欢迎光临112期刊网!
网站首页 > 论文范文 > 管理论文 > 电子商务管理论文 > 论电子商务安全中的密钥备份与密钥托管

论电子商务安全中的密钥备份与密钥托管

日期:2023-01-05 阅读量:0 所属栏目:电子商务管理论文


摘要:简要介绍了基于pki的密钥托管技术及密钥托管代理的概念,分析了密钥托管的步骤,以及政府部门在密钥托管代理的帮助下强制访问信息的过程。 
  关键词:密钥;密钥备份;密钥托管
  
  1电子商务中存在的安全问题
  随着电子商务的广泛开展,网络安全问题得到越来越多的重视。而以计算机网络为基础的电子商务,面临着下面一些安全问题:
  (1)信息的泄漏。
  在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
  (2)信息的窜改。电子交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。
  (3)身份的认证。如果不进行身份认证,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份认证后,交易双方就可防止“相互猜疑”的情况。
  为了解决上述问题,公钥基础设施(public key infrastructure,pki)应运而生。pki是电子商务和其它信息系统的安全基础,用来建立不同实体间的“信任”关系。它的基础是加密技术,核心是证书服务。用户使用由证书授权认证中心(certificate authority,ca)签发的数字证书,结合加密技术,可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性,并进行用户身份的识别。 
  2密钥和密钥备份
  密钥就是指加密解密时所使用的参数,可以是一个整数或一串字符,或其它任何加解密方法所能理解的形式。在数据加密中有两种最基本的加密方式,一种是采用相同的密钥加密、解密数据,这种方法叫做对称加密,而另外一种称为公共密钥加密技术,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,密钥对中其中一把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。 公开密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。 相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。而在密钥的生命周期之内,由于各种原因,可能出现用户的私钥丢失,这可能导致在商务过程中业务的严重损失甚至停止。解决这个问题的一个通用可行的办法,就是在密钥生命周期中引入密钥备份和解密密钥的恢复机制,即从远程备份设施,如可信赖的密钥恢复中心或者ca中恢复私有解密密钥。密钥的备份与恢复只能有可信赖的机构来完成。
  密钥的备份的必要性是以合理的实际的商业需求为出发点,与法律或政府对加密数据的管理无关,而密钥托管不同,他是出于对法律强制或者政府对加密数据的访问控制的要求而设置的。
  3密钥托管与密钥托管代理
  在电子商务广泛采用公开密钥技术后,随之而来的是公开密钥的管理问题。对于政府机构来说,为了加强对贸易活动的监管,客观上也需要银行、海关、税务、工商等管理部门紧密协作。为了打击犯罪,还要涉及到公安和国家安全部门。这样,交易方与管理机构就不可避免地产生联系。为了监视和防止计算机犯罪活动,提出了密钥托管(key escrow,ke)的概念。ke与ca相接合,既能保证个人通信与电子交易的安全性,又能实现法律职能部门的管理介入,是今后电子商务安全策略的发展方向。 
  密钥托管技术是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥后恢复密文。 
  执行密钥托管功能的机制是密钥托管代理(key escrow agent,kea)。kea与ca是pki的两个重要组成部分,分别管理用户的私钥与公钥。kea对用户的私钥进行操作,负责政府职能部门对信息的强制访问,不参与通信过程。ca作为电子商务交易中受信任和具有权威性的第三方,为每个使用公开密钥的客户发放数字证书,负责检验公钥体系中公钥的合法性。因此它参与每次通信过程,但不涉及具体的通信内容。 

  4安全密钥的托管
  密钥托管最关键,也是最难解决的问题是:如何有效地阻止用户的欺诈行为,即逃脱托管机构的跟踪。为防止用户逃避脱管,密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管代理进行密钥托管,取得托管证书,才能向ca申请加密证书。ca必须在收到加密公钥对应的私钥托管证书后,再签发相应的公钥证书。 
  为了防止kea滥用权限及托管密钥的泄漏,用户的私钥被分成若干部分,由不同的密钥托管代理负责保存。只
  有将所有的私钥分量合在一起,才能恢复用户私钥的有效性。 
  (1)用户选择若干个kea,分给每一个代理一部分私钥和一部分公钥。代理根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符(unique identify,uid)、被托管的那部分公钥和私钥、托管证书的编号。kea还要用自己的签名私钥对托管证书进行数字签名,以保证其真实性,并将其附在托管证书上。 
  (2)用户收到所有的托管证书后,将证书和完整的公钥递交给ca,申请加密证书。 
  (3)由ca验证每个托管证书的真实性,即是否每一个托管代理都托管了一部分有效的私钥分量,并对用户身份加以确认。完成所有的验证工作后,ca生成加密证书,返回给用户。
  所有传送的加密信息都带有包含会话密钥的数据恢复域(data recovery field,drf),它由时间戳、发送者的加密证书、会话密钥组成,与密文绑定在一起传送给接收方。接收方必须通过数据恢复域才能获得会话密钥。在必要时,政府机构可利用kea,通过数据恢复域实现对通信内容的强制访问。 
  在政府机构取得授权后,首先监听并截获可疑信息,利用数据恢复域中发送者的加密证书获得发送者的托管代理标示符及其对应的托管证书号,然后把自己的授权证书和托管证书号交给相应的密钥托管代理。kea验证授权证书的真伪后,返回自己保管的那部分私钥。这样在收集了所有的私钥成分后,司法部门就能恢复出发送者的私钥,再结合接收者的公钥及时间戳,就能破解会话密钥,进而破解整个密文。由于密钥托管不参与通信过程,所以在通信双方毫无察觉的情况下,政府机构就能审查通信内容。 
  
  参考文献
  [1]胡伟雄.电子商务安全认证系统[m].武汉:华中师范大学出版社,2005.
  [2]国际电子商务师培训教程编委会. 国际电子商务师培训教程[m].北京:人民交通出版社,2006.
  [3]冯登国.公开密钥基础设施[m].北京:人民邮电出版社,2001.
  [4]刘荫铭等.计算机安全技术[m].北京:清华大学出版社,2000.
  [5]关振胜.公钥基础设施pki与认证机构ca[m].北京:电子工业出版社,2002. 本文链接:http://www.qk112.com/lwfw/guanlilunwen/dianzishangwuguanlilunwen/40200.html

论文中心更多

发表指导
期刊知识
职称指导
论文百科
写作指导
论文指导
论文格式 论文题目 论文开题 参考文献 论文致谢 论文前言
教育论文
美术教育 小学教育 学前教育 高等教育 职业教育 体育教育 英语教育 数学教育 初等教育 音乐教育 幼儿园教育 中教教育 教育理论 教育管理 中等教育 教育教学 成人教育 艺术教育 影视教育 特殊教育 心理学教育 师范教育 语文教育 研究生论文 化学教育 图书馆论文 文教资料 其他教育
医学论文
医学护理 医学检验 药学论文 畜牧兽医 中医学 临床医学 外科学 内科学 生物制药 基础医学 预防卫生 肿瘤论文 儿科学论文 妇产科 遗传学 其他医学
经济论文
国际贸易 市场营销 财政金融 农业经济 工业经济 财务审计 产业经济 交通运输 房地产经济 微观经济学 政治经济学 宏观经济学 西方经济学 其他经济 发展战略论文 国际经济 行业经济 证券投资论文 保险经济论文
法学论文
民法 国际法 刑法 行政法 经济法 宪法 司法制度 法学理论 其他法学
计算机论文
计算机网络 软件技术 计算机应用 信息安全 信息管理 智能科技 应用电子技术 通讯论文
会计论文
预算会计 财务会计 成本会计 会计电算化 管理会计 国际会计 会计理论 会计控制 审计会计
文学论文
中国哲学 艺术理论 心理学 伦理学 新闻 美学 逻辑学 音乐舞蹈 喜剧表演 广告学 电视电影 哲学理论 世界哲学 文史论文 美术论文
管理论文
行政管理论文 工商管理论文 市场营销论文 企业管理论文 成本管理论文 人力资源论文 项目管理论文 旅游管理论文 电子商务管理论文 公共管理论文 质量管理论文 物流管理论文 经济管理论文 财务管理论文 管理学论文 秘书文秘 档案管理
社科论文
三农问题 环境保护 伦理道德 城镇建设 人口生育 资本主义 科技论文 社会论文 工程论文 环境科学