摘要:分析了電子商務企業面臨的常見安全威脅,提出了基於公鑰基礎設施PKI的電子商務安全解決方案,能有效保證電子商務活動的安全。
關鍵詞:PKI;CA;數字證書;數字簽名
1PKI體系概述
PKI即公鑰基礎設施,是一個基於非對稱演算法中的公鑰概念及技術而實施並提供安全服務的安全基礎設施,網路通訊、網上交易可以利用它來保證資訊保安。PKI應用系統至少應具有五個部分:CA、X.500目錄伺服器、安全WWW伺服器、Web安全通訊平臺、安全應用系統;而CA則是整個PKI的核心,所有的安全應用全圍繞CA展開。PKI提供的安全服務包括:身份認證、資料完整性、資料機密性等。
1.1CA
CA的功能包括:處理數字證書申請、頒發數字證書、證書更新及撤銷、管理數字證書撤銷表、數字證書的歸類及存檔。
1.2數字證書
數字證書是由CA發行的一種數字資訊檔案,用來標誌和證明網路通訊雙方的身份,內容包括:主體身份及公鑰資訊、CA及簽名信息、簽名演算法等。證書大多采用X.509標準。
1.3數字簽名
數字簽名是由資訊傳送者通過HASH函式對資訊進行處理,產生別人無法偽造的一段數字串,用以認證資訊的來源並核實資訊是否發生了變化。傳送者用私鑰加密資料傳給接收者,接收者用傳送者的公鑰解開資料後,就可以確定訊息的來源,同時也是對傳送者傳送資訊真實性的一個證明,傳送者不能抵賴。
2企業電子商務活動面臨的安全問題
企業電子商務活動主要包括售前諮詢、線上下單、訂單處理、網路支付、物流配送、售後服務等環節。這些環節除線上支付,其它部分沒有采用安全加密技術,存在著嚴重的安全問題。
2.1資料傳輸過程中的洩露問題
企業使用的通訊軟體依賴TCP/IP協議,該協議並沒有解決身份認證、資訊洩密、資料篡改等安全問題,這導致了企業傳輸資料時面臨著嚴重的安全威脅。例如,企業員工傳輸的電子郵件明文完全可能被攻擊者截獲,從而洩露了郵件的內容。
2.2資料儲存時的篡改問題
企業存放在雲資料庫、內部資料庫中的資料以明文儲存,系統管理員固然可以設定資料檔案的訪問控制權限,然而卻不能防範資料被篡改。一旦入侵者或內部非授權人員得到了資料的讀寫許可權,就可以非法修改資料。系統無法檢測資料是否被篡改、被誰篡改這樣的安全問題。
2.3使用者的身份識別問題
企業電子商務系統普遍採用賬戶加口令的方式進行認證,這種識別方法安全性較低,攻擊者通過窮舉嘗試等方法就能得到合法使用者的賬戶和口令。身份識別問題同樣出現在電子郵件的收發上。員工貿然相信發信方的身份或將機密信件錯發到其他人員信箱,都會給個人和企業帶來巨大的損失。
3基於PKI的企業電子商務安全解決方案
3.1建立企業內部的CA
企業自建CA有兩種技術路線。一是利用開源的OpenSSL軟體包。優點是二次開發靈活,可以將安全措施應用於企業自行開發的系統中;缺點是技術性強,需要較為專業的計算機人員來部署。二是利用微軟公司Windows伺服器產品中提供的證書服務功能。雖然二次開發受限,但是建設簡單快捷,且和Windows系列伺服器、OutLook郵件客戶端無縫結合,所以是首選。具體部署上,通過Windowsserver2008等伺服器上的“證書服務”元件來實現,該CA伺服器可滿足證書申請、頒發等基本需求。
3.2資訊傳輸採用安全的SSL通道
SSL協議由網景公司提出,用於保證瀏覽器和伺服器之間的身份真實及資料祕密傳輸,其提供的服務包括:身份認證、資料加密、資料完整性校驗。電商活動中,利用SSL協議能在客戶端和伺服器之間提供安全通道。企業可以利用自建CA生成網站伺服器的數字證書,安裝到WEB伺服器上開通SSL,來實現資料加密傳輸。
3.3利用數字證書對儲存的'資料進行加密和簽名
利用數字證書對機密資料加密並簽名,將密文和簽名一同存放在資料庫,企業可通過簽名來檢驗資料完整性。以企業採購單的儲存為例,可將商品採購價格、數量等敏感資訊加密、簽名,然後儲存。即使攻擊者獲得了企業資料的讀寫權,也因加密無法得到明文;同樣也無法篡改,因為這會被企業通過對簽名驗證而識破。具體實施時,可以利用微軟的CryptoAPI元件、JavaScript指令碼來實現。
3.4利用數字證書進行身份識別和資訊加密
客戶機和伺服器的身份識別通過WEB伺服器端配置SSL通道選項就可以實現。在SSL協議中,WEB伺服器端身份驗證是必須的,客戶端瀏覽器的身份驗證為可選項。若要強制驗證客戶瀏覽器身份,可以在伺服器端SSL安全通道選項裡選擇驗證客戶端數字證書。通過給郵件客戶端程式安裝數字證書,能實現郵件的數字簽名和加密。安裝電子郵件數字證書比較簡單,以OutLook為例,在安全選項卡里選擇並安裝數字證書即可。發郵件時,單擊相應按鈕就能加密、簽名信件。加密後的信件以附件方式傳輸和儲存,只有該使用者才能解密。第三方的免費郵箱大多實現了郵件的傳輸安全,但是郵件的儲存並沒有加密,上述方法很好地解決了這個問題。
4結語
基於PKI的安全方案為電子商務活動提供了身份認證、資料完整性、資料機密性等服務,使參與者都能在一個受信任的、安全的環境下開展交易活動,保證了電子商務的正常、穩定發展。
參考文獻:
[2]丁士傑.基於SSL的電子商務安全技術研究[D],合肥工業大學,2010
[3]孟叢.電子商務中應用PKI安全技術研究[J],現代工業經濟和資訊化,2015(1):82-83