PKI在電子商務(wù)中的應用論文

　　[摘要] 網(wǎng)絡(luò )已經(jīng)滲透到社會(huì )的各個(gè)領(lǐng)域,其安全性越顯重要。本文主要介紹了保障電子商務(wù)中安全的PKI(Pubic Key Infrastructure) 技術(shù),在文章的開(kāi)始首先提出了PKI的組成,隨后介紹了PKI原理,并在文章的最后提出了PKI在應用中存在的問(wèn)題。

　　[關(guān)鍵詞] PKI CA Hash 密鑰 數字指紋

　　一、引言

　　隨著(zhù)Internet的發(fā)展,網(wǎng)絡(luò )已經(jīng)滲透到了人們生活的各個(gè)方面,并改變了人們的生活方式。電子商務(wù)作為一種新的營(yíng)銷(xiāo)模式因具有傳統商務(wù)所不具有的特點(diǎn)被越來(lái)越多人們所重視,并得到了迅猛的發(fā)展。由于Internet開(kāi)放性的特點(diǎn),其安全性一直受到人們的關(guān)注,致使很多人不愿在Internet上進(jìn)行商務(wù)活動(dòng)。為解決電子商務(wù)的安全問(wèn)題,PKI(Public Key Infrastructure)技術(shù)作為一種有效安全解決方案被引入到了電子商務(wù)中來(lái)。本文主要從PKI的組成、原理和PKI的應用等方面進(jìn)行簡(jiǎn)單的介紹。

　　二、PKI組成

　　PKI主要以非對稱(chēng)加密算法為基礎,采用證書(shū)管理公鑰,通過(guò)第三方的可信任機構──認證中心CA(Certificate Authority),把用戶(hù)的公鑰和用戶(hù)的其他標識信息(如身份證號)捆綁在一起,在Internet 上對用戶(hù)進(jìn)行身份驗證。目前,通用的辦法是采用基于PKI結構結合數字證書(shū),通過(guò)把要傳輸的數字信息進(jìn)行加密,保證信息傳輸的保密性、完整性,簽名保證身份的真實(shí)性和不可否認性。完整的PKI系統包括CA、數字證書(shū)庫、密鑰備份及恢復系統、證書(shū)作廢系統、應用程序接口(API)五部分組成。

　　1.認證機構(CA),即數字證書(shū)的申請和頒發(fā)機構, 是PKI的核心執行機構, 把用戶(hù)的公鑰和用戶(hù)的其他信息捆綁在一起,向用戶(hù)簽發(fā)數字證書(shū),具有權威性, 為用戶(hù)所信任。

　　2.數字證書(shū)庫,用于存儲已頒發(fā)的數字證書(shū)及公鑰,并向所有用戶(hù)開(kāi)放(以WEB服務(wù)的形式出現)。用戶(hù)可通過(guò)標準的LDAP 協(xié)議查詢(xún)自己或其他人的證書(shū)和下載黑名單信息。

　　3.密鑰備份及恢復系統,防制解密密鑰丟失。

　　4.證書(shū)作廢系統,證書(shū)由于某種原因需要作廢,終止使用,可向證書(shū)作廢系統提出調銷(xiāo)申請。

　　5.應用接口系統,為所有應用提供統一的安全、可靠的接口,確保所建立的網(wǎng)絡(luò )環(huán)境安全可信。

　　三、PKI工作原理

　　使用PKI進(jìn)行數據傳輸時(shí),首先要對數據加密以保證安全性。目前,加密算法分為對稱(chēng)加密和非對稱(chēng)加密算法兩大類(lèi)。

　　對稱(chēng)加密采用了對稱(chēng)密碼編碼技術(shù),它的特點(diǎn)是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰。對稱(chēng)加密算法使用起來(lái)簡(jiǎn)單快捷,可以很容易用硬件實(shí)現,但密鑰管理難度比較大,必需用一種安全的途徑來(lái)交換密鑰,而這難于實(shí)現;而且無(wú)法完成數據完整性和不可否認性驗證,無(wú)法適用于數據簽名。主要有DES和IDEA等算法。

　　1976年,美國學(xué)者W.Diffe和N.E.Hellman在其《密碼學(xué)的新方向》一文中提出了一種新的密鑰交換協(xié)議,允許在不安全的媒體上的通訊雙方交換信息,安全地達成一致的密鑰,這就是“公開(kāi)密鑰系統”,實(shí)現了加密密鑰和解秘密鑰的分離。相對于“對稱(chēng)加密算法”這種方法也叫做“非對稱(chēng)加密算法”。 與對稱(chēng)加密算法不同,非對稱(chēng)加密算法需要兩個(gè)密鑰:公開(kāi)密鑰(public key)和私有密鑰(privatekey)。公開(kāi)密鑰與私有密鑰是一對,如果用公開(kāi)密鑰對數據進(jìn)行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進(jìn)行加密,那么只有用對應的公開(kāi)密鑰才能解密。非對稱(chēng)加密算法實(shí)現機密信息交換的基本過(guò)程如下:A生成一對密鑰并將其中的一把作為公用密鑰向其他方公開(kāi);得到該公用密鑰的B使用該密鑰對機密信息進(jìn)行加密后再發(fā)送給A;A再用自己保存的另一把專(zhuān)用密鑰對加密后的信息進(jìn)行解密。A只能用其專(zhuān)用密鑰解密由其公用密鑰加密后的任何信息。通過(guò)上述過(guò)程可以看出非對稱(chēng)加密對數據傳輸具有保密性、完整性和不可否認性等特點(diǎn),但加密和解密速度慢,難以用硬件實(shí)現,它只適用于對少量數據進(jìn)行加密。非對稱(chēng)加密算法主要有RSA和Diffe-Hellman等。

　　在加密過(guò)程中對稱(chēng)加密和非對稱(chēng)加密常常結合一起使用,對大量數據利用對稱(chēng)加密,其對稱(chēng)加密密鑰通過(guò)非對稱(chēng)加密后再傳輸到目的用戶(hù);但這種傳輸方式并不能保證數據的完整性;為此人們又引入了數字指紋技術(shù)。在傳輸時(shí)先通過(guò)Hash函數取得數據摘要信息,然后通過(guò)非對稱(chēng)加密傳輸。一個(gè)Hash函數,以任意長(cháng)的信息為輸入,產(chǎn)生固定長(cháng)的輸出,這個(gè)輸出稱(chēng)為信息摘要或數字指紋。對于固定的輸入,會(huì )產(chǎn)生固定的輸出。但給定一個(gè)輸出,去尋找一個(gè)特定的輸入以產(chǎn)生相同的輸出是計算不可行的。數據任何一位發(fā)生變化,則Hash值將改變。正是由于這種特性,常被用于信息或文件的完整性檢驗。常用的算法有MD5和沙SHA。

　　利用PKI實(shí)現數字簽名過(guò)程如下(假設A向B傳輸數據):

　　1.A對要傳輸的信息(I)進(jìn)行Hash運算,得到信息摘要(MD)。

　　2.A利用A的私鑰對MD進(jìn)行加密得到A的數字簽名(DS),并將附在I的后面。

　　3.A隨機產(chǎn)生一個(gè)加密密鑰(K),對發(fā)送的信息(I和DS)加密,形成Data。

　　4.A用B的公鑰對K加密,并將加密后的密鑰和Data發(fā)送給B。

　　5.B收到A傳送過(guò)來(lái)的密文和加密過(guò)的密鑰后,用B的私鑰對加密過(guò)的密鑰解密。

　　6.B用密鑰對收到的密文解密,得到了明文。

　　7.B用A的公鑰對A的數字簽名進(jìn)行解密,得到信息摘要。B用和A相同的Hash算法對解密后的明文運算,取得一個(gè)新的摘要;B將收到的信息摘要和新產(chǎn)生信息摘要進(jìn)行比較,如果一致,說(shuō)明受到信息沒(méi)有修改過(guò)。

　　在信息傳輸過(guò)程中,第2步、第4步只對少量數據使用非對稱(chēng)加密,而絕大部分數據使用對稱(chēng)加密方法,既保證了數據的保密性、完整性和不可否認性等特點(diǎn),也提高了數據處理效率。

　　四、PKI存在問(wèn)題分析

　　經(jīng)過(guò)多年的發(fā)展,PKI已經(jīng)成為了一種非常成熟的信息安全解決方案,能夠很好實(shí)現了對信息的保密性、完整性、不可否認性等特點(diǎn),應用日益廣泛。但PKI不是萬(wàn)能的解決方案,也存在著(zhù)很多問(wèn)題。

　　1.PKI的安全性是以非對稱(chēng)加密算法和Hash算法為基礎的,如果這些算法出了問(wèn)題,整個(gè)PKI安全將不攻自破,變得毫無(wú)意義。比如RSA算法是基于數論中的歐拉定理,其安全性依賴(lài)大素數分解的困難性;因子分解越困難,密碼就越難以破譯。但是一旦科學(xué)家找到了分解大數因子的辦法,RSA將不能再保證PKI的安全。在2004年8月的世界密碼學(xué)大會(huì )和2005年2月的RSA年會(huì )上,中國數學(xué)家王小云教授宣布已破解了MD-5和SHA-1兩大Hash函數。也就是說(shuō),電子簽名可以偽造,必須重新選用更為安全的密碼標準,才能保證電子商務(wù)的安全。

　　2.數字證書(shū)的管理;數字證書(shū)就相當于人的身份證,對于CA企業(yè)必須經(jīng)嚴格的審批,最好由政府或指定某個(gè)權威機構來(lái)?yè)�當CA的角色。另一個(gè)非常重要的問(wèn)題就是私鑰的保存,如果保存不當造成私鑰泄密,將會(huì )造成嚴重的后果。

　　3.PKI不能防止各種病毒的攻擊,特別是ARP欺騙和木馬等類(lèi)型的病毒。這些病毒專(zhuān)門(mén)竊

　　銀行的賬號和密碼。比如木馬病毒“網(wǎng)銀大盜”(Trojan/PSW.HidWebmon)通過(guò)鍵盤(pán)記錄的方式,監視用戶(hù)操作。當用戶(hù)使用個(gè)人網(wǎng)上銀行進(jìn)行交易時(shí),該病毒會(huì )惡意記錄用戶(hù)所使用的賬號和密碼,記錄成功后,病毒會(huì )將盜取的賬號和密碼發(fā)送給病毒作者,給用戶(hù)造成了巨大的經(jīng)濟損失。因此在在網(wǎng)上銀行登錄頁(yè)面輸入賬戶(hù)和密碼時(shí),最好用軟鍵盤(pán)來(lái)實(shí)現。但是目前又有一種新的木馬病毒可以直接將用戶(hù)的屏幕以拍照的形式記錄下來(lái),然后發(fā)送個(gè)木馬的制造者,造成了賬號和密碼的泄漏。因此,建議大家最好定期更新OS和殺毒軟件,不要在公共計算機登陸銀行賬戶(hù)等機密信息。

　　五、結束語(yǔ)

　　盡管PKI存在一些問(wèn)題,但PKI是目前最好的信息安全解決方案。PKI也在不斷發(fā)展中完善,相信在不久的將來(lái)PKI在保障信息安全方面將會(huì )發(fā)揮更大的作用。

　　參考文獻:

　　[1]Andrew Nash,William Duane,Celia Joseph,Derek Brink.PKI:Implementing and Managing E-Security[M].McGraw-Hill, 2002

　　[2]謝冬青冷健:PKI原理與技術(shù)[M].北京:清華大學(xué)出版社.2004

　　[3]肖德琴等:電子商務(wù)安全保密技術(shù)與應用[M].華南理工大學(xué)出版社.2005

　　[4]劉培順王建波何大可:結合指紋信息的PKI認證系統[J].計算機工程.2005.

【PKI在電子商務(wù)中的應用論文】相關(guān)文章：

電子商務(wù)應用論文12-24

淺談學(xué)具在小學(xué)數學(xué)教學(xué)中的應用論文08-04

微積分在經(jīng)濟學(xué)中的應用論文10-11

論文范文：乳化瀝青在公路養護中的應用08-28

電子商務(wù)的論文05-29

電子商務(wù)論文06-14

電子商務(wù)論文08-30

電氣自動(dòng)化在電氣工程中的應用論文06-18

關(guān)于病房護理管理中優(yōu)質(zhì)護理的應用價(jià)值的論文08-21

財務(wù)管理在企業(yè)中的應用論文08-19