ＰＫＩ在电子商务中的应用

ＰＫＩ在电子商务中的应用[内容摘要]网络已经浸透到社会的各个领域,其安全性越显主要。本文重要介绍了保障电子商务中安全的pki(pubickeyinfrastructure)技术，在文章的开始首先提出了pki的构成，随后介绍了pki原理，并在文章的最后提出了pki在应用中存在的问题。[本文关键词语]pkicahash密钥数字指纹一、引言随着internet的发展，网络已经浸透到了人们生活的各个方面，并改变了人们的生活方式。电子商务作为一种新的营销形式因具有传统商务所不具有的特点被越来越多人们所看重，并得到了迅猛的发展。由于internet开放性的特点，其安全性一直遭到人们的关注，致使许多人不肯在internet上进行商务活动。为解决电子商务的安全问题，pki(publickeyinfrastructure)技术作为一种有效安全解决方案被引入到了电子商务中来。本文重要从pki的构成、原理和pki的应用等方面进行简单的介绍。二、pki构成pki重要以非对称加密算法为基础，采取证书管理公钥，通过第三方的可信任机构──认证中心ca(certificateauthority)，把用户的公钥和用户的其他标识信息(如身份证号〕捆绑在一起，在internet上对用户进行身份验证。当前，通用的办法是采取基于pki构造结合数字证书，通过把要传输的数字信息进行加密，保证信息传输的保密性、完好性，签名保证身份的真实性和不可否认性。完好的pki系统包含ca、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(api)五部分构成。1.认证机构〔ca〕,即数字证书的申请和颁发机构,是pki的核心履行机构,把用户的公钥和用户的其他信息捆绑在一起，向用户签发数字证书，具有权威性,为用户所信任。2.数字证书库，用于存储已颁发的数字证书及公钥,并向所有用户开放〔以web效劳的形式出现〕。用户可通过标准的ldap协议查询自己或其别人的证书和下载黑名单信息。3.密钥备份及恢复系统，防制解密密钥丢失。4.证书作废系统，证书由于某种原因需要作废，终止使用，可向证书作废系统提出调销申请。5.应用接口系统，为所有应用提供统一的安全、可靠的接口,确保所建立的网络环境安全可信。三、pki工作原理使用pki进行数据传输时,首先要对数据加密以保证安全性。当前，加密算法分为对称加密和非对称加密算法两大类。对称加密采取了对称密码编码技术，它的特点是文件加密和解密使用一样的密钥，即加密密钥可以以用作解密密钥。对称加密算法使用起来简单快捷，能够很容易用硬件实现，但密钥管理难度比较大，必须用一种安全的途径来交换密钥，而这难于实现;而且无法完成数据完好性和不可否认性验证，无法适用于数据签名。重要有des和idea等算法。1976年，美国学者和n在其〔密码学的新方向〕一文中提出了一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统〞，实现了加密密钥和解机密钥的分离。相对于“对称加密算法〞这种方法也叫做“非对称加密算法〞。与对称加密算法不同，非对称加密算法需要两个密钥:公开密钥〔publickey〕和私有密钥〔privatekey〕。公开密钥与私有密钥是一对，假如用公开密钥对数据进行加密，只要用对应的私有密钥能力解密;假如用私有密钥对数据进行加密，那么只要用对应的公开密钥能力解密。非对称加密算法实现机密信息交换的基本经过如下:a生成一对密钥并将其中的一把作为公用密钥向其他方公开;得到该公用密钥的b使用该密钥对机密信息进行加密后再发送给a;a再用自己保存的另一把专用密钥对加密后的信息进行解密。a只能用其专用密钥解密由其公用密钥加密后的任何信息。通过上述经过能够看出非对称加密对数据传输具有保密性、完好性和不可否认性等特点，但加密和解密速度慢，难以用硬件实现，它只适用于对少量数据进行加密。非对称加密算法重要有rsa和diffe-hellman等。在加密经过中对称加密和非对称加密经常结合一起使用，对大量数据利用对称加密，其对称加密密钥通过非对称加密后再传输到目的用户;但这种传输方式并不能保证数据的完好性；为此人们又引入了数字指纹技术。在传输时先通过hash函数获得数据内容摘要信息，然后通过非对称加密传输。一个hash函数，以任意长的信息为输入，产生固定长的输出，这个输出称为信息内容摘要或数字指纹。对于固定的输入，会产生固定的输出。但给定一个输出，去寻找一个特定的输入以产生一样的输出是计算不可行的。数据任何一位发生变化，则hash值将改变。恰是由于这种特性，常被用于信息或文件的完好性检验。常用的算法有md5和沙sha。利用pki实现数字签名经过如下(假设a向b传输数据〕：1.a对要传输的信息〔i〕进行hash运算，得到信息内容摘要〔md〕。2.a利用a的私钥对md进行加密得到a的数字签名〔ds〕，并将附在i的后面。3.a随机产生一个加密密钥〔k〕，对发送的信息(i和ds)加密，构成data。4.a用b的公钥对k加密，并将加密后的密钥和data发送给b。5.b收到a传送过来的密文和加密过的密钥后，用b的私钥对加密过的密钥解密。6.b用密钥对收到的密文解密，得到了明文。7.b用a的公钥对a的数字签名进行解密，得到信息内容摘要。b用和a一样的hash算法对解密后的明文运算，获得一个新的内容摘要；b将收到的信息内容摘要和新产生信息内容摘要进行比较，假如一致，说明遭到信息没有修改正过错。在信息传输经过中，第2步、第4步只对少量数据使用非对称加密，而绝大部分数据使用对称加密方法，既保证了数据的保密性、完好性和不可否认性等特点，也提升了数据处理效率。四、pki存在问题分析经太多年的发展，pki已经成为了一种非常成熟的信息安全解决方案，能够很好实现了对信息的保密性、完好性、不可否认性等特点，应用日益广泛。但pki不是万能的解决方案，也存在着许多问题。的安全性是以非对称加密算法和hash算法为基础的，假如这些算法出了问题，整个pki安全将不攻自破，变得毫无意义。比方rsa算法是基于数论中的欧拉定理，其安全性依靠大素数分解的困难性；因子分解越困难，密码就越难以破译。但是一旦科学家找到了分解大数因子的办法，rsa将不能再保证pki的安全。在2004年8月的密码学大会和2005年2月的rsa年会上，中国数学家王小云教授公布已破解了md-5和sha-1两大hash函数。也就是说，电子签名能够伪造，必需从新选用更为安全的密码标准，能力保证电子商务的安全。2.数字证书的管理；数字证书就相当于人的身份证，对于ca企业必需经严格的审批,最好由或指定某个权威机构来担当ca的角色。另一个非常主要的问题就是私钥的保存，假如保存欠妥造成私钥泄密，将会造成严重的后果。不能防止各种病毒的攻击，十分是arp欺骗和木马等类型的病毒。这些病毒专门窃银行的账号和密码。比方木马病毒“网银大盗〞〔mon〕通过键盘记录的方式，监视用户操作。当用户使用个人网上银行进行交易时，该病毒会恶意记录用户所使用的账号和密码，记录成功后，病毒会将盗取的账号和密码发送给病毒作者，给用户造成了宏大的经济损失。因而在在网上银行登录页面输入账户和密码时，最好用软键盘来实现。但是当前又有一种新的木马病毒能够直接将用户的屏幕以拍照的形式记录下来，然后发送个木马的制作者，造成了账号和密码的泄漏。因而，建议大家最好定期更新os和杀毒软件，不要在公共计算机登陆银行账户等机密信息。五、结束语虽然pki存在一些问题，但pki是当前最好的信息安全解决方案。pki也在不断发展中完善，相信在不久的将来pki在保障信息安全方面将会发挥更大的作用。以下为参考文献:[1]andrewnash，williamduane，celiajoseph，derek:implement