Web交易的安全问题及解决方案

一般来讲，Web上的交易可能带来的安全问题有以下几方面： 
  ●诈骗----建立网站是一件很容易也花钱不多的事，有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单，然后它就可以让访问者填一份详细的注册资料，还假装保证个人隐私，而实际上就是为了获得访问者的隐私。调查显示，邮件地址和信用卡号的泄漏大多是如此这般。 
  ●泄漏----当交易的信息在网上"赤裸裸"的传播时，窃听者可以很容易地截取并提取其中的敏感信息。 
  ●篡改----截取了信息的人还可以做一些更"高明"的工作，他可以替换其中某些域的值，如姓名、信用卡号甚至金额，以达到自己的目的。 
  ●攻击----主要是对Web服务器的攻击，例如著名的DDOS(分布式拒绝服务攻击)。攻击的发起者可以是心怀恶意的个人，也可以是同行的竞争者。 
  为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。 

 

PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)都是组成PKI的关键组件。作为提供信息安全服务的公共基础设施，PKI是目前公认的保障网络社会安全的最佳体系。 

CA是PKI的核心执行机构，是PKI的主要组成部分，通常称它为认证中心。以CFCA为例介绍：

 CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA；第二层为政策CA，可向不同行业、领域扩展信用范围；第三层为运营CA，根据证书运作规范（CPS）发放证书。运营CA由CA系统和证书注册审批机构（RA）两大部分组成：
CA系统：承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定，CA系统设在CFCA本部，不直接面对用户；

RA系统：是数字证书的申请注册、证书签发和管理机构。直接面向用户，负责用户身份申请审核，并向CA申请为用户转发证书。
　证书是数字证书或电子证书的简称，它符合X.509标准，是网上实体身份的证明。X.509是由国际电信联盟（ITU-T）制定的数字证书标准。证书按用途可分为：企业高级证书、个人高级证书、企业普通证书、个人普通证书、服务器证书、手机证书、安全E-mail证书、VPN设备证书等。证书可以存放在机器硬盘、随身软盘、IC卡、CPU卡或USBKEY中。

证书的功能：

1、实体的鉴别：
　　使电子交易的各方都拥有合法的身份，在交易的各个环节都可验证对方数字证书的有效性，从而解决相互信任问题。
2. 保证电子交易中信息的保密性：
    信息泄漏主要指交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用，通过对信息进行加密，从而解决了这方面的问题。
3. 保证电子交易中数据的真实性和完整性：
　　交易信息在网络传输过程中，可能被他人非法的修改、删除或重放（指只能使用一次的信息被多次使用），这方面的安全性是由身份认证和信息的加密来保证的。
4. 支持不可否认性：
　　CFCA的高级证书中使用了一套专门用来进行签名／验证的密钥对，以保证签名密钥与加密密钥的分隔使用。对签名／验证密钥对中用来签名的私有密钥而言，其产生、存储和使用过程必须安全，且只能由用户独自控制。