在基于證書公鑰密碼體制下，公鑰的分配使用數(shù)字證書實現(xiàn)，由于涉及到繁雜的證書管理問題，從而給實際應(yīng)用帶來很大限制。因此，使用基于身份公鑰密碼體制解決電子商務(wù)安全問題成為目前值得關(guān)注的問題。

一、電子商務(wù)的安全性需求

電子商務(wù)安全的核心問題是交易的安全性能否得到保障，其安全性體現(xiàn)在以下幾點：

（1）信息的機密性：指交易雙方的信息須按照其所有者的需求，保證其機密性，不能夠被沒有授權(quán)的第三方非法獲得。

（2）信息的完整性：指交易中的信息安全、精確、有效。保證數(shù)據(jù)不被非法的篡改和銷毀，同時還應(yīng)保證不受有意的和無意的非法操作而破壞。

（3）身份的可認(rèn)證性：指對交易各方的身份進行確認(rèn)，保證交易對象的身份合法，有效的預(yù)防杜絕欺詐行為的發(fā)生。

（4）交易的不可抵賴性：指交易信息在傳輸過程中為參與交易的各方提供可靠的標(biāo)識，用以保證交易各方在簽訂合同之后不可抵賴，以防經(jīng)濟糾紛的發(fā)生。

二、基于身份與基于證書公鑰密碼體制比較

目前，基于證書公鑰密碼體制已被廣泛使用，該體制下的公鑰分配通過數(shù)字證書來實現(xiàn)。數(shù)字證書由證書權(quán)威CA頒發(fā)，負(fù)責(zé)管理系統(tǒng)中所有用戶（包括人、程序、主機）的證書。證書包含：用戶公鑰、ID以及權(quán)威機構(gòu)對證書的簽名。證書權(quán)威CA具有證書發(fā)放、更新、撤銷和驗證的功能。在其被廣泛應(yīng)用的同時，也帶來一些問題，如：用戶必須依賴于CA中心的第三方服務(wù)；合法用戶可能用自己的公鑰替換別人的公鑰；接收方不能夠在解密密文前鑒別發(fā)送方的身份等等。基于證書公鑰密碼體制最大的問題就是證書的管理，證書里綁定了用戶的ID和公鑰，他在使用其他用的公鑰前，都必須驗證其公鑰證書的有效性，系統(tǒng)需要龐大的開銷支持用戶證書的生成、存貯、管理、更新、撤銷等。

為解決上述問題，1984年首次提出了基于身份公鑰加密體制。用戶的公鑰可以很容易地由能夠標(biāo)識用戶身份的信息計算得到，用戶的秘密鑰可以由稱為私鑰生成中心PKG的可信任密鑰授權(quán)機構(gòu)認(rèn)證用戶的身份后并利用PKG的私鑰（系統(tǒng)的主密鑰）計算得到，然后PKG通過秘密信道把用戶的秘密鑰發(fā)送給對應(yīng)的用戶。在基于身份公鑰加體制中，因為公鑰由用戶ID直接計算，系統(tǒng)不需要CA，也不需要專門的目錄存放證書，大大減輕了管理的負(fù)擔(dān)，解決了基于證書公鑰密碼體制下在電子商務(wù)中應(yīng)用的局限性問題。

三、基于身份公鑰加密體制在電子商務(wù)安全中的應(yīng)用

1、加密技術(shù)

在電子商務(wù)的交易過程中，要保證雙方的交易信息不被泄露，需對交易信息進行加密，保證交易內(nèi)容的安全。在基于身份公鑰密碼體制下，若用戶A與用戶B進行交易，要保證用戶A向用戶B傳輸?shù)男畔⒌臋C密性的步驟如下：

（1）用戶A使用用戶B的公鑰對要傳輸?shù)男畔⑽募用?，得到密文并發(fā)送給用戶B。

（2）用戶B接收密文并使用其公鑰向密碼服務(wù)器申請其公鑰對應(yīng)的私鑰。

（3）密碼服務(wù)器使用其主密鑰生成用戶B的私鑰，并通過安全信道傳輸給用戶B。

（4）用戶B接收其私鑰對密文解密，即可得到用戶A傳輸?shù)臋C密信息。

上述步驟，即可實現(xiàn)用戶A向用戶B傳輸機密信息的情況。用戶B向用戶A傳輸機密信息的過程同上類似。

2、數(shù)字簽名技術(shù)

在電子商務(wù)交易過程中，需要對交易雙方的身份進行確認(rèn)，同時還要保證交易信息的完整性以及交易確認(rèn)后雙方的不可抵賴性。采用基于身份公鑰加密體制下的數(shù)字簽名技術(shù)能夠?qū)崿F(xiàn)上述需求。步驟如下：

（1）用戶A使用其公鑰向密碼服務(wù)器申請其公鑰對應(yīng)的私鑰。

（2）密碼服務(wù)器使用其主密鑰生成用戶A的私鑰，并通過安全信道傳輸給用戶A。

（3）用戶A使用其私鑰對交易信息生成數(shù)字簽名，并將交易信息及其數(shù)字簽名一起發(fā)送給用戶B。

（4）用戶B使用用戶A的公鑰對數(shù)字簽名進行驗證，如果與一起發(fā)送的交易信息相同，用戶B能確信交易信息確實由用戶A發(fā)送；否則，拒絕接受。

數(shù)字簽名可以表明發(fā)送交易信息的正是私鑰的主人，而且文件在傳輸中沒有被篡改。數(shù)字簽名可驗證公鑰主人的身份，而生成數(shù)字簽名的一方也無法否認(rèn)自己的身份，因為別人無法偽造其生成的簽名。

在基于身份公鑰加密體制下的電子商務(wù)安全體系中，可通過基于身份公鑰加密體制下的加密技術(shù)來保證交易信息的保密性，還可通過基于身份公鑰加密體制下的數(shù)字簽名技術(shù)和認(rèn)證技術(shù)來保證交易信息的完整性、交易雙方身份的確認(rèn)以及防抵賴性；另外，還可以采用基于身份公鑰加密體制下的密鑰協(xié)商機制，在交易雙方之間建立安全聯(lián)系。這樣，就構(gòu)成了一套完整的電子商務(wù)安全解決方案。

由于基于身份公鑰加密體制直接以用戶身份信息作為公鑰，不再需要基于證書公鑰加密體制下龐大的證書維護系統(tǒng)，使得系統(tǒng)開銷大大降低，使其在電子商務(wù)安全中發(fā)揮著重要作用，也更符合當(dāng)今電子商務(wù)安全發(fā)展的需要和趨勢，必將成為電子商務(wù)應(yīng)用中的安全基石。

admin

收藏 海報分享