PKI數(shù)字簽名技術(shù)在電子商務(wù)安全中的應(yīng)用 網(wǎng)絡(luò)安全論文

1、PKI數(shù)字簽名技術(shù)在電子商務(wù)平安中的應(yīng)用摘要：隨著Internet的開展，網(wǎng)絡(luò)已經(jīng)滲透到各個方面，改變了人們的生活方式。電子商務(wù)作為一種新的營銷模式因具有傳統(tǒng)商務(wù)所不具有的特點(diǎn)越來越被人們所重視，并得到了迅猛的開展。由于Internet的開放性，其平安性一直受到人們的關(guān)注。為解決電子商務(wù)的平安問題，公鑰根底設(shè)施(public key infrastructure，PKI)技術(shù)作為一種有效平安解決方案被引入到了電子商務(wù)中來。本文以電子商務(wù)系統(tǒng)為背景，介紹了PKI的概念及其加密體制說明了PKI在電子商務(wù)平安中的作用以及PKI的應(yīng)用特點(diǎn)，分析了數(shù)字簽名如何保證信息的完整性、保密性、和抗抵賴性，電子商

2、務(wù)中的平安密鑰托管技術(shù)問題，給出了數(shù)字簽名技術(shù)在電子商務(wù)平安中的應(yīng)用。關(guān)鍵字：PKI；數(shù)字簽名；電子商務(wù)平安PKI digital signature technologys application in the e-commerce securityAbstract: With the development of Internet,the network has penetrated into everything,which has changed all peoples life. E-commerce as a new marketing model for a traditiona

3、l business dont have has been getting more and more attention and has been rapid development. The openness of the Internet, its safety has been of concern. To address security issues of e-commerce, public key infrastructure (public key infrastructure, PKI) technology as an effective security solutio

4、n is introduced into commerce in the past. In this paper, the background of e-commerce systems, introduces the concept of PKI and PKI encryption system illustrates the role of security in e-commerce and PKI applications, analyzes the digital signature to ensure the integrity, confidentiality, and th

5、e repudiation Of e-commerce technology in the key escrow problem of security, digital signature technology is given in the application of e-commerce security.Key words: PKI；Digital signature；E-commerce Security；1、引言電子商務(wù)指利用各種信息技術(shù)所進(jìn)行的經(jīng)營管理活動，隨著互連網(wǎng)技術(shù)的開展，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動的新模式。電子商務(wù)以比傳統(tǒng)商務(wù)方式的巨大的方便性和靈活性，吸引了

6、越來越多的商家和顧客。人們通過因特網(wǎng)進(jìn)行溝通越來越多，相應(yīng)的通過網(wǎng)絡(luò)進(jìn)行商務(wù)活動及電子商務(wù)也得到了廣泛的開展。然而，人們在得益于信息革命所帶來的新的巨大機(jī)遇和利益的同時，也不得不面對一個至關(guān)重要的問題電子商務(wù)中的平安問題。然而隨著電子商務(wù)的飛速開展，引發(fā)了一些Internet平安問題。概括起來，進(jìn)行電子交易的互聯(lián)網(wǎng)用戶所面臨的平安問題有：1)保密性：如何保證電子商務(wù)中設(shè)計(jì)的大量保密信息在公開網(wǎng)絡(luò)的傳輸過程中不被竊取；2完整性：如何保證電子商務(wù)中所傳輸?shù)慕灰仔畔⒉槐恢型敬鄹募巴ㄟ^重復(fù)發(fā)送進(jìn)行虛假交易；3身份認(rèn)證：在電子商務(wù)的交易中，如何對雙方進(jìn)行認(rèn)證，以保證交易雙方身份的正確性；4抗抵賴：在電子

7、商務(wù)的交易完成后，如何保證交易的任何一方無法否認(rèn)已發(fā)生的交易。這些平安問題將在很大程度上限制電子商務(wù)的進(jìn)一步開展，因此如何保證Internet網(wǎng)上信息傳輸?shù)钠桨?，已成為開展電子商務(wù)的重要環(huán)節(jié)，而PKI 是目前惟一可以符合這幾點(diǎn)平安交易要求的平安機(jī)制，它的平安環(huán)境是建立在密碼學(xué)之上的。PKI 作為一項(xiàng)非常有效的工具，提供在Intranet、Extranet 及Internet網(wǎng)絡(luò)環(huán)境間交換數(shù)據(jù)的信任根底。由于PKI體系結(jié)構(gòu)在數(shù)據(jù)傳輸?shù)钠桨残苑矫妾?dú)具優(yōu)勢，目前被廣泛應(yīng)用于電子商務(wù)之中，基于PKI的數(shù)字簽名證書技術(shù)可以為電子商提供平安保障。2、數(shù)字簽名技術(shù)概念及相關(guān)技術(shù)2.1 PKI(public

8、key infrastructure)公鑰根底設(shè)施PKI是利用公鑰理論和技術(shù)建立的提供平安效勞的根底設(shè)施，它采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其它標(biāo)識信息(如名稱、e- mail、身份證號等)捆綁在一起，為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書管理，從而到達(dá)保證網(wǎng)上傳遞信息的平安、真實(shí)、完整和不可抵賴的目的。從廣義上講，所有提供公鑰加密和數(shù)字簽名效勞的系統(tǒng)， 都可叫做PKI系統(tǒng)。一個標(biāo)準(zhǔn)的PKI域必須具備以下主要內(nèi)容:1 CA (Certificate Authority)CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成局部，它是數(shù)字證書

9、的申請注冊、證書簽發(fā)和管理機(jī)構(gòu)。2證書和證書庫證書是數(shù)字證書或電子證書的簡稱，它符合X. 509標(biāo)準(zhǔn)，是網(wǎng)上實(shí)體身份的證明。證書庫是CA頒發(fā)證書和撤消證書的公共信息庫，可供公眾進(jìn)行開放式查詢。3密鑰備份及恢復(fù)為防止密鑰喪失， PKI提供了密鑰備份與密鑰恢復(fù)機(jī)制:當(dāng)用戶證書生成時，加密密鑰即被CA備份存儲；當(dāng)需要恢復(fù)時，用戶只需向CA提出申請， CA就會為用戶自動進(jìn)行恢復(fù)。4密鑰和證書的更新證書更新一般由PKI系統(tǒng)自動完成，不需要用戶干預(yù)。當(dāng)有效期結(jié)束之前， PKI/CA會自動啟動更新程序，生成一個新證書來代替舊證書。5證書歷史檔案記錄多個舊證書和至少一個當(dāng)前新證書的整個密鑰歷史。6客戶端軟件客

10、戶端軟件用以實(shí)現(xiàn)數(shù)字簽名、加密傳輸數(shù)據(jù)等功能，并負(fù)責(zé)在認(rèn)證過程中，查詢證書和相關(guān)證書的撤消信息以及進(jìn)行證書路徑處理、對特定文檔提供時間戳請求等。7交叉認(rèn)證交叉認(rèn)證實(shí)現(xiàn)的方法有兩種:一種是橋接CA，即用一個第三方CA作為橋，將多個CA連接起來，成為一個可信任的統(tǒng)一體；另一種是多個CA的根CA (RCA)互相簽發(fā)根證書，這樣當(dāng)不同PKI域中的終端用戶沿著不同的認(rèn)證鏈檢驗(yàn)認(rèn)證到根時，就能到達(dá)互相信任的目的。CA(Certificate Authority， 認(rèn)證中心) 為每個使用公開密鑰的用戶發(fā)放基于數(shù)字簽名的數(shù)字證書， 用來證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA 系統(tǒng)是PKI

11、系統(tǒng)的核心局部， 主要包括注冊效勞器RA、證書效勞器CA、LDAP 目錄效勞器和數(shù)據(jù)庫效勞器等。2.2 CA(Certificate Authority認(rèn)證中心 CA 的核心功能就是發(fā)放和管理數(shù)字證書， 具體描述如下: 1接收驗(yàn)證最終用戶數(shù)字證書的申請；2確定是否接受最終用戶數(shù)字證書的申請: 證書的審批；3向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書: 證書的發(fā)放；4接收、處理最終用戶的數(shù)字證書更新請求: 證書的更新；5接收最終用戶數(shù)字證書的查詢、撤銷；6產(chǎn)生和發(fā)布證書廢止列表；7數(shù)字證書的歸檔；8密鑰歸檔；9歷史數(shù)據(jù)歸檔。數(shù)字證書是一個由可信的CA 進(jìn)行了數(shù)字簽名并包含了用戶身份信息和公鑰信息的電子文檔或

12、數(shù)據(jù)結(jié)構(gòu)。由于數(shù)字證書中包含證書持有者的公鑰信息， 而且每張證書都有一個與之對應(yīng)的用戶私鑰， 因此數(shù)字證書體系繼承了公鑰密碼體系的數(shù)據(jù)加密、密鑰交換和數(shù)字簽名的特性， 同時又由于數(shù)字證書中包含證書持有者的個人身份信息， 而且身份信息和公鑰的正確性由可信的CA來保證， 因此在進(jìn)行身份鑒別、數(shù)字簽名時更直觀， 可以提供更多信息， 也更具可信性。為了實(shí)現(xiàn)可交互性， 在實(shí)際應(yīng)用中證書需要符合一定的格式， 并標(biāo)準(zhǔn)化。 哈希函數(shù)在密碼學(xué)中有著廣泛的應(yīng)用，與各種加密算法有著密切的聯(lián)系，他被廣泛的應(yīng)用在數(shù)字簽名、消息的完整性校驗(yàn)、消息的認(rèn)證起源中。哈希函數(shù)的模型為h=HM其中，M為待處理的明文，可以為任意的長

13、度；H為哈希函數(shù)，h為生成的報(bào)文摘要，它具有固定的長度，并且和M的長度無關(guān)，單向哈希函數(shù)具有以下性質(zhì)：1容易計(jì)算：給定M，很容易計(jì)算出h=HM2單向性：給定h，找到HM=h的M在計(jì)算上是不可行的；3沖擊抗拒性：給定M，找到M是的HM=HM)在計(jì)算上是不可行的；4壓縮性：h以固定的長度輸出。在公開密鑰加密體制下，公有密鑰是公開的，加密和解密的算法也是公開的，保密性完全取決于私有密鑰的保密。只知道公有密鑰不可能計(jì)算出私有密鑰，只知道私有密鑰的合法解密者才能正確解密，將密文復(fù)原成明文。從另一個角度講，保密的私有密鑰代表解密者的身份特征，可以作為身份識別參數(shù)，因此可以進(jìn)行身份認(rèn)證。數(shù)字簽名中用的是哈希

14、函數(shù)，其輸入為一可變長輸入，返回一固定長度串，該串被稱為輸入報(bào)文摘要。從數(shù)學(xué)上保證：只要改動報(bào)文的任何一位，重新計(jì)算出的報(bào)文摘要就會與原先值不符，這樣就保證了報(bào)文的不可更改即完整性。把該報(bào)文的摘要值用發(fā)送者的私人密鑰加密，然后將該密文與原報(bào)文一起發(fā)送到接收者。接收者用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行解密，得到一個新的報(bào)文摘要，然后把接收到的原報(bào)文用發(fā)送方發(fā)送的哈希函數(shù)進(jìn)行加密，得到另一個報(bào)文摘要，最后把兩個摘要進(jìn)行比照，如果相等，那么說明報(bào)文確實(shí)來自發(fā)送者，因?yàn)橹挥杏冒l(fā)送者的簽名私鑰加密的信息才能用發(fā)送者的公鑰解開，從而保證了數(shù)據(jù)的真實(shí)性。3、 PKI數(shù)字簽名技術(shù)在電子商務(wù)平安中的應(yīng)用PKI的主要的

15、功能之一就是保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，即：數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看。PKI是建立在公共密鑰理論的根底上的，從公共密鑰理論出發(fā)，公鑰和私鑰配合使用可以保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，其根本原理如圖1所示。數(shù)據(jù)的發(fā)送者希望其所發(fā)送的數(shù)據(jù)能平安的傳送到接收者手中，并且只被有權(quán)查看該數(shù)據(jù)的接收者所閱讀。數(shù)據(jù)發(fā)送者首先利用接收者的公鑰將其明文加密，然后將密文傳送給接收者，接收者收到數(shù)據(jù)以后，利用其私鑰將其解密，復(fù)原為明文，即使是數(shù)據(jù)被非法截獲，因?yàn)闆]有接收者的私有密鑰，別人也無法將其解碼。這樣使數(shù)據(jù)的發(fā)送者可以放心地發(fā)送數(shù)據(jù)。發(fā)送者接收者解密后的明文傳送密文 接收者的公共密鑰接收者的私有密鑰發(fā)送者發(fā)送的明

16、文解密加密圖1用接收者的公共密鑰加密并用私有密鑰解密保證數(shù)據(jù)傳輸?shù)臋C(jī)密性PKI另一個主要的功能就是在電子交易中進(jìn)行身份驗(yàn)證，交易雙方利用PKI提供的電子證書Digital ID來證實(shí)并驗(yàn)證其身份，在網(wǎng)絡(luò)這一虛擬的環(huán)境中進(jìn)行實(shí)時議價、采購、付款等商務(wù)活動，并保證交易的有效性，即交易不可被否認(rèn)的功能。PKI已經(jīng)成為識別用戶身份的事實(shí)上的技術(shù)標(biāo)準(zhǔn)，要想用數(shù)字證書進(jìn)行身份驗(yàn)證就必須具有PKI。利用PKI進(jìn)行身份驗(yàn)證的原理如圖2所示。首先數(shù)據(jù)發(fā)送者利用其私鑰將明文加密，為確保數(shù)據(jù)被指定的接收者接收，再用接收者的私有密鑰加密，然后將雙重加密后的密文傳輸給接收者，接收者先利用其私有密鑰，再利用發(fā)送者的公共密

17、鑰將密文解密，這樣接收者就可以確認(rèn)數(shù)據(jù)確實(shí)是從指定的發(fā)送者發(fā)出的并且沒有其他人截獲這一數(shù)據(jù)。利用發(fā)送者的私有密鑰加密可以驗(yàn)證發(fā)送者的身份，而用接收者的私有密鑰解密可以同時保證傳輸數(shù)據(jù)的機(jī)密性。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據(jù)驗(yàn)證結(jié)果來拒收該報(bào)文，也能使其無法偽造報(bào)文簽名及對報(bào)文進(jìn)行修改，原因是數(shù)字簽名是對整個報(bào)文進(jìn)行的，是一組代表報(bào)文特征的定長代碼，同一個人對不同的報(bào)文將產(chǎn)生不同的數(shù)字簽名。這就解決了接收方可能對數(shù)據(jù)進(jìn)行改動的問題，也防止了發(fā)送方逃避責(zé)任的可能性。發(fā)送者接收者解密后的明文發(fā)送者發(fā)送的明文發(fā)送者的私有密鑰接收者的公開密鑰接收者的私有密鑰 發(fā)送者的公開密鑰傳送雙重加

18、密數(shù)據(jù)解密解密加密加密圖2利用雙重加密技術(shù)驗(yàn)證用戶身份 PKI在客戶-效勞器認(rèn)證階段開始運(yùn)作，通過使用數(shù)字簽名技術(shù)實(shí)現(xiàn)客戶和商家的身份驗(yàn)證?？蛻敉ㄟ^瀏覽器登錄商家網(wǎng)站，商家效勞器發(fā)送其數(shù)字證書，數(shù)字證書包含著證書所有人的公開密鑰、數(shù)字簽名和證書所使用的簽名算法等?？蛻魪臄?shù)字證書中得到商家信息和哈希函數(shù)，用哈希函數(shù)加密商家信息，從而得到商家信息摘要，將兩個摘要進(jìn)行比擬，如果一致，那么商家身份得到驗(yàn)證?？蛻羯矸葸^程：1商家效勞器產(chǎn)生一個時間戳和一個大的隨機(jī)數(shù)，并將它們傳給客戶；2客戶用自己的私鑰對接收到的時間戳和隨機(jī)數(shù)進(jìn)行簽名，將簽名結(jié)果傳回商家效勞器；3商家效勞器接收到簽名后進(jìn)行驗(yàn)證，因?yàn)橹挥锌?/p>

19、戶自己的私鑰能進(jìn)行簽名，因此商家效勞器知道與他通信的客戶是否合法。由于信息量可能很大，一般對稱加解密算法如：DES算法，這樣就保證了加解密的速度，由于對稱算法的密鑰需要通過網(wǎng)絡(luò)傳輸，為了保證其傳輸平安性，可以用非對稱加解密算法RSA算法對其加解密。同時為了保證交易雙方對交易信息不可抵賴，可以對交易信息進(jìn)行數(shù)字簽名，然后發(fā)送到DTS，搭上時間戳。4、 對PKI數(shù)字簽名技術(shù)在電子商務(wù)平安方面應(yīng)用的評價 PKI數(shù)字簽名技術(shù)的平安性依賴于公鑰技術(shù)的平安性，公鑰體制是建立在一些難解的數(shù)學(xué)問題之上的，如大數(shù)分解、離散對數(shù)等問題。從目前市場上廣泛使用的1024位的RSA公開密鑰算法來說，它被破解的可能性是微乎其微的。然而它的平安性受到了計(jì)算能力的開展和數(shù)學(xué)的開展兩方面的挑戰(zhàn)，根據(jù)摩爾定律的描述，計(jì)算機(jī)計(jì)算能力每隔18月就要翻一番，到2021年，計(jì)算能力將到達(dá)每秒兩萬萬億次。數(shù)學(xué)的飛速開展也直接威脅