基于ＰＫＩ的電子商務安全的研究與實現

[摘要] 公鑰基礎設施(Public Key Infrastructure)是目前網絡安全建設的基礎與核心，是電子商務安全實施的基本保障，已充分應用到各種電子商務安全解決方案之中，因此，對PKI技術的研究和開發成為目前信息安全領域的熱點。在分析了當前電子商務面臨的威脅后，利用PKI理論給出了解決電子商務安全的合理方案。

[關鍵詞] 公鑰基礎設施 電子商務 認證中心

一、引言

隨著網絡的不斷發展和計算機的普及，許多企業和商家逐漸開始和擴大在網上的商務活動，發展非常迅速。電子商務(electronic commerce) 也成為當今網絡時代的重要課題。電子商務可以改善服務，降低成本，提高效率，增加利潤，預期還會取得更大的發展。電子商務是信息技術與商務的結合。考慮到Internet的開放性與商務活動的保密性之間的矛盾，電子商務的安全保障成了亟待解決的關鍵問題。

二、電子商務面臨的安全問題

電子商務尚是一個機遇和挑戰并存的新領域，這種挑戰在很大程度上來源于對有關安全技術的信賴。由于現在網絡的信息傳輸是建立在信息明文傳輸的基礎之上，使得電子商務交易雙方：銷售者和消費者都面臨不同的安全威脅。

1.信息泄露

商務信息一般都有保密的要求，尤其是涉及到一些商業機密及有關支付等敏感的信息內容。信息泄露在電子商務中表現為商業機密的泄露。交易雙方進行交易的內容有可能被第三方竊取，交易一方提供給另一方的文件有可能被未授權用戶非法使用。

2.信息篡改

電子的交易信息在網絡上傳輸的過程中，可能被他人非法修改或刪除，這樣就使信息失去了真實性、完整性和公正性。

3.身份認證

參與交易的人首先要能確定對方的真實身份與對方所聲稱的是否一致，特別是在涉及到電子支付時，更應該確定對方的信用卡、賬戶等是否真實有效。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等，進行身份識別后，交易雙方就可防止“相互猜疑”的情況，從而解決信任問題。

4.抵賴性

抵賴性包括發送方對發送消息的否認和接收方否認接收過某消息。在交易中，當一條信息被發送或被接受后，應該保證信息的收發方都有足夠的證據來證明對該信息的操作確實發生了，并能確定收發方的真實身份，以保證交易發生糾紛時有所對證。

三、PKI在電子商務安全方面的應用

1.PKI技術

PKI是公開密鑰基礎設施(Public Key Infrastructure）的英文縮寫，是基于公開密鑰理論與技術的網絡安全與認證體系。PKI能便利的提供下列幾項安全要求:身份認證、不可否認性、完整性、機密性及存取控制。PKI是電子商務的安全基礎，用來建立不同實體間的“信任”關系。它的基礎是加密技術，核心是證書服務。用戶使用由證書授權認證中心CA簽發的數字證書，結合加密技術，可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴性，并進行用戶身份的識別。一個典型的PKI系統包括PKI策略、軟硬件系統、證書機構CA、注冊機構RA、證書發布系統和PKI應用。

(1)PKI策略:建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。它包括一個組織怎樣根據風險的級別定義安全控制的級別；

(2)證書機構CA:是PKI的信任基礎，它管理公鑰的整個生命周期，其作用包括:發放證書、規定證書的有效期和通過發布證書廢除列表(CRL)確保必要時可以廢除證書;

(3)注冊機構RA:提供用戶和CA之間的一個接口，它獲取并認證用戶的身份，向CA提出證書請求。對于一個規模較小的PKI應用系統，可以把注冊管理的職能由認證中心CA 來完成，而不設立獨立運行的RA。PKI 國際標準推薦由一個獨立的RA 來完成注冊管理的任務，可以增強應用系統的安全；

(4)證書發布系統:負責證書的發放，如可以通過用戶自己，也可以通過目錄服務器;

(5)PKI應用:包括在Web服務器和瀏覽器之間的通訊、電子郵件、電子數據交換（EDI）、在Internet上的信用卡交易和虛擬私有網(VPN)等。

2.PKI在電子商務安全中的應用

(1)數據傳輸的機密性。PKI的主要的功能之一就是保證數據傳輸的機密性，即：數據在傳輸過程中， 不能被非授權者偷看。PKI是建立在公共密鑰理論的基礎上的，公鑰和私鑰配合使用可以保證數據傳輸的機密性。數據的發送者希望其所發送的數據能安全的傳送到接收者手中，并且只被有權查看該數據的接收者所閱讀。數據發送者首先利用接收者的公鑰將其明文加密，然后將密文傳送給接收者，接收者收到數據以后，利用其私鑰將其解密，還原為明文，即使是數據被非法截獲，因為沒有接收者的私有密鑰，別人也無法將其解碼。這樣使數據的發送者可以放心地發送數據。

(2)用戶身份的識別。PKI另一個主要的功能就是在電子交易中進行身份驗證，交易雙方利用PKI提供的數字證書來證實并驗證其身份，保證交易的有效性， 即交易不可被否認的功能。

(3)信任關系的建立。建立對Internet交易的信任是電子商務領域的一個最重要的也最具有挑戰性的課題。PKI由認證中心(CA)，數字證書庫，密鑰備份及恢復系統、證書作廢系統、應用接口等部分構成。PKI的關鍵組成部分是CA，CA負責生成、分發和撤消數字證書。CA具有分層的組織結構，其中每個父CA為下屬CA的公共密鑰簽署證書提供擔保。認證過程由用戶證書開始，并沿著證書的路徑向上進行，直到證書可以為一個更高層次的CA確認。為了保證CA分層體系之間具有可操作性，不同的分層體系，必須能夠索取和驗證每個CA體系的有效性。

四、基于PKI的電子商務安全系統

經過分析電子商務面臨的威脅和所需要的安全保障條件，利用PKI技術可以構造電子商務安全系統，如圖所示。

本系統采用X.509證書來對客戶和服務器進行身份驗證，通過SSL協議建立用戶和服務器之間的安全傳輸通道，利用公鑰和簽名保證數據的保密性和完整性，利用時間戳實現訂單的抗抵賴性。

1.系統實現

本系統實現步驟如下:

(1)用戶通過瀏覽器和網絡訪問電子商務站點，進行客戶端認證。用戶要求Web服務器通過SSL連接建立過程。在此過程中，客戶要求服務器出示服務器證書。電子商務站點服務器向用戶發送認證請求，用戶發送自己的證書表明自己的身份。其中驗證包括驗證證書的有效性和證書的狀態。

(2)電子商務站點確定用戶的權限，允許用戶進行購買。電子商務站點首先確定用戶是否有權消費，從用戶證書中獲取用戶身份，檢查證書中該用戶是否有權訪問商家訂單項。經過對用戶權限確定之后，如果用戶為合法用戶，則允許用戶進行商品預定和購買。

(3)定購完成并生成訂單。用戶在完成定購之后，隨即生成電子訂單。在對訂單進行發送時，進行以下工作。用戶先對訂單進行一個哈希計算，得到摘要Hash(DD)用以保證該訂單在傳輸途中的完整性;用戶對該消息摘要進行簽名，形式為Sign(Hash(DD));用戶講加密訂單的密鑰及密文信息和簽名信息發送給電子商務站點服務器。

(4)商家驗收訂單，記錄該交易。商家收到訂單后，通過用戶證書中的公鑰驗證用戶的簽名以確保是某用戶的訂單，并可以相信該訂單是否在傳輸途中被竄改。在無其他差錯情況下記錄這次交易與數據庫中。

(5)站點向商家發送訂單，確定交易成功。電子商務站點生成訂單通知，進行簽名，通過安全信道傳送給商家，并把相關訂單信息簽名后傳送給用戶，整個網上交易過程結束。在站點向商家和用戶進行訂單消息發送時，屏蔽對方的相關信息，使得用戶得到訂單后，用戶能確認是站點發送的合法訂單而得不到商家的其他信息，對商家亦然。

2.特性分析

(1)基于PKI的安全性。PKI體系的安全性依賴于公鑰技術的安全性，公鑰體制是建立在一些難解的數學問題之上的，如大數分解、離散對數等問題。從目前市場上廣泛使用的1024位的RSA公開密鑰算法來說，它被破解的可能性是微乎其微的。然而它的安全性受到了計算能力的發展和數學的發展兩方面的挑戰。數學的飛速發展也直接威脅著現行的公鑰體制，但是至今這類難解的數學問題尚未有比較好的解決辦法。

(2)保證商務活動的完整性。一般地商務活動可以劃分為三個級別的事件原子性:其一是錢原子性，錢從一方撥款給另一方，要么對方肯定收到，要么退回，而不可能有丟失、偽造、篡改等可能。錢原子性是電子商務中的起碼要求，本系統中的安全電子商務系統就能夠有力的保證錢原子性。其二是貨原子性，當且僅當貨款已到，顧客必將收到他所購買的貨物。即不可能付了錢得不到貨，也不可能得了貨而未付錢，本系統中這一點可以有交易雙方和電子商務站點各自的簽名來保證。三是檢定交貨，除保證錢原子性和貨原子性外，還要求銷售方能夠證明他所交運的是什么貨物，顧客能夠證明他實際收到的是什么貨物。這些事件的原子性通過為錢對象和貨物對象簽發證書及事務流程的審計功能來實現。

五、總結

安全是電子商務的核心和靈魂，沒有安全保障的電子商務應用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務流程中傳輸。電子商務的安全日受到越來越多的重視，其應用可以很好的由PKI技術來支持。PKI體系結構是保證電子商務安全的一套完整有效的解決方案。作為網絡環境的一種基礎設施，PKI具有良好性能，是一個比較完整的安全體系。

參考文獻:

[1]馮登國:網絡安全原理與技術[M].北京:科學出版社，2003.9

[2]中國信息安全產品測評認證中心.信息安全理論與技術.北京:人民郵電出版社，2003

[3]汪立東余祥湛方濱興:PKI中幾個安全問題的研究.計算機工程， 2000(1):14～16

[4]孟博熊麗陳浩然:基于PKI的電子商務安全研究. 計算機工程與應用， 2005(11):237～239

[5]吳永英黃凌翼:易寶林PKI在電子商務中的應用[J].華中科技大學學報2001， 29(9):7～9

[6]李金庫張德運張勇:身份認證機制及其安全性分析. 計算機應用研究．2007

[7]吳曉平:PKI/CA在專用信息系統中的建設及應用研究[D].四川大學，2006

[8]丁惠春:PKI及其在電子政務中的應用研究[D].西北工業大學，2005

[9]強勇軍:PKI/CA的構建與應用[D].電子科技大學，2006

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”