中国冶金教育2013年第2期 电子商务网络安全要素分析 贾丽飞 (吉林电子信息职业技术学院,吉林吉林 132021) 摘 要:电子商务的发展对网络安全性提出了较高的要求,而PKI技术正是解决网络安全问题的 一个切实方法 PKI是一种新的安全技术。是一种遵循标准的利用公钥加密技术为电子商务开展 提供一套安全基础平台的技术和规范。简要介绍了基于PKI密钥托管技术及密钥托管代理的概 念,分析了密钥托管的步骤,以及政府部门在密钥托管代理的帮助下强制访问信息的过程,分析 PKI对网络安全及电子商务的重要作用及存在的问题。 关键词:电子商务;公钥基础设施;公钥加密;数字签名;认证机构 Internet的方便、快速和无所不至,使商务活动 方不谋面地进行各种商贸活动。电子商务可通过多 发生了根本性的变化,网络经济已成为不可争辩的 种电子通讯方式来完成,现在所探讨的电子商务主 事实。电子商务是在网上进行的,电子商务信息的安 要是以EDI(电子数据交换)和Internet来完成的。作 全问题引起了重视。中国电子商务不但有共同的安 为一种新型的商务模式,电子商务具有普遍性、方便 全隐患,还有特殊的安全隐患,为了解决安全问题必 性、整体性、安全性、协调性等特征。 须开发自己的商务核心软件,加强网络安全技术研 随着电子技术和因特网(Internet网络)的发展, 究。 信息技术作为工具被引入到商贸活动中,产生了电 子商务(Electronic Commerce简写EC或Electronic 一、电子商务及隐患 Business简写EB)。通俗的说,电子商务就是在计算 全球经济发展正在进入信息经济时代,知识经 机网络(主要指Internet网络)平台上,按照一定标 济初见端倪。作为21世纪的主要经济增长方式—— 准开展的商务活动。 电子商务,将促使世界经济发生巨大的变革,产生深 电子商务的简单流程可表述如下:企业将商品 远的影响。电子商务通过大幅度降低交易成本,增加 信息通过www服务器展示给客户,客户通过浏览 贸易机会,简化贸易流程,提高贸易效率;电子商务 器访问www服务器,选择希望购买的商品,并下 提高生产力,改善物流系统,并推动企业和国民经济 载厂商的表格,填写订单,厂商通过订单确认反馈客 结构的改革。对电子商务的关注和投入可以发展新 户,告知收费方法。同时,厂商通知自己的应用系统 兴产业,创造就业机会,推动国家和全球经济的发 组织货源程序,客户通过电子付款软件与金融部门 展。电子商务是一个新兴市场,而且是一种替代传统 交互,执行资金转移,金融部门通过电子邮件(或其 商务活动的新形式。电子商务有可能彻底改变贸易 他方式)通知客户和厂商资金转移的结果,厂商委托 活动的本质,形成一套全新的贸易活动框架。如何保 专人或运输部门将货物送至客户。 证Internet网上信息传输的安全,是发展电子商务 当前,电子商务所面临的信息安全现状不容乐 的重要环节之一。 观。据美国网络界权威杂志《信息安全杂志》披露,从 电子商务源于英文Electronic Commerce,指的 事电子商务的企业比一般企业承担着更大的信息风 是利用简单、快捷、低成本的电子通讯方式,买卖双 险。其中,前者遭黑客攻击的比例高出一倍,感染病 第87页 ZHONGGUOY ̄I ̄IAOYU 毒、恶意代码的可能性高出9%,被非法入侵的频率 钥密码和对称密码结合起来,在lnternet网上实现 高出10%,而被诈骗的可能性更是比一般企业高出 密钥的自动管理,保证网上数据的安全传输。 2.2倍I11。 (一)PKI背景技术 1.公钥加密 加密算法主要分2种:对称密钥加密和非对称 目前,中国的信息安全研究已经历了通信保密、 计算机数据保护两个发展阶段,现正处于网络信息 掌握了部分网络安全和电子商务安全技术,进行了 安全研究阶段,通过学习、吸收、消化等手段,已逐步 密钥加密。 对称密钥加密的主要思想是用一个约定的加密 安全操作系统、多级安全数据库的研制探索。由于没 函数和密钥加密明文,用逆函数和同一密钥来解密 有掌握系统核心技术,使得要开发出有自主知识产 权的信息产品困难重重,而基于国外具体产品开发 出的安全系统则难以完全杜绝安全漏洞或“后门”。 在借鉴国外先进技术的基础上,国内一些企业也研 制开发出一些安全产品,如防火墙、黑客入侵检测系 统、电子商务安全交易系统、安全路由器等。但这些 产品安全技术的规范性、完善性、实用性还存在许多 不足,理论基础和自主技术手段需要发展和强化。 信息存储安全是指电子商务信息在静态存放中 的安全,其信息安全隐患主要包括:非授权调用信息 和篡改信息内容。企业的Intranet与Internet联接 后,电子商务的信息存储安全面临着内部和外部两 方面的隐患。(1)内部隐患。主要是企业的用户故意 或无意的非授权调用电子商务信息或未经许可随意 增加、删除、修改电子商务信息。(2)外部隐患。主要 是外部人员私自闯人企业Intranet,对电子商务信息 故意或无意的非授权调用或增加、删除、修改。隐患 的主要来源有:竞争对手的恶意闯人、信息间谍的非 法闯入以及黑客的骚扰闯入。 二、PKl背景技术及主要功能 PKI提供了基于加密和数字证书的一系列技 术。PKI的背景技术如公钥加密、数据签名等技术出 现于20世纪70年代中期,但开发基于PKI的产品 还刚刚开始。随着Internet作为企业网和电子商务 平台的增加,对PKI带来的保密性、完整性、不可否 认性等安全属性的需求也不断增加,因而,基于PKI 的安全产品在未来的几年将有很大的发展。PKI采 用证书进行公钥管理,通过第三方的可信任机构(认 证中心,即CA),把用户的公钥和用户的其他标识信 息捆绑在一起,其中包括用户名和电子邮件地址等 信息,以在Internet网上验证用户的身份。PKI把公 第88页 密文,还原为原来的明文。这种加密的好处是执行效 率高、速度快,缺点是密钥传递和管理很困难。 2.数字签名和完整性验证 数字签名是指附加在数据单元上的一些数据, 或是对数据单元所做的密码变换,这种数据或变换 能使数据单元的接收者确认数据单元的来源和数据 的完整性,有效地防止数据被伪造或篡改。 3.身份验证技术 身份验证是任何网络安全解决方案中的必要环 节,在电子商务中,由于涉及到交易和支付等问题, 使身份验证的问题成为电子商务成败的关键。 身份验证技术有很多种方式。基于电子证书的 身份验证技术是目前比较常用的方法,有一个核心 的发证机构CA(Certiifcate Authority),用户可以向某 一个CA申请一个电子证书。X 509推荐的电子证书 不仅可用于身份验证,还可用于公钥的发布。 (二)PKI组成及功能 1.PKI系统组成 PKI是一种新的安全技术,由公开密钥密码技 术、数字证书、证书发放机构(CA)和关于公开密钥 的安全策略等基本成分共同组成。PKI是利用公钥 技术实现电子商务安全的一种体系,是一种基础设 施,网络通讯、网上交易是利用它来保证安全的。从 某种意义上讲,PKI包含了安全认证系统,即安全认 证系统一CA/RA系统是PKI不可缺的组成部分。 完整的PKI包括认证政策的制定(包括遵循的 技术标准、各CA之间的上下级或同级关系、安全策 略、安全程度、服务对象、管理原则和框架等),认证 规则、运作制度的制定,所涉及的各方法律关系内容 以及技术的实现。 PKI作为一组在分布式计算系统中利用公钥技 术和X.509证书所提供的安全服务,企业或组织可 中国冶金教育2013年第2期 利用相关产品建立安全域,并在其中发布密钥和证 书;能够提供安全策略编辑和管理工具,如密钥周期 书。在安全域内,PKI管理加密密钥和证书的发布, 和密钥用途等。 并提供诸如密钥管理(包括密钥更新,密钥恢复和密 与PKI安全相关的最主要的问题是私有密钥的 钥委托等)、证书管理(包括证书产生和撤销等)和策 存储安全性。由于私有密钥保存的责任是由持有者 略管理等。PKI产品也允许一个组织通过证书级别 承担的,而非PKI系统的责任。私钥保存丢失,会导 或直接交叉认证等方式来同其它安全域建立信任关 致PKI的整个验证过程没有意义。另一个问题是废 系。这些服务和信任关系不能局限于独立的网络之 止证书时间与废止证书的声明出现在公共可访问列 内,而应建立在网络之间和Internet之上,为电子商 表的时间之间会有一段延迟,这会使无效证书在这 务和网络通信提供安全保障。具有互操作性的结构 化和标准化技术成为PKI的核心。 2.PKI实现的主要功能 (1)用户注册,收集用户信息。该功能在CA完 成或由独立的RA完成。(2)发行证书应用户的请求 创建证书,由CA完成。(3)废止证书创建和发布废 止证书列表(CRL,Certiifcate Revocation List),由与 CA相关的管理软件完成。(4)存储和检索证书和 CRL使具有授权的用户可以方便地使用证书和 CRL。证书及CRL通常存储在一个可通过LDAP协 议访问的安全的、备份的目录。(5)证书路径确认在 证书确认链中加入一个基于规则的约束,只有在约 束全部满足时证书才被确认,由CA完成。(6)时间 戳为每个证书打上时间标记,规定证书的有效时限, 由CA或者是专用的时间服务器(Time Server)完成。 (7)密钥生命期管理进行密钥的更新、存档、恢复等 工作,由软件自动完成或手工完成。 3.PKI安全性分析 PKI是以公钥加密为基础的为网络安全提供安 全保障的基础设施。从理论上来讲,是目前比较完善 和有效的实现身份认证和保证数据完整性、有效性 的手段。但在实际的实施中,仍有一些需要注意的问 题。 一个有效的PKI系统必须是安全和透明的,用 户在获得加密和数字签名服务时,不需要详细地了 解PKI的内部运作机制。在一个典型、完整和有效的 PKI系统中,除证书的创建和发布,特别是证书的撤 销,一个可用的PKI产品还必须提供相应的密钥管 理服务,包括密钥的备份、恢复和更新等。没有一个 好的密钥管理系统,将极大影响PKI系统的规模、可 伸缩性和在协同网络中的运行成本。在一个企业中, PKI系统必须有能力为一个用户管理多对密钥和证 一段时间内被使用。另外,Internet使得获得个人身 份信息很容易,如身份证号等,一个人可以利用别人 的这些信息获得数字证书,而使申请看起来像来自 别人。同时,PKI系统的安全很大程度上依赖于运行 CA的服务器、软件等,如果黑客非法侵入一个不安 全的CA服务器,就可能危害整个PKI系统。因此, 从私钥保存到PKI系统本身安全方面还要加强防 范。在这几方面都有较好安全性前提下,PKI不失为 一个保证网络安全的非常合理和有效的解决方案。 三、PKI的发展 PKI发展的一个重要方面就是标准化问题,是 建立互操作性的基础。目前,PKI标准化主要有两个 方面:一是RSA公司的公钥加密标准PKCS(Public Key Cryptography Standards),它定义了许多基本PKI 部件,包括数字签名和证书请求格式等;二是由In— ternet工程任务组IETF(Internet Engineering Task Force)和PKI工作组PKIX(Public Key Infrastructure Working Group)所定义的一组具有互操作性的公钥 基础设施协议。在今后很长的一段时间内,PKCS和 PKIX将会并存,大部分PKI产品为保持兼容性,也 将会支持这两种标准。 PKI的发展非常快,已经从几年前的理论阶段 过渡到目前的产品阶段,并且出现了大量成熟技术、 产品和解决方案,正逐步走向成熟。PKI的发展受应 用驱动的影响,如早期Internet商务和Web安全要 求主要依赖于SSL,并要求应用首先对证书进行处 理,所以,在很多公司的消息和群组产品中都提供了 公钥和证书系统,如Exchange和Notes等。另外,基 于标准的基础设施和应用也同样促进了PKI的发 展,它能够保证基于Internet的安全消息传送的可 (下转第92页) 第89页 ZHoNGGUoYEIINlIAoYU 核突出高水平“质”的要求,其他岗位级别,反映“质” 和“量”的综合要求。 实施岗位绩效工资制度,要强化岗位管理,突出 激励功能,将工作人员劳动收人与其岗位职责、工作 业绩和实际贡献相联系。基础性岗位津贴要与岗位 [2]辛虹.实施岗位聘用制度,推动学校内涵发展——兼谈高 校进入实施人力资源管理新时期[J].北京教育(高 教),2011(Z1):131—133. [3]刘永胜,吕一楠.抓住高校岗位设置难点实行有效人事 管理对策[J].北京教育(高教),2011(1):64—66. [4]毛燕梅,陈勇钢,刘祥坠.普通高校首次实施岗位设置与 分级聘用的研究与实践[J].北京教育(高教),2011 (2):60-62. 等级、岗位责任相联系,奖励性津贴要与岗位考核、 岗位业绩贡献相联系。学校可以根据考核评价结果, 调整津贴补贴。可以看出,岗位聘用与管理为实施绩 效工资改革奠定了良好的基础。 [5]吴海涛.以岗位设置与人员聘任推动高校人事制度改革 [J].阜阳师范学院学报:社会科学版,20O9,28(2): 11 5-117. 目前,自治区正在推进事业单位绩效工资制度。 学校正在积极探索绩效工资改革的具体措施,确立 科学合理的绩效考核评价体系 ,依据考核结果适当 拉开奖励性绩效工资档次,把握好专业技术岗、管理 岗与工勤技能岗之间的奖励性绩效工资分配,加大 [6]吕玉刚.全面实施岗位设置工作积极推进聘后规范管理 [J].中国高等教育,2008(24):1l一14. [7]林刚.事业单位岗位设置管理的实践与思考[J].四川职 业技术学院学报,2011,21(5):37—38. 对突出贡献人才和创新团队建设等的奖励力度,使 绩效工资改革真正体现“绩”与“效”的功能。 参考文献: [1]黄长喜,张良.高校岗位设置管理工作初探[J].安徽工 业大学学报:社会科学版,2008,35(2):147-148. (上接第89页) [2]蒋艳凰,白晓敏,杨学军.数字签名技术及其发展动态 交互性,如S/MIME等。 [J].计算机应用研究,2000(9):32-48. [3]卢铁成.信息加密技术[M].成都:四川科学出版社, 1989:28. 另外,一些大的厂商,如Microsoft、Netscape和 Novell等,都开始在自己的网络基础设施产品中增 加PKI功能。Netscape已经开始把证书服务器作为 Suite Spot的一部分,虽然其证书服务器没有Entrust [4]陈伟东,翟起滨.二类基于离散对数问题的信息恢复多签 名体制[J].密码与信息,1998(1):37-53. [5]方美琪.电子商务概论[M].北京:清华大学出版社, 1999:12—1 5. 产品的功能全面和完善,但提供了基本的证书生成 和管理功能。即使没有密钥管理功能,由于Netscape 把证书服务器同Suite Spot服务器和Communicator [6]代晓红.基于SS L协议的电子商务安全性分析[J].工 业技术经济。2004(6):62-84. [7]李志民.基于SET的电子支付安全[J].中国管理信息 化:综合版,2006(8):25. 客户端产品的集成,依靠广泛的市场基础,也取得的 越来越多的市场份额。由SUN和Netscape联盟组成 的planet公司(Sun Netscape Alliance)也在PKI方面 [8]周靖.加密技术在电子商务活动中的应用[J].沙洲职业 做了很大的努力,凭借其在网络和电子商务方面的 优势,发展了很多性能优越的PKI产品,如LDAP目 工学院学报。2006。19(3):37—46. 录服务器和证书管理系统等。 参考文献: [1]王怀伯,张申生,周一萍.I nt ra net/Extranet中的 网络安全技术[J].计算机工程,1999(1):56-112. 第92页