通向因特网安全交易之路 何为PKI 技术?
当今社会,电子邮件及电子商务的蓬勃发展, 对人们提出了如何安全进行信息交换的巨大挑战,而这又最终导致了构成PKI的部件以及相关程序将变得日益重要,如数字签名或不同的加密机制。PKI一词被解释成为是一种框架体系,通过它,因特网上的用户可实现安全信息数据的交换,满足商务对保密性,完整性,真实性及不可否认性的安全需求,其构成主要包括硬件,软件,人员,指导原则及方法。
那么,PKI 是如何实际进行操作的呢?通过公开密钥进行加密的信息保证了只有特定的收件人才能读取,而此收件人只有通过使用相应的私有密钥才能完成对此信息的解密,信息的私密性则可通过PKI的特定程序来实行保护。公钥加密(或非对称)算法的好处在于,通过使用密钥对,即一个私钥和一个公钥,可以解决对称算法无法解决的不可否认性的问题。这两个密钥彼此之间有着数学联系。 数字签名一方面确保了文件只能够被送到特定的收件人(即真实性和有效性),另一方面,排除了文件在网上传送途中被任意篡改的可能(即完整性)。数字签名是由输入相应的PIN启动的,并由存储在智能卡上的私钥自动计算生成。这包括一系列计算过程,首先计算邮件文字的哈什值,再通过私钥对哈什值进行加密,之后被加密的哈什值即数字签名与原文一起发出,通过发送人的公开密钥,特定的收件人就可以对数字签名进行解密了。邮件原文的哈什值在收件人的PC机中同样也要进行运算,然后与解密后的进行对比,如果完全匹配,收件人则可以完全信赖信息的完整性和真实性。发件人的公开密钥是通过认证中心-PKI的核心部分取得的。
PKI的构成要素及功能主要包括下列几方面:
1. 安全策略
安全策略确立和定义了对于安全信息,机构的最高层指导和使用加密算法的过程和原则。通常,它包括机构关于如何管理密钥和有价值信息的声明,并且设立与风险的级别相匹配的安全级别。
证书的实行声明(CPS)
一些PKI系统由商业证书认证权威(CCA)或可信的第三方操作,因而需要证书实行声明CPS。CPS是一个详细的文档,包括在实际应用中如何执行和维持安全方针。它包括下列说明:如何建立和执行CA;如何发行、接受和废除证书;如何生成、注册和鉴定密钥,以及确立证书的存放位置和如何让用户使用。
2. 证书认证中心 (CA)
CA系统是一个值得信赖的PKI的中心,它在公钥的整个生命周期中管理公钥的证书。CA执行下述工作:
△ 发放带有数字签名的证书,并将用户或系统的身份和公钥结合起来
△ 确定证书使用期限
△ 必要时,通过发布废除证书列表(CRL)来确保证书的废除
贯彻PKI时,机构可以启动自身的CA体系或使用商业的CA服务体系,也可以借助于可信的第三方。
3. 证书注册中心 (RA)
RA提供用户和CA之间的联系。它认证用户身份并且按CA要求递交证书申请。
4. 证书的分发系统
证书分发的方式依赖于PKI环境的结构,例如:通过用户自身,或通过姓名地址录分发。姓名地址录或是已经存在于机构中或者作为PKI解决方案的一部分而被提供。
5. PKI的应用
PKI是一种达到目标的方式,借助于提供的安全框架体系,PKI的应用可安全地配置以实现最终利益。
△ 网络服务器和浏览器间的通信
△ 电子邮件
△电子数据交换( Electronic Data Interchange,EDI)
△通过 Internet 的信用卡交易
△虚拟专用网(Virtual Private Networks,VPNs)
智能卡在PKI体系中的应用及发展
智能卡的作用与应用领域
PKI 技术和智能卡之间的关系在于私有密钥的存储和第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。虽然现在有很多人都把私有密钥和数字证书存储在计算机的硬盘当中,但出于安全的考虑,将私有密钥和数字证书存储在智能卡上则会更好。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥,伪装成为合法用户的身份在网络上进行诈骗和非法交易。另外,从易用性的角度来讲,使用智能卡也便于携带,这样人们可以在办公室、在家里和路上随时使用。
2000年,中国人民银行牵头,由13家商业银行共同出资成立了中国最具权威的CA机构---中国金融认证中心(CFCA)。CFCA的建成成为中国PKI技术发展的推动力,大量的商业银行和银联组织,以及其他金融机构将在CFCA的PKI基础框架下实施电子商务和网络金融业务。目前,几乎所有的商业银行都已经或多或少的推出了自己的网上银行业务,虽然很多这样的应用多处于初级阶段(没有真正实现网上交易和转账的功能),但很多人相信在线交易的功能会在今后1到2年内普及,并且会有大量的用户使用。由此可见,智能卡的应用潜力在电子商务领域还未真正得到发掘。
中国工商银行是较早启用基于智能卡的网上银行的银行之一,目前发卡量(卡内含证书)已经突破万张,捷德公司为中国工商银行提供了基于PKI技术的STARCOS SPK 2.3 数字证书卡,这种卡片具有欧洲ITSEC E4的高级安全认证,同时通过了CFCA的测试。
目前,加密技术甚至已可以通过移动电话来进行数字签名的传送,因此形成了移动商务开展的基础,后者据STATEGY ANALYTICS最新预测,在五年之内,市场容量将达到2500亿欧元。捷德公司与Vodafone, Smarttrust公司合作推出了世界上第一个移动数字签名项目,这标致着通过手机SIM卡进行数字签名的PKI向移动通信领域的步入。与此同时,捷德公司为梦网项目提供的智能卡具有先进的PKI技术,在卡内可以生成1,024Bit的RSA密钥,32K的EEPROM空间用于存储CFCA颁发的用户证书以及存储用户密钥和应用服务系统,充分保障了移动商务的安全性和有效性。目前,已经有多家移动公司、银行和服务供应商参与移动商务的建设,包括使用手机进行银行账户的查询和转账、使用手机进行股票交易、利用手机进行数字签名确认身份等,因此智能卡在这一领域也有望得到更广泛的应用。
很多政府职能部门也开始使用PKI技术在简化和优化他们的工作。如,利用智能卡进行电子报关等工作的电子口岸项目已在国内有计划地进行实施,极大地方便了企业、提高了海关及其它联合部委的管理效率。据分析在未来的几年内,越来越多的PKI技术会在中国电子商务和电子政务领域得到应用。
在网络安全方面对于智能卡的需求也在增加,据专家预测智能卡的应用将从今年的500万增长到2004年的1.55亿。依据对2,500家最大的跨国公司中的50家进行调查发现,98%的公司还在使用密码进行身份认证,在两年内会有56%的公司准备使用数字证书来实现身份认证。从电子商务的角度来看,参与网上交易的双方需要他们在网上的交易信息不会被偷看和篡改,双方的身份需要认证,而且,交易双方不能否认各自的交易信息。而PKI恰恰能够满足这种功能。到目前为止,至少已经有20多个国家通过法律认可电子签名,其中包括欧盟和美国。
PKI面临的问题
尽管将PKI技术作为保证网络安全的解决方案的呼声日益高涨,但是在PKI的实施过程中却比较复杂,使得PKI的发展比预期的要慢。人们常说的PKI的关键部分不是PK(公开密钥和私有密钥),而?quot;I(体系的基础设施)。
早期PKI使用者发现一家PKI公司生成的证书不能被另外一家PKI公司的软件所识别,也就是说存在着PKI产品和相关体系的兼容性问题。这样会给整个系统的使用带来很多问题。
比如在一个公司竞标一个合同的时,需要提供收到信息时的时间标记(不可更改),而在早期的PKI应用中,并没有这方娴目悸牵郧耙裁挥欣嗨频墓局渫ü齈KI进行认证的司法案例,为竞标带来很多法律上的问题。
除了PKI的复杂程度,成本也是影响PKI广泛应用的一个因素。例如香港邮政局花费了700万美元建立数字证书认证中心,美国专利局花费400万美元建立专利检索的电子身份识别系统。
虽然存在着成本问题,但是专家还是建议将数字证书存放在智能卡当中,这比存放在计算机中安全的多。如果将证书存放在计算机中,遇到机器瘫痪、员工更换计算机或者几个人共用一台计算机时都会带来复杂的安全问题。
Windows 2000对PKI和智能卡的支持
目前如果使用智能卡进行电子商务,我们在老的计算机操作系统中还需要自己安装读卡器的驱动和相应的软件进行支持。但如果新型的计算机在自己的配置中预装了读卡器并采用Windows 2000操作系统,这样的问题就会迎刃而解。目前,很多计算机厂商已经开始在计算机中预装读卡器,包括IBM、COMPAQ、HP;国内厂商也在有计划的加装读卡器已用于国内的智能卡需求,如联想和方正。
微软公司在Windows 2000中内置了支持PKI技术和智能卡技术的接口程序,据预测到2004年会有三分之一的Windows 2000的用户会使用智能卡来登录网络。
展望
在所有的智能卡应用当中,随着安全意识的提高和用户流动性的增强,越来越多的人将会接受智能卡作为数字证书和密钥对的载体,而且这种想法会变成主流意识。最终,智能卡会成为PKI体系结构中的标准组成部分。