通向因特網(wǎng)安全交易之路 何為PKI 技術(shù)?
當(dāng)今社會(huì),電子郵件及電子商務(wù)的蓬勃發(fā)展, 對(duì)人們提出了如何安全進(jìn)行信息交換的巨大挑戰(zhàn),而這又最終導(dǎo)致了構(gòu)成PKI的部件以及相關(guān)程序?qū)⒆兊萌找嬷匾?,如?shù)字簽名或不同的加密機(jī)制。PKI一詞被解釋成為是一種框架體系,通過它,因特網(wǎng)上的用戶可實(shí)現(xiàn)安全信息數(shù)據(jù)的交換,滿足商務(wù)對(duì)保密性,完整性,真實(shí)性及不可否認(rèn)性的安全需求,其構(gòu)成主要包括硬件,軟件,人員,指導(dǎo)原則及方法。
那么,PKI 是如何實(shí)際進(jìn)行操作的呢?通過公開密鑰進(jìn)行加密的信息保證了只有特定的收件人才能讀取,而此收件人只有通過使用相應(yīng)的私有密鑰才能完成對(duì)此信息的解密,信息的私密性則可通過PKI的特定程序來實(shí)行保護(hù)。公鑰加密(或非對(duì)稱)算法的好處在于,通過使用密鑰對(duì),即一個(gè)私鑰和一個(gè)公鑰,可以解決對(duì)稱算法無(wú)法解決的不可否認(rèn)性的問題。這兩個(gè)密鑰彼此之間有著數(shù)學(xué)聯(lián)系。 數(shù)字簽名一方面確保了文件只能夠被送到特定的收件人(即真實(shí)性和有效性),另一方面,排除了文件在網(wǎng)上傳送途中被任意篡改的可能(即完整性)。數(shù)字簽名是由輸入相應(yīng)的PIN啟動(dòng)的,并由存儲(chǔ)在智能卡上的私鑰自動(dòng)計(jì)算生成。這包括一系列計(jì)算過程,首先計(jì)算郵件文字的哈什值,再通過私鑰對(duì)哈什值進(jìn)行加密,之后被加密的哈什值即數(shù)字簽名與原文一起發(fā)出,通過發(fā)送人的公開密鑰,特定的收件人就可以對(duì)數(shù)字簽名進(jìn)行解密了。郵件原文的哈什值在收件人的PC機(jī)中同樣也要進(jìn)行運(yùn)算,然后與解密后的進(jìn)行對(duì)比,如果完全匹配,收件人則可以完全信賴信息的完整性和真實(shí)性。發(fā)件人的公開密鑰是通過認(rèn)證中心-PKI的核心部分取得的。
PKI的構(gòu)成要素及功能主要包括下列幾方面:
1. 安全策略
安全策略確立和定義了對(duì)于安全信息,機(jī)構(gòu)的最高層指導(dǎo)和使用加密算法的過程和原則。通常,它包括機(jī)構(gòu)關(guān)于如何管理密鑰和有價(jià)值信息的聲明,并且設(shè)立與風(fēng)險(xiǎn)的級(jí)別相匹配的安全級(jí)別。
證書的實(shí)行聲明(CPS)
一些PKI系統(tǒng)由商業(yè)證書認(rèn)證權(quán)威(CCA)或可信的第三方操作,因而需要證書實(shí)行聲明CPS。CPS是一個(gè)詳細(xì)的文檔,包括在實(shí)際應(yīng)用中如何執(zhí)行和維持安全方針。它包括下列說明:如何建立和執(zhí)行CA;如何發(fā)行、接受和廢除證書;如何生成、注冊(cè)和鑒定密鑰,以及確立證書的存放位置和如何讓用戶使用。
2. 證書認(rèn)證中心 (CA)
CA系統(tǒng)是一個(gè)值得信賴的PKI的中心,它在公鑰的整個(gè)生命周期中管理公鑰的證書。CA執(zhí)行下述工作:
△ 發(fā)放帶有數(shù)字簽名的證書,并將用戶或系統(tǒng)的身份和公鑰結(jié)合起來
△ 確定證書使用期限
△ 必要時(shí),通過發(fā)布廢除證書列表(CRL)來確保證書的廢除
貫徹PKI時(shí),機(jī)構(gòu)可以啟動(dòng)自身的CA體系或使用商業(yè)的CA服務(wù)體系,也可以借助于可信的第三方。
3. 證書注冊(cè)中心 (RA)
RA提供用戶和CA之間的聯(lián)系。它認(rèn)證用戶身份并且按CA要求遞交證書申請(qǐng)。
4. 證書的分發(fā)系統(tǒng)
證書分發(fā)的方式依賴于PKI環(huán)境的結(jié)構(gòu),例如:通過用戶自身,或通過姓名地址錄分發(fā)。姓名地址錄或是已經(jīng)存在于機(jī)構(gòu)中或者作為PKI解決方案的一部分而被提供。
5. PKI的應(yīng)用
PKI是一種達(dá)到目標(biāo)的方式,借助于提供的安全框架體系,PKI的應(yīng)用可安全地配置以實(shí)現(xiàn)最終利益。
△ 網(wǎng)絡(luò)服務(wù)器和瀏覽器間的通信
△ 電子郵件
△電子數(shù)據(jù)交換( Electronic Data Interchange,EDI)
△通過 Internet 的信用卡交易
△虛擬專用網(wǎng)(Virtual Private Networks,VPNs)
智能卡在PKI體系中的應(yīng)用及發(fā)展
智能卡的作用與應(yīng)用領(lǐng)域
PKI 技術(shù)和智能卡之間的關(guān)系在于私有密鑰的存儲(chǔ)和第三方認(rèn)證機(jī)構(gòu)所頒發(fā)的數(shù)字證書的存儲(chǔ)可以在極為安全的智能卡上實(shí)現(xiàn)。雖然現(xiàn)在有很多人都把私有密鑰和數(shù)字證書存儲(chǔ)在計(jì)算機(jī)的硬盤當(dāng)中,但出于安全的考慮,將私有密鑰和數(shù)字證書存儲(chǔ)在智能卡上則會(huì)更好。這樣可以防止黑客通過植入病毒程序盜取合法用戶的私有密鑰,偽裝成為合法用戶的身份在網(wǎng)絡(luò)上進(jìn)行詐騙和非法交易。另外,從易用性的角度來講,使用智能卡也便于攜帶,這樣人們可以在辦公室、在家里和路上隨時(shí)使用。
2000年,中國(guó)人民銀行牽頭,由13家商業(yè)銀行共同出資成立了中國(guó)最具權(quán)威的CA機(jī)構(gòu)---中國(guó)金融認(rèn)證中心(CFCA)。CFCA的建成成為中國(guó)PKI技術(shù)發(fā)展的推動(dòng)力,大量的商業(yè)銀行和銀聯(lián)組織,以及其他金融機(jī)構(gòu)將在CFCA的PKI基礎(chǔ)框架下實(shí)施電子商務(wù)和網(wǎng)絡(luò)金融業(yè)務(wù)。目前,幾乎所有的商業(yè)銀行都已經(jīng)或多或少的推出了自己的網(wǎng)上銀行業(yè)務(wù),雖然很多這樣的應(yīng)用多處于初級(jí)階段(沒有真正實(shí)現(xiàn)網(wǎng)上交易和轉(zhuǎn)賬的功能),但很多人相信在線交易的功能會(huì)在今后1到2年內(nèi)普及,并且會(huì)有大量的用戶使用。由此可見,智能卡的應(yīng)用潛力在電子商務(wù)領(lǐng)域還未真正得到發(fā)掘。
中國(guó)工商銀行是較早啟用基于智能卡的網(wǎng)上銀行的銀行之一,目前發(fā)卡量(卡內(nèi)含證書)已經(jīng)突破萬(wàn)張,捷德公司為中國(guó)工商銀行提供了基于PKI技術(shù)的STARCOS SPK 2.3 數(shù)字證書卡,這種卡片具有歐洲ITSEC E4的高級(jí)安全認(rèn)證,同時(shí)通過了CFCA的測(cè)試。
目前,加密技術(shù)甚至已可以通過移動(dòng)電話來進(jìn)行數(shù)字簽名的傳送,因此形成了移動(dòng)商務(wù)開展的基礎(chǔ),后者據(jù)STATEGY ANALYTICS最新預(yù)測(cè),在五年之內(nèi),市場(chǎng)容量將達(dá)到2500億歐元。捷德公司與Vodafone, Smarttrust公司合作推出了世界上第一個(gè)移動(dòng)數(shù)字簽名項(xiàng)目,這標(biāo)致著通過手機(jī)SIM卡進(jìn)行數(shù)字簽名的PKI向移動(dòng)通信領(lǐng)域的步入。與此同時(shí),捷德公司為夢(mèng)網(wǎng)項(xiàng)目提供的智能卡具有先進(jìn)的PKI技術(shù),在卡內(nèi)可以生成1,024Bit的RSA密鑰,32K的EEPROM空間用于存儲(chǔ)CFCA頒發(fā)的用戶證書以及存儲(chǔ)用戶密鑰和應(yīng)用服務(wù)系統(tǒng),充分保障了移動(dòng)商務(wù)的安全性和有效性。目前,已經(jīng)有多家移動(dòng)公司、銀行和服務(wù)供應(yīng)商參與移動(dòng)商務(wù)的建設(shè),包括使用手機(jī)進(jìn)行銀行賬戶的查詢和轉(zhuǎn)賬、使用手機(jī)進(jìn)行股票交易、利用手機(jī)進(jìn)行數(shù)字簽名確認(rèn)身份等,因此智能卡在這一領(lǐng)域也有望得到更廣泛的應(yīng)用。
很多政府職能部門也開始使用PKI技術(shù)在簡(jiǎn)化和優(yōu)化他們的工作。如,利用智能卡進(jìn)行電子報(bào)關(guān)等工作的電子口岸項(xiàng)目已在國(guó)內(nèi)有計(jì)劃地進(jìn)行實(shí)施,極大地方便了企業(yè)、提高了海關(guān)及其它聯(lián)合部委的管理效率。據(jù)分析在未來的幾年內(nèi),越來越多的PKI技術(shù)會(huì)在中國(guó)電子商務(wù)和電子政務(wù)領(lǐng)域得到應(yīng)用。
在網(wǎng)絡(luò)安全方面對(duì)于智能卡的需求也在增加,據(jù)專家預(yù)測(cè)智能卡的應(yīng)用將從今年的500萬(wàn)增長(zhǎng)到2004年的1.55億。依據(jù)對(duì)2,500家最大的跨國(guó)公司中的50家進(jìn)行調(diào)查發(fā)現(xiàn),98%的公司還在使用密碼進(jìn)行身份認(rèn)證,在兩年內(nèi)會(huì)有56%的公司準(zhǔn)備使用數(shù)字證書來實(shí)現(xiàn)身份認(rèn)證。從電子商務(wù)的角度來看,參與網(wǎng)上交易的雙方需要他們?cè)诰W(wǎng)上的交易信息不會(huì)被偷看和篡改,雙方的身份需要認(rèn)證,而且,交易雙方不能否認(rèn)各自的交易信息。而PKI恰恰能夠滿足這種功能。到目前為止,至少已經(jīng)有20多個(gè)國(guó)家通過法律認(rèn)可電子簽名,其中包括歐盟和美國(guó)。
PKI面臨的問題
盡管將PKI技術(shù)作為保證網(wǎng)絡(luò)安全的解決方案的呼聲日益高漲,但是在PKI的實(shí)施過程中卻比較復(fù)雜,使得PKI的發(fā)展比預(yù)期的要慢。人們常說的PKI的關(guān)鍵部分不是PK(公開密鑰和私有密鑰),而?quot;I(體系的基礎(chǔ)設(shè)施)。
早期PKI使用者發(fā)現(xiàn)一家PKI公司生成的證書不能被另外一家PKI公司的軟件所識(shí)別,也就是說存在著PKI產(chǎn)品和相關(guān)體系的兼容性問題。這樣會(huì)給整個(gè)系統(tǒng)的使用帶來很多問題。
比如在一個(gè)公司競(jìng)標(biāo)一個(gè)合同的時(shí),需要提供收到信息時(shí)的時(shí)間標(biāo)記(不可更改),而在早期的PKI應(yīng)用中,并沒有這方嫻目悸牽鄖耙裁揮欣嗨頻墓局渫ü齈KI進(jìn)行認(rèn)證的司法案例,為競(jìng)標(biāo)帶來很多法律上的問題。
除了PKI的復(fù)雜程度,成本也是影響PKI廣泛應(yīng)用的一個(gè)因素。例如香港郵政局花費(fèi)了700萬(wàn)美元建立數(shù)字證書認(rèn)證中心,美國(guó)專利局花費(fèi)400萬(wàn)美元建立專利檢索的電子身份識(shí)別系統(tǒng)。
雖然存在著成本問題,但是專家還是建議將數(shù)字證書存放在智能卡當(dāng)中,這比存放在計(jì)算機(jī)中安全的多。如果將證書存放在計(jì)算機(jī)中,遇到機(jī)器癱瘓、員工更換計(jì)算機(jī)或者幾個(gè)人共用一臺(tái)計(jì)算機(jī)時(shí)都會(huì)帶來復(fù)雜的安全問題。
Windows 2000對(duì)PKI和智能卡的支持
目前如果使用智能卡進(jìn)行電子商務(wù),我們?cè)诶系挠?jì)算機(jī)操作系統(tǒng)中還需要自己安裝讀卡器的驅(qū)動(dòng)和相應(yīng)的軟件進(jìn)行支持。但如果新型的計(jì)算機(jī)在自己的配置中預(yù)裝了讀卡器并采用Windows 2000操作系統(tǒng),這樣的問題就會(huì)迎刃而解。目前,很多計(jì)算機(jī)廠商已經(jīng)開始在計(jì)算機(jī)中預(yù)裝讀卡器,包括IBM、COMPAQ、HP;國(guó)內(nèi)廠商也在有計(jì)劃的加裝讀卡器已用于國(guó)內(nèi)的智能卡需求,如聯(lián)想和方正。
微軟公司在Windows 2000中內(nèi)置了支持PKI技術(shù)和智能卡技術(shù)的接口程序,據(jù)預(yù)測(cè)到2004年會(huì)有三分之一的Windows 2000的用戶會(huì)使用智能卡來登錄網(wǎng)絡(luò)。
展望
在所有的智能卡應(yīng)用當(dāng)中,隨著安全意識(shí)的提高和用戶流動(dòng)性的增強(qiáng),越來越多的人將會(huì)接受智能卡作為數(shù)字證書和密鑰對(duì)的載體,而且這種想法會(huì)變成主流意識(shí)。最終,智能卡會(huì)成為PKI體系結(jié)構(gòu)中的標(biāo)準(zhǔn)組成部分。