- 相關(guān)推薦
基于PKI的電子商務(wù)安全密鑰托管技術(shù)
基于PKI的電子商務(wù)安全密鑰托管技術(shù)
劉彤 裘正定[1]
(北方交通大學(xué)信息所,北京100044)
摘要:由于電子商務(wù)廣泛采用公開密鑰技術(shù),職能部門有必要對(duì)公鑰加以管理。本文簡(jiǎn)要介紹了基于PKI的密鑰托管技術(shù)及密鑰托管代理的概念,分析了密鑰托管的步驟,以及政府部門在密鑰托管代理的幫助下強(qiáng)制訪問信息的過程。
關(guān)鍵詞:密鑰托管 證書授權(quán)認(rèn)證 公開密鑰 公鑰基礎(chǔ)設(shè)施 托管證書
網(wǎng)絡(luò)的安全問題得到人們的日益重視。網(wǎng)絡(luò)面臨的威脅五花八門:內(nèi)部竊密和破壞,截收,非法訪問,破壞信息的完整性,冒充,破壞系統(tǒng)的可用性,重演,抵賴等。于是公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ),用來建立不同實(shí)體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù),核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心(Certificate Authority,CA
)簽發(fā)的數(shù)字證書,結(jié)合加密技術(shù),可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性,并進(jìn)行用戶身份的識(shí)別。
1.密鑰托管KE與密鑰托管代理KEA的概念
在電子商務(wù)廣泛采用公開密鑰技術(shù)后,隨之而來的是公開密鑰的管理問題。對(duì)于中央政府來說,為了加強(qiáng)對(duì)貿(mào)易活動(dòng)的監(jiān)管,客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門緊密協(xié)作。為了打擊犯罪,還要涉及到公安和國(guó)家安全部門。這樣,交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計(jì)算機(jī)犯罪活動(dòng),人們提出了密鑰托管(Key Escrow,KE)的概念。KE與CA相接合,既能保證個(gè)人通信與電子交易的安全性,又能實(shí)現(xiàn)法律職能部門的管理介入,是今后電子商務(wù)安全策略的發(fā)展方向。
密鑰托管技術(shù)又稱為密鑰恢復(fù)(Key Recovery),是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份,既可在必要時(shí)幫助國(guó)家司法或安全等部門獲取原始明文信息,也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。
執(zhí)行密鑰托管功能的機(jī)制是密鑰托管代理(Key Escrow Agent,KEA)。KEA與CA是PKI的兩個(gè)重要組成部分,分別管理用戶的私鑰與公鑰。KEA對(duì)用戶的私鑰進(jìn)行操作,負(fù)責(zé)政府職能部門對(duì)信息的強(qiáng)制訪問,不參與通信過程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方,為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書,負(fù)責(zé)檢驗(yàn)公鑰體系中公鑰的合法性。因此它參與每次通信過程,但不涉及具體的通信內(nèi)容。
2.安全密鑰托管的步驟
密鑰托管最關(guān)鍵,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為,即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管,密鑰托管技術(shù)的實(shí)施需要通過政府的強(qiáng)制措施進(jìn)行。用戶必須先委托密鑰托管代理進(jìn)行密鑰托管,取得托管證書,才能向CA申請(qǐng)加密證書。CA必須在收到加密公鑰對(duì)應(yīng)的私鑰托管證書后,再簽發(fā)相應(yīng)的公鑰證書。
為了防止KEA濫用權(quán)限及托管密要的泄漏,用戶的私鑰被分成若干部分,由不同的密鑰托管代理負(fù)責(zé)保存。只有將所有的私鑰分量合在一起,才能恢復(fù)用戶私鑰的有效性。
(1) 用戶選擇若干個(gè)KEA,分給每一個(gè)代理一部分私鑰和一部分公鑰。代理根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書。證書中包括該用戶的特定表示符(Unique Identify,UID)、被托管的那部分公鑰和私鑰、托管證書的編號(hào)。KEA還要用自己的簽名私鑰對(duì)托管證書進(jìn)行加密,產(chǎn)生數(shù)字簽名,并將其附在托管證書上。
(2) 用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA,申請(qǐng)加密證書。
(3) CA驗(yàn)證每個(gè)托管證書的真實(shí)性,即是否每一個(gè)托管代理都托管了一部分有效的私鑰分量,并對(duì)用戶身份加以確認(rèn)。完成所有的驗(yàn)證工作后,CA生成加密證書,返回給用戶。
3.司法部門利用KE對(duì)信息的強(qiáng)制訪問
所有傳送的加密信息都帶有包含會(huì)話密鑰的數(shù)據(jù)恢復(fù)域(Data Rec
overy Field,DRF),它由時(shí)間戳、發(fā)送者的加密證書、會(huì)話密鑰組成,與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會(huì)話密鑰。在必要時(shí),司法部門可利用KEA,通過DRF實(shí)現(xiàn)對(duì)通信內(nèi)容的強(qiáng)制訪問。
在司法部門取得授權(quán)后,首先監(jiān)聽并截獲可疑信息,利用DRF中發(fā)送者的加密證書獲得發(fā)送者的托管代理標(biāo)示符及其對(duì)應(yīng)的托管證書號(hào),然后把自己的授權(quán)證書和托管證書號(hào)交給相應(yīng)的密鑰托管代理。KEA驗(yàn)證授權(quán)證書的真?zhèn)魏,返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后,司法部門就能恢復(fù)出發(fā)送者的私鑰,再結(jié)合接收者的公鑰及時(shí)間戳,就能破解會(huì)話密鑰,進(jìn)而破解整個(gè)密文。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下,司法部門就能審查通信內(nèi)容。
4.結(jié)束語
自從1993年美國(guó)政府頒布密鑰托管加密標(biāo)準(zhǔn)EES,有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個(gè)持續(xù)的研究熱點(diǎn)。在電子商務(wù)時(shí)代,國(guó)家為了能夠管理和控制電子商務(wù)的健康發(fā)展,必須強(qiáng)制實(shí)施一定形式的密鑰托管技術(shù),以便及時(shí)發(fā)現(xiàn)和阻止非法商務(wù)活動(dòng),并為司法部門提供取證的方便。
參 考 文 獻(xiàn)
[1].盧鐵成.信息加密技術(shù) 四川科學(xué)出版社 1989
[2].
陳偉東,翟起濱.二類基于離散對(duì)數(shù)問題的信息恢復(fù)多簽名體制.密碼與信息,1998.1
[3]. National Institute for Standards and Technology. Escrowed Encryption Standard. Federal Information Processing Standards Publication 185,U.S.Dept of Commerce,1994
[4].Bellare M,Goldwasser S.Verifiable partial key escrow.In:Proceedings of Fourth Annual Conference on Computer and Communications Security,ACM,1997
Key Escrow Technology in Electronic Commerce Based on PKI
Liu Tong Qiu Zheng-Ding
(
Abstract: With the widely use of Public key cryptograghy in e-commerce, it becomes more and necessary to manage the public and private keys. In this paper, the concepts of key escrow and key escrow agent are discussed, the process of key escrow is analyzed, and the paper also describes how the government can access the communication content with the help of key escrow agents.
Key words: key escrow; certificate authority; public key; public key infrastructure (P
KI) escrow certificate
附通信地址:北京市海淀區(qū)北方交通大學(xué)信息所 劉彤
郵編:100044
電話:010-63240636
E-Mail: tong.liu@263.net
劉 彤
北方交通大學(xué)信息所博士研究生
裘正定 北方交通大學(xué)信息所教授 博士導(dǎo)師 中國(guó)通信學(xué)會(huì)會(huì)士
【基于PKI的電子商務(wù)安全密鑰托管技術(shù)】相關(guān)文章:
SWIFT全球清算系統(tǒng)采用PKI技術(shù)08-05
基于CORBA的電子商務(wù)系統(tǒng)的安全性08-06
基于CORBA的電子商務(wù)系統(tǒng)的安全性08-06
基于CORBA的電子商務(wù)系統(tǒng)的安全性08-06
基于CORBA的電子商務(wù)系統(tǒng)的安全性08-06
基于CORBA的電子商務(wù)系統(tǒng)的安全性-08-06
基于CORBA的電子商務(wù)系統(tǒng)的安全性08-06
藍(lán)牙的信息安全機(jī)制及密鑰算法改進(jìn)08-06
電子商務(wù)的安全技術(shù)08-05