PKI在企業電子商務中的應用研究

丁士杰,謝 軍,木 薇（安徽省宿州學院，234000）

?

PKI在企業電子商務中的應用研究

丁士杰,謝 軍,木 薇
（安徽省宿州學院，234000）

摘要：分析了電子商務企業面臨的常見安全威脅，提出了基于公鑰基礎設施PKI的電子商務安全解決方案，能有效保證電子商務活動的安全。

關鍵詞：PKI；CA；數字證書；數字簽名

1　PKI體系概述

PKI即公鑰基礎設施，是一個基于非對稱算法中的公鑰概念及技術而實施并提供安全服務的安全基礎設施，網絡通訊、網上交易可以利用它來保證信息安全。PKI應用系統至少應具有五個部分：CA、X.500目錄服務器、安全WWW服務器、Web安全通信平臺、安全應用系統；而CA則是整個PKI的核心，所有的安全應用全圍繞CA展開。PKI提供的安全服務包括：身份認證、數據完整性、數據機密性等。

1.1CA

CA的功能包括：處理數字證書申請、頒發數字證書、證書更新及撤銷、管理數字證書撤銷表、數字證書的歸類及存檔。

1.2數字證書

數字證書是由CA發行的一種數字信息文件，用來標志和證明網絡通信雙方的身份，內容包括：主體身份及公鑰信息、CA及簽名信息、簽名算法等。證書大多采用X.509標準。

1.3數字簽名

數字簽名是由信息發送者通過HASH函數對信息進行處理，產生別人無法偽造的一段數字串，用以認證信息的來源并核實信息是否發生了變化。發送者用私鑰加密數據傳給接收者，接收者用發送者的公鑰解開數據后，就可以確定消息的來源，同時也是對發送者發送信息真實性的一個證明，發送者不能抵賴。

2　企業電子商務活動面臨的安全問題

企業電子商務活動主要包括售前咨詢、在線下單、訂單處理、網絡支付、物流配送、售后服務等環節。這些環節除在線支付,其它部分沒有采用安全加密技術，存在著嚴重的安全問題。

2.1數據傳輸過程中的泄露問題

企業使用的通信軟件依賴TCP/IP協議，該協議并沒有解決身份認證、信息泄密、數據篡改等安全問題，這導致了企業傳輸數據時面臨著嚴重的安全威脅。例如，企業員工傳輸的電子郵件明文完全可能被攻擊者截獲，從而泄露了郵件的內容。

2.2數據存儲時的篡改問題

企業存放在云數據庫、內部數據庫中的數據以明文存儲，系統管理員固然可以設置數據文件的訪問控制權限，然而卻不能防范數據被篡改。一旦入侵者或內部非授權人員得到了數據的讀寫權限，就可以非法修改數據。系統無法檢測數據是否被篡改、被誰篡改這樣的安全問題。

2.3用戶的身份識別問題

企業電子商務系統普遍采用賬戶加口令的方式進行認證，這種識別方法安全性較低，攻擊者通過窮舉嘗試等方法就能得到合法用戶的賬戶和口令。身份識別問題同樣出現在電子郵件的收發上。員工貿然相信發信方的身份或將機密信件錯發到其他人員信箱，都會給個人和企業帶來巨大的損失。

3　基于PKI的企業電子商務安全解決方案

3.1建立企業內部的CA

企業自建CA有兩種技術路線。一是利用開源的OpenSSL軟件包。優點是二次開發靈活，可以將安全措施應用于企業自行開發的系統中；缺點是技術性強，需要較為專業的計算機人員來部署。二是利用微軟公司Windows服務器產品中提供的證書服務功能。雖然二次開發受限，但是建設簡單快捷，且和Windows系列服務器、OutLook郵件客戶端無縫結合，所以是首選。具體部署上，通過Windows server 2008 等服務器上的“證書服務”組件來實現，該CA服務器可滿足證書申請、頒發等基本需求。

3.2信息傳輸采用安全的SSL通道

SSL協議由網景公司提出，用于保證瀏覽器和服務器之間的身份真實及數據秘密傳輸，其提供的服務包括：身份認證、數據加密、數據完整性校驗。電商活動中，利用SSL協議能在客戶端和服務器之間提供安全通道。企業可以利用自建CA生成網站服務器的數字證書，安裝到WEB服務器上開通SSL，來實現數據加密傳輸。

3.3利用數字證書對存儲的數據進行加密和簽名

利用數字證書對機密數據加密并簽名，將密文和簽名一同存放在數據庫，企業可通過簽名來檢驗數據完整性。以企業采購單的存儲為例，可將商品采購價格、數量等敏感信息加密、簽名，然后存儲。即使攻擊者獲得了企業數據的讀寫權，也因加密無法得到明文；同樣也無法篡改，因為這會被企業通過對簽名驗證而識破。具體實施時，可以利用微軟的CryptoAPI組件、JavaScript腳本來實現。

3.4利用數字證書進行身份識別和信息加密

客戶機和服務器的身份識別通過WEB服務器端配置SSL通道選項就可以實現。在SSL協議中，WEB服務器端身份驗證是必須的，客戶端瀏覽器的身份驗證為可選項。若要強制驗證客戶瀏覽器身份，可以在服務器端SSL安全通道選項里選擇驗證客戶端數字證書。

通過給郵件客戶端程序安裝數字證書，能實現郵件的數字簽名和加密。安裝電子郵件數字證書比較簡單，以OutLook為例，在安全選項卡里選擇并安裝數字證書即可。發郵件時，單擊相應按鈕就能加密、簽名信件。加密后的信件以附件方式傳輸和存儲，只有該用戶才能解密。第三方的免費郵箱大多實現了郵件的傳輸安全，但是郵件的存儲并沒有加密，上述方法很好地解決了這個問題。

4　結語

基于PKI的安全方案為電子商務活動提供了身份認證、數據完整性、數據機密性等服務，使參與者都能在一個受信任的、安全的環境下開展交易活動，保證了電子商務的正常、穩定發展。

參考文獻

[1] R.Penman. An overview of PKI trust models. IEEE Network,1999,13 (6):38-43

[2] 丁士杰.基于SSL的電子商務安全技術研究[D],合肥工業大學，2010

[3] 孟叢.電子商務中應用PKI安全技術研究[J],現代工業經濟和信息化，2015（1）：82-83

丁士杰（1979-），男，安徽宿州人，碩士，講師，主要研究方向：電子商務、網絡安全。

謝軍（1970-），男，安徽宿州人，博士，講師，主要研究方向：電子商務、數據挖掘。

木薇（1985-），女，安徽渦陽人，碩士，講師，主要研究方向：電子商務、物流管理。

Research on the application of PKI in enterprise electronic commerce

Ding Shijie，Xie Jun，Mu Wei
（Suzhou University，234000）

Abstract：The common security threats faced by electronic commerce enterprises are analyzed,and the electronic commerce security solution based on public key infrastructure PKI is proposed,which can effectively ensure the security of e-commerce activities.

Keywords：PKI;CA;digital certificate;digital signature

作者簡介

基金項目:宿州學院人文社科項目“PKI體系在安徽電子商務中的研究及應用”(2009ysk07)

中圖分類號：TP309.2

文獻標識碼：A