《基于KI的电子商务安全密钥托管技术及协议研究新版》由会员分享,可在线阅读,更多相关《基于KI的电子商务安全密钥托管技术及协议研究新版(10页珍藏版)》请在金锄头文库上搜索。
1、可编辑基于PKI的电子商务安全密钥托管技术及协议研究摘要:随着互连网技术的飞速发展,电子商务安全问题引起日益关注,本文对基于PKI的电子商务安全密钥托管技术及协议进行了探讨,分析了电子商务中的安全密钥托管技术问题,说明了PKI在电子商务安全中的作用以及PKI的应用特点。关键字:PKI;电子商务;安全Title:Based on PKI electronic commerce security key trust technology and agreement researchAbstract: Along with interlocks the net technology rapid de
2、velopment, theelectronic commerce security problem causes pays attention day by day,this article to was entrusted with the technology and the agreementbased on the PKI electronic commerce security key has carried on thediscussion, analyzed in the electronic commerce security key to beentrusted with
3、the technical question, explained PKI in the electroniccommerce security function as well as the PKI applicationcharacteristic.Keywords: PKI; Electronic commerce; Safe1 电子商务的安全问题电子商务是指利用各种信息技术所进行的经营管理活动,随着互连网技术的飞速发展,电子商务已经逐渐成为人们进行商务活动的新模式。电子商务以比传统商务方式的巨大的方便性和灵活性,吸引了越来越多的商家和顾客。然而,人们在得益于信息革命所带来的新的巨大机遇
4、和利益的同时,也不得不面对一个至关重要的问题电子商务中的安全问题。电子商务的安全可分为两大部分,计算机网络本身的安全和商务交易信息的安全。为了有效地保证计算机网络的安全,可以利用主机安全、访问控制、防火墙、系统漏洞检测、黑客跟踪以及病毒检测等技术。而对于商务交易信息的安全是在计算机网络安全的基础上,建立一个相对安全、可靠、便捷的电子商务应用环境,对信息提供较完善、较可靠的保护,电子商务的安全交易主要保证以下几个方面:可靠性:保证数据传输过程中不会被篡改;保密性:信息在存储、传输和处理过程中,不被他人窃取;完整性:是指在交换过程中无乱序或篡改,保持与原发送信息的一致;不可否认性:数据发送方、接收
5、方无法否认数据传输行为;交易者身份的确定性:能方便而可靠地确认交易双方身份,防止冒名发送数据。PKI 是目前惟一可以符合这几点安全交易要求的安全机制,它的安全环境是建立在密码学之上的。PKI 作为一项非常有效的工具,提供在Intranet、Extranet 及Internet网络环境间交换数据的信任基础。本文就对PKI在电子商务安全密钥托管技术及协议的应用进行研究和探讨。2 密钥托管的概念及相关技术2.1 密钥托管 密钥托管技术又成为密钥恢复(Key Recovery),是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也
6、可以在用户丢失、损坏自己的密钥的情况下恢复明文。密钥托管是指用户向CA 在申请数据加密证书之前,必须把自己的密钥分成t 份交给可信赖的t 个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这t 个人存的密钥合在一起才能得到用户的完整密钥。密钥托管有如下重要功能:(1) 防抵赖。在商务活动中, 通过数字签名即可验证自己的身份还可防抵赖。但当用户改变了自己的密码,他就可抵赖没有进行过此商务活动。为了防止这种抵赖有几种办法, 一种是用户在改密码时必须向CA 说明,不能自己私自改变。另一种是密钥托管,当用户抵赖时,其他t 位托管人就可出示他们存储的密钥作合成用户的密钥,使
7、用户没法抵赖。(2) 政府监听。政府、法律职能部门或合法的第三者为了跟踪、截获犯罪嫌疑人员的通信, 需要获得通信双方的密钥。这时合法的监听者就可通过用户的委托人收集密钥片后得到用户密钥,就可进行监听。(3) 密钥恢复。用户遗忘了密钥想恢复密钥,就可从委托人那里收集密钥片恢复密钥。2.2 PKI二十世纪八十年代, PKI( Public Key Infrastructure,公开密钥基础设施)诞生了, 它是利用公钥理论和技术建立的提供安全服务的基础设施,它采用证书管理公钥,通过第三方的可信任机构,把用户的公钥和用户的其它标识信息(如名称、e- mail、身份证号等)捆绑在一起,为所有网络应用透明
8、地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。从广义上讲,所有提供公钥加密和数字签名服务的系统, 都可叫做PKI系统。一个标准的PKI域必须具备以下主要内容:(1) CA (Certificate Authority)CA是PKI的核心执行机构,是PKI的主要组成部分,它是数字证书的申请注册、证书签发和管理机构。(2)证书和证书库证书是数字证书或电子证书的简称,它符合X. 509标准,是网上实体身份的证明。证书库是CA颁发证书和撤消证书的公共信息库,可供公众进行开放式查询。(3)密钥备份及恢复为避免密钥丢失, PKI提供了
9、密钥备份与密钥恢复机制:当用户证书生成时,加密密钥即被CA备份存储;当需要恢复时,用户只需向CA提出申请, CA就会为用户自动进行恢复。(4)密钥和证书的更新证书更新一般由PKI系统自动完成,不需要用户干预。当有效期结束之前, PKI/CA会自动启动更新程序,生成一个新证书来代替旧证书。(5)证书历史档案记录多个旧证书和至少一个当前新证书的整个密钥历史。(6)客户端软件客户端软件用以实现数字签名、加密传输数据等功能,并负责在认证过程中,查询证书和相关证书的撤消信息以及进行证书路径处理、对特定文档提供时间戳请求等。(7)交叉认证交叉认证实现的方法有两种:一种是桥接CA,即用一个第三方CA作为桥,
10、将多个CA连接起来,成为一个可信任的统一体;另一种是多个CA的根CA (RCA)互相签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的目的。2.3 CACA(Certificate Authority, 认证中心) 为每个使用公开密钥的用户发放基于数字签名的数字证书, 用来证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA 系统是PKI 系统的核心部分, 主要包括注册服务器RA、证书服务器CA、LDAP 目录服务器和数据库服务器等。 CA 的核心功能就是发放和管理数字证书, 具体描述如下: (1)接收验证最终用户数字证书的申请;(2)确定是否接
11、受最终用户数字证书的申请: 证书的审批;(3)向申请者颁发、拒绝颁发数字证书: 证书的发放;(4)接收、处理最终用户的数字证书更新请求: 证书的更新;(5)接收最终用户数字证书的查询、撤销;(6)产生和发布证书废止列表;(7)数字证书的归档;(8)密钥归档;(9)历史数据归档。2.4 数字证书数字证书是一个由可信的CA 进行了数字签名并包含了用户身份信息和公钥信息的电子文档或数据结构。由于数字证书中包含证书持有者的公钥信息, 而且每张证书都有一个与之对应的用户私钥, 因此数字证书体系继承了公钥密码体系的数据加密、密钥交换和数字签名的特性, 同时又由于数字证书中包含证书持有者的个人身份信息, 而
12、且身份信息和公钥的正确性由可信的CA来保证, 因此在进行身份鉴别、数字签名时更直观, 可以提供更多信息, 也更具可信性。为了实现可交互性, 在实际应用中证书需要符合一定的格式, 并标准化。IETF 把PKIX 工作组提供的Internet 草案PartI 的X.509 和CRL 的方法和规范作为标准, 并对各标准项和扩展作了说明。2.5 OpenSSL目前, SSL( Secure Sockets Layer, 安全套接层) 协议已经成为在网络认证协议方面使用最广泛的安全协议。协议通过使用X.509 标准的数字证书, 在客户端浏览器和Web 服务器之间建立一条安全传输通道, 用以实现身份认证和
13、数据加密, 保证只有经过授权的合法用户才能使用网络资源, 同时确保网页是真实可信的。SSL 协议的优势在于它与应用层协议独立无关, HTTP、FTP、TELNET 等应用层协议能透明地建立在SSL 协议上。OpenSSL 包不但实现了SSL 的一些接口, 而且涵盖了从底层对称、非对称加密算法到建立在其上的PKCS 接口( 包括X509 证书、PKCS 标准、ASN.1 等) 的实现, 甚至还给了一个有关CA 的例子。OpenSSL 包由两部分组成: SSLeay 和OpenSSL。SSLeay 是一套接口库, OpenSSL 是建立在这个库接口之上的一个应用。其中,SSLeay 是整个包的核心
14、, 它实现了常用的关于对称加密的des、idea、rc2、rc4、rc5、blowfish、CAST; 实现了非对称算法中的RSA、DH、DSA; 哈稀算法中的MD2、MD5、SHA、SHA - 1、RIPEMD、MDC2。单从这些算法看来, 已经可以用它来构建各种有关数据加密的应用了和PKCS 接口了。更可贵的, 它打破了美国的不允许强加密产品出口的限制。使用SSLeay, 我们完全可以替代微软所提供的那套用来构件加密应用的低强度的加密库, 并且通过使用SSLeay 开发自己的高强度专业加密应用。3 国内PKI的发展现状及存在的问题3.1现状与国外发达国家比较,我国的PKI技术的发展还处于起
15、步阶段,政府和各有关部门近年来对PKI产业的发展给予了高度重视,如科技部的863计划中专门为PKI立项,国家计委也正在考虑制定新的计划来宾支持PKI产业的发展,在国家电子产品政务工程中也已经明确提出了要构建PKI体系。1998年,国内第一家以实体形式运营的上海CA中心(SHECA)成立,此后全国先后建成了几十家不同类型的CA认证机构,CA认证的概念逐步从电子商务渗透至电子政务、金融、科教等各个领域。据不完全统计,目前我国上海、北京、深圳、重庆等城市已经建立了将近40多个别区域性和行业性的CA中心。在国家直属部门,以中国人民银行为首的12家金融机构推出了“中国金融认证中心CFCA”,中国电信也在
16、开展CA机制的实验工作。另外,许多网络通讯公司正在积极开发自己的、基于PKI的安全产品。目前国内研制PKI的机构有信息安全国家重点实验室、国家信息安全基地、中科院软件所等。我国未来的PKI产业组成主要分为两部分,一部分是PKI产品制造商,例如吉大正元;另一部分是服务商,例如上海CA中心和北京天威诚信。3.2 存在问题 目前我国PKI/CA认证主要存在的问题有:(1) 标准及管理问题到目前为止,国内尚未出台统一的PKI标准或相关的管理规范,也没有一个明确的CA管理机构。这种缺乏同意标准的态势必将造成多种技术标准共存的局面,也是目前我国众多CA中心各方割据、难以互通的一个主要原因。(2) 权威性问题一些CA认证机构对证书的发放和审核不够严谨。为了抢占市场,在没有进行严格的身份确认和验证就随意发放证书,难以保证认证的权威性和公正性。(3
