施建华
(盐城工业职业技术学院,江苏 盐城 224005)
科技与应用
电商环境中安全密钥交换算法的应用研究
施建华
(盐城工业职业技术学院,江苏 盐城 224005)
分析目前网络安全通信中采用的各种密钥交换的算法原理,接着对各种算法的优缺点进行对比分析,最后指出CA与Diffie-Hellman相结合的混合密钥交换算法更适合在电子商务中使用,能更好地保证电子商务活动中密钥的安全交换,确保电子商务活动的安全。
CA;Diffie-Hellman;非对称加密;混合密钥交换算法
1问题的提出
在电子商务发展的如火如荼的今天,网络在线交易的便捷给生活带来了极大的方便。人们越来越多地在线订车票、在线订宾馆、在线购物,等等。因此,很多敏感的个人信息以及个人银行账户信息都将在网络传输,虽然有各种安全措施,但是也经常发生信息泄露,另外,有一些人利用他们所掌握的网络技术在Internet上非法窃取、篡改、破坏用户的数据,给个人、单位和社会造成巨大的损失[1]。
为确保数据的传输、存储安全,通常都会对传输的数据加密后存储或传输,接收方收到数据后解密密文,还原明文。通常采用的加密算法主要有对称密钥加密算法以及非对称密钥加密算法。在安全的数据通信中,通信的双方必须分别具有加密的密钥以及解密的密钥。一旦通信的密钥被泄漏或破解,由其加密的信息就会被泄漏。因此,如何安全地交换或协商通信密钥就成为至关重要的问题,从而如何保证密钥的安全,特别是安全的密码交换就成为电子商务中安全信息交换的核心问题。本文将分析目前安全秘钥交换算法,然后试图提出安全密钥交换算法在电子商务中的应用。
2安全密钥交换算法
要实现安全的密钥交换,通常采用的方法有:通过其他非计算机网络的方式交换密码;公钥证书;Diffie-Hellman算法等。
2.1通过其他非计算机网络的方式交换
在实际的密钥交换过程中,可以通过电话协商、短信等非网络的方式来进行密钥的交换。这种方式适合临时的少量的简单的密码交换,对于大量的复杂的密码交换实现起来比较困难,一般不采用此种方法。
2.2公钥证书
通过CA发放的证书完成密钥的交换,实际上是利用非对称的加密算法完成数据加密密钥的安全交换,然后再利用数据加密密钥完成数据的安全交换[2]。
在利用CA交换密钥的一方通过获取对方的公钥证书,获取对方的公钥Kpub,然后用对方的公钥Kpub对将要用以数据加密的密钥Kdata加密得到密文PKdata,同时也对该密文进行数字签名得到PKdataD,然后将PKdataD传输给对方。接收方收到信息后,首先用发送方的公钥验证发送方的身份,然后用自己的私钥解密PKdata,获取被加密的密钥Kdata,并用此密钥加密需要安全交换的数据或解密接收到的密文,实现数据的安全传输。即使中间人获取到PKdata,由于其没有解密的私钥,是没有办法解密获取将用以数据加密解密的密钥Kdata的。
采用此种方法进行密钥交换需要建立完整的公钥基础结构,实现起来相对比较复杂,在小型网络中通常不采用该方法。
2.3Diffie-Hellman算法
Diffie-Hellman算法是一种著名的密钥协商算法,这种算法可以使得信息交换的双方通过公开的非安全的网络协商生成安全的共享密钥[3]。这个算法的安全性是基于解决有限域中离散对数的困难性而提出的,这种算法及其变形都得到了广泛的应用。其核心技术是Diffie-Hellman交换技术,根据模运算的理论有3.3.1式成立:
gabmodp=damodp=cbmodp (3.1.1)
其中:d=gbmodp,c=gamodp
D-H算法具体的密钥形成过程如下:
(1)A、B分别产生大的素数g,p发送给对方;
(2)A、B利用g,p的值独立形成私有的Diffie-Hellman密钥a、b(不交换);
(3)A将c=gamodp的计算结果通过网络传送给B,B将d=gbmodp的计算结果传送给A;
(4)最后A计算damodp,B计算cbmodp。根据3.3.1式它们相等,其值就是最后形成的共同的密钥。
中间人可能获取所有交换的信息g、p、d、c。由于不知道a、b就无法计算最后的值,也就无法计算密钥。按理论知道g、p、d、c要计算a、b是属于NP-完全问题,计算出来几乎是不可能的。
这种算法存在的主要问题是算法本身没有进行通信双方的身份认证,在A、B交换信息时容易被中间人截获,并冒充A与B建立会话,冒充B与A建立会话,这样导致A、B交换的数据都被中间人截获,泄露机密信息。为了防止中间人攻击,就需要一种机制来验证A、B双方的身份。
Diffie-Hellman算法的重要特点在于方便灵活,多应用于不适合公开密钥算法的场合,特别是在一个小型系统中,如果为数不多的用户建立一个CA并且维护整个证书系统是得不偿失的。
3安全密钥交换算法在电子商务中的应用
由于公钥基础设施现在比较普遍地应用于电子商务,在电子商务活动中密钥的交换可以采用CA与Diffie-Hellman算法相结合的方式来完成。通过CA发放的证书来实现用户身份的认证,在此基础上采用Diffie-Hellman算法进行安全的密钥交换。其具体实现就是将Diffie-Hellman交换的信息全部进行公钥加密以及数字签名,这样就保证了Diffie-Hellman密钥交换算法不受到中间人的攻击,保证密钥交换的安全,具体过程如下:
A、B分别向证书服务器申请用于加密及数字签名的证书。
证书服务器验证用户身份,签署发放用户证书。
A产生大的素数g,用B的公钥证书中的公钥加密,用A的私钥进行数字签名,还可结合相应的Hash算法保证数据的完整性,最后发送给对方。
B产生大的素数p,用A的公钥证书中的公钥加密,用B的私钥进行数字签名,还可结合相应的Hash算法保证数据的完整性,最后发送给对方。
A、B接收到对方的数据后,用对方的公钥验证签名,确认对方的身份,用私钥解密被加密的信息g或p。
A、B利用g、p的值独立形成私有的Diffie-Hellman密钥a、b(不交换)。
A将c=gamodp的计算结果用B的公钥证书中的公钥加密,用A的私钥进行数字签名,还可结合相应的Hash算法保证数据的完整性,最后通过网络传送给B。
B将d=gbmodp的计算结果用A的公钥证书中的公钥加密,用B的私钥进行数字签名,还可结合相应的Hash算法保证数据的完整性,最后通过网络传送给A。
A、B接收到对方的数据后,用对方的公钥验证签名,确认对方的身份,用私钥解密被加密的信息d或c。
最后A计算damodp,B计算cbmodp。根据3.3.1式它们相等,其值就是最后形成的共同的密钥。
该CA与Diffie-Hellman结合的密钥交换算法进一步增强了密钥交换算法的安全性,使得破解的难度更高,同时有效地验证了通信双方的身份,避免了中间人攻击的发生。
目前,电子商务实际运用中常常是两者结合使用,用对称加密算法加密信息,用非对称加密算法加密要传送的密钥。同时也与Hash算法相结合实现数字签名以及数字时间戳。
4结束语
CA与Diffie-Hellman相结合的密钥交换算法,在技术上增强了密钥交换的安全性,一定程度上保障了电子商务活动的安全进行。另外,要完全确实地保障电子商务活动还需要完善的法律法规以及人们安全知识与安全意识的进一步加强。
[1]李悦,卢彪.网络安全技术在电子商务中的应用[J].无线互联科技,2016.
[2]邓强,杨世平.基于公钥密码体制的RFID 三方相互认证协议的研究[J].计算机应用与软件,2015(12).
[3]苏彬庭,许力.基于Diffie-Hellman的无线Mesh网络快速认证机制[J].山东大学学报(理学版),2016,9.
(责任编辑:孙强)
The Security ofKey Exchange Algorithm and Its Application Study in E-Commerce
SHI Jianhua
(Yancheng Institute of Industry Technology, Yancheng, Jiangsu 224005, China)
This paper analyzes the key exchange algorithm theory used in the current security communications network, then compares the advantages and disadvantages of various algorithms, and finally concludes that mixed key exchange algorithm which combines CA and Diffie-Hellman is more suitable for e-commerce. It guaranteed the safety of key exchange activities in e-commerce,and ensured the security of e-commerce activities.
CA; Diffie-Hellman; asymmetric encryption; Mixed Key Exchange Algorithm
2016-10-30
施建华(1979- ),男,江苏东台人,经贸管理学院讲师,硕士,研究方向为企业信息化与电子商务、网络安全。
TP393
A
1671-4385(2016)06-0103-03