導(dǎo)語：電子商務(wù)安全密鑰托管技術(shù)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：由于電子商務(wù)廣泛采用公開密鑰技術(shù)，職能部門有必要對公鑰加以管理。本文簡要介紹了基于PKI的密鑰托管技術(shù)及密鑰托管的概念，分析了密鑰托管的步驟，以及政府部門在密鑰托管的幫助下強制訪問信息的過程。

關(guān)鍵詞：密鑰托管證書授權(quán)認(rèn)證公開密鑰公鑰基礎(chǔ)設(shè)施托管證書

網(wǎng)絡(luò)的安全問題得到人們的日益重視。網(wǎng)絡(luò)面臨的威脅五花八門：內(nèi)部竊密和破壞，截收，非法訪問，破壞信息的完整性，冒充，破壞系統(tǒng)的可用性，重演，抵賴等。于是公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）應(yīng)運而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ)，用來建立不同實體間的“信任”關(guān)系。它的基礎(chǔ)是加密技術(shù)，核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心（CertificateAuthority，CA）簽發(fā)的數(shù)字證書，結(jié)合加密技術(shù)，可以保證通信內(nèi)容的保密性、完整性、可靠性及交易的不可抵賴性，并進行用戶身份的識別。

1．密鑰托管KE與密鑰托管KEA的概念

在電子商務(wù)廣泛采用公開密鑰技術(shù)后，隨之而來的是公開密鑰的管理問題。對于中央政府來說，為了加強對貿(mào)易活動的監(jiān)管，客觀上也需要銀行、海關(guān)、稅務(wù)、工商等管理部門緊密協(xié)作。為了打擊犯罪，還要涉及到公安和國家安全部門。這樣，交易方與管理機構(gòu)就不可避免地產(chǎn)生聯(lián)系。為了監(jiān)視和防止計算機犯罪活動，人們提出了密鑰托管（KeyEscrow，KE）的概念。KE與CA相接合，既能保證個人通信與電子交易的安全性，又能實現(xiàn)法律職能部門的管理介入，是今后電子商務(wù)安全策略的發(fā)展方向。

密鑰托管技術(shù)又稱為密鑰恢復(fù)（KeyRecovery）,是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份，既可在必要時幫助國家司法或安全等部門獲取原始明文信息，也可在用戶丟失、損壞自己的密鑰后恢復(fù)密文。

執(zhí)行密鑰托管功能的機制是密鑰托管（KeyEscrowAgent，KEA）。KEA與CA是PKI的兩個重要組成部分，分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進行操作，負(fù)責(zé)政府職能部門對信息的強制訪問，不參與通信過程。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，為每個使用公開密鑰的客戶發(fā)放數(shù)字證書，負(fù)責(zé)檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程，但不涉及具體的通信內(nèi)容。

2．安全密鑰托管的步驟

密鑰托管最關(guān)鍵，也是最難解決的問題是：如何有效地阻止用戶的欺詐行為，即逃脫托管機構(gòu)的跟蹤。為防止用戶逃避脫管，密鑰托管技術(shù)的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管進行密鑰托管，取得托管證書，才能向CA申請加密證書。CA必須在收到加密公鑰對應(yīng)的私鑰托管證書后，再簽發(fā)相應(yīng)的公鑰證書。

為了防止KEA濫用權(quán)限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管負(fù)責(zé)保存。只有將所有的私鑰分量合在一起，才能恢復(fù)用戶私鑰的有效性。

（1）用戶選擇若干個KEA，分給每一個一部分私鑰和一部分公鑰。根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書。證書中包括該用戶的特定表示符（UniqueIdentify，UID）、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進行加密，產(chǎn)生數(shù)字簽名，并將其附在托管證書上。

（2）用戶收到所有的托管證書后，將證書和完整的公鑰遞交給CA，申請加密證書。

（3）CA驗證每個托管證書的真實性，即是否每一個托管都托管了一部分有效的私鑰分量，并對用戶身份加以確認(rèn)。完成所有的驗證工作后，CA生成加密證書，返回給用戶。3．司法部門利用KE對信息的強制訪問

所有傳送的加密信息都帶有包含會話密鑰的數(shù)據(jù)恢復(fù)域（DataRecoveryField，DRF），它由時間戳、發(fā)送者的加密證書、會話密鑰組成，與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時，司法部門可利用KEA，通過DRF實現(xiàn)對通信內(nèi)容的強制訪問。

在司法部門取得授權(quán)后，首先監(jiān)聽并截獲可疑信息，利用DRF中發(fā)送者的加密證書獲得發(fā)送者的托管標(biāo)示符及其對應(yīng)的托管證書號，然后把自己的授權(quán)證書和托管證書號交給相應(yīng)的密鑰托管。KEA驗證授權(quán)證書的真?zhèn)魏?，返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后，司法部門就能恢復(fù)出發(fā)送者的私鑰，再結(jié)合接收者的公鑰及時間戳，就能破解會話密鑰，進而破解整個密文。由于密鑰托管不參與通信過程，所以在通信雙方毫無察覺的情況下，司法部門就能審查通信內(nèi)容。

4．結(jié)束語

自從1993年美國政府頒布密鑰托管加密標(biāo)準(zhǔn)EES，有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個持續(xù)的研究熱點。在電子商務(wù)時代，國家為了能夠管理和控制電子商務(wù)的健康發(fā)展，必須強制實施一定形式的密鑰托管技術(shù)，以便及時發(fā)現(xiàn)和阻止非法商務(wù)活動，并為司法部門提供取證的方便。

參考文獻

[1].盧鐵成.信息加密技術(shù)四川科學(xué)出版社1989

[2].陳偉東，翟起濱.二類基于離散對數(shù)問題的信息恢復(fù)多簽名體制.密碼與信息，1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185，U.S.DeptofCommerce，1994

[4].BellareM，GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity，ACM，1997

KeyEscrowTechnologyinElectronicCommerceBasedonPKI

Abstract:WiththewidelyuseofPublickeycryptograghyine-commerce,itbecomesmoreandnecessarytomanagethepublicandprivatekeys.Inthispaper,theconceptsofkeyescrowandkeyescrowagentarediscussed,theprocessofkeyescrowisanalyzed,andthepaperalsodescribeshowthegovernmentcanaccessthecommunicationcontentwiththehelpofkeyescrowagents.

Keywords:keyescrow;certificateauthority;publickey;publickeyinfrastructure(PKI)escrowcertificate