署。二是利用微软公司Windows服务器产品中提供的证书服务功能。虽然二次开发受限,但是建设简单快捷,且和Windows系列服务器、OutLook邮件客户端无缝结合,所以是首选。具体部署上,通过Windowsserver2008等服务器上的“证书服务”组件来实现,该CA服务器可满足证书申请、颁发等基本需求。

3.2信息传输采用安全的SSL通道

SSL协议由网景公司提出,用于保证浏览器和服务器之间的身份真实及数据秘密传输,其提供的服务包括:身份认证、数据加密、数据完整性校验。电商活动中,利用SSL协议能在客户端和服务器之间提供安全通道。企业可以利用自建CA生成网站服务器的数字证书,安装到WEB服务器上开通SSL,来实现数据加密传输。

3.3利用数字证书对存储的数据进行加密和签名

利用数字证书对机密数据加密并签名,将密文和签名一同存放在数据库,企业可通过签名来检验数据完整性。以企业采购单的存储为例,可将商品采购价格、数量等敏感信息加密、签名,然后存储。即使攻击者获得了企业数据的读写权,也因加密无法得到明文;同样也无法篡改,因为这会被企业通过对签名验证而识破。具体实施时,可以利用微软的CryptoAPI组件、JavaScript脚本来实现。

3.4利用数字证书进行身份识别和信息加密

客户机和服务器的身份识别通过WEB服务器端配置SSL通道选项就可以实现。在SSL协议中,WEB服务器端身份验证是必须的,客户端浏览器的身份验证为可选项。若要强制验证客户浏览器身份,可以在服务器端SSL安全通道选项里选择验证客户端数字证书。通过给邮件客户端程序安装数字证书,能实现邮件的数字签名和加密。安装电子邮件数字证书比较简单,以OutLook为例,在安全选项卡里选择并安装数字证书即可。发邮件时,单击相应按钮就能加密、签名信件。加密后的信件以附件方式传输和存储,只有该用户才能解密。第三方的免费邮箱大多实现了邮件的传输安全,但是邮件的存储并没有加密,上述方法很好地解决了这个问题。

4结语

基于PKI的安全方案为电子商务活动提供了身份认证、数据完整性、数据机密性等服务,使参与者都能在一个受信任的、安全的环境下开展交易活动,保证了电子商务的正常、稳定发展。

作者:丁士杰 谢军 木薇 单位:安徽省宿州学院

参考文献

[1]R.Penman.AnoverviewofPKItrustmodels.IEEENetwork,1999,13(6):38-43

[2]丁士杰.基于SSL的电子商务安全技术研究[D],合肥工业大学,2010

[3]孟丛.电子商务中应用PKI安全技术研究[J],现代工业经济和信息化,2015(1):82-83