PKI/PMI與電子商務(wù)安全

PKI/PMI與電子商務(wù)安全

摘要： 隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)與信息系統(tǒng)的安全與保密問題越來越重要，電子商務(wù)安全問題引起了人們的密切關(guān)注。本文對電子商務(wù)安全的需求及PKI/PMI技術(shù)進(jìn)行了探討。

關(guān)鍵字： PKI/PMI 電子商務(wù) 安全

一、電子商務(wù)及其安全需求

近年來，隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)的迅猛發(fā)展，人們以各種方式使用著Internet從事電子商務(wù)活動。電子商務(wù)已經(jīng)成為人們進(jìn)行商務(wù)活動的新模式。電子商務(wù)有比傳統(tǒng)商務(wù)方式更巨大的方便性和靈活性。
然而，網(wǎng)絡(luò)面臨的安全問題也隨之而來，例如內(nèi)部竊密和破壞，截收，非法訪問，破壞信息的完整性，破壞系統(tǒng)的可用性等等諸多問題。于是需要構(gòu)建一個安全的信息基礎(chǔ)設(shè)施平臺，為電子商務(wù)提供良好的應(yīng)用環(huán)境。解決網(wǎng)絡(luò)與系統(tǒng)安全的技術(shù)與設(shè)備有防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò)隔離等。這些信息安全技術(shù)對防外來攻擊、防非法入侵等發(fā)揮著較大的作用。但是，這些技術(shù)并不能全面地滿足電子商務(wù)的安全需要，電子商務(wù)的發(fā)展對信息安全提出的不僅僅是信息的機(jī)密性，還包括信息的完整性和不可否認(rèn)性。PKI技術(shù)能很好地滿足這一需求。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動缺少物理的接觸，因而使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適用于電子商務(wù)的密碼技術(shù)，它能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。

二、PKI/PMI技術(shù)

1．公鑰基礎(chǔ)設(shè)施PKI
PKI（Public Key Infrastructure）即公開密鑰體系，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論的技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是一種新的網(wǎng)絡(luò)安全技術(shù)，是一個集硬件、軟件、人力資源、相關(guān)政策和操作規(guī)范為一體的綜合系統(tǒng)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。嚴(yán)格地講，一個完善的PKI必須具有認(rèn)證機(jī)構(gòu)CA、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等組成部分。其中，認(rèn)證機(jī)構(gòu)CA是整個系統(tǒng)的核心。用戶使用由證書授權(quán)認(rèn)證中心（Certificate Authority，CA）簽發(fā)的數(shù)字證書，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性，并進(jìn)行用戶身份的識別。PKI的基礎(chǔ)是加密技術(shù)，核心是證書服務(wù)。 2．授權(quán)管理基礎(chǔ)設(shè)施PMI

PKI能夠?qū)崿F(xiàn)ISO7498-2定義的五大安全服務(wù)（身份認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性）中的大部分功能，但在訪問控制上存在一些不足，這主要是因為作為PKI基礎(chǔ)的CA證書只是綁定了用戶的身份。在有些情況下，單獨的身份認(rèn)證技術(shù)不能完全滿足系統(tǒng)要求，如基于角色的訪問控制。電子商務(wù)系統(tǒng)不僅要求用戶提供合法的身份證書用于身份認(rèn)證，而且要求提供相應(yīng)的授權(quán)管理機(jī)制，用于控制用戶在系統(tǒng)中的行為和動作。授權(quán)管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，簡稱PMI)是在PKI發(fā)展過程中被提出并逐漸從PKI中分離出來的一個新的概念。PMI提出了一個新的信息保護(hù)基礎(chǔ)設(shè)施，能夠系統(tǒng)地建立起對認(rèn)可用戶的授權(quán)，它是由屬性證書（Attribute Certificate AC）、屬性權(quán)威、屬性證書庫等部件的集合體，用來實現(xiàn)權(quán)限和屬性證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。屬性證書是經(jīng)過簽名的結(jié)構(gòu)，將用戶的一組屬性和其它信息通過認(rèn)證機(jī)構(gòu)的私鑰進(jìn)行數(shù)字簽名，使其不能偽造。其簽名和頒發(fā)的機(jī)構(gòu)是屬性管理機(jī)構(gòu)（Attribute Authority , AA）。賦予屬性證書的簽名不是用于證明公鑰/私鑰和身份之間的關(guān)系，而是用于證明證書所有者擁有的特權(quán)。PMI以資源管理為核心，對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)統(tǒng)一進(jìn)行處理，即由資源的所有者來進(jìn)行訪問控制。基于PMI的集中授權(quán)系統(tǒng)采用基于屬性證書的授權(quán)模式，向應(yīng)用提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。
PMI作為一個基礎(chǔ)設(shè)施能夠系統(tǒng)地建立起對認(rèn)可用戶的授權(quán)。通過結(jié)合授權(quán)管理系統(tǒng)和身份認(rèn)證系統(tǒng)補充了PKI的弱點。PMI權(quán)限管理和授權(quán)服務(wù)基礎(chǔ)平臺應(yīng)該滿足下面的需求：作為權(quán)限管理和授權(quán)服務(wù)的基礎(chǔ)設(shè)施，可以為不同類型的應(yīng)用提供授權(quán)管理和訪問控制的平臺支持。

3．PKI/PMI的比較

PMI和PKI有很多相似的概念。如屬性證書（Attribute Certificate, AC） 與公鑰證書（PKC） ，屬性權(quán)威（Attribute Authority, AA ）與認(rèn)證權(quán)威（CA）。公鑰證書是對用戶名稱和他/她的公鑰進(jìn)行綁定，而屬性證書是將用戶名稱與一個或更多的權(quán)限屬性進(jìn)行綁定。數(shù)字簽名公鑰證書的實體被稱為CA，簽名屬性證書的實體被稱為AA。PKI和PMI之間的主要區(qū)別在于：PMI主要進(jìn)行授權(quán)管理，證明這個用戶有什么權(quán)限，能干什么，即“你能做什么”；PKI主要進(jìn)行身份鑒別，證明用戶身份，即“你是誰”。將PKI和PMI技術(shù)結(jié)合，實現(xiàn)可信的身份認(rèn)證和可信授權(quán)管理是目前較為完善的安全保障措施。

三、小結(jié)

PKI和PMI是目前較為完善的Internet解決方案，其目的是為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，為電子商務(wù)提供身份認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性以及不可否認(rèn)性等服務(wù)。通過PKI/PMI系統(tǒng)，能夠為電子商務(wù)提供強(qiáng)大的系統(tǒng)安全保障，使用戶可以在多種應(yīng)用環(huán)境下進(jìn)行安全的電子交易，PKI/PMI技術(shù)在電子商務(wù)系統(tǒng)中發(fā)揮著重要作用。 論文出處(作者):
畢業(yè)論文:影響我國電子商務(wù)發(fā)展關(guān)鍵因素的分析和策略
試論價值鏈與電子商務(wù)的和諧發(fā)展

【PKI/PMI與電子商務(wù)安全】相關(guān)文章：

PKI在企業(yè)電子商務(wù)的應(yīng)用論文11-14

PKI在企業(yè)電子商務(wù)中的運用論文11-14

公鑰基礎(chǔ)設(shè)施PKI及其在公鑰基礎(chǔ)設(shè)施PKI中的應(yīng)用研究03-08

基于PKI機(jī)制的公鑰加密體系研究12-08

電子商務(wù)安全分析03-08

電子商務(wù)安全論文07-21

電子商務(wù)安全論文（經(jīng)典）05-27

電子商務(wù)安全題目及策略03-20

電子商務(wù)安全策略12-07