pki与支付宝

公钥基础设施课程总结报告摘要：随着时代的进步网上购物早已融入了百姓的生活之中，淘宝网作为国内最大的网上购物平台，而支付宝占据了国内第三方网上支付市场的半壁江山，支付宝的安全性决定着人们是否在淘宝购物，所以电子商务安全是重中之重，故需要讨论一下支付宝系统的安全分析与PKI。关键字：密钥托管、数字证书、CA认证、支付宝的安全措施网络购物作为一种新兴的商业模式，近年来得到了快速发展。据iResearch艾瑞咨询公布的《2007-2008年中国网络购物发展报告》数据显示，2007年中国网络购物市场规模已达到561亿元，比2006年同比增长了117.4%，其中C2C电子商务增长了125.2%，B2C电子商务增长了92.3%。同时，其预计随着2008年奥运会的召开及百度等新进入者对市场发展的拉动，网络购物市场将继续保持95%的高速率增长，预计至2011年中国网络购物市场规模将达到4060亿元。随着中国网络购物行业的发展，越来越多的非银行类企业开始介入支付领域。这就是所谓的第三方支付。目前中国的第三方支付包括三个类型，一个是在银行基础支付层提供的统一平台和接口的基础上，提供网上支付通道，如北京首信、上海环讯、网银在线和云网支付等。第二类是自身拥有庞大用户的网上购物、拍卖公司如eBay易趣、淘宝、慧聪等，他们都建立了自己的支付平台。第三类即独立的第三方支付公司，这些公司的模式是第三方垫付，即支付公司为买家垫付资金，或如快钱、Yeepay等公司设立虚拟账户的模式。第三方支付大大推动了中国电子商务网上购物的进展，但这些支付平台相当一部分没有得到中国有关金融安全部门的技术认证，技术安全手段上存在一定的不安全因素。支付宝交易服务是阿里巴巴网络有限公司旗下的致力于为中国电子商务提供在线支付解决方案，其用户覆盖了整个C2C，B2C，以及B2B领域。据艾瑞咨询研究数据显示，2007支付宝的交易额规模高达476亿元，占整个电子支付市场47.6%。支付宝交易的成功应用有效地缓解了网络支付安全问题，为网络购物的发展提供了有益的借鉴。一、支付宝的安全措施1．实名认证。实名认证是身份认证的基本环节，其包含了物理身份认证和银行帐户信息认证。在注册使用支付宝过程中，阿里巴巴公司会要求用户在填写真实注册信息后，上传居民身份证、营业执照等相关证书的图像文件，然后将注册信息、身份证件与相应的行政管理部门的数据库信息，如居民身份证信息与公安部的全国公民身份信息进行比对，如身份审核一致则予以通过。在认证过程中，阿里巴巴公司同时要求注册用户提交相应的网上银行的帐号信息，通过向该帐号打入一定余额的货币，要求用户提交该帐户余额变化的数额来验证注册用户提交的帐号是否是有效帐户，如果金额正确则通过验证。通过以上两点可以有效的识别注册用户的真实身份和真实的帐户信息，且在支付宝的个人信息认证中，只允许一个身份证号通过一次审核验证，避免网络用户的重复注册行为，有效的净化了用户数据信息。2．数字证书。数字证书是网民的网络身份证，它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密，数字签名和签名验证，确保网上传递信息的机密性、完整性。支付宝数字证书的使用，可以有效地避免因用户个人帐户信息、密码等丢失或被盗而引起的帐户资金被盗等问题。支付宝目前使用的是双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝帐户，即会员数字证书，另一张用于验证会员先前所使用的计算机，即计算机终端证书，会员必须为每一台计算机重新申请一张证书。这样即使会员数字证书被他人非法窃取，也可保证其中帐户不会受到损失。在申请使用数字证书后，如果在其他电脑登陆支付宝帐户，没有导入备份的数字证书情况下，只能对帐户查询操作帐户，从而增加了帐户使用安全。3.密钥托管。密钥托管技术又称为密钥恢复（KeyRecovery），是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥的情况下恢复明文。因此它不同于一般的加密和解密操作。现在美国和一些国家规定：必须在加密系统中加入能够保证法律执行部门可方便获得明文的密钥恢复机制，否则将不允许该加密系统推广使用。下面介绍一下托管过程：（1）首先用户向CA申请到公钥签名证书(此证书无需委托签名)；（2）用户利用自己的公钥签名证书证明身份后，继续向CA申请公钥加密证书；（3）CA发现没有收到用户的密钥托管证书，向用户发送索要信息并附带CA推荐的m≥n位可信赖的委托人的公钥签名证书；（4）用户选择n位委托人，再次通过CA认证委托人身份的正确性；（5）用户给每一位委托人发一对(X[i]，Y[i])。委托人向CA验证用户的身份之后，继续通过公式Y[i]=modp验证(Y[i]，X[i])的正确性。若正确，则产生相应的托管证书。托管证书包含该用户的特定标示符UID、与被托管的部分私钥X[i]相对应的那部分公钥Y[i]、委托人的标示符和托管证书号。用委托人对此信息签名后，发给用户。（6）用户收到信息后，验证信息的正确性。然后把托管证书以及完整公钥Y交给CA继续申请公钥加密证书；（7）CA收到后继续验证用户身份和数据的完整性，并且验证托管证书的真实性，记载那些托管人参与了用户的托管工作。在进一步验证用户的密钥是否托管正确。即:Y=(Y[1]×Y[2]×⋯×Y[n])modp若成立，证明与公钥X对应的私钥Y确实进行了托管。此时，CA就可回复一用户的申请，用户就得到公钥加密证书。4.支付宝网站采用了先进的128位SSL加密技术，确保您在支付宝页面上输入的任何信息可以安全传送到支付宝，而不用担心有人会通过网络窃取您的敏感信息。5.支付宝账户有两个密码，一个是登录密码,用于登录账户，查看账目等一般性操作；另一个是支付密码,凡是牵涉到资金流转的过程,都需要使用支付密码。缺少任何一个密码,都不能使资金发生流转。二、PKI介绍为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKI体系结构，PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中，不能被非授权者偷看，数据的完整性是指数据在传输过程中不能被非法篡改，数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI是怎样管理证书和密钥的，一个典型、完整、有效的PKI应用系统至少应具有以下部分：1.公钥密码证书管理。2.黑名单的发布和管理。3.密钥的备份和恢复。4.自动更新密钥。5.自动管理历史密钥。6.支持认证。由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案，国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品，如美国的Verisign,IBM,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品，为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI等提供了完整的网络安全解决方案。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。PKI（PublicKeyInfrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。X.509格式的证书和证书废除列表(CRL)；CA/RA操作协议；CA管理协议；CA政策制定三、结论通过对关于支付宝的安全分析与PK的分析，使我了解到了许多课本上的东西在我们平常生活中的应用；在不断收集资料的过程中，让自己对PKI有了充分的了解，远远要比当时上完课的时候了解的更加深入；在整理资料的时候，让我看到了自己搜集资料时选择面的狭窄；在组内讨论时，更是让我收获良多，了解到PKI的运用真的一直在我们身边。四、参考的文献和网址1)支付宝谈网络交易安全（=rec&pos=0&weight=22&lastweight=10&count=5）2)支付宝的安全问题（=rec&pos=2&weight=12&lastweight=10&count=5）3)第三方网络支付安全问题探究（）4)以支付宝为例谈网络购物安全保障机制建设（）5)支付宝模式分析（=rec&pos=3&weight=10&lastweight=10&count=5）6)网络支付安全问题探究（=rec&pos=4&weight=10&lastweight=10&count=5）