24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

論電子商務(wù)安全中的密鑰備份與密鑰托管

來源: 李漢荊 編輯: 2009/07/17 16:59:40  字體:

  摘要:簡要介紹了基于PKI的密鑰托管技術(shù)及密鑰托管代理的概念,分析了密鑰托管的步驟,以及政府部門在密鑰托管代理的幫助下強(qiáng)制訪問信息的過程。 

  關(guān)鍵詞:密鑰;密鑰備份;密鑰托管

  1電子商務(wù)中存在的安全問題

  隨著電子商務(wù)的廣泛開展,網(wǎng)絡(luò)安全問題得到越來越多的重視。而以計算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的電子商務(wù),面臨著下面一些安全問題:

  (1)信息的泄漏。

  在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏,主要包括兩個方面:交易雙方進(jìn)行交易的內(nèi)容被第三方竊?。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用。

  (2)信息的竄改。電子交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。

  (3)身份的認(rèn)證。如果不進(jìn)行身份認(rèn)證,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等,進(jìn)行身份認(rèn)證后,交易雙方就可防止“相互猜疑”的情況。

  為了解決上述問題,公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ),用來建立不同實體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù),核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心(Certificate Authority,CA)簽發(fā)的數(shù)字證書,結(jié)合加密技術(shù),可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性,并進(jìn)行用戶身份的識別。 

  2密鑰和密鑰備份

  密鑰就是指加密解密時所使用的參數(shù),可以是一個整數(shù)或一串字符,或其它任何加解密方法所能理解的形式。在數(shù)據(jù)加密中有兩種最基本的加密方式,一種是采用相同的密鑰加密、解密數(shù)據(jù),這種方法叫做對稱加密,而另外一種稱為公共密鑰加密技術(shù),公共密鑰加密技術(shù)采用一對匹配的密鑰進(jìn)行加密、解密。每把密鑰執(zhí)行一種對數(shù)據(jù)的單向處理,密鑰對中其中一把的功能恰恰與另一把相反,一把用于加密時,則另一把就用于解密。 公開密鑰是由其主人加以公開的,而私人密鑰必須保密存放。為發(fā)送一份保密報文,發(fā)送者必須使用接收者的公共密鑰對數(shù)據(jù)進(jìn)行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。 相反地,用戶也能用自己私人密鑰對數(shù)據(jù)加以處理。換句話說,密鑰對的工作是可以任選方向的。而在密鑰的生命周期之內(nèi),由于各種原因,可能出現(xiàn)用戶的私鑰丟失,這可能導(dǎo)致在商務(wù)過程中業(yè)務(wù)的嚴(yán)重?fù)p失甚至停止。解決這個問題的一個通用可行的辦法,就是在密鑰生命周期中引入密鑰備份和解密密鑰的恢復(fù)機(jī)制,即從遠(yuǎn)程備份設(shè)施,如可信賴的密鑰恢復(fù)中心或者CA中恢復(fù)私有解密密鑰。密鑰的備份與恢復(fù)只能有可信賴的機(jī)構(gòu)來完成。

  密鑰的備份的必要性是以合理的實際的商業(yè)需求為出發(fā)點,與法律或政府對加密數(shù)據(jù)的管理無關(guān),而密鑰托管不同,他是出于對法律強(qiáng)制或者政府對加密數(shù)據(jù)的訪問控制的要求而設(shè)置的。

  3密鑰托管與密鑰托管代理

  在電子商務(wù)廣泛采用公開密鑰技術(shù)后,隨之而來的是公開密鑰的管理問題。對于政府機(jī)構(gòu)來說,為了加強(qiáng)對貿(mào)易活動的監(jiān)管,客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門緊密協(xié)作。為了打擊犯罪,還要涉及到公安和國家安全部門。這樣,交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計算機(jī)犯罪活動,提出了密鑰托管(Key Escrow,KE)的概念。KE與CA相接合,既能保證個人通信與電子交易的安全性,又能實現(xiàn)法律職能部門的管理介入,是今后電子商務(wù)安全策略的發(fā)展方向。 

  密鑰托管技術(shù)是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份,既可在必要時幫助國家司法或安全等部門獲取原始明文信息,也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。 

  執(zhí)行密鑰托管功能的機(jī)制是密鑰托管代理(Key Escrow Agent,KEA)。KEA與CA是PKI的兩個重要組成部分,分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進(jìn)行操作,負(fù)責(zé)政府職能部門對信息的強(qiáng)制訪問,不參與通信過程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方,為每個使用公開密鑰的客戶發(fā)放數(shù)字證書,負(fù)責(zé)檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程,但不涉及具體的通信內(nèi)容。

  4安全密鑰的托管

  密鑰托管最關(guān)鍵,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為,即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管,密鑰托管技術(shù)的實施需要通過政府的強(qiáng)制措施進(jìn)行。用戶必須先委托密鑰托管代理進(jìn)行密鑰托管,取得托管證書,才能向CA申請加密證書。CA必須在收到加密公鑰對應(yīng)的私鑰托管證書后,再簽發(fā)相應(yīng)的公鑰證書。 

  為了防止KEA濫用權(quán)限及托管密鑰的泄漏,用戶的私鑰被分成若干部分,由不同的密鑰托管代理負(fù)責(zé)保存。只有將所有的私鑰分量合在一起,才能恢復(fù)用戶私鑰的有效性。 

  (1)用戶選擇若干個KEA,分給每一個代理一部分私鑰和一部分公鑰。代理根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書。證書中包括該用戶的特定表示符(Unique Identify,UID)、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進(jìn)行數(shù)字簽名,以保證其真實性,并將其附在托管證書上。 

  (2)用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA,申請加密證書。 

  (3)由CA驗證每個托管證書的真實性,即是否每一個托管代理都托管了一部分有效的私鑰分量,并對用戶身份加以確認(rèn)。完成所有的驗證工作后,CA生成加密證書,返回給用戶。

  所有傳送的加密信息都帶有包含會話密鑰的數(shù)據(jù)恢復(fù)域(Data Recovery Field,DRF),它由時間戳、發(fā)送者的加密證書、會話密鑰組成,與密文綁定在一起傳送給接收方。接收方必須通過數(shù)據(jù)恢復(fù)域才能獲得會話密鑰。在必要時,政府機(jī)構(gòu)可利用KEA,通過數(shù)據(jù)恢復(fù)域?qū)崿F(xiàn)對通信內(nèi)容的強(qiáng)制訪問。 

  在政府機(jī)構(gòu)取得授權(quán)后,首先監(jiān)聽并截獲可疑信息,利用數(shù)據(jù)恢復(fù)域中發(fā)送者的加密證書獲得發(fā)送者的托管代理標(biāo)示符及其對應(yīng)的托管證書號,然后把自己的授權(quán)證書和托管證書號交給相應(yīng)的密鑰托管代理。KEA驗證授權(quán)證書的真?zhèn)魏螅祷刈约罕9艿哪遣糠炙借€。這樣在收集了所有的私鑰成分后,司法部門就能恢復(fù)出發(fā)送者的私鑰,再結(jié)合接收者的公鑰及時間戳,就能破解會話密鑰,進(jìn)而破解整個密文。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下,政府機(jī)構(gòu)就能審查通信內(nèi)容。 

  參考文獻(xiàn)

  [1]胡偉雄.電子商務(wù)安全認(rèn)證系統(tǒng)[M].武漢:華中師范大學(xué)出版社,2005.

 ?。?]國際電子商務(wù)師培訓(xùn)教程編委會. 國際電子商務(wù)師培訓(xùn)教程[M].北京:人民交通出版社,2006.

  [3]馮登國.公開密鑰基礎(chǔ)設(shè)施[M].北京:人民郵電出版社,2001.

  [4]劉蔭銘等.計算機(jī)安全技術(shù)[M].北京:清華大學(xué)出版社,2000.

 ?。?]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M].北京:電子工業(yè)出版社,2002.

責(zé)任編輯:Sylar

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.yinshua168.com.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號