PKI在電子商務中的應用論文
[摘要] 網絡已經滲透到社會的各個領域,其安全性越顯重要。本文主要介紹了保障電子商務中安全的PKI(Pubic Key Infrastructure) 技術,在文章的開始首先提出了PKI的組成,隨后介紹了PKI原理,并在文章的最后提出了PKI在應用中存在的問題。
[關鍵詞] PKI CA Hash 密鑰 數字指紋
一、引言
隨著Internet的發展,網絡已經滲透到了人們生活的各個方面,并改變了人們的生活方式。電子商務作為一種新的營銷模式因具有傳統商務所不具有的特點被越來越多人們所重視,并得到了迅猛的發展。由于Internet開放性的特點,其安全性一直受到人們的關注,致使很多人不愿在Internet上進行商務活動。為解決電子商務的安全問題,PKI(Public Key Infrastructure)技術作為一種有效安全解決方案被引入到了電子商務中來。本文主要從PKI的組成、原理和PKI的應用等方面進行簡單的介紹。
二、PKI組成
PKI主要以非對稱加密算法為基礎,采用證書管理公鑰,通過第三方的可信任機構──認證中心CA(Certificate Authority),把用戶的公鑰和用戶的其他標識信息(如身份證號)捆綁在一起,在Internet 上對用戶進行身份驗證。目前,通用的辦法是采用基于PKI結構結合數字證書,通過把要傳輸的數字信息進行加密,保證信息傳輸的保密性、完整性,簽名保證身份的真實性和不可否認性。完整的PKI系統包括CA、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用程序接口(API)五部分組成。
1.認證機構(CA),即數字證書的申請和頒發機構, 是PKI的核心執行機構, 把用戶的公鑰和用戶的其他信息捆綁在一起,向用戶簽發數字證書,具有權威性, 為用戶所信任。
2.數字證書庫,用于存儲已頒發的數字證書及公鑰,并向所有用戶開放(以WEB服務的形式出現)。用戶可通過標準的LDAP 協議查詢自己或其他人的證書和下載黑名單信息。
3.密鑰備份及恢復系統,防制解密密鑰丟失。
4.證書作廢系統,證書由于某種原因需要作廢,終止使用,可向證書作廢系統提出調銷申請。
5.應用接口系統,為所有應用提供統一的安全、可靠的接口,確保所建立的網絡環境安全可信。
三、PKI工作原理
使用PKI進行數據傳輸時,首先要對數據加密以保證安全性。目前,加密算法分為對稱加密和非對稱加密算法兩大類。
對稱加密采用了對稱密碼編碼技術,它的特點是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰。對稱加密算法使用起來簡單快捷,可以很容易用硬件實現,但密鑰管理難度比較大,必需用一種安全的途徑來交換密鑰,而這難于實現;而且無法完成數據完整性和不可否認性驗證,無法適用于數據簽名。主要有DES和IDEA等算法。
1976年,美國學者W.Diffe和N.E.Hellman在其《密碼學的新方向》一文中提出了一種新的密鑰交換協議,允許在不安全的媒體上的通訊雙方交換信息,安全地達成一致的密鑰,這就是“公開密鑰系統”,實現了加密密鑰和解秘密鑰的分離。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。 與對稱加密算法不同,非對稱加密算法需要兩個密鑰:公開密鑰(public key)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那么只有用對應的公開密鑰才能解密。非對稱加密算法實現機密信息交換的基本過程如下:A生成一對密鑰并將其中的一把作為公用密鑰向其他方公開;得到該公用密鑰的B使用該密鑰對機密信息進行加密后再發送給A;A再用自己保存的另一把專用密鑰對加密后的信息進行解密。A只能用其專用密鑰解密由其公用密鑰加密后的任何信息。通過上述過程可以看出非對稱加密對數據傳輸具有保密性、完整性和不可否認性等特點,但加密和解密速度慢,難以用硬件實現,它只適用于對少量數據進行加密。非對稱加密算法主要有RSA和Diffe-Hellman等。
在加密過程中對稱加密和非對稱加密常常結合一起使用,對大量數據利用對稱加密,其對稱加密密鑰通過非對稱加密后再傳輸到目的用戶;但這種傳輸方式并不能保證數據的完整性;為此人們又引入了數字指紋技術。在傳輸時先通過Hash函數取得數據摘要信息,然后通過非對稱加密傳輸。一個Hash函數,以任意長的信息為輸入,產生固定長的輸出,這個輸出稱為信息摘要或數字指紋。對于固定的輸入,會產生固定的輸出。但給定一個輸出,去尋找一個特定的輸入以產生相同的輸出是計算不可行的。數據任何一位發生變化,則Hash值將改變。正是由于這種特性,常被用于信息或文件的完整性檢驗。常用的算法有MD5和沙SHA。
利用PKI實現數字簽名過程如下(假設A向B傳輸數據):
1.A對要傳輸的信息(I)進行Hash運算,得到信息摘要(MD)。
2.A利用A的私鑰對MD進行加密得到A的數字簽名(DS),并將附在I的后面。
3.A隨機產生一個加密密鑰(K),對發送的信息(I和DS)加密,形成Data。
4.A用B的公鑰對K加密,并將加密后的密鑰和Data發送給B。
5.B收到A傳送過來的密文和加密過的密鑰后,用B的私鑰對加密過的密鑰解密。
6.B用密鑰對收到的密文解密,得到了明文。
7.B用A的公鑰對A的數字簽名進行解密,得到信息摘要。B用和A相同的Hash算法對解密后的明文運算,取得一個新的摘要;B將收到的信息摘要和新產生信息摘要進行比較,如果一致,說明受到信息沒有修改過。
在信息傳輸過程中,第2步、第4步只對少量數據使用非對稱加密,而絕大部分數據使用對稱加密方法,既保證了數據的保密性、完整性和不可否認性等特點,也提高了數據處理效率。
四、PKI存在問題分析
經過多年的發展,PKI已經成為了一種非常成熟的信息安全解決方案,能夠很好實現了對信息的保密性、完整性、不可否認性等特點,應用日益廣泛。但PKI不是萬能的解決方案,也存在著很多問題。
1.PKI的安全性是以非對稱加密算法和Hash算法為基礎的,如果這些算法出了問題,整個PKI安全將不攻自破,變得毫無意義。比如RSA算法是基于數論中的歐拉定理,其安全性依賴大素數分解的困難性;因子分解越困難,密碼就越難以破譯。但是一旦科學家找到了分解大數因子的辦法,RSA將不能再保證PKI的安全。在2004年8月的世界密碼學大會和2005年2月的RSA年會上,中國數學家王小云教授宣布已破解了MD-5和SHA-1兩大Hash函數。也就是說,電子簽名可以偽造,必須重新選用更為安全的密碼標準,才能保證電子商務的安全。
2.數字證書的管理;數字證書就相當于人的身份證,對于CA企業必須經嚴格的審批,最好由政府或指定某個權威機構來擔當CA的角色。另一個非常重要的問題就是私鑰的保存,如果保存不當造成私鑰泄密,將會造成嚴重的后果。
3.PKI不能防止各種病毒的攻擊,特別是ARP欺騙和木馬等類型的病毒。這些病毒專門竊
銀行的賬號和密碼。比如木馬病毒“網銀大盜”(Trojan/PSW.HidWebmon)通過鍵盤記錄的方式,監視用戶操作。當用戶使用個人網上銀行進行交易時,該病毒會惡意記錄用戶所使用的賬號和密碼,記錄成功后,病毒會將盜取的賬號和密碼發送給病毒作者,給用戶造成了巨大的經濟損失。因此在在網上銀行登錄頁面輸入賬戶和密碼時,最好用軟鍵盤來實現。但是目前又有一種新的木馬病毒可以直接將用戶的屏幕以拍照的形式記錄下來,然后發送個木馬的制造者,造成了賬號和密碼的泄漏。因此,建議大家最好定期更新OS和殺毒軟件,不要在公共計算機登陸銀行賬戶等機密信息。
五、結束語
盡管PKI存在一些問題,但PKI是目前最好的信息安全解決方案。PKI也在不斷發展中完善,相信在不久的將來PKI在保障信息安全方面將會發揮更大的作用。
參考文獻:
[1]Andrew Nash,William Duane,Celia Joseph,Derek Brink.PKI:Implementing and Managing E-Security[M].McGraw-Hill, 2002
[2]謝冬青冷健:PKI原理與技術[M].北京:清華大學出版社.2004
[3]肖德琴等:電子商務安全保密技術與應用[M].華南理工大學出版社.2005
[4]劉培順王建波何大可:結合指紋信息的PKI認證系統[J].計算機工程.2005.
【PKI在電子商務中的應用論文】相關文章:
電子商務應用論文12-24
淺談學具在小學數學教學中的應用論文08-04
微積分在經濟學中的應用論文10-11
論文范文:乳化瀝青在公路養護中的應用08-28
電子商務的論文05-29
電子商務論文06-14
電子商務論文08-30
電氣自動化在電氣工程中的應用論文06-18
財務管理在企業中的應用論文08-19