本站原创[摘 要]从公钥原理出发,分析其与电子商务支付安全实践结合产生的应用技术:数字签名、PKI、数字证书I、SOC,结合我国电子商务的实际环境分析其在电子支付环境中的伴生问题,从政府管理,行业规范,法制建设等方面提出相应的解决建议.
[关 键 词]电子支付公钥PKI数字证书SOC
一、引言
电子支付通过多种渠道让买卖双方不谋面地进行网上购物等金融活动,带来了无纸化,足不出户支付的便利,已成为消费购物的新宠.但是,其安全问题引发格外关注,“病毒攻击”、“入侵”等问题让部分人对其望而却步,网银、U盾等电子支付渠道推广碰到不少抵触.本文从公钥算法数学原理出发,介绍了其在电子商务实践中的实现技术,讨论其伴生的种种问题及相应解决办法.
二、公钥算法的数学原理
1.术基础.技术的基本原理是计算复杂性理论.问题难度可在求解所需求的计算资源量上体现出来,如:计算时间,存储空间等.计算复杂性表达了某问题的固有难度,是评价某个求解算法优劣的重要依据.例如:AES算法,密钥最长256位,容纳2256≈1077个密钥,P4计算机用搜索法,假设每HZ能判断一个密钥,则大约要1060年,从宇宙寿命来讲,这是不可能的.相信数学,则应该相信其安全性.
2.对称算法.在保密通信过程中,如双方使用相同密钥,则称其为对称加密算法,特点是计算量小、速度快、效率高.不足是密钥安全性得不到保障,密钥量随着通信群体空间成二次多项式增长,管理分配相当复杂.
3.公钥原理.如果通信双方使用不相同的密钥,则称公钥算法.它要求事先生成属于某个主体的,相互匹配成对的公钥KU和私钥KR,加密时,发送者采用接收者的KU加密,接收者解密时,只有使用KU配对的KR才能完成,任何不知道KR的人都不能解密.KU可以公开,保密性管理由原来的双方保密密钥简化为接收者单边保密KR.有n个个体的通信群,只要n个钥对即可实现任何对之间的保密通信.它在电子商务中得到广泛应用.
三、电子支付中使用公钥技术
电子商务中,支付方式主要有:IC读卡终端转账,如IC卡;信用卡通过金融网络划拔,电子支票.无论何种方式,信息保密传输、远程进程、设备等身份验证、运算的可信环境都至关重要,任何环节的纰漏都引发安全问题.因此,公钥在电子支付实践中产生了PKI/CA,数字签名和片内安全计算等技术,并成为其重要的安全平台.
1.PKI/CA身份认证技术.面对面情况下,认证身份并不难.然而,在不可能见面情况下,问题要复杂得多.这时如何来相互验证以证明:资金商品没有被截流,交易参与方的的确确都没有“掉包”?借助基于公钥建立的数字证书和公钥基础设施可以完成任务.CA是一个对“钥对”和持有人身份进行审查、担保、认证的权威机构,在受担保的公钥附上个体信息等构成的数据结构.它在数据结构用颁发证书专用私钥KR做数字签名,以标志“通过审查”的状态,则得到数字证书.证书校验方则用KR配对的公钥验证CA签名,可获得证书状态.证书、CA,接受证书申请的RA机构等相关的制度和辅助设施的统称即PKI,即公钥基础设施.它在电子商务中广泛应用,如阿里巴巴支付宝证书.
2.数字签名技术.在传统交易中,当事人对货物等审查后的状态用签名或画押的方式来表达认可,常通过其有自身特色品质的如笔迹、指纹来标注.在电子支付中,取而代之的用带有用户特色的“数字签名”来替代.所谓“特色”,CA将某对可信公钥分配给某个体,则不能来再将同样钥对分配其它个体,持有独一无二的钥对则称为特色,其私钥签名也和手迹一样具有分辨力.
3.片内安全SOC的硬件实现技术.功能可写成通用软件并安装,由CPU执行,即软件加密.成本低,不需任何附加设备即可完成.如Windows系统的CSP.然而,其可信度低.安全性、可靠性差,如果将指令写入ROM芯片或设计成电路封装成芯片,指令在芯片里面完成,则称为硬件加密,又称SecurityOnChip.其安全性、可靠性大大提高了.如U盾,电子支票数字签名则在U盾里面完成.
四、公钥技术在电子支付中的伴生问题
1.PKI平台的重复、不规范化建设.在我国,行业性PKI/CA有CFCA(中国金融)、CTCA(电信),地区性的有上海CA、北京CA等.由于缺乏统一规范和管理来指导,PKI重复建设、标准不一.一哄而上地开发CA是完全没有必要,也造成浪费.
2.数字证书交叉认证问题影响电子商务推广.金融机构之间的CA交叉认证没有解决.其中除技术外其它因素很多.这只会给增加用户成本,降低效率.如:工行证书、建行证书等,介质管理携带也成为了客户累赘.
3.信息安全立法和打击信息安全犯罪.2005年4月1日,我国《电子签名法》正式实施,标志着我国电子商务向诚信发展迈出了第一步.然而,信息安全经济犯罪不容忽视,流氓软件盗窃用户口令、冒充银行网站套取和口令等现象时而出现.立法仅提供有法可依的平台,只有落实有效打击措施,从源头扼制,才能打造和谐安宁干净的电子商务环境.