基于PKI的電子商務(wù)安全密鑰托管技術(shù)

1、中國(guó)搜課網(wǎng) 課件 教案 試題 論文 圖書 中考 高考 新課標(biāo) 基于PKI的電子商務(wù)安全密鑰托管技術(shù)基于PKI的電子商務(wù)安全密鑰托管技術(shù)劉彤 裘正定（北方交通大學(xué)信息所，北京100044）摘要：由于電子商務(wù)廣泛采用公開密鑰技術(shù)，職能部門有必要對(duì)公鑰加以管理。本文簡(jiǎn)要介紹了基于PKI的密鑰托管技術(shù)及密鑰托管代理的概念，分析了密鑰托管的步驟，以及政府部門在密鑰托管代理的幫助下強(qiáng)制訪問信息的過(guò)程。關(guān)鍵詞：密鑰托管 證書授權(quán)認(rèn)證 公開密鑰 公鑰基礎(chǔ)設(shè)施 托管證書網(wǎng)絡(luò)的安全問題得到人們的日益重視。網(wǎng)絡(luò)面臨的威脅五花八門：內(nèi)部竊密和破壞，截收，非法訪問，破壞信息的完整性，冒充，破壞系統(tǒng)的可用性，重演，抵賴等

2、。于是公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ)，用來(lái)建立不同實(shí)體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù)，核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心（CertificateAuthority，CA）簽發(fā)的數(shù)字證書，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性，并進(jìn)行用戶身份的識(shí)別。1密鑰托管KE與密鑰托管代理KEA的概念在電子商務(wù)廣泛采用公開密鑰技術(shù)后，隨之而來(lái)的是公開密鑰的管理問題。對(duì)于中央政府來(lái)說(shuō)，為了加強(qiáng)對(duì)貿(mào)易活動(dòng)的監(jiān)管，客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門緊密協(xié)作。為了打擊犯

3、罪，還要涉及到公安和國(guó)家安全部門。這樣，交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計(jì)算機(jī)犯罪活動(dòng)，人們提出了密鑰托管（KeyEscrow，KE）的概念。KE與CA相接合，既能保證個(gè)人通信與電子交易的安全性，又能實(shí)現(xiàn)法律職能部門的管理介入，是今后電子商務(wù)安全策略的發(fā)展方向。密鑰托管技術(shù)又稱為密鑰恢復(fù)（KeyRecovery）,是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份，既可在必要時(shí)幫助國(guó)家司法或安全等部門獲取原始明文信息，也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。執(zhí)行密鑰托管功能的機(jī)制是密鑰托管代理（KeyEscrowAgent，KEA）。KEA與

4、CA是PKI的兩個(gè)重要組成部分，分別管理用戶的私鑰與公鑰。KEA對(duì)用戶的私鑰進(jìn)行操作，負(fù)責(zé)政府職能部門對(duì)信息的強(qiáng)制訪問，不參與通信過(guò)程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書，負(fù)責(zé)檢驗(yàn)公鑰體系中公鑰的合法性。因此它參與每次通信過(guò)程，但不涉及具體的通信內(nèi)容。2安全密鑰托管的步驟密鑰托管最關(guān)鍵，也是最難解決的問題是：如何有效地阻止用戶的欺詐行為，即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管，密鑰托管技術(shù)的實(shí)施需要通過(guò)政府的強(qiáng)制措施進(jìn)行。用戶必須先委托密鑰托管代理進(jìn)行密鑰托管，取得托管證書，才能向CA申請(qǐng)加密證書。CA必須在收到加密公鑰對(duì)應(yīng)的私鑰托管證書后

5、，再簽發(fā)相應(yīng)的公鑰證書。為了防止KEA濫用權(quán)限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管代理負(fù)責(zé)保存。只有將所有的私鑰分量合在一起，才能恢復(fù)用戶私鑰的有效性。（1） 用戶選擇若干個(gè)KEA，分給每一個(gè)代理一部分私鑰和一部分公鑰。代理根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書。證書中包括該用戶的特定表示符（UniqueIdentify，UID）、被托管的那部分公鑰和私鑰、托管證書的編號(hào)。KEA還要用自己的簽名私鑰對(duì)托管證書進(jìn)行加密，產(chǎn)生數(shù)字簽名，并將其附在托管證書上。（2） 用戶收到所有的托管證書后，將證書和完整的公鑰遞交給CA，申請(qǐng)加密證書。（3） CA驗(yàn)證每個(gè)托管證書的真實(shí)性，即是

6、否每一個(gè)托管代理都托管了一部分有效的私鑰分量，并對(duì)用戶身份加以確認(rèn)。完成所有的驗(yàn)證工作后，CA生成加密證書，返回給用戶。3司法部門利用KE對(duì)信息的強(qiáng)制訪問所有傳送的加密信息都帶有包含會(huì)話密鑰的數(shù)據(jù)恢復(fù)域（DataRecoveryField，DRF），它由時(shí)間戳、發(fā)送者的加密證書、會(huì)話密鑰組成，與密文綁定在一起傳送給接收方。接收方必須通過(guò)DRF才能獲得會(huì)話密鑰。在必要時(shí)，司法部門可利用KEA，通過(guò)DRF實(shí)現(xiàn)對(duì)通信內(nèi)容的強(qiáng)制訪問。在司法部門取得授權(quán)后，首先監(jiān)聽并截獲可疑信息，利用DRF中發(fā)送者的加密證書獲得發(fā)送者的托管代理標(biāo)示符及其對(duì)應(yīng)的托管證書號(hào)，然后把自己的授權(quán)證書和托管證書號(hào)交給相應(yīng)的密鑰托

7、管代理。KEA驗(yàn)證授權(quán)證書的真?zhèn)魏?，返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后，司法部門就能恢復(fù)出發(fā)送者的私鑰，再結(jié)合接收者的公鑰及時(shí)間戳，就能破解會(huì)話密鑰，進(jìn)而破解整個(gè)密文。由于密鑰托管不參與通信過(guò)程，所以在通信雙方毫無(wú)察覺的情況下，司法部門就能審查通信內(nèi)容。4結(jié)束語(yǔ)自從1993年美國(guó)政府頒布密鑰托管加密標(biāo)準(zhǔn)EES，有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個(gè)持續(xù)的研究熱點(diǎn)。在電子商務(wù)時(shí)代，國(guó)家為了能夠管理和控制電子商務(wù)的健康發(fā)展，必須強(qiáng)制實(shí)施一定形式的密鑰托管技術(shù)，以便及時(shí)發(fā)現(xiàn)和阻止非法商務(wù)活動(dòng)，并為司法部門提供取證的方便。 參考文獻(xiàn).盧鐵成.信息加密技術(shù)四川科學(xué)出版社1989Key

8、EscrowTechnologyinElectronicCommerceBasedonPKILiuTong QiuZheng-Ding (InstituteofInformationScience,NorthernJiaotongUniversity,Beijing100044)Abstract:WiththewidelyuseofPublickeycryptograghyine-commerce,itbecomesmoreandnecessarytomanagethepublicandprivatekeys.Inthispaper,theconceptsofkeyescrowandkeyescrowagentarediscussed,theprocessofkeyescrowisanalyzed,andthepaperalsodescribeshowthegovernmentcanaccessthecommunicationcontentwiththehelpofkeyescrowagents.Keywords:keyescrow;certificateauthority;publickey;publickeyinfrastructure(PKI) escrowcertificate 附通信地址：北京市海淀區(qū)北方交通大學(xué)信息所 劉彤郵編：100044電話：010-63240