摘要:分析了電子商務企業面臨的常見安全威脅,提出了基於公鑰基礎設施PKI的電子商務安全解決方案,能有效保證電子商務活動的安全。
關鍵詞:PKI;CA;數字證書;數字簽名
1PKI體系概述
PKI即公鑰基礎設施,是一個基於非對稱算法中的公鑰概念及技術而實施並提供安全服務的安全基礎設施,網絡通訊、網上交易可以利用它來保證資訊安全。PKI應用系統至少應具有五個部分:CA、X.500目錄服務器、安全WWW服務器、Web安全通信平臺、安全應用系統;而CA則是整個PKI的核心,所有的安全應用全圍繞CA展開。PKI提供的安全服務包括:身份認證、數據完整性、數據機密性等。
1.1CACA的功能包括
處理數字證書申請、頒發數字證書、證書更新及撤銷、管理數字證書撤銷表、數字證書的歸類及存檔。
1.2數字證書
數字證書是由CA發行的一種數字資訊檔案,用來標誌和證明網絡通信雙方的身份,內容包括:主體身份及公鑰資訊、CA及簽名資訊、簽名算法等。證書大多采用X.509標準。
1.3數字簽名
數字簽名是由資訊發送者透過HASH函數對資訊進行處理,產生別人無法僞造的一段數字串,用以認證資訊的來源並覈實資訊是否發生了變化。發送者用私鑰加密數據傳給接收者,接收者用發送者的公鑰解開數據後,就可以確定消息的來源,同時也是對發送者發送資訊真實性的一個證明,發送者不能抵賴。
2企業電子商務活動面臨的安全問題
企業電子商務活動主要包括售前諮詢、在線下單、訂單處理、網絡支付、物流配送、售後服務等環節。這些環節除在線支付,其它部分沒有采用安全加密技術,存在着嚴重的安全問題。
2.1數據傳輸過程中的泄露問題
企業使用的通信軟件依賴TCP/IP協議,該協議並沒有解決身份認證、資訊泄密、數據篡改等安全問題,這導致了企業傳輸數據時面臨着嚴重的安全威脅。例如,企業員工傳輸的電子郵件明文完全可能被攻擊者截獲,從而泄露了郵件的內容。
2.2數據存儲時的篡改問題
企業存放在雲數據庫、內部數據庫中的數據以明文存儲,系統管理員固然可以設定數據檔案的訪問控制權限,然而卻不能防範數據被篡改。一旦入侵者或內部非授權人員得到了數據的讀寫權限,就可以非法修改數據。系統無法檢測數據是否被篡改、被誰篡改這樣的安全問題。
2.3用戶的身份識別問題
企業電子商務系統普遍採用帳戶加口令的方式進行認證,這種識別方法安全性較低,攻擊者透過窮舉嘗試等方法就能得到合法用戶的帳戶和口令。身份識別問題同樣出現在電子郵件的收發上。員工貿然相信發信方的身份或將機密信件錯發到其他人員信箱,都會給個人和企業帶來巨大的.損失。
3基於PKI的企業電子商務安全解決方案
3.1建立企業內部的CA
企業自建CA有兩種技術路線。一是利用開源的OpenSSL軟件包。優點是二次開發靈活,可以將安全措施應用於企業自行開發的系統中;缺點是技術性強,需要較爲專業的計算機人員來部署。二是利用微軟公司Windows服務器產品中提供的證書服務功能。雖然二次開發受限,但是建設簡單快捷,且和Windows系列服務器、OutLook郵件客戶端無縫結合,所以是首選。具體部署上,透過Windowsserver2008等服務器上的“證書服務”組件來實現,該CA服務器可滿足證書申請、頒發等基本需求。
3.2資訊傳輸採用安全的SSL通道
SSL協議由網景公司提出,用於保證瀏覽器和服務器之間的身份真實及數據祕密傳輸,其提供的服務包括:身份認證、數據加密、數據完整性校驗。電商活動中,利用SSL協議能在客戶端和服務器之間提供安全通道。企業可以利用自建CA生成網站服務器的數字證書,安裝到WEB服務器上開通SSL,來實現數據加密傳輸。
3.3利用數字證書對存儲的數據進行加密和簽名
利用數字證書對機密數據加密並簽名,將密文和簽名一同存放在數據庫,企業可透過簽名來檢驗數據完整性。以企業採購單的存儲爲例,可將商品採購價格、數量等敏感資訊加密、簽名,然後存儲。即使攻擊者獲得了企業數據的讀寫權,也因加密無法得到明文;同樣也無法篡改,因爲這會被企業透過對簽名驗證而識破。具體實施時,可以利用微軟的CryptoAPI組件、JavaScript腳本來實現。
3.4利用數字證書進行身份識別和資訊加密
客戶機和服務器的身份識別透過WEB服務器端配置SSL通道選項就可以實現。在SSL協議中,WEB服務器端身份驗證是必須的,客戶端瀏覽器的身份驗證爲可選項。若要強制驗證客戶瀏覽器身份,可以在服務器端SSL安全通道選項裏選擇驗證客戶端數字證書。透過給郵件客戶端程序安裝數字證書,能實現郵件的數字簽名和加密。安裝電子郵件數字證書比較簡單,以OutLook爲例,在安全選項卡里選擇並安裝數字證書即可。發郵件時,單擊相應按鈕就能加密、簽名信件。加密後的信件以附件方式傳輸和存儲,只有該用戶才能解密。第三方的免費郵箱大多實現了郵件的傳輸安全,但是郵件的存儲並沒有加密,上述方法很好地解決了這個問題。
4結語
基於PKI的安全方案爲電子商務活動提供了身份認證、數據完整性、數據機密性等服務,使參與者都能在一個受信任的、安全的環境下開展交易活動,保證了電子商務的正常、穩定發展。
參考文獻
[1]Network,1999,13(6):38-43
[2]丁士傑.基於SSL的電子商務安全技術研究[D],合肥工業大學,2010
[3]孟叢.電子商務中應用PKI安全技術研究[J],現代工業經濟和資訊化,2015(1):82-83