導語：電子商務安全密鑰托管技術論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：由于電子商務廣泛采用公開密鑰技術，職能部門有必要對公鑰加以管理。本文簡要介紹了基于PKI的密鑰托管技術及密鑰托管的概念，分析了密鑰托管的步驟，以及政府部門在密鑰托管的幫助下強制訪問信息的過程。

關鍵詞：密鑰托管證書授權認證公開密鑰公鑰基礎設施托管證書

網絡的安全問題得到人們的日益重視。網絡面臨的威脅五花八門：內部竊密和破壞，截收，非法訪問，破壞信息的完整性，冒充，破壞系統的可用性，重演，抵賴等。于是公鑰基礎設施（PublicKeyInfrastructure，PKI）應運而生。PKI是電子商務和其它信息系統的安全基礎，用來建立不同實體間的“信任”關系。它的基礎是加密技術，核心是證書服務。用戶使用由證書授權認證中心（CertificateAuthority，CA）簽發的數字證書，結合加密技術，可以保證通信內容的保密性、完整性、可靠性及交易的不可抵賴性，并進行用戶身份的識別。

1．密鑰托管KE與密鑰托管KEA的概念

在電子商務廣泛采用公開密鑰技術后，隨之而來的是公開密鑰的管理問題。對于中央政府來說，為了加強對貿易活動的監管，客觀上也需要銀行、海關、稅務、工商等管理部門緊密協作。為了打擊犯罪，還要涉及到公安和國家安全部門。這樣，交易方與管理機構就不可避免地產生聯系。為了監視和防止計算機犯罪活動，人們提出了密鑰托管（KeyEscrow，KE）的概念。KE與CA相接合，既能保證個人通信與電子交易的安全性，又能實現法律職能部門的管理介入，是今后電子商務安全策略的發展方向。

密鑰托管技術又稱為密鑰恢復（KeyRecovery）,是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術。它用于保存用戶的私鑰備份，既可在必要時幫助國家司法或安全等部門獲取原始明文信息，也可在用戶丟失、損壞自己的密鑰后恢復密文。

執行密鑰托管功能的機制是密鑰托管（KeyEscrowAgent，KEA）。KEA與CA是PKI的兩個重要組成部分，分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進行操作，負責政府職能部門對信息的強制訪問，不參與通信過程。CA作為電子商務交易中受信任和具有權威性的第三方，為每個使用公開密鑰的客戶發放數字證書，負責檢驗公鑰體系中公鑰的合法性。因此它參與每次通信過程，但不涉及具體的通信內容。

2．安全密鑰托管的步驟

密鑰托管最關鍵，也是最難解決的問題是：如何有效地阻止用戶的欺詐行為，即逃脫托管機構的跟蹤。為防止用戶逃避脫管，密鑰托管技術的實施需要通過政府的強制措施進行。用戶必須先委托密鑰托管進行密鑰托管，取得托管證書，才能向CA申請加密證書。CA必須在收到加密公鑰對應的私鑰托管證書后，再簽發相應的公鑰證書。

為了防止KEA濫用權限及托管密要的泄漏，用戶的私鑰被分成若干部分，由不同的密鑰托管負責保存。只有將所有的私鑰分量合在一起，才能恢復用戶私鑰的有效性。

（1）用戶選擇若干個KEA，分給每一個一部分私鑰和一部分公鑰。根據所得的密鑰分量產生相應的托管證書。證書中包括該用戶的特定表示符（UniqueIdentify，UID）、被托管的那部分公鑰和私鑰、托管證書的編號。KEA還要用自己的簽名私鑰對托管證書進行加密，產生數字簽名，并將其附在托管證書上。

（2）用戶收到所有的托管證書后，將證書和完整的公鑰遞交給CA，申請加密證書。

（3）CA驗證每個托管證書的真實性，即是否每一個托管都托管了一部分有效的私鑰分量，并對用戶身份加以確認。完成所有的驗證工作后，CA生成加密證書，返回給用戶。3．司法部門利用KE對信息的強制訪問

所有傳送的加密信息都帶有包含會話密鑰的數據恢復域（DataRecoveryField，DRF），它由時間戳、發送者的加密證書、會話密鑰組成，與密文綁定在一起傳送給接收方。接收方必須通過DRF才能獲得會話密鑰。在必要時，司法部門可利用KEA，通過DRF實現對通信內容的強制訪問。

在司法部門取得授權后，首先監聽并截獲可疑信息，利用DRF中發送者的加密證書獲得發送者的托管標示符及其對應的托管證書號，然后把自己的授權證書和托管證書號交給相應的密鑰托管。KEA驗證授權證書的真偽后，返回自己保管的那部分私鑰。這樣在收集了所有的私鑰成分后，司法部門就能恢復出發送者的私鑰，再結合接收者的公鑰及時間戳，就能破解會話密鑰，進而破解整個密文。由于密鑰托管不參與通信過程，所以在通信雙方毫無察覺的情況下，司法部門就能審查通信內容。

4．結束語

自從1993年美國政府頒布密鑰托管加密標準EES，有關密鑰托管的研究一直是密碼學領域一個持續的研究熱點。在電子商務時代，國家為了能夠管理和控制電子商務的健康發展，必須強制實施一定形式的密鑰托管技術，以便及時發現和阻止非法商務活動，并為司法部門提供取證的方便。

參考文獻

[1].盧鐵成.信息加密技術四川科學出版社1989

[2].陳偉東，翟起濱.二類基于離散對數問題的信息恢復多簽名體制.密碼與信息，1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185，U.S.DeptofCommerce，1994

[4].BellareM，GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity，ACM，1997

KeyEscrowTechnologyinElectronicCommerceBasedonPKI

Abstract:WiththewidelyuseofPublickeycryptograghyine-commerce,itbecomesmoreandnecessarytomanagethepublicandprivatekeys.Inthispaper,theconceptsofkeyescrowandkeyescrowagentarediscussed,theprocessofkeyescrowisanalyzed,andthepaperalsodescribeshowthegovernmentcanaccessthecommunicationcontentwiththehelpofkeyescrowagents.

Keywords:keyescrow;certificateauthority;publickey;publickeyinfrastructure(PKI)escrowcertificate