前言：本站為你精心整理了電子商務應用管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]網(wǎng)絡已經(jīng)滲透到社會的各個領域,其安全性越顯重要。本文主要介紹了保障電子商務中安全的PKI(PubicKeyInfrastructure)技術，在文章的開始首先提出了PKI的組成，隨后介紹了PKI原理，并在文章的最后提出了PKI在應用中存在的問題。

[關鍵詞]PKICAHash密鑰數(shù)字指紋

一、引言

隨著Internet的發(fā)展，網(wǎng)絡已經(jīng)滲透到了人們生活的各個方面，并改變了人們的生活方式。電子商務作為一種新的營銷模式因具有傳統(tǒng)商務所不具有的特點被越來越多人們所重視，并得到了迅猛的發(fā)展。由于Internet開放性的特點，其安全性一直受到人們的關注，致使很多人不愿在Internet上進行商務活動。為解決電子商務的安全問題，PKI(PublicKeyInfrastructure)技術作為一種有效安全解決方案被引入到了電子商務中來。本文主要從PKI的組成、原理和PKI的應用等方面進行簡單的介紹。

二、PKI組成

PKI主要以非對稱加密算法為基礎，采用證書管理公鑰，通過第三方的可信任機構──認證中心CA(CertificateAuthority)，把用戶的公鑰和用戶的其他標識信息(如身份證號）捆綁在一起，在Internet上對用戶進行身份驗證。目前，通用的辦法是采用基于PKI結構結合數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密，保證信息傳輸?shù)谋Ｃ苄?、完整性，簽名保證身份的真實性和不可否認性。完整的PKI系統(tǒng)包括CA、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應用程序接口(API)五部分組成。

1.認證機構（CA）,即數(shù)字證書的申請和頒發(fā)機構,是PKI的核心執(zhí)行機構,把用戶的公鑰和用戶的其他信息捆綁在一起，向用戶簽發(fā)數(shù)字證書，具有權威性,為用戶所信任。

2.數(shù)字證書庫，用于存儲已頒發(fā)的數(shù)字證書及公鑰,并向所有用戶開放（以WEB服務的形式出現(xiàn)）。用戶可通過標準的LDAP協(xié)議查詢自己或其他人的證書和下載黑名單信息。

3.密鑰備份及恢復系統(tǒng)，防制解密密鑰丟失。

4.證書作廢系統(tǒng)，證書由于某種原因需要作廢，終止使用，可向證書作廢系統(tǒng)提出調(diào)銷申請。

5.應用接口系統(tǒng)，為所有應用提供統(tǒng)一的安全、可靠的接口,確保所建立的網(wǎng)絡環(huán)境安全可信。

三、PKI工作原理

使用PKI進行數(shù)據(jù)傳輸時,首先要對數(shù)據(jù)加密以保證安全性。目前，加密算法分為對稱加密和非對稱加密算法兩大類。

對稱加密采用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰。對稱加密算法使用起來簡單快捷，可以很容易用硬件實現(xiàn)，但密鑰管理難度比較大，必需用一種安全的途徑來交換密鑰，而這難于實現(xiàn);而且無法完成數(shù)據(jù)完整性和不可否認性驗證，無法適用于數(shù)據(jù)簽名。主要有DES和IDEA等算法。

1976年，美國學者W.Diffe和N.E.Hellman在其《密碼學的新方向》一文中提出了一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統(tǒng)”，實現(xiàn)了加密密鑰和解秘密鑰的分離。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。與對稱加密算法不同，非對稱加密算法需要兩個密鑰:公開密鑰（publickey）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。非對稱加密算法實現(xiàn)機密信息交換的基本過程如下:A生成一對密鑰并將其中的一把作為公用密鑰向其他方公開;得到該公用密鑰的B使用該密鑰對機密信息進行加密后再發(fā)送給A;A再用自己保存的另一把專用密鑰對加密后的信息進行解密。A只能用其專用密鑰解密由其公用密鑰加密后的任何信息。通過上述過程可以看出非對稱加密對數(shù)據(jù)傳輸具有保密性、完整性和不可否認性等特點，但加密和解密速度慢，難以用硬件實現(xiàn)，它只適用于對少量數(shù)據(jù)進行加密。非對稱加密算法主要有RSA和Diffe-Hellman等。

在加密過程中對稱加密和非對稱加密常常結合一起使用，對大量數(shù)據(jù)利用對稱加密，其對稱加密密鑰通過非對稱加密后再傳輸?shù)侥康挠脩?但這種傳輸方式并不能保證數(shù)據(jù)的完整性；為此人們又引入了數(shù)字指紋技術。在傳輸時先通過Hash函數(shù)取得數(shù)據(jù)摘要信息，然后通過非對稱加密傳輸。一個Hash函數(shù)，以任意長的信息為輸入，產(chǎn)生固定長的輸出，這個輸出稱為信息摘要或數(shù)字指紋。對于固定的輸入，會產(chǎn)生固定的輸出。但給定一個輸出，去尋找一個特定的輸入以產(chǎn)生相同的輸出是計算不可行的。數(shù)據(jù)任何一位發(fā)生變化，則Hash值將改變。正是由于這種特性，常被用于信息或文件的完整性檢驗。常用的算法有MD5和沙SHA。

利用PKI實現(xiàn)數(shù)字簽名過程如下(假設A向B傳輸數(shù)據(jù)）：

1.A對要傳輸?shù)男畔ⅲ↖）進行Hash運算，得到信息摘要（MD）。

2.A利用A的私鑰對MD進行加密得到A的數(shù)字簽名（DS），并將附在I的后面。

3.A隨機產(chǎn)生一個加密密鑰（K），對發(fā)送的信息(I和DS)加密，形成Data。

4.A用B的公鑰對K加密，并將加密后的密鑰和Data發(fā)送給B。

5.B收到A傳送過來的密文和加密過的密鑰后，用B的私鑰對加密過的密鑰解密。

6.B用密鑰對收到的密文解密，得到了明文。

7.B用A的公鑰對A的數(shù)字簽名進行解密，得到信息摘要。B用和A相同的Hash算法對解密后的明文運算，取得一個新的摘要；B將收到的信息摘要和新產(chǎn)生信息摘要進行比較，如果一致，說明受到信息沒有修改過。

在信息傳輸過程中，第2步、第4步只對少量數(shù)據(jù)使用非對稱加密，而絕大部分數(shù)據(jù)使用對稱加密方法，既保證了數(shù)據(jù)的保密性、完整性和不可否認性等特點，也提高了數(shù)據(jù)處理效率。

四、PKI存在問題分析

經(jīng)過多年的發(fā)展，PKI已經(jīng)成為了一種非常成熟的信息安全解決方案，能夠很好實現(xiàn)了對信息的保密性、完整性、不可否認性等特點，應用日益廣泛。但PKI不是萬能的解決方案，也存在著很多問題。

1.PKI的安全性是以非對稱加密算法和Hash算法為基礎的，如果這些算法出了問題，整個PKI安全將不攻自破，變得毫無意義。比如RSA算法是基于數(shù)論中的歐拉定理，其安全性依賴大素數(shù)分解的困難性；因子分解越困難，密碼就越難以破譯。但是一旦科學家找到了分解大數(shù)因子的辦法，RSA將不能再保證PKI的安全。在2004年8月的世界密碼學大會和2005年2月的RSA年會上，中國數(shù)學家王小云教授宣布已破解了MD-5和SHA-1兩大Hash函數(shù)。也就是說，電子簽名可以偽造，必須重新選用更為安全的密碼標準，才能保證電子商務的安全。

2.數(shù)字證書的管理；數(shù)字證書就相當于人的身份證，對于CA企業(yè)必須經(jīng)嚴格的審批,最好由政府或指定某個權威機構來擔當CA的角色。另一個非常重要的問題就是私鑰的保存，如果保存不當造成私鑰泄密，將會造成嚴重的后果。

3.PKI不能防止各種病毒的攻擊，特別是ARP欺騙和木馬等類型的病毒。這些病毒專門竊銀行的賬號和密碼。比如木馬病毒“網(wǎng)銀大盜”（Trojan/PSW.HidWebmon）通過鍵盤記錄的方式，監(jiān)視用戶操作。當用戶使用個人網(wǎng)上銀行進行交易時，該病毒會惡意記錄用戶所使用的賬號和密碼，記錄成功后，病毒會將盜取的賬號和密碼發(fā)送給病毒作者，給用戶造成了巨大的經(jīng)濟損失。因此在在網(wǎng)上銀行登錄頁面輸入賬戶和密碼時，最好用軟鍵盤來實現(xiàn)。但是目前又有一種新的木馬病毒可以直接將用戶的屏幕以拍照的形式記錄下來，然后發(fā)送個木馬的制造者，造成了賬號和密碼的泄漏。因此，建議大家最好定期更新OS和殺毒軟件，不要在公共計算機登陸銀行賬戶等機密信息。

五、結束語

盡管PKI存在一些問題，但PKI是目前最好的信息安全解決方案。PKI也在不斷發(fā)展中完善，相信在不久的將來PKI在保障信息安全方面將會發(fā)揮更大的作用。

參考文獻:

[1]AndrewNash，WilliamDuane，CeliaJoseph，DerekBrink.PKI:ImplementingandManagingE-Security[M].McGraw-Hill,2002

[2]謝冬青冷健:PKI原理與技術[M].北京:清華大學出版社.2004

[3]肖德琴等:電子商務安全保密技術與應用[M].華南理工大學出版社.2005

[4]劉培順王建波何大可:結合指紋信息的PKI認證系統(tǒng)[J].計算機工程.2005.9