電子簽名的幕后英雄 —PKI/CA在行業(yè)中的應用

    今年9月，我國正式頒布了《電子簽名法》，在法律上規(guī)范了網(wǎng)上行為，保障了網(wǎng)絡上的信任關系和交易安全。它的核心是認可了數(shù)字簽名與手寫簽名蓋章具有同等的法律效力，這對網(wǎng)絡化時代有著極其深遠的影響！到目前為止，在國內(nèi)已經(jīng)建成了80多個CA認證中心，發(fā)放數(shù)字證書的總量已經(jīng)超過500萬張，在銀行、證券、郵政快遞、政府等行業(yè)得到了廣泛應用，《電子簽名法》的出臺有賴于信息技術的支持，PKI/CA就是幕后的英雄。

    電子簽名的幕后英雄

    —PKI/CA在行業(yè)中的應用

    ■ 中國工商銀行數(shù)據(jù)中心 周濤

    隨著互聯(lián)網(wǎng)的高速發(fā)展，人們使用網(wǎng)絡作為信息交流的手段變得日益普及，網(wǎng)絡的信息安全問題也越來越引起人們的關注。為了解決網(wǎng)絡中的安全問題，世界各國對其進行了多年的研究，并已經(jīng)形成了幾套解決方案，但技術最成熟、應用最廣泛的解決方案當屬公鑰基礎設施（Public Key Infrastructure）PKI技術。

    PKI是建立在公開密鑰技術之上的信息安全體系結(jié)構(gòu)，它主要包括兩方面的內(nèi)容：一是數(shù)字簽名，該技術可以保證傳輸信息的完整性和不可否認性；另一方面是加密，用戶在使用公開密鑰對信息加密后，解密私鑰不在Internet上傳輸，這樣避免了密鑰被竊取。CA（Certificate Authority）是身份認證系統(tǒng)，它可以對網(wǎng)上身份的合法性進行效驗。于是出現(xiàn)了PKI/CA這一完整的安全概念，它實現(xiàn)了公認的“身份認證、訪問控制、數(shù)據(jù)保密、信息完整性、不可否認性”的安全準則。所以CA和PKI技術會被同時應用，本文中指的CA系統(tǒng)就是基于PKI/CA技術的認證系統(tǒng)。

    近幾年來，PKI在我國也有了很大的發(fā)展，在PKI標準化方面，我國已經(jīng)完成了9個技術標準。在CA互聯(lián)互通方面，國家正在實施“CA互聯(lián)互通示范工程”，從而規(guī)范和構(gòu)建了國內(nèi)CA系統(tǒng)的總體布局。雖然，國內(nèi)CA認證中心的發(fā)展過程中也遇到一些困難，但不能否認，PKI/CA技術已經(jīng)成為保障網(wǎng)絡安全最有效的技術方式。

    多領域應用

    電子政務

    電子政務是政府在信息化的背景下，為提高辦公效率，將政府辦公職能向互聯(lián)網(wǎng)上遷移的綜合解決方案，電子政務中牽涉到政府內(nèi)部管理系統(tǒng)、決策支持系統(tǒng)和辦公自動化系統(tǒng)等眾多涉及國家機密信息的內(nèi)容，所以PKI/CA技術是構(gòu)建電子政務的核心系統(tǒng)。

    網(wǎng)上證券

    網(wǎng)上證券是指投資者利用互聯(lián)網(wǎng)委托下單，實現(xiàn)實時交易。網(wǎng)上證券交易有網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬等內(nèi)容，共涉及股民、交易所、銀行三方交易。通過數(shù)字證書進行加密和簽名，在實現(xiàn)交易資金實時劃轉(zhuǎn)的同時，還能夠有效保障網(wǎng)上交易數(shù)據(jù)傳輸?shù)臋C密性、完整性和不可否認性。目前已有很多家證券公司和基金管理公司在其網(wǎng)上證券交易系統(tǒng)中采用了CA數(shù)字證書進行網(wǎng)上交易的身份認證和加密數(shù)據(jù)傳輸。

    網(wǎng)上稅務

    網(wǎng)上稅務系統(tǒng)是稅務部門為納稅企業(yè)提供的基于互聯(lián)網(wǎng)的辦稅系統(tǒng)，目前包括“網(wǎng)上申報”、“網(wǎng)上繳稅”等內(nèi)容。網(wǎng)上申報就是遠程電子申報，遠程電子申報是納稅企業(yè)登錄納稅網(wǎng)站,將經(jīng)過電子簽名的申報資料傳送給稅務部門，完成納稅的一種申報形式。網(wǎng)上繳稅還可以聯(lián)網(wǎng)銀行的應用系統(tǒng)，實現(xiàn)網(wǎng)上申報和繳稅。在稅務領域，隨著金稅工程的不斷推進，PKI/CA技術可以有更大的應用空間。

    此外，數(shù)字證書在國內(nèi)多家企業(yè)集團的財務管理系統(tǒng)中得到了很好的應用。通過數(shù)字證書，不僅保證了網(wǎng)絡信息私密性與公正性，而且用戶可以直接在網(wǎng)上完成相關的支付交易，在確保安全的基礎上帶給用戶最大的方便。

    電子商務中的雙重數(shù)字簽名

    在電子商務的B-C模式中，PKI的應用很廣泛，利用雙重的數(shù)字簽名機制可以保護交易環(huán)節(jié)中各方的商業(yè)利益，消費者不想讓商戶知道自己的銀行賬號信息，也不想讓銀行知道購物內(nèi)容，通過雙重數(shù)字簽名可以保證在電子交易過程中三方安全的傳輸信息，發(fā)送方需要寄出兩個相關信息給接收方，接收方只能解讀其中的一組信息，而另一組信息不能被閱讀，只能轉(zhuǎn)發(fā)給第三方接收者。

    首先買方向商場提交訂單，訂單里有兩種信息，一部分是訂貨信息，包括商品名稱和價格；另一部分是提交銀行的支付信息，包括金額和支付賬號。買方對這兩種信息進行“雙重數(shù)字簽名”，分別用商場和銀行的證書公鑰加密上述信息。當商場收到這些交易信息后，留下訂貨單信息，而將支付信息轉(zhuǎn)發(fā)給銀行。商場只能用自己專有的私鑰解開用自己的公鑰加密的訂貨單信息。同理，銀行只能用自己的私鑰解開加密的支付信息，而看不到買方購買的商品信息。整個交易過程做到了隱私權的保護，實現(xiàn)了交易的安全、可靠、保密和不可否認性。

    銀行業(yè)應用

    現(xiàn)代銀行的日常運作中，最常用的工作方式基本是利用計算機聯(lián)網(wǎng)完成的。目前采用PKI技術的應用有：電子銀行、移動支付、智能IC卡、電子郵件、柜員管理和VPN等，通過PKI/CA系統(tǒng)保證了這些應用領域信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。

    網(wǎng)上銀行

    網(wǎng)上銀行是指借助于互聯(lián)網(wǎng)技術向客戶提供金融信息服務和交易服務的新型模式。網(wǎng)上銀行的應用模式有個人網(wǎng)銀和企業(yè)網(wǎng)銀兩種。在網(wǎng)上開通虛擬銀行的關鍵問題是解決安全問題，PKI/CA技術是網(wǎng)上銀行安全的保證。

    網(wǎng)上銀行的交易方式是點對點的，即客戶對銀行?？蛻魹g覽器端裝有客戶證書，銀行服務器端裝有服務器證書。當客戶上網(wǎng)訪問銀行服務器時，銀行端首先要驗證客戶端證書，檢查客戶的真實身份，確認是否為銀行真實客戶；同時服務器還要到CA的目錄服務器，查詢該客戶證書的有效期和是否進入廢止列表；認證通過后，客戶端還要驗證銀行服務器端證書，如上所述，此為雙向認證。雙向認證通過以后，建立起安全通道。客戶端提交交易信息，經(jīng)過客戶的數(shù)字簽名并加密后傳送到網(wǎng)銀服務器，經(jīng)過網(wǎng)關轉(zhuǎn)換后，送到銀行后臺系統(tǒng)進行賬務處理，并將結(jié)果進行數(shù)字簽名返回客戶端。這樣就作到了交易信息的保密和完整，交易雙方的不可否認?？梢哉f，PKI的服務與網(wǎng)上銀行的安全要求進行了完美的結(jié)合。

    銀行智能卡

    PKI/CA技術的發(fā)展會推動金融領域信息安全應用向縱深發(fā)展，比如在銀行卡的網(wǎng)上支付、銀行卡向IC卡EMV標準遷移等方面。目前國內(nèi)銀行開始研究和推行符合國際EMV標準的借記卡，從技術層面分析，EMV卡可以支持復雜的加密技術PKI，通過用智能卡中的密鑰對文件做數(shù)字簽名，可實現(xiàn)完全的身份識別和傳輸加密。這種技術讓銀行能夠在消費終端對任何交易進行安全認證，而不需要在線授權。

    電子辦公和電子郵件

    電子辦公就是指將計算機技術應用于銀行辦公領域，電子辦公涉及的應用很多，如辦公自動化、內(nèi)部電子郵件、內(nèi)部文檔資源共享等等。比如當員工發(fā)電子郵件時，PKI/CA系統(tǒng)自動把郵件加密簽名，只有指定的接收人才可以開啟郵件。如果郵件被截獲或者接收人被廢止，郵件將無法打開。比如，人事資料和財務報表因涉及銀行機密，非授權不可私自閱覽。有了數(shù)字證書之后，所有相關資料都可以加密，只有授權人員才可以憑借數(shù)字證書進行讀寫；同時，每次讀寫又都能夠留下電子簽名，具有無可否認性。再比如說，銀行和其他的合作單位進行業(yè)務合作時，可以通過文件傳輸方式進行文件交換，只有參與雙方可以閱讀，第三方就算截獲了交易文件，也會因為沒有證書和私匙而無法閱讀和更改。電子辦公中的這些安全需求，只有PKI/CA提供的安全服務才能得到保證。

    移動支付

    從技術的發(fā)展來看，新型銀行也不再僅限于有線網(wǎng)絡互聯(lián)，移動支付、手機銀行開始走進我們的生活，隨之而來的是對無線通信領域的安全關注。WPKI稱為“無線公開密鑰體系”，它是PKI技術應用于無線環(huán)境的優(yōu)化擴展。它采用了優(yōu)化的加密算法和壓縮的X.509數(shù)字證書，實現(xiàn)了信息的無線傳輸安全，可以實現(xiàn)無線電子支付和無線電子轉(zhuǎn)賬的功能。如果手機系統(tǒng)采用了WPKI和數(shù)字證書認證技術，不法分子即使竊取了卡號和密碼，也無法在無線交易中實現(xiàn)詐騙。比如目前的手機銀行多數(shù)是STK卡模式，STK卡可以有選擇性地和PKI結(jié)合使用，是通過在卡內(nèi)實現(xiàn)的RSA算法來進行簽名驗證，從而使利用手機來從事移動商務活動不再是紙上談兵。從世界范圍看，數(shù)字證書技術已經(jīng)被廣泛地應用在國外移動支付系統(tǒng)中。

    基于篇幅，在銀行領域采用PKI技術的應用實例不能逐一盡數(shù)。但我們依然可以認識到，金融企業(yè)采用了PKI/CA后，在很多環(huán)節(jié)可以實現(xiàn)更高的安全性。

    從你是誰到你能做什么

    從技術角度上說，PMI(Privilege Management Infrastructure，授權管理基礎設施)與PKI/CA的結(jié)合是發(fā)展的趨勢。X.509公鑰證書的原始含義很簡單，目標就是提供不可更改的證據(jù)。但是現(xiàn)在人們發(fā)現(xiàn)，在許多應用領域，需要的信息遠不止是身份信息，證書持有者的權限或者屬性信息比身份信息更重要。為了使附加信息能夠保存在證書中，X.509 v4.0中引入了公鑰證書擴展項，這種證書擴展項可以保存任何類型的附加數(shù)據(jù)，以滿足應用的需求。

    證書應用的普及也帶動了證書便攜性的需要，目前只有智能卡能提供證書和其對應私鑰的移動性要求。該技術將公鑰和對應的私鑰存放在智能卡中，但這種方法存在著易丟失、易損壞的缺陷，并且依賴讀卡器。最新的方法是使用漫游證書，它通過第三方軟件實現(xiàn)。它的原理是將用戶的證書和私鑰放在一個安全的服務器上，當用戶登錄到一個本地系統(tǒng)時，從服務器安全地檢索出公鑰和私鑰，并將其放在本地系統(tǒng)的內(nèi)存中，當用戶注銷后，該軟件自動刪除存放在本地系統(tǒng)中的用戶證書和私鑰。此外，隨著無線通信技術的廣泛應用，WPKI技術的研究與應用正處于探索之中，這也是未來PKI發(fā)展的一個趨勢。

    我們有理由相信隨著國內(nèi)電子簽名法的頒布，PKI/CA會在各行各業(yè)、各個領域中得到廣泛應用，PKI/CA技術不僅規(guī)范了網(wǎng)絡的信任和秩序，還會更多地滲入到人們的日常生活中來。

    來源：CCW