電子商務(wù)安全

前言：本站為你精心整理了電子商務(wù)安全范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

隨著Internet和電子商務(wù)的迅速發(fā)展，電子商務(wù)安全問(wèn)題也變得越來(lái)越重要，如何保障電子交易的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性，已成為電子商務(wù)安全的研究熱點(diǎn)問(wèn)題，PKI技術(shù)作為安全的基礎(chǔ)設(shè)施，是電子商務(wù)安全的關(guān)鍵和基礎(chǔ)技術(shù)。本文對(duì)電子商務(wù)安全以及PKI安全體系進(jìn)行了探討，說(shuō)明了PKI在電子商務(wù)安全中的重要作用。[關(guān)鍵詞]電子商務(wù)安全PKI公鑰一、引言隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開(kāi)放性，互連性，共享性程度的擴(kuò)大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)移動(dòng)通信等新業(yè)務(wù)的興起，信息安全問(wèn)題變得越來(lái)越重要。在各種網(wǎng)絡(luò)信息技術(shù)的應(yīng)用中，保障用戶的合法訪問(wèn)、保證數(shù)據(jù)在傳輸過(guò)程中的保密性，以及確認(rèn)發(fā)送者的合法身份是最基本的安全要求。越來(lái)越多的組織利用公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)為用戶提供信息安全服務(wù)。在我國(guó)，基于PKI技術(shù)的安全方案也從金融、電信等少數(shù)行業(yè)擴(kuò)展到更多領(lǐng)域，出現(xiàn)在電子政務(wù)、電子商務(wù)等各類信息化應(yīng)用中。二、電子商務(wù)安全電子商務(wù)是指各種具有商業(yè)活動(dòng)能力的主體（如企業(yè)、個(gè)人、政府、銀行等）利用網(wǎng)絡(luò)和先進(jìn)的數(shù)字化傳媒技術(shù)開(kāi)展的各項(xiàng)商業(yè)貿(mào)易活動(dòng)。電子商務(wù)作為一種全新的商務(wù)運(yùn)作模式，在不斷發(fā)展的同時(shí)，也帶來(lái)種種安全問(wèn)題。電子商務(wù)安全分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全監(jiān)控方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性。常用的網(wǎng)絡(luò)安全技術(shù)有防火墻、虛擬專用網(wǎng)、入侵檢測(cè)技術(shù)、計(jì)算機(jī)防病毒技術(shù)等。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。具體包括：如何確定通信中貿(mào)易伙伴的真實(shí)性，保證身份的可認(rèn)證性；如何保證電子單證的機(jī)密性，防范電子單證的內(nèi)容被第三方讀取；如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失，或者發(fā)送方可以察覺(jué)所發(fā)單證的丟失；如何保證電子單證內(nèi)容的真實(shí)性、準(zhǔn)確性和完整性；如何保證存儲(chǔ)信息的安全性；如何對(duì)數(shù)據(jù)信息進(jìn)行審查并將審查的結(jié)果進(jìn)行記錄。三、PKI與電子商務(wù)安全互聯(lián)網(wǎng)絡(luò)的開(kāi)放性和匿名性的特征使電子商務(wù)的安全問(wèn)題變得越來(lái)越突出，諸如信息的泄露或篡改，欺騙，抵賴等問(wèn)題。為了防范用戶身份（包括人和設(shè)備）的假冒、數(shù)據(jù)的截取和篡改，以及行為的否認(rèn)等安全漏洞，互聯(lián)網(wǎng)急需一種技術(shù)或體制來(lái)實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證，建立可信的網(wǎng)絡(luò)應(yīng)用環(huán)境，并保證互聯(lián)網(wǎng)上所傳輸數(shù)據(jù)的安全。PKI是為適應(yīng)網(wǎng)絡(luò)開(kāi)放狀態(tài)應(yīng)運(yùn)而生的一種技術(shù)，以前的信息安全技術(shù)（如防火墻、入侵檢測(cè)。防病毒等）基本上都是解決網(wǎng)絡(luò)安全某一方面的問(wèn)題，而PKI則是比較完整的網(wǎng)絡(luò)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。1.什么是PKIPKI（PublicKeyInfrastructure）即“公鑰基礎(chǔ)設(shè)施”，是一套利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，PKI規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開(kāi)放環(huán)境中為開(kāi)放性業(yè)務(wù)提供基于非對(duì)稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份認(rèn)證和密碼管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易，通信和互聯(lián)網(wǎng)上的各種活動(dòng)。2.PKI的組成一個(gè)典型的PKI系統(tǒng)應(yīng)該包括PKI策略，軟硬件系統(tǒng)，認(rèn)證中心CA、注冊(cè)機(jī)構(gòu)RA、證書(shū)簽發(fā)系統(tǒng)和PKI應(yīng)用等基本部分，見(jiàn)圖1PKI的組成框圖。圖PKI的組成框圖(1)PKI策略：是一個(gè)包含如何在實(shí)踐中增強(qiáng)和支持安全策略的一些操作過(guò)程的詳細(xì)文檔，它建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。(2)軟硬件系統(tǒng)是：PKI系統(tǒng)運(yùn)行所需的所有軟件、硬件的集合，主要包括認(rèn)證服務(wù)器、目錄服務(wù)器、PKI平臺(tái)等。(3)認(rèn)證中心CA：是PKI的信任基礎(chǔ)，它負(fù)責(zé)管理密鑰和數(shù)字證書(shū)的整個(gè)生命周期。其作用包括：證書(shū)申請(qǐng)、證書(shū)審批和發(fā)放、規(guī)定證書(shū)的有效期、證書(shū)更新、接收并處理合法身份者的證書(shū)查詢和撤消申請(qǐng)、產(chǎn)生并管理證書(shū)廢止列表CRL、將各用戶的數(shù)字證書(shū)歸檔、產(chǎn)生并管理密鑰（包括密鑰備份及恢復(fù)）、將用戶的歷史數(shù)據(jù)歸檔等。(4)注朋機(jī)構(gòu)RA：是PKI信任體系的重要組成部分，是用戶（可以是個(gè)人或團(tuán)體）和認(rèn)證中心CA之間的一個(gè)接口。主要完成收集用戶信息、確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證中心(以)申請(qǐng)數(shù)字證書(shū)的客戶，它可以是個(gè)人，也可以是集團(tuán)、企業(yè)等機(jī)構(gòu)。[1][2][][](5)證書(shū)簽發(fā)系統(tǒng)：負(fù)責(zé)證書(shū)的發(fā)放，如可以通過(guò)用戶自己，或是通過(guò)目錄服務(wù)。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)有的，也可以是PKI方案中提供的。(6)PKI應(yīng)用：包括在Web服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換(EDI)、在Internet上的信用卡交易和虛擬專業(yè)網(wǎng)（VPN）等。(7)應(yīng)用接口系統(tǒng)（API）：一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，讓用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來(lái)的網(wǎng)絡(luò)環(huán)境的可信性，降低管理和維護(hù)的成本。3.基于PKI的電子商務(wù)安全體系電子商務(wù)的關(guān)鍵是商務(wù)信息電子化，因此，電子商務(wù)安全性問(wèn)題的關(guān)鍵是計(jì)算機(jī)信息的安全性。如何保障電子商務(wù)過(guò)程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如用戶身份識(shí)別碼、用戶名、身份證件號(hào)、地址等）捆綁在一起，形成數(shù)字證書(shū)，以便在Internet上驗(yàn)證用戶的身份。PKI是建立在公鑰理論基礎(chǔ)上的，從公鑰理論出發(fā)，公鑰和私鑰配合使用來(lái)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性；通過(guò)哈希函數(shù)、數(shù)字簽名技術(shù)及消息認(rèn)證碼等技術(shù)來(lái)保證數(shù)據(jù)的完整性；通過(guò)數(shù)字簽名技術(shù)來(lái)進(jìn)行認(rèn)證，且通過(guò)數(shù)字簽名，安全時(shí)間戳等技術(shù)提供不可否認(rèn)性服務(wù)。因此PKI是比較完整的電子商務(wù)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。通常電子商務(wù)的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場(chǎng)。首先買方通過(guò)瀏覽器登錄到電子交易市場(chǎng)的Web服務(wù)器并尋找賣方。當(dāng)買方登錄服務(wù)器時(shí)，買賣雙方都要在網(wǎng)上驗(yàn)證對(duì)方的電子身份證，這被稱為雙向認(rèn)證。在雙方身份被互相確認(rèn)以后，建立起安全通道，并進(jìn)行討價(jià)還價(jià)，之后買方向賣方提交訂單。訂單里有兩種信息：一部分是訂貨信息，包括商品名稱和價(jià)格；另一部分是提交銀行的支付信息，包括金額和支付賬號(hào)。買方對(duì)這兩種信息進(jìn)行雙重?cái)?shù)字簽名，分別用賣方和銀行的證書(shū)公鑰加密上述信息。當(dāng)賣方收到這些交易信息后，留下訂貨單信息，而將支付信息轉(zhuǎn)發(fā)給銀行。賣方只能用自己專有的私鑰解開(kāi)訂貨單信息并驗(yàn)證簽名。同理，銀行只能用自己的私鑰解開(kāi)加密的支付信息、驗(yàn)證簽名并進(jìn)行劃賬。銀行在完成劃賬以后，通知起中介作用的電子交易市場(chǎng)、物流中心和買方，并進(jìn)行商品配送。整個(gè)交易過(guò)程都是在PKI所提供的安全服務(wù)之下進(jìn)行，實(shí)現(xiàn)了真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。四、結(jié)束語(yǔ)綜上所述，PKI技術(shù)是解決電子商務(wù)安全問(wèn)題的關(guān)鍵，綜合PKI的各種應(yīng)用，我們可以建立一個(gè)可信任和足夠安全的網(wǎng)絡(luò)，能夠全面保證電子商務(wù)中信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。