电子签名的幕后英雄 —PKI/CA在行业中的应用

    今年9月，我国正式颁布了《电子签名法》，在法律上规范了网上行为，保障了网络上的信任关系和交易安全。它的核心是认可了数字签名与手写签名盖章具有同等的法律效力，这对网络化时代有着极其深远的影响！到目前为止，在国内已经建成了80多个CA认证中心，发放数字证书的总量已经超过500万张，在银行、证券、邮政快递、政府等行业得到了广泛应用，《电子签名法》的出台有赖于信息技术的支持，PKI/CA就是幕后的英雄。

    电子签名的幕后英雄

    —PKI/CA在行业中的应用

    ■ 中国工商银行数据中心 周涛

    随着互联网的高速发展，人们使用网络作为信息交流的手段变得日益普及，网络的信息安全问题也越来越引起人们的关注。为了解决网络中的安全问题，世界各国对其进行了多年的研究，并已经形成了几套解决方案，但技术最成熟、应用最广泛的解决方案当属公钥基础设施（Public Key Infrastructure）PKI技术。

    PKI是建立在公开密钥技术之上的信息安全体系结构，它主要包括两方面的内容：一是数字签名，该技术可以保证传输信息的完整性和不可否认性；另一方面是加密，用户在使用公开密钥对信息加密后，解密私钥不在Internet上传输，这样避免了密钥被窃取。CA（Certificate Authority）是身份认证系统，它可以对网上身份的合法性进行效验。于是出现了PKI/CA这一完整的安全概念，它实现了公认的“身份认证、访问控制、数据保密、信息完整性、不可否认性”的安全准则。所以CA和PKI技术会被同时应用，本文中指的CA系统就是基于PKI/CA技术的认证系统。

    近几年来，PKI在我国也有了很大的发展，在PKI标准化方面，我国已经完成了9个技术标准。在CA互联互通方面，国家正在实施“CA互联互通示范工程”，从而规范和构建了国内CA系统的总体布局。虽然，国内CA认证中心的发展过程中也遇到一些困难，但不能否认，PKI/CA技术已经成为保障网络安全最有效的技术方式。

    多领域应用

    电子政务

    电子政务是政府在信息化的背景下，为提高办公效率，将政府办公职能向互联网上迁移的综合解决方案，电子政务中牵涉到政府内部管理系统、决策支持系统和办公自动化系统等众多涉及国家机密信息的内容，所以PKI/CA技术是构建电子政务的核心系统。

    网上证券

    网上证券是指投资者利用互联网委托下单，实现实时交易。网上证券交易有网上炒股和网上银证转账等内容，共涉及股民、交易所、银行三方交易。通过数字证书进行加密和签名，在实现交易资金实时划转的同时，还能够有效保障网上交易数据传输的机密性、完整性和不可否认性。目前已有很多家证券公司和基金管理公司在其网上证券交易系统中采用了CA数字证书进行网上交易的身份认证和加密数据传输。

    网上税务

    网上税务系统是税务部门为纳税企业提供的基于互联网的办税系统，目前包括“网上申报”、“网上缴税”等内容。网上申报就是远程电子申报，远程电子申报是纳税企业登录纳税网站,将经过电子签名的申报资料传送给税务部门，完成纳税的一种申报形式。网上缴税还可以联网银行的应用系统，实现网上申报和缴税。在税务领域，随着金税工程的不断推进，PKI/CA技术可以有更大的应用空间。

    此外，数字证书在国内多家企业集团的财务管理系统中得到了很好的应用。通过数字证书，不仅保证了网络信息私密性与公正性，而且用户可以直接在网上完成相关的支付交易，在确保安全的基础上带给用户最大的方便。

    电子商务中的双重数字签名

    在电子商务的B-C模式中，PKI的应用很广泛，利用双重的数字签名机制可以保护交易环节中各方的商业利益，消费者不想让商户知道自己的银行账号信息，也不想让银行知道购物内容，通过双重数字签名可以保证在电子交易过程中三方安全的传输信息，发送方需要寄出两个相关信息给接收方，接收方只能解读其中的一组信息，而另一组信息不能被阅读，只能转发给第三方接收者。

    首先买方向商场提交订单，订单里有两种信息，一部分是订货信息，包括商品名称和价格；另一部分是提交银行的支付信息，包括金额和支付账号。买方对这两种信息进行“双重数字签名”，分别用商场和银行的证书公钥加密上述信息。当商场收到这些交易信息后，留下订货单信息，而将支付信息转发给银行。商场只能用自己专有的私钥解开用自己的公钥加密的订货单信息。同理，银行只能用自己的私钥解开加密的支付信息，而看不到买方购买的商品信息。整个交易过程做到了隐私权的保护，实现了交易的安全、可靠、保密和不可否认性。

    银行业应用

    现代银行的日常运作中，最常用的工作方式基本是利用计算机联网完成的。目前采用PKI技术的应用有：电子银行、移动支付、智能IC卡、电子邮件、柜员管理和VPN等，通过PKI/CA系统保证了这些应用领域信息传输的机密性、真实性、完整性和不可否认性。

    网上银行

    网上银行是指借助于互联网技术向客户提供金融信息服务和交易服务的新型模式。网上银行的应用模式有个人网银和企业网银两种。在网上开通虚拟银行的关键问题是解决安全问题，PKI/CA技术是网上银行安全的保证。

    网上银行的交易方式是点对点的，即客户对银行。客户浏览器端装有客户证书，银行服务器端装有服务器证书。当客户上网访问银行服务器时，银行端首先要验证客户端证书，检查客户的真实身份，确认是否为银行真实客户；同时服务器还要到CA的目录服务器，查询该客户证书的有效期和是否进入废止列表；认证通过后，客户端还要验证银行服务器端证书，如上所述，此为双向认证。双向认证通过以后，建立起安全通道。客户端提交交易信息，经过客户的数字签名并加密后传送到网银服务器，经过网关转换后，送到银行后台系统进行账务处理，并将结果进行数字签名返回客户端。这样就作到了交易信息的保密和完整，交易双方的不可否认。可以说，PKI的服务与网上银行的安全要求进行了完美的结合。

    银行智能卡

    PKI/CA技术的发展会推动金融领域信息安全应用向纵深发展，比如在银行卡的网上支付、银行卡向IC卡EMV标准迁移等方面。目前国内银行开始研究和推行符合国际EMV标准的借记卡，从技术层面分析，EMV卡可以支持复杂的加密技术PKI，通过用智能卡中的密钥对文件做数字签名，可实现完全的身份识别和传输加密。这种技术让银行能够在消费终端对任何交易进行安全认证，而不需要在线授权。

    电子办公和电子邮件

    电子办公就是指将计算机技术应用于银行办公领域，电子办公涉及的应用很多，如办公自动化、内部电子邮件、内部文档资源共享等等。比如当员工发电子邮件时，PKI/CA系统自动把邮件加密签名，只有指定的接收人才可以开启邮件。如果邮件被截获或者接收人被废止，邮件将无法打开。比如，人事资料和财务报表因涉及银行机密，非授权不可私自阅览。有了数字证书之后，所有相关资料都可以加密，只有授权人员才可以凭借数字证书进行读写；同时，每次读写又都能够留下电子签名，具有无可否认性。再比如说，银行和其他的合作单位进行业务合作时，可以通过文件传输方式进行文件交换，只有参与双方可以阅读，第三方就算截获了交易文件，也会因为没有证书和私匙而无法阅读和更改。电子办公中的这些安全需求，只有PKI/CA提供的安全服务才能得到保证。

    移动支付

    从技术的发展来看，新型银行也不再仅限于有线网络互联，移动支付、手机银行开始走进我们的生活，随之而来的是对无线通信领域的安全关注。WPKI称为“无线公开密钥体系”，它是PKI技术应用于无线环境的优化扩展。它采用了优化的加密算法和压缩的X.509数字证书，实现了信息的无线传输安全，可以实现无线电子支付和无线电子转账的功能。如果手机系统采用了WPKI和数字证书认证技术，不法分子即使窃取了卡号和密码，也无法在无线交易中实现诈骗。比如目前的手机银行多数是STK卡模式，STK卡可以有选择性地和PKI结合使用，是通过在卡内实现的RSA算法来进行签名验证，从而使利用手机来从事移动商务活动不再是纸上谈兵。从世界范围看，数字证书技术已经被广泛地应用在国外移动支付系统中。

    基于篇幅，在银行领域采用PKI技术的应用实例不能逐一尽数。但我们依然可以认识到，金融企业采用了PKI/CA后，在很多环节可以实现更高的安全性。

    从你是谁到你能做什么

    从技术角度上说，PMI(Privilege Management Infrastructure，授权管理基础设施)与PKI/CA的结合是发展的趋势。X.509公钥证书的原始含义很简单，目标就是提供不可更改的证据。但是现在人们发现，在许多应用领域，需要的信息远不止是身份信息，证书持有者的权限或者属性信息比身份信息更重要。为了使附加信息能够保存在证书中，X.509 v4.0中引入了公钥证书扩展项，这种证书扩展项可以保存任何类型的附加数据，以满足应用的需求。

    证书应用的普及也带动了证书便携性的需要，目前只有智能卡能提供证书和其对应私钥的移动性要求。该技术将公钥和对应的私钥存放在智能卡中，但这种方法存在着易丢失、易损坏的缺陷，并且依赖读卡器。最新的方法是使用漫游证书，它通过第三方软件实现。它的原理是将用户的证书和私钥放在一个安全的服务器上，当用户登录到一个本地系统时，从服务器安全地检索出公钥和私钥，并将其放在本地系统的内存中，当用户注销后，该软件自动删除存放在本地系统中的用户证书和私钥。此外，随着无线通信技术的广泛应用，WPKI技术的研究与应用正处于探索之中，这也是未来PKI发展的一个趋势。

    我们有理由相信随着国内电子签名法的颁布，PKI/CA会在各行各业、各个领域中得到广泛应用，PKI/CA技术不仅规范了网络的信任和秩序，还会更多地渗入到人们的日常生活中来。

    来源：CCW