1PKI体系概述
PKI即公钥基础设施是一个基于非对称算;'去中的公钥概念及技术而实施并提供安全服务的安全基础设施,网络通讯、网上交易可以利用它来保证信息安全。PKI应用系统至少应具有五个部分:CA、X.500目录服务器、安全WWW服务器、Web安全通信平台、安全应用系统;而CA则是整个PKI的核心,所有的安全应用全围绕CA展开。PKI提供的安全服务包括身份认证、数据完整性、麵机密性等。
1.1CA
CA的功能包括处理数字证书申请、颁发数字证书、证书更新及撤销、管理数字证书撤销表、数字证书的归类及存档。
1.2数字证书
数字证书是由CA发行的一种数字信息文件用来标志和证明网络通信双方的身份,内容包括生体身份及公钥信息、CA及签名信息、签名算法等。证书大多采用X.509标准。
1.3数字签名
数字签名是由信息发送者通过HASH函数对信息进行处理产生别人无法伪造的一段数字串用以认证信息的来源并核实信息是否发生了变化。发送者用私钥加密数据传给接收者,接收者用发送者的公钥解开数据后就可以确定消息的来源同时也是对发送者发送信息真实性的一个证明发送者不能抵赖。
2企业电子商务活动面临的安全问题
企业电子商务涵主要包括售前咨询、賴下单、订单处理、网络支付、物流配送、售后服务等环节。这些环节除在线支付,其它部分没有采用安全加密技术存在着严重的安全问题。
2.1数据传输过程中的泄露问题
企业使用的通信软件依赖TCP/IP协议该协议并没有解决身份认证、信息泄密、数据篡改等安全问题这导致了企业传输数据时画临着严重的安全威胁。例如企业员工传输的电子邮件明文完全可能被攻击者截获从而泄露了邮件的内容。
2.2数据存储时的篡改问题
企业存放在云数据库、内部数据库中的数据以明文存储系统管理员固然可以设置数据文件的访问控制权限然而却不能防范数据被篡改。一旦入侵者或内部非授权人员得到了数据的读写权限就可以非赚改数据。系统无法爾_是否被篡改、被谁篡改麵勺安全问题。
2.3用户的身份识别问题
企业电子商务系统普遍采用账户加口令的方式进行认证这种识别方法安全性较低攻击者通过穷举尝试等方法就能得到合法用户的账户和口令。身份识别问题同样出现在电子邮件的收发上。员工贸然相信发信方的身份或将机密信件错发到其他人员信箱,都会给个人和企业带来巨大的损失。
3基于PKI的企业电子商务安全解决方案
3.1建立企业内部的CA
企业自建CA有两种技术路线。一是利用开源的OpenSSL软件包。优点是二次开发灵活可以将安全措施应用于企业自行开发的系统中缺点是技术性强,需要较为专业的计算机人员来部署。二是利用微软公司Windows月服务器产品中提供的证书服务功能。虽然二次开发受限,但是建设简单快捷且和Windows系列服务器、Ou让ook邮件客户端无缝结合,所以是首选。具体部署上通过Windowsserver2008等服务器上的"证书服务"组件来实现该CA月服务器可满足证书申请、颁发等基本需求。
3.2信息传输采用安全的SSL通道
SSL协议由网景公司提出用于保证浏览器和服务器之间的身份真实及数据秘密传输其提供的服务包括身份认证、数据加密、数据完整性校验。电商活动中利」用SSL协议能在客户端和服务器之间提供安全通道。企业可以利用自建CA生成网站服务器的数字证书,安装到WEB服务器上开通SSL来实现数据加密传输。
3.3禾I」用数字证书对存储的数据进行加密和签名利用数字证书对机密数据加密并签名,将密文和签名一同存放在数据库,企业可通过签名来检验数据完整性。以企业采购单的存储为例,可将商品采购价格、数量等敏感信息加密、签名然后存储。即使攻击者获得了企业数据的读写权,也因加密无法得到明文同样也无法篡改,因为这会被企业通过对签名验证而识破。具体实施时,可以利用微软的CryptoAPI组件、JavaScript脚本来实现。
3.4利用数字证书进行身份识别和信息加密
客户机和服务器的身份识别通过WEB服务器端配置SSL通道选项就可以实现。在SSL协议中,WEB服务器端身份验证是必须的客户端浏览器的身份验证为可选项。若要强制验证客户浏览器身份,可以在服务器端SSL安全通道选项里选择验证客户端数字证书。
通过给邮件客户端程序安装数字证书,能实现邮件的数字签名和加密。安装电子邮件数字证书比较简单以OutLook为例,在安全选项卡里选择并安装数字证书即可。发邮件时单击相应按钮就能加密、签名信件。加密后的信件以附件方式传输和存储,只有该用户才能解密。第三方的免费由随大多实现了由P件的传输安全,但是邮件的存储并没有加密上述方法很好地解决了这个问题。
4结语
基于PKI的安全方案为电子商务活动提供了身份认证、数据完整性麵机密性等服务使参与者都能在一个受信任的、安全的环境下开展交易活动保证了电子商务的正常、稳定发展。