電子商務(wù)支付中的公鑰密碼技術(shù)

1、電子商務(wù)支付中的公鑰密碼技術(shù) 作者：王細(xì)萍吳志平肖小勇摘 要 從公鑰密碼原理出發(fā)，分析其與電子商務(wù)支付安全實(shí)踐結(jié)合產(chǎn)生的應(yīng)用技術(shù)：數(shù)字簽名、PKI、數(shù)字證書I、SOC，結(jié)合我國電子商務(wù)的實(shí)際環(huán)境分析其在電子支付環(huán)境中的伴生問題，從政府管理，行業(yè)規(guī)范，法制建設(shè)等方面提出相應(yīng)的解決建議。 關(guān)鍵詞 電子支付 公鑰密碼 PKI 數(shù)字證書 SOC 一、引言 電子支付通過多種渠道讓買賣雙方不謀面地進(jìn)行網(wǎng)上購物等金融活動(dòng)，帶來了無紙化，足不出戶支付的便利，已成為消費(fèi)購物的新寵。但是，其安全問題引發(fā)格外關(guān)注，“病毒攻擊”、“黑客入侵”等問題讓部分人對其望而卻步，網(wǎng)銀、U盾等電子支付渠道推廣碰到不少抵觸。本文從

2、公鑰密碼算法數(shù)學(xué)原理出發(fā)，介紹了其在電子商務(wù)實(shí)踐中的實(shí)現(xiàn)技術(shù)，討論其伴生的種種問題及相應(yīng)解決辦法。 二、公鑰算法的數(shù)學(xué)原理 1.密碼術(shù)基礎(chǔ)。密碼技術(shù)的基本原理是計(jì)算復(fù)雜性理論。問題難度可在求解所需求的計(jì)算資源量上體現(xiàn)出來，如：計(jì)算時(shí)間，存儲空間等。計(jì)算復(fù)雜性表達(dá)了某問題的固有難度，是評價(jià)某個(gè)求解算法優(yōu)劣的重要依據(jù)。例如：AES算法，密鑰最長256位，容納22561077個(gè)密鑰，P4計(jì)算機(jī)用搜索法破解，假設(shè)每HZ能判斷一個(gè)密鑰，則大約要1060年，從宇宙壽命來講，這是不可能的。相信數(shù)學(xué)，則應(yīng)該相信其密碼安全性。 2.對稱密碼算法。在保密通信過程中，如雙方使用相同密鑰，則稱其為對稱加密算法，特點(diǎn)是

3、計(jì)算量小、速度快、效率高。不足是密鑰安全性得不到保障，密鑰量隨著通信群體空間成二次多項(xiàng)式增長，管理分配相當(dāng)復(fù)雜。 3.公鑰密碼原理。如果通信雙方使用不相同的密鑰;則稱公鑰算法。它要求事先生成屬于某個(gè)主體的，相互匹配成對的公鑰KU和私鑰KR，加密時(shí)，發(fā)送者采用接收者的KU加密，接收者解密時(shí)，只有使用KU配對的KR才能完成，任何不知道KR的人都不能解密。KU可以公開，保密性管理由原來的雙方保密密鑰簡化為接收者單邊保密KR.有n個(gè)個(gè)體的通信群，只要n個(gè)鑰對即可實(shí)現(xiàn)任何對之間的保密通信。它在電子商務(wù)中得到廣泛應(yīng)用。 三、電子支付中使用公鑰技術(shù) 電子商務(wù)中，支付方式主要有：IC讀卡終端轉(zhuǎn)賬，如IC電話卡

4、；信用卡通過金融網(wǎng)絡(luò)劃拔;電子支票。無論何種方式，信息保密傳輸、遠(yuǎn)程進(jìn)程、設(shè)備等身份驗(yàn)證、密碼運(yùn)算的可信環(huán)境都至關(guān)重要，任何環(huán)節(jié)的紕漏都引發(fā)安全問題。因此，公鑰密碼在電子支付實(shí)踐中產(chǎn)生了PKI/CA，數(shù)字簽名和片內(nèi)安全計(jì)算等技術(shù)，并成為其重要的安全平臺。 1.PKI/CA身份認(rèn)證技術(shù)。面對面情況下，認(rèn)證身份并不難。然而，在不可能見面情況下，問題要復(fù)雜得多。這時(shí)如何來相互驗(yàn)證以證明：資金商品沒有被截流，交易參與方的的確確都沒有“掉包”？借助基于公鑰密碼建立的數(shù)字證書和公鑰基礎(chǔ)設(shè)施可以完成任務(wù)。CA是一個(gè)對“鑰對”和持有人身份進(jìn)行審查、擔(dān)保、認(rèn)證的權(quán)威機(jī)構(gòu)，在受擔(dān)保的公鑰附上個(gè)體信息等構(gòu)成的數(shù)據(jù)結(jié)

5、構(gòu)。它在數(shù)據(jù)結(jié)構(gòu)用頒發(fā)證書專用私鑰KR做數(shù)字簽名，以標(biāo)志“通過審查”的狀態(tài)，則得到數(shù)字證書。證書校驗(yàn)方則用KR配對的公鑰驗(yàn)證CA簽名，可獲得證書狀態(tài)。證書、CA，接受證書申請的RA機(jī)構(gòu)等相關(guān)的制度和輔助設(shè)施的統(tǒng)稱即PKI，即公鑰基礎(chǔ)設(shè)施。它在電子商務(wù)中廣泛應(yīng)用，如阿里巴巴支付寶證書。 2.數(shù)字簽名技術(shù)。在傳統(tǒng)交易中，當(dāng)事人對貨物等審查后的狀態(tài)用簽名或畫押的方式來表達(dá)認(rèn)可，常通過其有自身特色品質(zhì)的如筆跡、指紋來標(biāo)注。在電子支付中，取而代之的用帶有用戶特色的“數(shù)字簽名”來替代。所謂“特色”，CA將某對可信公鑰分配給某個(gè)體，則不能來再將同樣鑰對分配其它個(gè)體，持有獨(dú)一無二的鑰對則稱為特色，其私鑰簽名也

6、和手跡一樣具有分辨力。 3.片內(nèi)安全SOC的硬件實(shí)現(xiàn)技術(shù)。密碼功能可寫成通用軟件并安裝，由CPU執(zhí)行，即軟件加密。成本低，不需任何附加設(shè)備即可完成。如Windows系統(tǒng)的CSP。然而，其可信度低。安全性、可靠性差，如果將指令寫入ROM芯片或設(shè)計(jì)成電路封裝成芯片，密碼指令在芯片里面完成，則稱為硬件加密，又稱Security On Chip。其安全性、可靠性大大提高了。如U盾，電子支票數(shù)字簽名則在U盾里面完成。 四、公鑰密碼技術(shù)在電子支付中的伴生問題 1.PKI平臺的重復(fù)、不規(guī)范化建設(shè)。在我國，行業(yè)性PKI/CA有CFCA（中國金融）、CTCA（電信），地區(qū)性的有上海CA、北京CA等。由于缺乏統(tǒng)一

7、規(guī)范和管理來指導(dǎo)，PKI重復(fù)建設(shè)、標(biāo)準(zhǔn)不一。一哄而上地開發(fā)CA是完全沒有必要，也造成浪費(fèi)。 2.數(shù)字證書交叉認(rèn)證問題影響電子商務(wù)推廣。金融機(jī)構(gòu)之間的CA交叉認(rèn)證沒有解決。其中除技術(shù)外其它因素很多。這只會(huì)給增加用戶成本，降低效率。如：工行證書、建行證書等，介質(zhì)管理攜帶也成為了客戶累贅。 3.信息安全立法和打擊信息安全犯罪。2005年4月1日，我國電子簽名法正式實(shí)施，標(biāo)志著我國電子商務(wù)向誠信發(fā)展邁出了第一步。然而，信息安全經(jīng)濟(jì)犯罪不容忽視，流氓軟件盜竊用戶口令、冒充銀行網(wǎng)站套取賬號和口令等現(xiàn)象時(shí)而出現(xiàn)。立法僅提供有法可依的平臺，只有落實(shí)有效打擊措施，從源頭扼制，才能打造和諧安寧干凈的電子商務(wù)環(huán)境。 參考文獻(xiàn)： 1王金池:口碑營銷的基礎(chǔ)及其傳播途徑J.東南大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版），2006（2） 2譚文學(xué)等:用CSP 開發(fā)CE.Net FIGS 加密傳輸構(gòu)件J微計(jì)算機(jī)信息2007.Vol 23