电子商务中私人密码的使用.docx
《电子商务中私人密码的使用.docx》由会员分享,可在线阅读,更多相关《电子商务中私人密码的使用.docx(11页珍藏版)》请在冰点文库上搜索。
电子商务中私人密码的使用
南昌工程学院
毕业设计(论文)
国际教育学院系电子商务专业
毕业设计(论文)题目电子商务中私人密码的使用
学生姓名
班级电子商务
(1)班
学号
指导教师
完成日期2009年6月12日
电子商务中私人密码的使用
TheApplicationofPrivateKeyinElectronicCommerce
毕业设计(论文)15页
表格0个
图表0幅
摘要…………………………………………………………………………………I
ABSTRACT………………………………………………………………………II
第一章引言………………………………………………………………………1
第二章电子商务与私人密码概述……………………………………………2
2.1电子商务概述………………………………………………………………2
2.1.1电子商务的定义……………………………………………………2
2.1.2电子商务的特点……………………………………………………2
2.2私人密码概述………………………………………………………………3
2.2.1私人密码的定义……………………………………………………3
2.2.2私人密码的特点……………………………………………………3
第三章私人密码在电子商务中的应用分析………………………………4
3.1在安全传输中的应用………………………………………………………4
3.2在身份认证、不可否认性中的应用………………………………………4
3.3在安全协议中的应用………………………………………………………5
3.3.1在SSL中的应用……………………………………………………5
3.3.2在SET中的应用……………………………………………………5
第四章私人密码在电子商务中使用的问题………………………………7
4.1技术问题……………………………………………………………………7
4.2环境问题……………………………………………………………………7
4.2.1Internet开放性的安全隐患…………………………………………7
4.2.2Internet协议的安全隐患……………………………………………7
4.2.3用户平台的安全隐患………………………………………………7
4.3私人密码管理问题…………………………………………………………8
4.4法律制度问题………………………………………………………………8
第五章私人密码在电子商务中使用问题的解决建议…………………10
5.1努力加快关键技术的研究和改进………………………………………10
5.1.1提高操作系统的密级程度………………………………………10
5.1.2操作系统的设计和使用应严格分开……………………………10
5.1.3在有条件的地方设立认证中心…………………………………10
5.2加强建设干净安全的网络环境…………………………………………10
5.3努力完善私人密码管理技术……………………………………………11
5.4加强标准制度和法律法规建设…………………………………………11
5.4.1立足国情,并与国际惯例接轨…………………………………11
5.4.2跟踪电子商务的最新发展,边制定边完善……………………12
5.4.3与现有的相关法律相协调………………………………………12
结语……………………………………………………………………………13
参考文献…………………………………………………………………………14
致谢………………………………………………………………………………15
摘要
本文首先对电子商务及私人密码的定义、特点分别进行了介绍;并分析了私人密码在电子商务中安全传输、身份认证、安全协议等方面的应用;然后对私人密码在电子商务中使用的一些问题进行了探讨研究,包括技术问题、环境问题、私人密码管理问题、法律制度问题等;最后对这些存在问题提出了相应的解决建议。
关键词:
电子商务私人密码应用问题解决建议
Abstract
First,thedefinitionandtraitofelectroniccommerceandprivatekeyareintroducedinthispaper.Thentheapplicationsofprivatekeyinthesecuretransmit,theauthenticationofidentity,secureprotocolandotherwaysareanalyzedinE-commerce.Finally,weresearchtheproblemsofprivatekeyinE-commerce,inctechnology,environment,managementofprivatekey,legalsystem.Andforthoseproblems,wehavetotablesomecorrespondingproposalstosolve.
KeyWords:
E-commerce;PrivateKey;Applications;Problems;Proposalstosolve
第一章引言
随着信息技术日新月异的发展和Internet的迅猛普及,世界正步入网络经济的新时代。
作为Internet最广阔应用领域之一的电子商务也受到世界各国政府和企业界的重视与积极的投入,同时电子商务在各个行业中发挥的作用越来越重要,也逐渐成为我们普通人生活的一部分,但是由于网络的全球性、开放性、无缝连通性、共享性和动态性,使得任何人都可以自由地接入Internet网,Internet这种特性以及它所依赖的TCP/IP协议本身的不安全性,使整个网络存在很大的安全隐患,这严重制约了电子商务进一步的应用和发展。
因此,建立安全的电子交易体系,保证网上数据的安全和交易对方的身份确认,已成为电子商务发展的关键和核心问题。
密码技术的发展和应用,有助于解决电子商务中的安全问题,对保证交易信息安全是必不可少的。
第二章电子商务与私人密码概述
2.1电子商务概述
2.1.1电子商务的定义
电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。
电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business),或企业对消费者(Business-to-Customer)两种。
另外还有消费者对消费者(Customer-to-Customer)这种大步增长的模式。
随着国内Internet使用人数的增加,利用Internet进行网络购物并以银行卡付款的消费方式已渐流行,市场份额也在迅速增长,电子商务网站也层出不穷。
2.1.2电子商务的特点
电子商务与传统商贸易相比的话,具有以下四大特点:
(1)全球性。
电子商务的开展使企业从一开始就面对全球市场。
互联网的特征就是信息被全世界人分享,只要你愿意上网,不受国界和时空的影响,企业无论大小都可以成为全球型企业。
(2)便捷性。
电子商务是互联网商业应用的最高境界。
如将资金从一个存款户头转移到一个支票户头,查看一份信用卡的收支记录、发货请示,乃至搜寻并购买稀少产品,这些都可以足不出户而实时完成。
(3)技术服务性。
由于电子商务的进行要依靠计算机互联网技术来达到信息的交流和传输,而计算机互联网具有很强的交互功能,它要求在实施中必须有相应的计算机软件支持。
软件的统计,信息的处理、传输等都必须由专业人员来进行。
特别是计算机系统及网络的建立与维护更需要专业人员参与。
硬件必须与相应的软件配合才能充分发挥出现代信息技术的优势。
(4)直接性。
网络使交易双方通过互动方式在网上完成交易全过程。
生产者可以通过网页向用户提供各类信息,展示产品视觉形象,介绍产品的性能、用途,可根据客户的要求组织生产,提供各类服务,甚至可以让消费者直接参与产品的设计。
建立与消费者一对一的关系,消费者可通过网络了解产品的质量、公开询价,购买到自己称心如意、价廉物美的商品。
2.2私人密码概述
2.2.1私人密码的定义
所谓私人密码,又称私人密钥,它是密码技术中与公共密钥相对应的一种密钥,它由本人生成并所有且只有本人知悉,其主要作用在于辨识文件签署者身份及表示签署者同意电子文件内容并对数据电文进行保密。
2.2.2私人密码的特点
(1)私有性。
从理论上讲,私人密码属个人数据。
交易者对它有无可争议的专有权。
他人无权窥探、窃取。
(2)惟一性。
在自动交易系统中,私人密码结合其他要素如账号,能够识别出交易者身份。
(3)秘密性。
私人密码由本人生成且为其持有,除非本人泄密,他人不得知晓。
在规范的自动交易系统中,私人密码不仅在操作员的电脑中看不出来,即使到中心机房也无法查到。
私人密码的技术价值就在于私人密码一旦设定和输入,非经复杂的破译程序不可再现,私人密码的数字在技术上破译不仅相当困难,而且往往因为破译时间可能需要几十年而不具有现实性。
第三章私人密码在电子商务中的应用分析
在电子商务环境下,信息的安全性有两个主要方面,即信息的机密性和认证性。
机密性的目的是防止消息被破译、泄露,是一种被动安全防御策略。
认证的是证实信息的发送者的真正身份,确认其的真正来源,防止入侵者伪装,同时验证信息的完整性,防止在传送或存储过程中未被篡改,是一种主动安全防御策略。
3.1在安全传输中的应用
最初密码技术的产生就是为了在公共信道上传输安全信息提供保障,在电子商务实施过程中,密码技术是保护大型通信网络上安全传输信息的惟一实现手段,是保障信息安全的核心技术。
信息加密后在公共信道上传输,非法窃取信息的人即使在拿到密文后,由于没有相应的密钥,所以也无法将其破译而得到明文,从而保证了信息传输的安全。
信息加密过程中应用的算法各不相同,无论采用56位密钥的DES加密算法,还是采用1024位或2048位RSA加密算法,破解的可能性都微乎其微。
3.2在身份认证、不可否认性中的应用
根据非对称加密算法的理论,用私钥加密的信息只能通过公钥解密,因此如果信息可以利用某人的公钥解密,那么信息一定是此人发送的加密信息,因为别人无法知道他的私钥,由此可以完全确定此人的身份。
在电子商务活动中,为了建立完整的身份认证体系,需要在非对称密钥基础上建立数字证书体系,通过数字证书可以获得交易人的公钥,另外数字证书由权威的公正的第三方颁发,具有很高的可信性。
目前,基于PKI体系的身份认证完全可以满足电子商务的要求。
所谓不可否认性,就是尽管发送方事后可能否认他就是发送方,但仍能证明发送方就是实际的发送方。
这一特性也可用于接收方。
不可否认方案可以按以下方式操作。
发送方在报文上用其私钥签名后发给接收方,接收方收到这个报文后,用发送方的公钥解密,并确认报文内容。
报文内容确认后,接收方将用其私钥在认可书上签名。
发送方收到该认可书后,用接收方的公钥解密,并将该认可书保存起来。
发送方不能否认报文不是他发送的,因为接收方可以用该发送方的公钥(这是惟一一个能对发这方私钥加密的报文解密的密钥)对报文解密;接收方也不能否认他没有接收到这个报文,或者没有发送认可书,因为发送方存有接收方的认可书,它是用接收方的公钥解密的。
3.3在安全协议中的应用
3.3.1在SSL中的应用
SSL是由Netscape公司推出的安全协议。
当初并不是为电子商务而设计的,但因其运行较为简单、容易,所以被拿来当做电子商务的安全协议使用,甚至成了目前在电子商务方面应用最广泛的安全协议。
SSL由两个子协议构成,即SSL记录(Record)协议和SSL握手(Handshake)协议。
前者定义了会话中传递的所有数据项的基本格式,上层数据(包括SSL握手协议建立安全连接时所需传送的数据)都通过SSL记录协议加密后再往下层TCP协议层传送。
后者描述建立安全连接的过程,在客户和服务器间传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能。
SSL握手协议是较SSL记录协议更高层的协议,必须先执行握手协议后,才可能实现SSL记录协议中的加密和完整性校验。
在SSL中,采用了公钥加密技术以及专有密钥序列密码,能够对信用卡和个人信息提供较强的保护。
SSL在建立连接过程中采用公开密钥,在会话过程中使用专有密钥。
加密的类型和强度则在两端之间建立连接的过程中判断决定。
SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道,而后在安全通道中传输的所有信息都经过了加密处理,以达到保密性;利用密码算法和hash函数,通过对消息摘要的数字签名来保证信息的完整性;利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别对方的身份,以达到认证性。
3.3.2在SET中的应用
1997年5月31日,国际上两个信用卡巨头Mastercard和Visa共同推出其使用因特网的商业交易标准——安全电子交易SET(SecureElectronicTransaction)协议,它将传统的信用卡以私有网络交换数据的方式移植到因特网上。
SET协议运用密码术,妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
目前,SET已被越来越多的人们公认为Internet上支付的安全标准。
世界上已有不少公司推出符合SET标准的应用软件,供用户选用。
现在全球采用的SET标准是1.0版本。
SET的工作原理如下:
当路由器接收到SET交易请求后,将呼叫信用卡处理器专属的副程序、密钥管理(安全地存储私密密钥、付款指令的解码和银行回应信息的签名)服务及密码服务,将信用卡处理器专属的交易转换成服务器式的交易,接着将交易送到信用卡处理系统。
SET将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起了。
SET协议所涉及到的密码技术有数字信封、数字签名、消息摘要、双重签名等,加密的有效性取决于加密算法DES和RSA的强度以及SHA-1散列算法的有效性。
一般用户采用RSA密钥为1024比特,但RootCA的密钥长度为2048比特,再配合DES加密算法,执行协议加解密运算。
虽然DES的安全已经逐渐降低,但它在SET中是作通信密码之用,只用于一次交易,下一次交易又产生了一组新的DES通信密码,这样破解DES是不可取的。
SET还使用证书来进一步增强身份鉴别的强度。
SET协议涵盖了信用卡在电子商务贸易中的交易协定、信息保密、资料完整性及数字认证、数字签名等。
SET协议的缺点是它在相互操作方面存在着一些问题,而且它仅限于信用卡方式的支付手段,同时用户需要安装特殊的软件,协议复杂,使用成本高。
SSL协议是国际上最早应用于电子商务的一种网络安全协议,但SSL协议运行的基点是商家对客户的认证,缺乏客户对商家的认证。
随着Internet上电子商务规模的增加,出现欺诈的可能性也不断增大,因此,SSL方式已经不能满足现实的需要。
由于SET的高成本性和复杂性,SET的普及应用还需时日。
预计在今后相当长的一段时期内,SET协议和SSL协议将并存于电子商务中。
但是,随着SET协议的不断改进和PKI等基础设施的不断完善,SET协议的应用会越来越广泛,逐渐成为电子商务的主流。
第四章私人密码在电子商务中使用的问题
4.1技术问题
从某种意义上来说,电子商务之所以得以发展,实赖于加密技术的应用。
但在交易中若私人密码涉及的软件,如操作系统,没有达到一定的密级程度的话,即使交易者自己设密,也可能因系统的密级程度过低,致使私人密码被他人破译。
另外,在数字签名制度下,可以通过认证中心核发公钥与私钥的方式解决身份确认问题。
作为独立于交易各方的权威机构,如果交易双方或第三人对当事人身份或交易内容有所质疑,认证中心即可作为鉴定人提供有关身份确认的资料与证据。
这样交易双方或第三人均不得任意否认交易的发生及其内容,从而使当事人在网络这一虚拟世界环境下所发出的要约与承诺与现实世界的要约与承诺同具法律拘束力。
但是目前,有外经贸部门、信息产业部、公安部等部门都在建立自己的CA,如果标准不统一,带来交叉认证的麻烦将会增加交易的成本,不利于电子商务的发展。
4.2网络环境问题
Internet是电子商务实现的网络基础,它采用TCP/IP完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。
Internet的安全隐患主要体现在这几个方面。
4.2.1Internet开放性的安全隐患
开放性和资源共享是Internet的主要优点,但它带来的问题却不容忽视。
因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。
4.2.2Internet协议的安全隐患
采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。
它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。
数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。
4.2.3用户平台的安全隐患
Internet底层的操作系统如UNIX,由于源代码的公开,很容易发现漏洞,给Internet用户带来安全问题。
4.3私人密码管理问题
公开密钥密码技术已经得到了广泛的应用,并解决了对称密码技术所不能解决的两大难题:
密钥分配和数字签名的问题。
公开密码技术采用一对密钥:
公钥和私钥。
用公钥加密的数据只能用私钥解密,反之用私钥加密的数据只能用公钥解密,前者主要用于加密和密钥分配,而后者主要用于解密和数字签名。
公钥是公开的,任何人都可以自由获取,但为了防止假冒,其完整性要受到保护,这可以通过给合法的公钥拥有者颁发数字证书来实现;而私钥是用户私有、专用的,它不能够泄露给其他人。
私钥同时需要备份,对于个人用户而言,用户有可能遗失私钥或者忘记了访问私钥的口令,那么就无法阅读用此私钥加密的电子邮件、文件等;对于用户所在的企业而言,用户一旦离开公司,如没有职业道德的员工辞职时拒绝交出所拥有的私钥,那么公司就没法阅读其以前用此私钥加密的文件。
所以对私钥的备份以及恢复是很有必要的。
另外,为了能够及时发现和阻止非法商务活动,国家司法或安全等部门有时需要获取明文信息也会遇到一定的障碍。
4.4法律制度问题
私人密码作为数字签名的基本方式,实际上起到了两方面的作用,一是用电子媒介代替纸质媒介;二是确认当事人的身份,起到了签名或盖章的作用。
那么,在技术解决了第一步的问题以后,问题就转到了法律这边——法律究竟能不能认可电子签名这样的技术产物呢?
从实质上说,数字签名仅仅是一种电磁记录。
这种电磁记录是否有效,是否符合法律所规定的“书面形式”,现行法律似乎尚未明确。
因而可能造成经过数字签名的电子文件因不符合法律所规定的形式要件,而使由此所产生的法律行为无效的情况。
虽然,新《合同法》规定当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书,签订确认书时合同成立。
但我们认为这一规定,这只是在有关法律不尽完善的情况下所采取的一种折衷的过渡方案。
因为这种传统的“签订”方式,与网络化时代跨地域、跨时空的无纸化交易方式相比还是格格不入的。
现有的法律规则中对传统的签名盖章已经规制得相当完善,也能够满足经济实践中的要求,但是电子商务要求通过网络进行交易,交易双方相隔万里,互不见面,完全脱离了传统“笔纸式”的交易媒介,随着电子商务的发展,从法律上确立数字签名与手写签名相同效力已显得越来越重要。
第五章私人密码在电子商务中使用问题的解决建议
5.1努力加快关键技术的研究和改进
5.1.1提高操作系统的密级程度
为防范私人密码的使用风险,操作系统须达到一定的密级程度。
具体需要达到何种密级程度,应借鉴电子商务发达国家的有关规定,考虑自身电子商务发展的实际情况,由国家做出统一规定。
5.1.2操作系统的设计和使用应严格分开
私人密码不仅对任何第三人是保密的,而且对经营使用和设计操作系统的有关方也应是保密的。
现实中经常有经营使用者与设计者关系密切的情形,因设计者对操作系统十分熟悉,有可能破译私人密码,对私人密码的保密大为不利。
因为这里不能排除操作人员和设计人员相互串通的可能,故在实践中,操作系统的设计和使用应当严格分开,做到使用者不知道是谁设计,设计者不知道是谁使用。
如银行系统应由总行或人民银行总行在严格保密的状态下委托设计操作系统软件,下发各行和分支机构使用,以确保私人密码的保密性、安全性。
5.1.3在有条件的地方设立认证中心。
认证中心可以在电子交易中作为中介人保管公共密钥,证实某一公共密钥确实是某一当事人的,从而保证交易对象是真实的。
私人密码要结合公共密钥才能进入交易,管好公共密钥对私人密码的安全使用有积极的作用。
德国、日本、美国、加拿大许多国家颁布的有关数字签名的法律中,对认证中心的作用及公共密钥的管理都做出了相应的规定。
中国目前对认证中心的作用和密钥管理都没有统一的政策,导致各个机构、各个行业建立自己的认证中心,重复建设,管理混乱,不利于长远发展,也不利于安全保密。
因此建议,应首先制定这方面的法律、法规;在有条件的地方,设立统一的认证中心,对公共密钥进行统一管理。
5.2加强建设干净安全的网络环境
对于不同程度隐患和漏洞的网络环境给电子商务造成的影响和损失,首先就是政府不应该袖手旁观。
应组织力量,筛选符合国情的电子商务安全技术。
中国目前还不能生产自己的网络防火墙,例如许多银行现有的技术防范措施显然不能适应大规模电子交易的需要。
中国使用的网络安全产品基本上是“舶来品”,开发自己的网络安全产品已成为不可回避的问题。
其次,用户本身应该提高安全意识。
对于开放的Internet环境,应有良好的警觉性和防范措施
5.3努力完善私人密码管理技术
面对现存私人密钥管理技术的不足,人们提出了密钥托管(KeyEscrow,KE)的概念。
KE与CA相接合,既能保证个人通信与电子交易的安全性,又能实现法律职能部门的管理介入,是今后电子商务安全策略的发展方向。
密钥托管技术又称为密钥恢复(KeyRecovery),是一种能够在紧急情况下提供获取信息解密密集新途径的技术。
它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥后恢复密文。
执行密钥托管功能的机制是密钥托管代理(KeyEscrowAgent,KEA)。
KEA与CA是PKI的两个重要组成部分,分别管理用户的私钥与公钥。
KEA对用户的私钥进行操作,负责政府职能部门对信息的强制访问,不参与通信过程。
CA作为电子商务交易中受信任和具有权威性的第三方,为每个使用公开密钥的客户发放数字证书,负责检验公钥体系中公钥的合法性。
因此它参与每次通信过程,但不涉及具体的通信内容。
在现在这个电子商务时代,为了能够管理和控制电子商务的健康发展,必须强制实施一定形式的密钥托管技术,这样既能保证个人通信与电子交易的安全性,又能实现法律职能部门的管理介入。
5.4加强标准制度和法律法规建设
5.4.1立足国情,并与国际惯例接轨。
电子商务是依托Internet的迅猛发展和普及而兴起的一种新型贸易方式,而Internet的一个基本特征就是
升级会员 