admin 在基于证书公钥密码体制下,公钥的分配使用数字证书实现,由于涉及到繁杂的证书管理问题,从而给实际应用带来很大限制。因此,使用基于身份公钥密码体制解决电子商务安全问题成为目前值得关注的问题。
一、电子商务的安全性需求
电子商务安全的核心问题是交易的安全性能否得到保障,其安全性体现在以下几点:
(1)信息的机密性:指交易双方的信息须按照其所有者的需求,保证其机密性,不能够被没有授权的第三方非法获得。
(2)信息的完整性:指交易中的信息安全、精确、有效。保证数据不被非法的篡改和销毁,同时还应保证不受有意的和无意的非法操作而破坏。
(3)身份的可认证性:指对交易各方的身份进行确认,保证交易对象的身份合法,有效的预防杜绝欺诈行为的发生。
(4)交易的不可抵赖性:指交易信息在传输过程中为参与交易的各方提供可靠的标识,用以保证交易各方在签订合同之后不可抵赖,以防经济纠纷的发生。
二、基于身份与基于证书公钥密码体制比较
目前,基于证书公钥密码体制已被广泛使用,该体制下的公钥分配通过数字证书来实现。数字证书由证书权威CA颁发,负责管理系统中所有用户(包括人、程序、主机)的证书。证书包含:用户公钥、ID以及权威机构对证书的签名。证书权威CA具有证书发放、更新、撤销和验证的功能。在其被广泛应用的同时,也带来一些问题,如:用户必须依赖于CA中心的第三方服务;合法用户可能用自己的公钥替换别人的公钥;接收方不能够在解密密文前鉴别发送方的身份等等。基于证书公钥密码体制最大的问题就是证书的管理,证书里绑定了用户的ID和公钥,他在使用其他用的公钥前,都必须验证其公钥证书的有效性,系统需要庞大的开销支持用户证书的生成、存贮、管理、更新、撤销等。
为解决上述问题,1984年首次提出了基于身份公钥加密体制。用户的公钥可以很容易地由能够标识用户身份的信息计算得到,用户的秘密钥可以由称为私钥生成中心PKG的可信任密钥授权机构认证用户的身份后并利用PKG的私钥(系统的主密钥)计算得到,然后PKG通过秘密信道把用户的秘密钥发送给对应的用户。在基于身份公钥加体制中,因为公钥由用户ID直接计算,系统不需要CA,也不需要专门的目录存放证书,大大减轻了管理的负担,解决了基于证书公钥密码体制下在电子商务中应用的局限性问题。
三、基于身份公钥加密体制在电子商务安全中的应用
1、加密技术
在电子商务的交易过程中,要保证双方的交易信息不被泄露,需对交易信息进行加密,保证交易内容的安全。在基于身份公钥密码体制下,若用户A与用户B进行交易,要保证用户A向用户B传输的信息的机密性的步骤如下:
(1)用户A使用用户B的公钥对要传输的信息文件加密,得到密文并发送给用户B。
(2)用户B接收密文并使用其公钥向密码服务器申请其公钥对应的私钥。
(3)密码服务器使用其主密钥生成用户B的私钥,并通过安全信道传输给用户B。
(4)用户B接收其私钥对密文解密,即可得到用户A传输的机密信息。
上述步骤,即可实现用户A向用户B传输机密信息的情况。用户B向用户A传输机密信息的过程同上类似。
2、数字签名技术
在电子商务交易过程中,需要对交易双方的身份进行确认,同时还要保证交易信息的完整性以及交易确认后双方的不可抵赖性。采用基于身份公钥加密体制下的数字签名技术能够实现上述需求。步骤如下:
(1)用户A使用其公钥向密码服务器申请其公钥对应的私钥。
(2)密码服务器使用其主密钥生成用户A的私钥,并通过安全信道传输给用户A。
(3)用户A使用其私钥对交易信息生成数字签名,并将交易信息及其数字签名一起发送给用户B。
(4)用户B使用用户A的公钥对数字签名进行验证,如果与一起发送的交易信息相同,用户B能确信交易信息确实由用户A发送;否则,拒绝接受。
数字签名可以表明发送交易信息的正是私钥的主人,而且文件在传输中没有被篡改。数字签名可验证公钥主人的身份,而生成数字签名的一方也无法否认自己的身份,因为别人无法伪造其生成的签名。
在基于身份公钥加密体制下的电子商务安全体系中,可通过基于身份公钥加密体制下的加密技术来保证交易信息的保密性,还可通过基于身份公钥加密体制下的数字签名技术和认证技术来保证交易信息的完整性、交易双方身份的确认以及防抵赖性;另外,还可以采用基于身份公钥加密体制下的密钥协商机制,在交易双方之间建立安全联系。这样,就构成了一套完整的电子商务安全解决方案。
由于基于身份公钥加密体制直接以用户身份信息作为公钥,不再需要基于证书公钥加密体制下庞大的证书维护系统,使得系统开销大大降低,使其在电子商务安全中发挥着重要作用,也更符合当今电子商务安全发展的需要和趋势,必将成为电子商务应用中的安全基石。
小知识之公钥加密体制
公钥加密,加密、解密用的是不同的密钥,一个密钥“公开”,即公钥,另一个自己秘密持有,即私钥,加密方用公钥加密,只有用私钥才能解密——史称公钥加密体系:PKI。
