[摘要] 隨著Internet和電子商務(wù)的迅速發(fā)展，電子商務(wù)安全問題也變得越來越重要，如何保障電子交易的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性，已成為電子商務(wù)安全的研究熱點(diǎn)問題， PKI技術(shù)作為安全的基礎(chǔ)設(shè)施，是電子商務(wù)安全的關(guān)鍵和基礎(chǔ)技術(shù)。本文對(duì)電子商務(wù)安全以及PKI安全體系進(jìn)行了探討，說明了PKI在電子商務(wù)安全中的重要作用。

[關(guān)鍵詞] 電子商務(wù) 安全 PKI 公鑰

一、引言

隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)移動(dòng)通信等新業(yè)務(wù)的興起，信息安全問題變得越來越重要。在各種網(wǎng)絡(luò)信息技術(shù)的應(yīng)用中，保障用戶的合法訪問、保證數(shù)據(jù)在傳輸過程中的保密性，以及確認(rèn)發(fā)送者的合法身份是最基本的安全要求。越來越多的組織利用公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)為用戶提供信息安全服務(wù)。在我國(guó)，基于PKI技術(shù)的安全方案也從金融、電信等少數(shù)行業(yè)擴(kuò)展到更多領(lǐng)域，出現(xiàn)在電子政務(wù)、電子商務(wù)等各類信息化應(yīng)用中。

二、電子商務(wù)安全

電子商務(wù)是指各種具有商業(yè)活動(dòng)能力的主體（如企業(yè)、個(gè)人、政府、銀行等）利用網(wǎng)絡(luò)和先進(jìn)的數(shù)字化傳媒技術(shù)開展的各項(xiàng)商業(yè)貿(mào)易活動(dòng)。電子商務(wù)作為一種全新的商務(wù)運(yùn)作模式，在不斷發(fā)展的同時(shí)，也帶來種種安全問題。電子商務(wù)安全分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題， 實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全監(jiān)控方案， 以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性。常用的網(wǎng)絡(luò)安全技術(shù)有防火墻、虛擬專用網(wǎng)、入侵檢測(cè)技術(shù)、計(jì)算機(jī)防病毒技術(shù)等。

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。具體包括：如何確定通信中貿(mào)易伙伴的真實(shí)性，保證身份的可認(rèn)證性； 如何保證電子單證的機(jī)密性，防范電子單證的內(nèi)容被第三方讀??；如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失；如何保證電子單證內(nèi)容的真實(shí)性、準(zhǔn)確性和完整性；如何保證存儲(chǔ)信息的安全性；如何對(duì)數(shù)據(jù)信息進(jìn)行審查并將審查的結(jié)果進(jìn)行記錄。

三、PKI與電子商務(wù)安全

互聯(lián)網(wǎng)絡(luò)的開放性和匿名性的特征使電子商務(wù)的安全問題變得越來越突出，諸如信息的泄露或篡改，欺騙，抵賴等問題。為了防范用戶身份（包括人和設(shè)備）的假冒、數(shù)據(jù)的截取和篡改，以及行為的否認(rèn)等安全漏洞，互聯(lián)網(wǎng)急需一種技術(shù)或體制來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證，建立可信的網(wǎng)絡(luò)應(yīng)用環(huán)境，并保證互聯(lián)網(wǎng)上所傳輸數(shù)據(jù)的安全。PKI是為適應(yīng)網(wǎng)絡(luò)開放狀態(tài)應(yīng)運(yùn)而生的一種技術(shù)，以前的信息安全技術(shù)（如防火墻、入侵檢測(cè)。防病毒等）基本上都是解決網(wǎng)絡(luò)安全某一方面的問題，而PKI則是比較完整的網(wǎng)絡(luò)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

1.什么是PKI

PKI（Public Key Infrastructure）即“公鑰基礎(chǔ)設(shè)施”，是一套利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，PKI規(guī)定了該安全基礎(chǔ)平臺(tái)應(yīng)遵循的標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對(duì)稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份認(rèn)證和密碼管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易，通信和互聯(lián)網(wǎng)上的各種活動(dòng)。

2.PKI的組成

一個(gè)典型的PKI系統(tǒng)應(yīng)該包括PKI策略，軟硬件系統(tǒng)，認(rèn)證中心CA、注冊(cè)機(jī)構(gòu)RA、證書簽發(fā)系統(tǒng)和PKI應(yīng)用等基本部分，見圖1 PKI的組成框圖。

圖 PKI的組成框圖

(1)PKI策略：是一個(gè)包含如何在實(shí)踐中增強(qiáng)和支持安全策略的一些操作過程的詳細(xì)文檔，它建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。

(2)軟硬件系統(tǒng)是：PKI系統(tǒng)運(yùn)行所需的所有軟件、硬件的集合，主要包括認(rèn)證服務(wù)器、目錄服務(wù)器、PKI平臺(tái)等。

(3)認(rèn)證中心CA：是PKI的信任基礎(chǔ)，它負(fù)責(zé)管理密鑰和數(shù)字證書的整個(gè)生命周期。其作用包括：證書申請(qǐng)、證書審批和發(fā)放、規(guī)定證書的有效期、證書更新、接收并處理合法身份者的證書查詢和撤消申請(qǐng)、產(chǎn)生并管理證書廢止列表CRL、將各用戶的數(shù)字證書歸檔、產(chǎn)生并管理密鑰（包括密鑰備份及恢復(fù)）、將用戶的歷史數(shù)據(jù)歸檔等。

(4)注朋機(jī)構(gòu)RA：是PKI信任體系的重要組成部分，是用戶（可以是個(gè)人或團(tuán)體）和認(rèn)證中心CA之間的一個(gè)接口。主要完成收集用戶信息、確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證中心(以)申請(qǐng)數(shù)字證書的客戶，它可以是個(gè)人，也可以是集團(tuán)、企業(yè)等機(jī)構(gòu)。

(5)證書簽發(fā)系統(tǒng)：負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)有的，也可以是PKI方案中提供的。

(6)PKI應(yīng)用：包括在Web服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換(EDI)、在Internet上的信用卡交易和虛擬專業(yè)網(wǎng)（VPN）等。

(7)應(yīng)用接口系統(tǒng)（API）：一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，讓用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，降低管理和維護(hù)的成本。

3.基于PKI的電子商務(wù)安全體系

電子商務(wù)的關(guān)鍵是商務(wù)信息電子化，因此，電子商務(wù)安全性問題的關(guān)鍵是計(jì)算機(jī)信息的安全性。如何保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如用戶身份識(shí)別碼、用戶名、身份證件號(hào)、地址等）捆綁在一起，形成數(shù)字證書，以便在Internet上驗(yàn)證用戶的身份。PKI是建立在公鑰理論基礎(chǔ)上的，從公鑰理論出發(fā)，公鑰和私鑰配合使用來保證數(shù)據(jù)傳輸?shù)臋C(jī)密性；通過哈希函數(shù)、數(shù)字簽名技術(shù)及消息認(rèn)證碼等技術(shù)來保證數(shù)據(jù)的完整性；通過數(shù)字簽名技術(shù)來進(jìn)行認(rèn)證，且通過數(shù)字簽名，安全時(shí)間戳等技術(shù)提供不可否認(rèn)性服務(wù)。因此PKI是比較完整的電子商務(wù)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

通常電子商務(wù)的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場(chǎng)。首先買方通過瀏覽器登錄到電子交易市場(chǎng)的Web服務(wù)器并尋找賣方。當(dāng)買方登錄服務(wù)器時(shí)，買賣雙方都要在網(wǎng)上驗(yàn)證對(duì)方的電子身份證，這被稱為雙向認(rèn)證。在雙方身份被互相確認(rèn)以后，建立起安全通道，并進(jìn)行討價(jià)還價(jià)，之后買方向賣方提交訂單。訂單里有兩種信息：一部分是訂貨信息，包括商品名稱和價(jià)格；另一部分是提交銀行的支付信息，包括金額和支付賬號(hào)。買方對(duì)這兩種信息進(jìn)行雙重?cái)?shù)字簽名，分別用賣方和銀行的證書公鑰加密上述信息。當(dāng)賣方收到這些交易信息后，留下訂貨單信息，而將支付信息轉(zhuǎn)發(fā)給銀行。賣方只能用自己專有的私鑰解開訂貨單信息并驗(yàn)證簽名。同理，銀行只能用自己的私鑰解開加密的支付信息、驗(yàn)證簽名并進(jìn)行劃賬。銀行在完成劃賬以后，通知起中介作用的電子交易市場(chǎng)、物流中心和買方，并進(jìn)行商品配送。整個(gè)交易過程都是在PKI所提供的安全服務(wù)之下進(jìn)行，實(shí)現(xiàn)了真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

四、結(jié)束語(yǔ)

綜上所述，PKI技術(shù)是解決電子商務(wù)安全問題的關(guān)鍵，綜合PKI的各種應(yīng)用，我們可以建立一個(gè)可信任和足夠安全的網(wǎng)絡(luò)，能夠全面保證電子商務(wù)中信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

參考文獻(xiàn)：

[1]寧宇鵬陳昕等:PKI技術(shù)[M].北京:機(jī)械工業(yè)出版，2004年

[2]章學(xué)拯裘奮華等:網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:科學(xué)工業(yè)出版，2006年

[3]劉麗娟李偉英等:基于PKI技術(shù)的電子商務(wù)安全問題探究[J].商場(chǎng)現(xiàn)代化，2008（2）：54