通向因特網(wǎng)安全交易之路 何為PKI 技術(shù)？

文章出處：http://psychicreadingswithdeb.com 作者：PKI 技術(shù)   人氣： 發(fā)表時(shí)間：2011年09月06日

　　當今社會(huì )，電子郵件及電子商務(wù)的蓬勃發(fā)展, 對人們提出了如何安全進(jìn)行信息交換的巨大挑戰，而這又最終導致了構成PKI的部件以及相關(guān)程序將變得日益重要，如數字簽名或不同的加密機制。PKI一詞被解釋成為是一種框架體系，通過(guò)它，因特網(wǎng)上的用戶(hù)可實(shí)現安全信息數據的交換，滿(mǎn)足商務(wù)對保密性，完整性，真實(shí)性及不可否認性的安全需求，其構成主要包括硬件，軟件，人員，指導原則及方法。
　　那么，PKI 是如何實(shí)際進(jìn)行操作的呢？通過(guò)公開(kāi)密鑰進(jìn)行加密的信息保證了只有特定的收件人才能讀取，而此收件人只有通過(guò)使用相應的私有密鑰才能完成對此信息的解密，信息的私密性則可通過(guò)PKI的特定程序來(lái)實(shí)行保護。公鑰加密(或非對稱(chēng))算法的好處在于，通過(guò)使用密鑰對，即一個(gè)私鑰和一個(gè)公鑰，可以解決對稱(chēng)算法無(wú)法解決的不可否認性的問(wèn)題。這兩個(gè)密鑰彼此之間有著(zhù)數學(xué)聯(lián)系。 數字簽名一方面確保了文件只能夠被送到特定的收件人（即真實(shí)性和有效性），另一方面，排除了文件在網(wǎng)上傳送途中被任意篡改的可能（即完整性）。數字簽名是由輸入相應的PIN啟動(dòng)的，并由存儲在智能卡上的私鑰自動(dòng)計算生成。這包括一系列計算過(guò)程，首先計算郵件文字的哈什值，再通過(guò)私鑰對哈什值進(jìn)行加密，之后被加密的哈什值即數字簽名與原文一起發(fā)出，通過(guò)發(fā)送人的公開(kāi)密鑰，特定的收件人就可以對數字簽名進(jìn)行解密了。郵件原文的哈什值在收件人的PC機中同樣也要進(jìn)行運算，然后與解密后的進(jìn)行對比，如果完全匹配，收件人則可以完全信賴(lài)信息的完整性和真實(shí)性。發(fā)件人的公開(kāi)密鑰是通過(guò)認證中心-PKI的核心部分取得的。

PKI的構成要素及功能主要包括下列幾方面：

1. 安全策略
　　安全策略確立和定義了對于安全信息，機構的最高層指導和使用加密算法的過(guò)程和原則。通常，它包括機構關(guān)于如何管理密鑰和有價(jià)值信息的聲明，并且設立與風(fēng)險的級別相匹配的安全級別。
證書(shū)的實(shí)行聲明(CPS)
　　一些PKI系統由商業(yè)證書(shū)認證權威(CCA)或可信的第三方操作，因而需要證書(shū)實(shí)行聲明CPS。CPS是一個(gè)詳細的文檔，包括在實(shí)際應用中如何執行和維持安全方針。它包括下列說(shuō)明：如何建立和執行CA；如何發(fā)行、接受和廢除證書(shū)；如何生成、注冊和鑒定密鑰，以及確立證書(shū)的存放位置和如何讓用戶(hù)使用。

2. 證書(shū)認證中心 (CA)
　　CA系統是一個(gè)值得信賴(lài)的PKI的中心，它在公鑰的整個(gè)生命周期中管理公鑰的證書(shū)。CA執行下述工作：
△ 發(fā)放帶有數字簽名的證書(shū)，并將用戶(hù)或系統的身份和公鑰結合起來(lái)
△ 確定證書(shū)使用期限
△ 必要時(shí)，通過(guò)發(fā)布廢除證書(shū)列表(CRL)來(lái)確保證書(shū)的廢除
　　貫徹PKI時(shí)，機構可以啟動(dòng)自身的CA體系或使用商業(yè)的CA服務(wù)體系，也可以借助于可信的第三方。

3. 證書(shū)注冊中心 (RA)
　　RA提供用戶(hù)和CA之間的聯(lián)系。它認證用戶(hù)身份并且按CA要求遞交證書(shū)申請。

4. 證書(shū)的分發(fā)系統
　　證書(shū)分發(fā)的方式依賴(lài)于PKI環(huán)境的結構，例如：通過(guò)用戶(hù)自身，或通過(guò)姓名地址錄分發(fā)。姓名地址錄或是已經(jīng)存在于機構中或者作為PKI解決方案的一部分而被提供。

5. PKI的應用
　　PKI是一種達到目標的方式，借助于提供的安全框架體系，PKI的應用可安全地配置以實(shí)現最終利益。
△ 網(wǎng)絡(luò )服務(wù)器和瀏覽器間的通信
△ 電子郵件
△電子數據交換( Electronic Data Interchange，EDI)
△通過(guò) Internet 的信用卡交易
△虛擬專(zhuān)用網(wǎng)(Virtual Private Networks，VPNs)

智能卡在PKI體系中的應用及發(fā)展

智能卡的作用與應用領(lǐng)域

　　PKI 技術(shù)和智能卡之間的關(guān)系在于私有密鑰的存儲和第三方認證機構所頒發(fā)的數字證書(shū)的存儲可以在極為安全的智能卡上實(shí)現。雖然現在有很多人都把私有密鑰和數字證書(shū)存儲在計算機的硬盤(pán)當中，但出于安全的考慮，將私有密鑰和數字證書(shū)存儲在智能卡上則會(huì )更好。這樣可以防止黑客通過(guò)植入病毒程序盜取合法用戶(hù)的私有密鑰，偽裝成為合法用戶(hù)的身份在網(wǎng)絡(luò )上進(jìn)行詐騙和非法交易。另外，從易用性的角度來(lái)講，使用智能卡也便于攜帶，這樣人們可以在辦公室、在家里和路上隨時(shí)使用。
　　2000年，中國人民銀行牽頭，由13家商業(yè)銀行共同出資成立了中國最具權威的CA機構---中國金融認證中心（CFCA）。CFCA的建成成為中國PKI技術(shù)發(fā)展的推動(dòng)力，大量的商業(yè)銀行和銀聯(lián)組織，以及其他金融機構將在CFCA的PKI基礎框架下實(shí)施電子商務(wù)和網(wǎng)絡(luò )金融業(yè)務(wù)。目前，幾乎所有的商業(yè)銀行都已經(jīng)或多或少的推出了自己的網(wǎng)上銀行業(yè)務(wù)，雖然很多這樣的應用多處于初級階段（沒(méi)有真正實(shí)現網(wǎng)上交易和轉賬的功能），但很多人相信在線(xiàn)交易的功能會(huì )在今后1到2年內普及，并且會(huì )有大量的用戶(hù)使用。由此可見(jiàn)，智能卡的應用潛力在電子商務(wù)領(lǐng)域還未真正得到發(fā)掘。
　　中國工商銀行是較早啟用基于智能卡的網(wǎng)上銀行的銀行之一，目前發(fā)卡量（卡內含證書(shū)）已經(jīng)突破萬(wàn)張，捷德公司為中國工商銀行提供了基于PKI技術(shù)的STARCOS SPK 2.3 數字證書(shū)卡，這種卡片具有歐洲ITSEC E4的高級安全認證，同時(shí)通過(guò)了CFCA的測試。
　　目前，加密技術(shù)甚至已可以通過(guò)移動(dòng)電話(huà)來(lái)進(jìn)行數字簽名的傳送，因此形成了移動(dòng)商務(wù)開(kāi)展的基礎，后者據STATEGY ANALYTICS最新預測，在五年之內，市場(chǎng)容量將達到2500億歐元。捷德公司與Vodafone, Smarttrust公司合作推出了世界上第一個(gè)移動(dòng)數字簽名項目，這標致著(zhù)通過(guò)手機SIM卡進(jìn)行數字簽名的PKI向移動(dòng)通信領(lǐng)域的步入。與此同時(shí)，捷德公司為夢(mèng)網(wǎng)項目提供的智能卡具有先進(jìn)的PKI技術(shù)，在卡內可以生成1，024Bit的RSA密鑰，32K的EEPROM空間用于存儲CFCA頒發(fā)的用戶(hù)證書(shū)以及存儲用戶(hù)密鑰和應用服務(wù)系統，充分保障了移動(dòng)商務(wù)的安全性和有效性。目前，已經(jīng)有多家移動(dòng)公司、銀行和服務(wù)供應商參與移動(dòng)商務(wù)的建設，包括使用手機進(jìn)行銀行賬戶(hù)的查詢(xún)和轉賬、使用手機進(jìn)行股票交易、利用手機進(jìn)行數字簽名確認身份等，因此智能卡在這一領(lǐng)域也有望得到更廣泛的應用。
　　很多政府職能部門(mén)也開(kāi)始使用PKI技術(shù)在簡(jiǎn)化和優(yōu)化他們的工作。如，利用智能卡進(jìn)行電子報關(guān)等工作的電子口岸項目已在國內有計劃地進(jìn)行實(shí)施，極大地方便了企業(yè)、提高了海關(guān)及其它聯(lián)合部委的管理效率。據分析在未來(lái)的幾年內，越來(lái)越多的PKI技術(shù)會(huì )在中國電子商務(wù)和電子政務(wù)領(lǐng)域得到應用。
　　在網(wǎng)絡(luò )安全方面對于智能卡的需求也在增加，據專(zhuān)家預測智能卡的應用將從今年的500萬(wàn)增長(cháng)到2004年的1.55億。依據對2，500家最大的跨國公司中的50家進(jìn)行調查發(fā)現，98%的公司還在使用密碼進(jìn)行身份認證，在兩年內會(huì )有56%的公司準備使用數字證書(shū)來(lái)實(shí)現身份認證。從電子商務(wù)的角度來(lái)看，參與網(wǎng)上交易的雙方需要他們在網(wǎng)上的交易信息不會(huì )被偷看和篡改，雙方的身份需要認證，而且，交易雙方不能否認各自的交易信息。而PKI恰恰能夠滿(mǎn)足這種功能。到目前為止，至少已經(jīng)有20多個(gè)國家通過(guò)法律認可電子簽名，其中包括歐盟和美國。

PKI面臨的問(wèn)題

　　盡管將PKI技術(shù)作為保證網(wǎng)絡(luò )安全的解決方案的呼聲日益高漲，但是在PKI的實(shí)施過(guò)程中卻比較復雜，使得PKI的發(fā)展比預期的要慢。人們常說(shuō)的PKI的關(guān)鍵部分不是PK（公開(kāi)密鑰和私有密鑰），而?quot;I（體系的基礎設施）。
　　早期PKI使用者發(fā)現一家PKI公司生成的證書(shū)不能被另外一家PKI公司的軟件所識別，也就是說(shuō)存在著(zhù)PKI產(chǎn)品和相關(guān)體系的兼容性問(wèn)題。這樣會(huì )給整個(gè)系統的使用帶來(lái)很多問(wèn)題。
　　比如在一個(gè)公司競標一個(gè)合同的時(shí)，需要提供收到信息時(shí)的時(shí)間標記（不可更改），而在早期的PKI應用中，并沒(méi)有這方嫻目悸?tīng)楷而亦y耙裁揮欣嗨頻墓局渫ü齈KI進(jìn)行認證的司法案例，為競標帶來(lái)很多法律上的問(wèn)題。
　　除了PKI的復雜程度，成本也是影響PKI廣泛應用的一個(gè)因素。例如香港郵政局花費了700萬(wàn)美元建立數字證書(shū)認證中心，美國專(zhuān)利局花費400萬(wàn)美元建立專(zhuān)利檢索的電子身份識別系統。
　　雖然存在著(zhù)成本問(wèn)題，但是專(zhuān)家還是建議將數字證書(shū)存放在智能卡當中，這比存放在計算機中安全的多。如果將證書(shū)存放在計算機中，遇到機器癱瘓、員工更換計算機或者幾個(gè)人共用一臺計算機時(shí)都會(huì )帶來(lái)復雜的安全問(wèn)題。

Windows 2000對PKI和智能卡的支持

　　目前如果使用智能卡進(jìn)行電子商務(wù)，我們在老的計算機操作系統中還需要自己安裝讀卡器的驅動(dòng)和相應的軟件進(jìn)行支持。但如果新型的計算機在自己的配置中預裝了讀卡器并采用Windows 2000操作系統，這樣的問(wèn)題就會(huì )迎刃而解。目前，很多計算機廠(chǎng)商已經(jīng)開(kāi)始在計算機中預裝讀卡器，包括IBM、COMPAQ、HP；國內廠(chǎng)商也在有計劃的加裝讀卡器已用于國內的智能卡需求，如聯(lián)想和方正。
　　微軟公司在Windows 2000中內置了支持PKI技術(shù)和智能卡技術(shù)的接口程序，據預測到2004年會(huì )有三分之一的Windows 2000的用戶(hù)會(huì )使用智能卡來(lái)登錄網(wǎng)絡(luò )。

展望

　　在所有的智能卡應用當中，隨著(zhù)安全意識的提高和用戶(hù)流動(dòng)性的增強，越來(lái)越多的人將會(huì )接受智能卡作為數字證書(shū)和密鑰對的載體，而且這種想法會(huì )變成主流意識。最終，智能卡會(huì )成為PKI體系結構中的標準組成部分。