電子簽名的幕后英雄 —PKI/CA在行業(yè)中的應(yīng)用

    今年9月，我國(guó)正式頒布了《電子簽名法》，在法律上規(guī)范了網(wǎng)上行為，保障了網(wǎng)絡(luò)上的信任關(guān)系和交易安全。它的核心是認(rèn)可了數(shù)字簽名與手寫(xiě)簽名蓋章具有同等的法律效力，這對(duì)網(wǎng)絡(luò)化時(shí)代有著極其深遠(yuǎn)的影響！到目前為止，在國(guó)內(nèi)已經(jīng)建成了80多個(gè)CA認(rèn)證中心，發(fā)放數(shù)字證書(shū)的總量已經(jīng)超過(guò)500萬(wàn)張，在銀行、證券、郵政快遞、政府等行業(yè)得到了廣泛應(yīng)用，《電子簽名法》的出臺(tái)有賴(lài)于信息技術(shù)的支持，PKI/CA就是幕后的英雄。

    電子簽名的幕后英雄

    —PKI/CA在行業(yè)中的應(yīng)用

    ■ 中國(guó)工商銀行數(shù)據(jù)中心 周濤

    隨著互聯(lián)網(wǎng)的高速發(fā)展，人們使用網(wǎng)絡(luò)作為信息交流的手段變得日益普及，網(wǎng)絡(luò)的信息安全問(wèn)題也越來(lái)越引起人們的關(guān)注。為了解決網(wǎng)絡(luò)中的安全問(wèn)題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，并已經(jīng)形成了幾套解決方案，但技術(shù)最成熟、應(yīng)用最廣泛的解決方案當(dāng)屬公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）PKI技術(shù)。

    PKI是建立在公開(kāi)密鑰技術(shù)之上的信息安全體系結(jié)構(gòu)，它主要包括兩方面的內(nèi)容：一是數(shù)字簽名，該技術(shù)可以保證傳輸信息的完整性和不可否認(rèn)性；另一方面是加密，用戶在使用公開(kāi)密鑰對(duì)信息加密后，解密私鑰不在Internet上傳輸，這樣避免了密鑰被竊取。CA（Certificate Authority）是身份認(rèn)證系統(tǒng)，它可以對(duì)網(wǎng)上身份的合法性進(jìn)行效驗(yàn)。于是出現(xiàn)了PKI/CA這一完整的安全概念，它實(shí)現(xiàn)了公認(rèn)的“身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密、信息完整性、不可否認(rèn)性”的安全準(zhǔn)則。所以CA和PKI技術(shù)會(huì)被同時(shí)應(yīng)用，本文中指的CA系統(tǒng)就是基于PKI/CA技術(shù)的認(rèn)證系統(tǒng)。

    近幾年來(lái)，PKI在我國(guó)也有了很大的發(fā)展，在PKI標(biāo)準(zhǔn)化方面，我國(guó)已經(jīng)完成了9個(gè)技術(shù)標(biāo)準(zhǔn)。在CA互聯(lián)互通方面，國(guó)家正在實(shí)施“CA互聯(lián)互通示范工程”，從而規(guī)范和構(gòu)建了國(guó)內(nèi)CA系統(tǒng)的總體布局。雖然，國(guó)內(nèi)CA認(rèn)證中心的發(fā)展過(guò)程中也遇到一些困難，但不能否認(rèn)，PKI/CA技術(shù)已經(jīng)成為保障網(wǎng)絡(luò)安全最有效的技術(shù)方式。

    多領(lǐng)域應(yīng)用

    電子政務(wù)

    電子政務(wù)是政府在信息化的背景下，為提高辦公效率，將政府辦公職能向互聯(lián)網(wǎng)上遷移的綜合解決方案，電子政務(wù)中牽涉到政府內(nèi)部管理系統(tǒng)、決策支持系統(tǒng)和辦公自動(dòng)化系統(tǒng)等眾多涉及國(guó)家機(jī)密信息的內(nèi)容，所以PKI/CA技術(shù)是構(gòu)建電子政務(wù)的核心系統(tǒng)。

    網(wǎng)上證券

    網(wǎng)上證券是指投資者利用互聯(lián)網(wǎng)委托下單，實(shí)現(xiàn)實(shí)時(shí)交易。網(wǎng)上證券交易有網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬等內(nèi)容，共涉及股民、交易所、銀行三方交易。通過(guò)數(shù)字證書(shū)進(jìn)行加密和簽名，在實(shí)現(xiàn)交易資金實(shí)時(shí)劃轉(zhuǎn)的同時(shí)，還能夠有效保障網(wǎng)上交易數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性和不可否認(rèn)性。目前已有很多家證券公司和基金管理公司在其網(wǎng)上證券交易系統(tǒng)中采用了CA數(shù)字證書(shū)進(jìn)行網(wǎng)上交易的身份認(rèn)證和加密數(shù)據(jù)傳輸。

    網(wǎng)上稅務(wù)

    網(wǎng)上稅務(wù)系統(tǒng)是稅務(wù)部門(mén)為納稅企業(yè)提供的基于互聯(lián)網(wǎng)的辦稅系統(tǒng)，目前包括“網(wǎng)上申報(bào)”、“網(wǎng)上繳稅”等內(nèi)容。網(wǎng)上申報(bào)就是遠(yuǎn)程電子申報(bào)，遠(yuǎn)程電子申報(bào)是納稅企業(yè)登錄納稅網(wǎng)站,將經(jīng)過(guò)電子簽名的申報(bào)資料傳送給稅務(wù)部門(mén)，完成納稅的一種申報(bào)形式。網(wǎng)上繳稅還可以聯(lián)網(wǎng)銀行的應(yīng)用系統(tǒng)，實(shí)現(xiàn)網(wǎng)上申報(bào)和繳稅。在稅務(wù)領(lǐng)域，隨著金稅工程的不斷推進(jìn)，PKI/CA技術(shù)可以有更大的應(yīng)用空間。

    此外，數(shù)字證書(shū)在國(guó)內(nèi)多家企業(yè)集團(tuán)的財(cái)務(wù)管理系統(tǒng)中得到了很好的應(yīng)用。通過(guò)數(shù)字證書(shū)，不僅保證了網(wǎng)絡(luò)信息私密性與公正性，而且用戶可以直接在網(wǎng)上完成相關(guān)的支付交易，在確保安全的基礎(chǔ)上帶給用戶最大的方便。

    電子商務(wù)中的雙重?cái)?shù)字簽名

    在電子商務(wù)的B-C模式中，PKI的應(yīng)用很廣泛，利用雙重的數(shù)字簽名機(jī)制可以保護(hù)交易環(huán)節(jié)中各方的商業(yè)利益，消費(fèi)者不想讓商戶知道自己的銀行賬號(hào)信息，也不想讓銀行知道購(gòu)物內(nèi)容，通過(guò)雙重?cái)?shù)字簽名可以保證在電子交易過(guò)程中三方安全的傳輸信息，發(fā)送方需要寄出兩個(gè)相關(guān)信息給接收方，接收方只能解讀其中的一組信息，而另一組信息不能被閱讀，只能轉(zhuǎn)發(fā)給第三方接收者。

    首先買(mǎi)方向商場(chǎng)提交訂單，訂單里有兩種信息，一部分是訂貨信息，包括商品名稱(chēng)和價(jià)格；另一部分是提交銀行的支付信息，包括金額和支付賬號(hào)。買(mǎi)方對(duì)這兩種信息進(jìn)行“雙重?cái)?shù)字簽名”，分別用商場(chǎng)和銀行的證書(shū)公鑰加密上述信息。當(dāng)商場(chǎng)收到這些交易信息后，留下訂貨單信息，而將支付信息轉(zhuǎn)發(fā)給銀行。商場(chǎng)只能用自己專(zhuān)有的私鑰解開(kāi)用自己的公鑰加密的訂貨單信息。同理，銀行只能用自己的私鑰解開(kāi)加密的支付信息，而看不到買(mǎi)方購(gòu)買(mǎi)的商品信息。整個(gè)交易過(guò)程做到了隱私權(quán)的保護(hù)，實(shí)現(xiàn)了交易的安全、可靠、保密和不可否認(rèn)性。

    銀行業(yè)應(yīng)用

    現(xiàn)代銀行的日常運(yùn)作中，最常用的工作方式基本是利用計(jì)算機(jī)聯(lián)網(wǎng)完成的。目前采用PKI技術(shù)的應(yīng)用有：電子銀行、移動(dòng)支付、智能IC卡、電子郵件、柜員管理和VPN等，通過(guò)PKI/CA系統(tǒng)保證了這些應(yīng)用領(lǐng)域信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。

    網(wǎng)上銀行

    網(wǎng)上銀行是指借助于互聯(lián)網(wǎng)技術(shù)向客戶提供金融信息服務(wù)和交易服務(wù)的新型模式。網(wǎng)上銀行的應(yīng)用模式有個(gè)人網(wǎng)銀和企業(yè)網(wǎng)銀兩種。在網(wǎng)上開(kāi)通虛擬銀行的關(guān)鍵問(wèn)題是解決安全問(wèn)題，PKI/CA技術(shù)是網(wǎng)上銀行安全的保證。

    網(wǎng)上銀行的交易方式是點(diǎn)對(duì)點(diǎn)的，即客戶對(duì)銀行。客戶瀏覽器端裝有客戶證書(shū)，銀行服務(wù)器端裝有服務(wù)器證書(shū)。當(dāng)客戶上網(wǎng)訪問(wèn)銀行服務(wù)器時(shí)，銀行端首先要驗(yàn)證客戶端證書(shū)，檢查客戶的真實(shí)身份，確認(rèn)是否為銀行真實(shí)客戶；同時(shí)服務(wù)器還要到CA的目錄服務(wù)器，查詢?cè)摽蛻糇C書(shū)的有效期和是否進(jìn)入廢止列表；認(rèn)證通過(guò)后，客戶端還要驗(yàn)證銀行服務(wù)器端證書(shū)，如上所述，此為雙向認(rèn)證。雙向認(rèn)證通過(guò)以后，建立起安全通道。客戶端提交交易信息，經(jīng)過(guò)客戶的數(shù)字簽名并加密后傳送到網(wǎng)銀服務(wù)器，經(jīng)過(guò)網(wǎng)關(guān)轉(zhuǎn)換后，送到銀行后臺(tái)系統(tǒng)進(jìn)行賬務(wù)處理，并將結(jié)果進(jìn)行數(shù)字簽名返回客戶端。這樣就作到了交易信息的保密和完整，交易雙方的不可否認(rèn)。可以說(shuō)，PKI的服務(wù)與網(wǎng)上銀行的安全要求進(jìn)行了完美的結(jié)合。

    銀行智能卡

    PKI/CA技術(shù)的發(fā)展會(huì)推動(dòng)金融領(lǐng)域信息安全應(yīng)用向縱深發(fā)展，比如在銀行卡的網(wǎng)上支付、銀行卡向IC卡EMV標(biāo)準(zhǔn)遷移等方面。目前國(guó)內(nèi)銀行開(kāi)始研究和推行符合國(guó)際EMV標(biāo)準(zhǔn)的借記卡，從技術(shù)層面分析，EMV卡可以支持復(fù)雜的加密技術(shù)PKI，通過(guò)用智能卡中的密鑰對(duì)文件做數(shù)字簽名，可實(shí)現(xiàn)完全的身份識(shí)別和傳輸加密。這種技術(shù)讓銀行能夠在消費(fèi)終端對(duì)任何交易進(jìn)行安全認(rèn)證，而不需要在線授權(quán)。

    電子辦公和電子郵件

    電子辦公就是指將計(jì)算機(jī)技術(shù)應(yīng)用于銀行辦公領(lǐng)域，電子辦公涉及的應(yīng)用很多，如辦公自動(dòng)化、內(nèi)部電子郵件、內(nèi)部文檔資源共享等等。比如當(dāng)員工發(fā)電子郵件時(shí)，PKI/CA系統(tǒng)自動(dòng)把郵件加密簽名，只有指定的接收人才可以開(kāi)啟郵件。如果郵件被截獲或者接收人被廢止，郵件將無(wú)法打開(kāi)。比如，人事資料和財(cái)務(wù)報(bào)表因涉及銀行機(jī)密，非授權(quán)不可私自閱覽。有了數(shù)字證書(shū)之后，所有相關(guān)資料都可以加密，只有授權(quán)人員才可以憑借數(shù)字證書(shū)進(jìn)行讀寫(xiě)；同時(shí)，每次讀寫(xiě)又都能夠留下電子簽名，具有無(wú)可否認(rèn)性。再比如說(shuō)，銀行和其他的合作單位進(jìn)行業(yè)務(wù)合作時(shí)，可以通過(guò)文件傳輸方式進(jìn)行文件交換，只有參與雙方可以閱讀，第三方就算截獲了交易文件，也會(huì)因?yàn)闆](méi)有證書(shū)和私匙而無(wú)法閱讀和更改。電子辦公中的這些安全需求，只有PKI/CA提供的安全服務(wù)才能得到保證。

    移動(dòng)支付

    從技術(shù)的發(fā)展來(lái)看，新型銀行也不再僅限于有線網(wǎng)絡(luò)互聯(lián)，移動(dòng)支付、手機(jī)銀行開(kāi)始走進(jìn)我們的生活，隨之而來(lái)的是對(duì)無(wú)線通信領(lǐng)域的安全關(guān)注。WPKI稱(chēng)為“無(wú)線公開(kāi)密鑰體系”，它是PKI技術(shù)應(yīng)用于無(wú)線環(huán)境的優(yōu)化擴(kuò)展。它采用了優(yōu)化的加密算法和壓縮的X.509數(shù)字證書(shū)，實(shí)現(xiàn)了信息的無(wú)線傳輸安全，可以實(shí)現(xiàn)無(wú)線電子支付和無(wú)線電子轉(zhuǎn)賬的功能。如果手機(jī)系統(tǒng)采用了WPKI和數(shù)字證書(shū)認(rèn)證技術(shù)，不法分子即使竊取了卡號(hào)和密碼，也無(wú)法在無(wú)線交易中實(shí)現(xiàn)詐騙。比如目前的手機(jī)銀行多數(shù)是STK卡模式，STK卡可以有選擇性地和PKI結(jié)合使用，是通過(guò)在卡內(nèi)實(shí)現(xiàn)的RSA算法來(lái)進(jìn)行簽名驗(yàn)證，從而使利用手機(jī)來(lái)從事移動(dòng)商務(wù)活動(dòng)不再是紙上談兵。從世界范圍看，數(shù)字證書(shū)技術(shù)已經(jīng)被廣泛地應(yīng)用在國(guó)外移動(dòng)支付系統(tǒng)中。

    基于篇幅，在銀行領(lǐng)域采用PKI技術(shù)的應(yīng)用實(shí)例不能逐一盡數(shù)。但我們依然可以認(rèn)識(shí)到，金融企業(yè)采用了PKI/CA后，在很多環(huán)節(jié)可以實(shí)現(xiàn)更高的安全性。

    從你是誰(shuí)到你能做什么

    從技術(shù)角度上說(shuō)，PMI(Privilege Management Infrastructure，授權(quán)管理基礎(chǔ)設(shè)施)與PKI/CA的結(jié)合是發(fā)展的趨勢(shì)。X.509公鑰證書(shū)的原始含義很簡(jiǎn)單，目標(biāo)就是提供不可更改的證據(jù)。但是現(xiàn)在人們發(fā)現(xiàn)，在許多應(yīng)用領(lǐng)域，需要的信息遠(yuǎn)不止是身份信息，證書(shū)持有者的權(quán)限或者屬性信息比身份信息更重要。為了使附加信息能夠保存在證書(shū)中，X.509 v4.0中引入了公鑰證書(shū)擴(kuò)展項(xiàng)，這種證書(shū)擴(kuò)展項(xiàng)可以保存任何類(lèi)型的附加數(shù)據(jù)，以滿足應(yīng)用的需求。

    證書(shū)應(yīng)用的普及也帶動(dòng)了證書(shū)便攜性的需要，目前只有智能卡能提供證書(shū)和其對(duì)應(yīng)私鑰的移動(dòng)性要求。該技術(shù)將公鑰和對(duì)應(yīng)的私鑰存放在智能卡中，但這種方法存在著易丟失、易損壞的缺陷，并且依賴(lài)讀卡器。最新的方法是使用漫游證書(shū)，它通過(guò)第三方軟件實(shí)現(xiàn)。它的原理是將用戶的證書(shū)和私鑰放在一個(gè)安全的服務(wù)器上，當(dāng)用戶登錄到一個(gè)本地系統(tǒng)時(shí)，從服務(wù)器安全地檢索出公鑰和私鑰，并將其放在本地系統(tǒng)的內(nèi)存中，當(dāng)用戶注銷(xiāo)后，該軟件自動(dòng)刪除存放在本地系統(tǒng)中的用戶證書(shū)和私鑰。此外，隨著無(wú)線通信技術(shù)的廣泛應(yīng)用，WPKI技術(shù)的研究與應(yīng)用正處于探索之中，這也是未來(lái)PKI發(fā)展的一個(gè)趨勢(shì)。

    我們有理由相信隨著國(guó)內(nèi)電子簽名法的頒布，PKI/CA會(huì)在各行各業(yè)、各個(gè)領(lǐng)域中得到廣泛應(yīng)用，PKI/CA技術(shù)不僅規(guī)范了網(wǎng)絡(luò)的信任和秩序，還會(huì)更多地滲入到人們的日常生活中來(lái)。

    來(lái)源：CCW