PKI技术在安全电子商务系统中的应用研究.pdf

第 27 卷 第 3 期 邢 台 职 业 技 术 学 院 学 报 Vol.27 No.3 2010 年 6 月 Journal of Xingtai Polytechnic College Jun. 2010 PKI 技术在安全电子商务系统中的应用研究 陈晓纪，李大明，柴旭光 （邢台职业技术学院，河北邢台 054035 ） 摘 要：文中首先阐述了电子商务系统在安全方面存在的问题，然后介绍了 PKI 技术，最后将 CA （权威认证中心）应用于电子商务系统中，对电子商务系统的关键部分进行了深入研究。 关键词：电子商务；PKI 技术；信息安全；数字证书 中图分类号：TP399 文献标识码：A 文章编号：1008—6129 （2010 ）03—0094—04 一、引言 随着网络技术和软件技术的飞速发展，特别是 Internet 的出现及其相关技术的迅速发展，信息革命带 来了全球范围市场竞争的日益加剧，对传统的购物方式产生了巨大冲击。在社会信息化的不断推进过程 中，购买商品的人不断改变购物方式，电子商务就是在这样的背景下产生的。Internet 的全球性、开放性 在为电子商务提供极大便利的同时，也为信息安全带来了极大的威胁，非授权访问、冒充合法用户、破 坏数据完整性、干扰系统正常运行等，将对电子商务数据的必威体育官网网址性、完整性、不可抵赖性及上网人员的 身份真实性[1]等带来了极大的危害。 为了使电子交易安全可靠，必须建立一个安全、便捷的电子商务应用环境, 保证整个商务活动中信息 的安全性和完整性。数据加密技术则构成了电子商务安全的基础,没有数据加密技术，就没有电子商务的 安全。PKI 技术是实现电子商务安全的关键技术，它以密码学原理为理论基础，利用数字证书、数字签 名[2]等加密技术实施构建的安全程度极高的加密/签名系统，是解决电子商务安全问题的有效措施。 二、PKI 体系结构 PKI(Public Key Infrastructure ，公开密钥基础设施)是一种采用双密钥原理的遵循既定标准的密钥管理 平台，它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，[3] 从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI 可以提供会话必威体育官网网址、认证、完 整性、访问控制、源不可否认、目的不可否认、安全通信和密钥恢复信息安全所需要的服务。 完整的 PKI 包括认证政策的制定、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技 术的实现。PKI 主要包括四个部分：X.509 格式的证书(X.509V3)和证书废止列表 CRL(X.509V2)、CA/RA 操作协议、CA 管理协议、CA 政策制定。主要组成部分有权威认证机构(CA)、数字证书库、密钥备份及 恢复系统、证书撤销系统、应用接口(API)等基本构成部分。[4] 一个典型、完整、有效的 PKI 应用系统至少应具有以下部分。 （一）认证中心CA CA 是 PKI 的核心，主要职责是颁发证书、验证用户身份的真实性。一般情况下，证书必须由一个可 信任的第三方权威机构—CA 认证中心实施数字签名以后才能发布。而获得证书的用户通过对 CA 的签名 进行验证，从而确定了公钥的有效性。CA 负责产生、分配并管理 PKI 结构下的所有用户(包括各种应用 程序) 的证书，把用户的公钥和其他信息捆绑在一起，在网上验证用户的身份，还要负责用户证书的黑名 单登记和黑名单发布。 （二）注册审批机构RA RA 是 CA 的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同 时，对发放的证书完成相应的管理功能。RA 系统是整个 CA 中心得以正常运营不可缺少的一部分。在 RA 的下层还可以有多个业务受理点(RS) 。CA、RA 和 RS 之间的逻辑结构如图 1 所示。 （三）LDAP 目录服务器 ———————————— 收稿日期：2009—11—21 作者简介：陈晓纪（1983—），辽宁昌图县人，邢台职业技术学院信息工程系，助教。 94 邢台职业技术学院学报