[摘要] 在電子商務(wù)中，信任已經(jīng)成為談判策略中一個(gè)重要因素，網(wǎng)絡(luò)信任系統(tǒng)也成為安全服務(wù)的重要組成部分。本文簡(jiǎn)要介紹了PKI體系的技術(shù)、構(gòu)架和服務(wù)，它可以很好地應(yīng)用在網(wǎng)絡(luò)信任系統(tǒng)中。

[關(guān)鍵詞] 電子商務(wù) 信任 PKI

隨著電子商務(wù)逐漸成為21世紀(jì)經(jīng)濟(jì)生活的新領(lǐng)域，互聯(lián)網(wǎng)已成為運(yùn)作電子商務(wù)的一個(gè)有序的虛擬社會(huì)。在開(kāi)放式網(wǎng)絡(luò)環(huán)境的電子商務(wù)中進(jìn)行在線交易面臨著交易者的身份可靠性、交易者發(fā)布的信息真實(shí)性、交易者履行約定的可信任性等諸多問(wèn)題，對(duì)信任的研究就顯得很有必要。由于在線交易的過(guò)程中信息不對(duì)稱、時(shí)空跨度，以及對(duì)Internet的依賴等的條件下造成的不確定性，以信任作為降低交易復(fù)雜性的有效機(jī)制，信任研究為電子商務(wù)發(fā)展給出理論依據(jù)。目前基于公鑰基礎(chǔ)設(shè)施(Public Key Infrastructures，簡(jiǎn)稱PKI技術(shù))建立完善的數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)(Certification Authority，簡(jiǎn)稱CA)得到了很大發(fā)展，已成為電子商務(wù)、電子政務(wù)等應(yīng)用領(lǐng)域發(fā)展的關(guān)鍵。

一、PKI技術(shù)

PKI是一套基于公鑰的加密技術(shù)(一般是RSA技術(shù))。作為一種基礎(chǔ)設(shè)施，PKI由公鑰技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)和關(guān)于公鑰的安全策略等基本成分共同組成，用于保證網(wǎng)絡(luò)通信和網(wǎng)上交易的安全。從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)都可稱為PKI系統(tǒng)。PKI的主要目的是通過(guò)自動(dòng)管理密鑰和數(shù)字證書(shū)，為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)。

1.PKI組成

PKI包括以下幾個(gè)組成部分:(1)認(rèn)證機(jī)構(gòu)：簡(jiǎn)稱CA，即數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)，是PKI的核心，具有權(quán)威性，為用戶所信任。(2)數(shù)字證書(shū)庫(kù)：存儲(chǔ)已頒發(fā)的數(shù)字證書(shū)及公鑰，提供給公眾查詢。(3)密鑰備份及恢復(fù)系統(tǒng)：對(duì)用戶密鑰進(jìn)行備份，在丟失時(shí)可恢復(fù)。(4)證書(shū)吊銷系統(tǒng)：與各種身份證件一樣，證書(shū)在有效期以內(nèi)也可能需要作廢。(5)PKI應(yīng)用接口系統(tǒng)：便于各種各樣的應(yīng)用能夠以安全可信的方式與PKI交互，確保所建立的網(wǎng)絡(luò)環(huán)境安全可信。

其中數(shù)字證書(shū)和認(rèn)證機(jī)構(gòu)是PKI體系中的關(guān)鍵部分。另外，PKI實(shí)際上還是一個(gè)正在發(fā)展的標(biāo)準(zhǔn)，還存在一些問(wèn)題，但并不妨礙它在網(wǎng)絡(luò)上的廣泛應(yīng)用。一個(gè)成熟的PKI應(yīng)用系統(tǒng)還涉及到項(xiàng)目管理、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)支持、目錄資源、程序開(kāi)發(fā)和政策管理等，需要很長(zhǎng)時(shí)間才能完成，在發(fā)展的過(guò)程中逐步去完善，這也是網(wǎng)絡(luò)安全技術(shù)發(fā)展的一個(gè)必然規(guī)律。

2.PKI提供的服務(wù)

PKI為開(kāi)放的Internet環(huán)境提供了4個(gè)基本的安全服務(wù)：(1)認(rèn)證，確認(rèn)實(shí)體真實(shí)身份；(2)數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被修改；(3)不可否認(rèn)性，確保實(shí)體不能否認(rèn)其發(fā)送過(guò)消息，也不能否認(rèn)接收過(guò)消息；(4)機(jī)密性。

3.PKI的管理

PKI 的管理功能可歸納為證書(shū)管理和密鑰管理兩部分。證書(shū)管理包括策略批準(zhǔn)、證書(shū)簽發(fā)、證書(shū)發(fā)布、證書(shū)撤消和證書(shū)歸檔幾個(gè)方面。密鑰管理主要指密鑰對(duì)的安全管理。密鑰產(chǎn)生、密鑰備份和恢復(fù)、密鑰更新。

二、PKI在信任系統(tǒng)中的應(yīng)用

1.數(shù)字證書(shū)認(rèn)證中心的構(gòu)建

PKI在實(shí)際應(yīng)用中是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全性，使得用戶不知道對(duì)方或者分布很廣的情況下，以證書(shū)為基礎(chǔ)，通過(guò)一系列的信任關(guān)系進(jìn)行通訊和電子商務(wù)交易．我們以一個(gè)數(shù)字證書(shū)認(rèn)證中心的構(gòu)建為例，討論和分析PKI網(wǎng)絡(luò)在信任系統(tǒng)的應(yīng)用。

一個(gè)簡(jiǎn)單的PKI系統(tǒng)包括證書(shū)機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA和相應(yīng)的PKI存儲(chǔ)庫(kù)。CA用于簽發(fā)并管理證書(shū)。RA可作為CA的一部分，也可以獨(dú)立開(kāi)來(lái)，其功能包括個(gè)人身份審核、CRL管理、密鑰產(chǎn)生和密鑰對(duì)備份等。PKI存儲(chǔ)庫(kù)包括LDAP目錄服務(wù)器和普通數(shù)據(jù)庫(kù)，用于對(duì)用戶申請(qǐng)、證書(shū)、密鑰、CRL和日志等信息進(jìn)行存儲(chǔ)和管理，并提供一定的查詢功能。

數(shù)字證書(shū)中心認(rèn)證系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。安全服務(wù)器面向普通用戶，用于提供證書(shū)申請(qǐng)、瀏覽、證書(shū)撤消列表以及證書(shū)下載等安全服務(wù)。CA服務(wù)器是整個(gè)證書(shū)機(jī)構(gòu)的核心，負(fù)責(zé)證書(shū)的簽發(fā)。注冊(cè)機(jī)構(gòu)RA面向登記中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用。LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳過(guò)來(lái)的用戶信息以及數(shù)字證書(shū)加入到服務(wù)器上。數(shù)據(jù)庫(kù)服務(wù)器是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)(如密鑰和用戶信息等)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。

2.密鑰產(chǎn)生

密鑰對(duì)的產(chǎn)生是證書(shū)申請(qǐng)過(guò)程中重要的一步，CA首先產(chǎn)生自身的私鑰和公鑰，然后生成數(shù)字證書(shū)，并且將數(shù)字證書(shū)傳輸給安全服務(wù)器。CA還負(fù)責(zé)為操作員、安全服務(wù)器以及注冊(cè)機(jī)構(gòu)服務(wù)器生成數(shù)字證書(shū)。CA服務(wù)器是整個(gè)結(jié)構(gòu)中最為重要的部分，出于安全的考慮，應(yīng)將CA服務(wù)器與其他服務(wù)器隔離，任何通信采用人工干預(yù)的方式，確保認(rèn)證中心的安全。

CA服務(wù)器產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則交于CA中心進(jìn)行簽名，從而產(chǎn)生證書(shū)。對(duì)于比較重要的證書(shū)，如商家證書(shū)和服務(wù)器證書(shū)等，密鑰對(duì)一般由專用應(yīng)用程序或CA直接產(chǎn)生，這樣產(chǎn)生的密鑰強(qiáng)度大，適合于重要的應(yīng)用場(chǎng)合。

3.密鑰更新

頒發(fā)的證書(shū)都有一定的有效期，密鑰對(duì)生命周期的長(zhǎng)短由簽發(fā)證書(shū)的CA中心來(lái)確定，各CA系統(tǒng)的證書(shū)有效期限有所不同，大約為2年～3年。

三、結(jié)束語(yǔ)

隨著Internet的發(fā)展和電子商務(wù)的普及化，網(wǎng)絡(luò)信任系統(tǒng)迫切需要建立以應(yīng)對(duì)網(wǎng)絡(luò)信任危機(jī)，保證電子商務(wù)安全。PKI作為一個(gè)優(yōu)秀的加密技術(shù)可以很好地應(yīng)用在網(wǎng)絡(luò)信任系統(tǒng)上，隨著國(guó)家對(duì)信息安全方面的標(biāo)準(zhǔn)化、法制化建設(shè)的日益完善，PKI技術(shù)將得到廣泛的應(yīng)用。

參考文獻(xiàn)：

[1]徐濤.PKI在電子商務(wù)中的應(yīng)用[J].商場(chǎng)現(xiàn)代化，2007，8

[2]田博覃正:B2C電子商務(wù)中的信任系統(tǒng)分析[J].情報(bào)雜志，2008，1

[3]張靜:應(yīng)用于電子商務(wù)的信息安全技術(shù)[J].發(fā)展，2008，2

[4]韓寶明:電子商務(wù)安全與支付[M].北京:人民郵電出版社，2001