ＰＫＩ在網(wǎng)絡信任系統(tǒng)中的應用

[摘要] 在電子商務中，信任已經(jīng)成為談判策略中一個重要因素，網(wǎng)絡信任系統(tǒng)也成為安全服務的重要組成部分。本文簡要介紹了PKI體系的技術(shù)、構(gòu)架和服務，它可以很好地應用在網(wǎng)絡信任系統(tǒng)中。

[關(guān)鍵詞] 電子商務 信任 PKI

隨著電子商務逐漸成為21世紀經(jīng)濟生活的新領(lǐng)域，互聯(lián)網(wǎng)已成為運作電子商務的一個有序的虛擬社會。在開放式網(wǎng)絡環(huán)境的電子商務中進行在線交易面臨著交易者的身份可靠性、交易者發(fā)布的信息真實性、交易者履行約定的可信任性等諸多問題，對信任的研究就顯得很有必要。由于在線交易的過程中信息不對稱、時空跨度，以及對Internet的依賴等的條件下造成的不確定性，以信任作為降低交易復雜性的有效機制，信任研究為電子商務發(fā)展給出理論依據(jù)。目前基于公鑰基礎(chǔ)設施(Public Key Infrastructures，簡稱PKI技術(shù))建立完善的數(shù)字證書認證機構(gòu)(Certification Authority，簡稱CA)得到了很大發(fā)展，已成為電子商務、電子政務等應用領(lǐng)域發(fā)展的關(guān)鍵。

一、PKI技術(shù)

PKI是一套基于公鑰的加密技術(shù)(一般是RSA技術(shù))。作為一種基礎(chǔ)設施，PKI由公鑰技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)和關(guān)于公鑰的安全策略等基本成分共同組成，用于保證網(wǎng)絡通信和網(wǎng)上交易的安全。從廣義上講，所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)都可稱為PKI系統(tǒng)。PKI的主要目的是通過自動管理密鑰和數(shù)字證書，為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)。

1.PKI組成

PKI包括以下幾個組成部分:(1)認證機構(gòu)：簡稱CA，即數(shù)字證書的頒發(fā)機構(gòu)，是PKI的核心，具有權(quán)威性，為用戶所信任。(2)數(shù)字證書庫：存儲已頒發(fā)的數(shù)字證書及公鑰，提供給公眾查詢。(3)密鑰備份及恢復系統(tǒng)：對用戶密鑰進行備份，在丟失時可恢復。(4)證書吊銷系統(tǒng)：與各種身份證件一樣，證書在有效期以內(nèi)也可能需要作廢。(5)PKI應用接口系統(tǒng)：便于各種各樣的應用能夠以安全可信的方式與PKI交互，確保所建立的網(wǎng)絡環(huán)境安全可信。

其中數(shù)字證書和認證機構(gòu)是PKI體系中的關(guān)鍵部分。另外，PKI實際上還是一個正在發(fā)展的標準，還存在一些問題，但并不妨礙它在網(wǎng)絡上的廣泛應用。一個成熟的PKI應用系統(tǒng)還涉及到項目管理、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡支持、目錄資源、程序開發(fā)和政策管理等，需要很長時間才能完成，在發(fā)展的過程中逐步去完善，這也是網(wǎng)絡安全技術(shù)發(fā)展的一個必然規(guī)律。

2.PKI提供的服務

PKI為開放的Internet環(huán)境提供了4個基本的安全服務：(1)認證，確認實體真實身份；(2)數(shù)據(jù)完整性，確保數(shù)據(jù)在傳輸過程中不被修改；(3)不可否認性，確保實體不能否認其發(fā)送過消息，也不能否認接收過消息；(4)機密性。

3.PKI的管理

PKI 的管理功能可歸納為證書管理和密鑰管理兩部分。證書管理包括策略批準、證書簽發(fā)、證書發(fā)布、證書撤消和證書歸檔幾個方面。密鑰管理主要指密鑰對的安全管理。密鑰產(chǎn)生、密鑰備份和恢復、密鑰更新。

二、PKI在信任系統(tǒng)中的應用

1.數(shù)字證書認證中心的構(gòu)建

PKI在實際應用中是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全性，使得用戶不知道對方或者分布很廣的情況下，以證書為基礎(chǔ)，通過一系列的信任關(guān)系進行通訊和電子商務交易．我們以一個數(shù)字證書認證中心的構(gòu)建為例，討論和分析PKI網(wǎng)絡在信任系統(tǒng)的應用。

一個簡單的PKI系統(tǒng)包括證書機構(gòu)CA、注冊機構(gòu)RA和相應的PKI存儲庫。CA用于簽發(fā)并管理證書。RA可作為CA的一部分，也可以獨立開來，其功能包括個人身份審核、CRL管理、密鑰產(chǎn)生和密鑰對備份等。PKI存儲庫包括LDAP目錄服務器和普通數(shù)據(jù)庫，用于對用戶申請、證書、密鑰、CRL和日志等信息進行存儲和管理，并提供一定的查詢功能。

數(shù)字證書中心認證系統(tǒng)包括安全服務器、注冊機構(gòu)RA、CA服務器、LDAP目錄服務器和數(shù)據(jù)庫服務器等。安全服務器面向普通用戶，用于提供證書申請、瀏覽、證書撤消列表以及證書下載等安全服務。CA服務器是整個證書機構(gòu)的核心，負責證書的簽發(fā)。注冊機構(gòu)RA面向登記中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用。LDAP服務器提供目錄瀏覽服務，負責將注冊機構(gòu)服務器傳過來的用戶信息以及數(shù)字證書加入到服務器上。數(shù)據(jù)庫服務器是認證機構(gòu)中的核心部分，用于認證機構(gòu)數(shù)據(jù)(如密鑰和用戶信息等)、日志和統(tǒng)計信息的存儲和管理。

2.密鑰產(chǎn)生

密鑰對的產(chǎn)生是證書申請過程中重要的一步，CA首先產(chǎn)生自身的私鑰和公鑰，然后生成數(shù)字證書，并且將數(shù)字證書傳輸給安全服務器。CA還負責為操作員、安全服務器以及注冊機構(gòu)服務器生成數(shù)字證書。CA服務器是整個結(jié)構(gòu)中最為重要的部分，出于安全的考慮，應將CA服務器與其他服務器隔離，任何通信采用人工干預的方式，確保認證中心的安全。

CA服務器產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則交于CA中心進行簽名，從而產(chǎn)生證書。對于比較重要的證書，如商家證書和服務器證書等，密鑰對一般由專用應用程序或CA直接產(chǎn)生，這樣產(chǎn)生的密鑰強度大，適合于重要的應用場合。

3.密鑰更新

頒發(fā)的證書都有一定的有效期，密鑰對生命周期的長短由簽發(fā)證書的CA中心來確定，各CA系統(tǒng)的證書有效期限有所不同，大約為2年～3年。

三、結(jié)束語

隨著Internet的發(fā)展和電子商務的普及化，網(wǎng)絡信任系統(tǒng)迫切需要建立以應對網(wǎng)絡信任危機，保證電子商務安全。PKI作為一個優(yōu)秀的加密技術(shù)可以很好地應用在網(wǎng)絡信任系統(tǒng)上，隨著國家對信息安全方面的標準化、法制化建設的日益完善，PKI技術(shù)將得到廣泛的應用。

參考文獻：

[1]徐濤.PKI在電子商務中的應用[J].商場現(xiàn)代化，2007，8

[2]田博覃正:B2C電子商務中的信任系統(tǒng)分析[J].情報雜志，2008，1

[3]張靜:應用于電子商務的信息安全技術(shù)[J].發(fā)展，2008，2

[4]韓寶明:電子商務安全與支付[M].北京:人民郵電出版社，2001