PKI 在企业电子商务中的应用 摘要:分析了电子商务企业面临的常见安全威胁,提出了基于公钥基础设施 PkI 的电子商务安全解决方案,能有效保证电子商务活动的安全。 关键词:PkI;cA;数字证书;数字签名 1PkI 体系概述 PkI 即公钥基础设施,是一个基于非对称算法中的公钥概念及技术而实施并提供安全服务的安全基础设施,网络通讯、网上交易可以利用它来保证信息安全PkI 应用系统至少应具有五个部分:cA、目录服务器、安全 www 服务器、web 安全通信平台、安全应用系统;而 cA 则是整个 PkI的核心,所有的安全应用全围绕 cA 展开。PkI 提供的安全服务包括:身份认证、数据完整性、数据机密性等。 cA 的功能包括:处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。 数字证书 数字证书是由 cA 发行的一种数字信息文件,用来标志和证明网络通信双方的身份,内容包括:主体身份及公钥信息、cA 及签名信息、签名算法等。证书大多采纳标准。 数字签名 数字签名是由信息发送者通过HASH 函数对信息进行处理,产生别人无法伪造的一段数字串,用以认证信息的并核实信息是否发生了变化。发送者用私钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可以确定消息的,同时也是对发送者发送信息真实性的一个证明发送者不能抵赖。 2 企业电子商务活动面临的安全问题 企业电子商务活动主要包括售前咨询、在线下单、订单处理、网络支付、物流配送、售后服务等环节。这些环节除在线支付,其它部分没有采纳安全加密技术,存在着严重的安全问题。 数据传输过程中的泄露问题 企业使用的通信软件依赖 TcP/IP协议,该协议并没有解决身份认证、信息泄密、数据篡改等安全问题,这导致了企业传输数据时面临着严重的安全威胁。例如,企业员工传输的电子邮件明文完全可能被攻击者截获,从而泄露了邮件的内容。 数据存储时的篡改问题 企业存放在云数据库、内部数据库中的数据以明文存储,系统管理员固然可以设置数据文件的访问控制权限,然而却不能防范数据被篡改。一旦入侵者或内部非授权人员得到了数据的读写权限,就可以非法修改数据。系统无法检测数据是否被篡改、被谁篡改这样的安全问题。 用户的身份识别问题 企业电子商务系统普遍采纳账户加口令的方式进行认证,这种识别方法安全性较低,攻击者通过穷举尝试等方法就能得到合法用户的账户和口令。身份识别问题同样出现在电子邮...
