電子商務(wù)支付中的公鑰密碼技術(shù)

1、電子商務(wù)支付中的公鑰密碼技術(shù) 作者：王細(xì)萍吳志平肖小勇摘 要 從公鑰密碼原理出發(fā)，分析其與電子商務(wù)支付安全實(shí)踐結(jié)合產(chǎn)生的應(yīng)用技術(shù)：數(shù)字簽名、PKI、數(shù)字證書I、SOC，結(jié)合我國(guó)電子商務(wù)的實(shí)際環(huán)境分析其在電子支付環(huán)境中的伴生問(wèn)題，從政府管理，行業(yè)規(guī)范，法制建設(shè)等方面提出相應(yīng)的解決建議。 關(guān)鍵詞 電子支付 公鑰密碼 PKI 數(shù)字證書 SOC 一、引言 電子支付通過(guò)多種渠道讓買賣雙方不謀面地進(jìn)行網(wǎng)上購(gòu)物等金融活動(dòng)，帶來(lái)了無(wú)紙化，足不出戶支付的便利，已成為消費(fèi)購(gòu)物的新寵。但是，其安全問(wèn)題引發(fā)格外關(guān)注，“病毒攻擊”、“黑客入侵”等問(wèn)題讓部分人對(duì)其望而卻步，網(wǎng)銀、U盾等電子支付渠道推廣碰到不少抵觸。本文從

2、公鑰密碼算法數(shù)學(xué)原理出發(fā)，介紹了其在電子商務(wù)實(shí)踐中的實(shí)現(xiàn)技術(shù)，討論其伴生的種種問(wèn)題及相應(yīng)解決辦法。 二、公鑰算法的數(shù)學(xué)原理 1.密碼術(shù)基礎(chǔ)。密碼技術(shù)的基本原理是計(jì)算復(fù)雜性理論。問(wèn)題難度可在求解所需求的計(jì)算資源量上體現(xiàn)出來(lái)，如：計(jì)算時(shí)間，存儲(chǔ)空間等。計(jì)算復(fù)雜性表達(dá)了某問(wèn)題的固有難度，是評(píng)價(jià)某個(gè)求解算法優(yōu)劣的重要依據(jù)。例如：AES算法，密鑰最長(zhǎng)256位，容納22561077個(gè)密鑰，P4計(jì)算機(jī)用搜索法破解，假設(shè)每HZ能判斷一個(gè)密鑰，則大約要1060年，從宇宙壽命來(lái)講，這是不可能的。相信數(shù)學(xué)，則應(yīng)該相信其密碼安全性。 2.對(duì)稱密碼算法。在保密通信過(guò)程中，如雙方使用相同密鑰，則稱其為對(duì)稱加密算法，特點(diǎn)是

3、計(jì)算量小、速度快、效率高。不足是密鑰安全性得不到保障，密鑰量隨著通信群體空間成二次多項(xiàng)式增長(zhǎng)，管理分配相當(dāng)復(fù)雜。 3.公鑰密碼原理。如果通信雙方使用不相同的密鑰;則稱公鑰算法。它要求事先生成屬于某個(gè)主體的，相互匹配成對(duì)的公鑰KU和私鑰KR，加密時(shí)，發(fā)送者采用接收者的KU加密，接收者解密時(shí)，只有使用KU配對(duì)的KR才能完成，任何不知道KR的人都不能解密。KU可以公開，保密性管理由原來(lái)的雙方保密密鑰簡(jiǎn)化為接收者單邊保密KR.有n個(gè)個(gè)體的通信群，只要n個(gè)鑰對(duì)即可實(shí)現(xiàn)任何對(duì)之間的保密通信。它在電子商務(wù)中得到廣泛應(yīng)用。 三、電子支付中使用公鑰技術(shù) 電子商務(wù)中，支付方式主要有：IC讀卡終端轉(zhuǎn)賬，如IC電話卡

4、；信用卡通過(guò)金融網(wǎng)絡(luò)劃拔;電子支票。無(wú)論何種方式，信息保密傳輸、遠(yuǎn)程進(jìn)程、設(shè)備等身份驗(yàn)證、密碼運(yùn)算的可信環(huán)境都至關(guān)重要，任何環(huán)節(jié)的紕漏都引發(fā)安全問(wèn)題。因此，公鑰密碼在電子支付實(shí)踐中產(chǎn)生了PKI/CA，數(shù)字簽名和片內(nèi)安全計(jì)算等技術(shù)，并成為其重要的安全平臺(tái)。 1.PKI/CA身份認(rèn)證技術(shù)。面對(duì)面情況下，認(rèn)證身份并不難。然而，在不可能見(jiàn)面情況下，問(wèn)題要復(fù)雜得多。這時(shí)如何來(lái)相互驗(yàn)證以證明：資金商品沒(méi)有被截流，交易參與方的的確確都沒(méi)有“掉包”？借助基于公鑰密碼建立的數(shù)字證書和公鑰基礎(chǔ)設(shè)施可以完成任務(wù)。CA是一個(gè)對(duì)“鑰對(duì)”和持有人身份進(jìn)行審查、擔(dān)保、認(rèn)證的權(quán)威機(jī)構(gòu)，在受擔(dān)保的公鑰附上個(gè)體信息等構(gòu)成的數(shù)據(jù)結(jié)

5、構(gòu)。它在數(shù)據(jù)結(jié)構(gòu)用頒發(fā)證書專用私鑰KR做數(shù)字簽名，以標(biāo)志“通過(guò)審查”的狀態(tài)，則得到數(shù)字證書。證書校驗(yàn)方則用KR配對(duì)的公鑰驗(yàn)證CA簽名，可獲得證書狀態(tài)。證書、CA，接受證書申請(qǐng)的RA機(jī)構(gòu)等相關(guān)的制度和輔助設(shè)施的統(tǒng)稱即PKI，即公鑰基礎(chǔ)設(shè)施。它在電子商務(wù)中廣泛應(yīng)用，如阿里巴巴支付寶證書。 2.數(shù)字簽名技術(shù)。在傳統(tǒng)交易中，當(dāng)事人對(duì)貨物等審查后的狀態(tài)用簽名或畫押的方式來(lái)表達(dá)認(rèn)可，常通過(guò)其有自身特色品質(zhì)的如筆跡、指紋來(lái)標(biāo)注。在電子支付中，取而代之的用帶有用戶特色的“數(shù)字簽名”來(lái)替代。所謂“特色”，CA將某對(duì)可信公鑰分配給某個(gè)體，則不能來(lái)再將同樣鑰對(duì)分配其它個(gè)體，持有獨(dú)一無(wú)二的鑰對(duì)則稱為特色，其私鑰簽名也

6、和手跡一樣具有分辨力。 3.片內(nèi)安全SOC的硬件實(shí)現(xiàn)技術(shù)。密碼功能可寫成通用軟件并安裝，由CPU執(zhí)行，即軟件加密。成本低，不需任何附加設(shè)備即可完成。如Windows系統(tǒng)的CSP。然而，其可信度低。安全性、可靠性差，如果將指令寫入ROM芯片或設(shè)計(jì)成電路封裝成芯片，密碼指令在芯片里面完成，則稱為硬件加密，又稱Security On Chip。其安全性、可靠性大大提高了。如U盾，電子支票數(shù)字簽名則在U盾里面完成。 四、公鑰密碼技術(shù)在電子支付中的伴生問(wèn)題 1.PKI平臺(tái)的重復(fù)、不規(guī)范化建設(shè)。在我國(guó)，行業(yè)性PKI/CA有CFCA（中國(guó)金融）、CTCA（電信），地區(qū)性的有上海CA、北京CA等。由于缺乏統(tǒng)一

7、規(guī)范和管理來(lái)指導(dǎo)，PKI重復(fù)建設(shè)、標(biāo)準(zhǔn)不一。一哄而上地開發(fā)CA是完全沒(méi)有必要，也造成浪費(fèi)。 2.數(shù)字證書交叉認(rèn)證問(wèn)題影響電子商務(wù)推廣。金融機(jī)構(gòu)之間的CA交叉認(rèn)證沒(méi)有解決。其中除技術(shù)外其它因素很多。這只會(huì)給增加用戶成本，降低效率。如：工行證書、建行證書等，介質(zhì)管理攜帶也成為了客戶累贅。 3.信息安全立法和打擊信息安全犯罪。2005年4月1日，我國(guó)電子簽名法正式實(shí)施，標(biāo)志著我國(guó)電子商務(wù)向誠(chéng)信發(fā)展邁出了第一步。然而，信息安全經(jīng)濟(jì)犯罪不容忽視，流氓軟件盜竊用戶口令、冒充銀行網(wǎng)站套取賬號(hào)和口令等現(xiàn)象時(shí)而出現(xiàn)。立法僅提供有法可依的平臺(tái)，只有落實(shí)有效打擊措施，從源頭扼制，才能打造和諧安寧干凈的電子商務(wù)環(huán)境。 參考文獻(xiàn)： 1王金池:口碑營(yíng)銷的基礎(chǔ)及其傳播途徑J.東南大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版），2006（2） 2譚文學(xué)等:用CSP 開發(fā)CE.Net FIGS 加密傳輸構(gòu)件J微計(jì)算機(jī)信息2007.Vol 23