论电子商务安全中的密钥备份与密钥托管(2)
2014-10-09 01:15
导读:密钥托管最关键,也是最难解决的题目是:如何有效地阻止用户的欺诈行为,即逃脱托管机构的跟踪。为防止用户逃避脱管,密钥托管技术的实施需要通过
密钥托管最关键,也是最难解决的题目是:如何有效地阻止用户的欺诈行为,即逃脱托管机构的跟踪。为防止用户逃避脱管,密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管代理进行密钥托管,取得托管证书,才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后,再签发相应的公钥证书。
为了防止KEA滥用权限及托管密钥的泄漏,用户的私钥被分成若干部分,由不同的密钥托管代理负责保存。只
有将所有的私钥分量合在一起,才能恢复用户私钥的有效性。
(1)用户选择若干个KEA,分给每一个代理一部分私钥和一部分公钥。代理根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符(Unique Identify,UID)、被托管的那部分公钥和私钥、托管证书的编号。KEA还要用自己的签名私钥对托管证书进行数字签名,以保证其真实性,并将其附在托管证书上。
(2)用户收到所有的托管证书后,将证书和完整的公钥递交给CA,申请加密证书。
(3)由CA验证每个托管证书的真实性,即是否每一个托管代理都托管了一部分有效的私钥分量,并对用户身份加以确认。完成所有的验证工作后,CA天生加密证书,返回给用户。
所有传送的加密信息都带有包含会话密钥的数据恢复域(Data Recovery Field,DRF),它由时间戳、发送者的加密证书、会话密钥组成,与密文绑定在一起传送给接收方。接收方必须通过数据恢复域才能获得会话密钥。在必要时,政府机构可利用KEA,通过数据恢复域实现对通讯内容的强制访问。
在政府机构取得授权后,首先监听并截获可疑信息,利用数据恢复域中发送者的加密证书获得发送者的托管代理标示符及其对应的托管证书号,然后把自己的授权证书和托管证书号交给相应的密钥托管代理。KEA验证授权证书的真伪后,返回自己保管的那部分私钥。这样在收集了所有的私钥成分后,***分就能恢复出发送者的私钥,再结合接收者的公钥及时间戳,就能破解会话密钥,进而破解整个密文。由于密钥托管不参与通讯过程,所以在通讯双方毫无察觉的情况下,政府机构就能审查通讯内容。
(科教范文网http://fw.ΝsΕΑc.com编辑) 参考文献
[1]@胡伟雄.电子商务安全认证系统[M].武汉:
华中师范大学出版社,2005.
[2]@国际电子商务师
培训教程编委会. 国际电子商务师培训教程[M].北京:人民交通出版社,2006.
[3]@冯登国.公然密钥基础设施[M].北京:人民邮电出版社,2001.
[4]@刘荫铭等.计算机安全技术[M].北京:
清华大学出版社,2000.
[5]@关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子产业出版社,2002.
