基于PKI的金融服務(wù)研究

李振婷

摘 要：本文從數(shù)字證書認(rèn)證的本質(zhì)出發(fā)，研究PKI證書服務(wù)系統(tǒng)的思路和方法。可以預(yù)見PKI的研究將對金融領(lǐng)域的公鑰數(shù)字證書使用起到極大的推動作用，存在可觀的預(yù)期收益和研究價值。

關(guān)鍵詞：PKI；數(shù)字證書；金融服務(wù)

引言：伴隨科技的進(jìn)步，網(wǎng)絡(luò)技術(shù)的革新，金融服務(wù)業(yè)發(fā)展也更加豐富化。然而與之相伴隨的安全問題也接踵而來，這就使得我們不得不重新審視各類金融業(yè)數(shù)字化網(wǎng)絡(luò)服務(wù)的安全問題。金融領(lǐng)域是數(shù)字證書應(yīng)用最活躍、最廣泛的領(lǐng)域之一。建立在非對稱和對稱密碼體制等密碼技術(shù)基礎(chǔ)上的數(shù)字證書在當(dāng)今日趨復(fù)雜的信息環(huán)境中，為各類金融安全需求者提供有效地保護(hù)，為我們在金融領(lǐng)域建立起一套嚴(yán)密的身份認(rèn)證和數(shù)據(jù)保密系統(tǒng)，在保證金融信息的保密、交易記錄不可否認(rèn)性、交易者身份的確定性、交易內(nèi)容的完整性等金融服務(wù)方面發(fā)揮著重要作用。

一、金融業(yè)PKI現(xiàn)狀分析

根據(jù)我國信息產(chǎn)業(yè)部的不完全統(tǒng)計，從1999年我國第一家CA認(rèn)證機(jī)構(gòu)——中國電信CA安全認(rèn)證系統(tǒng)建立以來，截止2010年底，在我國已建成140多家CA認(rèn)證系統(tǒng)。而從2005年《中華人民共和國電子簽名法》頒布開始，通過專家審核，信息產(chǎn)業(yè)部已經(jīng)為22家CA機(jī)構(gòu)頒發(fā)執(zhí)照。

從PKI的建設(shè)情況與背景來看，大致可以把國內(nèi)的PKI分為三類：第一類是根據(jù)每個行業(yè)的需求建立的各大行業(yè)CA；第二類是各級政府部門為實現(xiàn)信息化辦公而籌劃的專門為電子政務(wù)服務(wù)的政府CA；第三類是以盈利為目的的商業(yè)性CA。

為解決電子商務(wù)網(wǎng)上支付安全問題， CFCA于1998年由電子商務(wù)領(lǐng)導(dǎo)小組第二次會議議定籌劃建立，1999年正式開工建設(shè)，并與2000年正式掛牌成立，它是由中國人民銀行牽頭，組織中國銀行、中國工商銀行、中國建設(shè)銀行、中國農(nóng)業(yè)銀行、中國光大銀行、深圳發(fā)展銀行、交通銀行、中信實業(yè)銀行、華夏銀行、招商銀行、廣東發(fā)展銀行、興業(yè)銀行、民生銀行十三家銀行聯(lián)合共建的金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu)。2003年

CFCA“國家金融安全認(rèn)證系統(tǒng)”建設(shè)被列入國家863計劃。

CFCA不僅支持金融領(lǐng)域的各種證書應(yīng)用以及其它如OA、MIS安全業(yè)務(wù)，還支持各種基于電子商務(wù)平臺的業(yè)務(wù)運作模式。

二、公鑰基礎(chǔ)設(shè)施PKI

（一）數(shù)字簽名。數(shù)字簽名是一種基于公鑰密碼體制的一種數(shù)字認(rèn)證，其分為簽名和認(rèn)證兩個部分。數(shù)字簽名是在數(shù)字化的金融領(lǐng)域中，以技術(shù)的手段實現(xiàn)傳統(tǒng)其商務(wù)活動中的簽字、蓋章作用，以保證金融交易的真實性、安全性和不可抵賴性，為金融交易的安全性提供保障服務(wù)。

（二）數(shù)字證書。在虛擬的數(shù)字世界中，為了證明每個參與者的真實身份，類似于現(xiàn)實生活中居民身份證的數(shù)字證書，將參與者的真實身份與公鑰綁定在一起，以證書的形式頒發(fā)給參與者。數(shù)字證書是由權(quán)威的認(rèn)證中心（CA），在申請者提出申請后，根據(jù)申請者的申請信息，對其真實身份進(jìn)行驗證后，利用CA的根證書對申請者的公鑰及身份信息進(jìn)行簽名后，將簽名后形成的數(shù)字文件頒發(fā)給申請者并儲存于CA證書庫，供其它使用者下載和查詢。

（三）全套接層協(xié)議——SSL。在PKI體系中，為了解決金融業(yè)對數(shù)據(jù)的完整性、數(shù)據(jù)傳輸安全性及用戶之間、用戶與CA之間、不同CA之間的身份認(rèn)證要求，PKI各實體間的信息傳輸釆用了網(wǎng)景公司基于公鑰密碼體制的網(wǎng)絡(luò)安全協(xié)議——SSL安全套接層協(xié)議。SSL協(xié)議在互聯(lián)網(wǎng)的基礎(chǔ)上提供了一種保證通信私密性和安全性的解決方案。它使得各實體間的通信不被攻擊者所竊聽，并始終保持對了客戶實體對服務(wù)器的認(rèn)證。

（四）PKI體系結(jié)構(gòu)。在電子商務(wù)、金融交易網(wǎng)絡(luò)化日益普及的大環(huán)境下，公開密鑰體制為為我們的交易提供了通信保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、認(rèn)證服務(wù)，保證了交易的不可抵賴性、保密性等。同時也提出了一個新的問題即公鑰的真實性問題。在虛擬化的電子交易中，用戶不能指望交易雙方能面對面地交換公鑰，同時也需要面對如何管理公鑰的問題，即如何處理用戶的公鑰更新、公鑰作廢等需求的問題。這一系列技術(shù)問題都是公開密鑰體制下必須解決的技術(shù)難題，只有這些問題解決了才能使公開密鑰技術(shù)得到廣泛的推廣和使用。

PKI以公鑰密碼體制為核心，將數(shù)字證書、數(shù)字簽名等技術(shù)結(jié)合在一起，為整個公鑰密碼體系提供了一個安全基礎(chǔ)框架，在這個框架中，為基于公鑰的各種應(yīng)用、服務(wù)提供安全環(huán)境。

三、基于PKI的可重用證書方案

（一）PKI的可重用證書方案基本思想。首先公鑰證書的可重用方案設(shè)計，將在不改變PKI構(gòu)架的基礎(chǔ)上，只針對證書的管理進(jìn)行優(yōu)化，這將最大限度的繼承并優(yōu)化現(xiàn)有的PKI系統(tǒng)資源。那么思路的核心將是金融證書的可重用性。那么在金融業(yè)數(shù)字證書可重用方案中，PKI所簽發(fā)的用戶主公鑰證書將要求實現(xiàn)可重用，可重用公鑰證書方案的大致思路可以描述為：（1）證書申請者將選擇一對自己的主公-私鑰，將主公鑰連同自己的身份信息發(fā)送給 PKI 的 CA 中心；（2）通過認(rèn)證，CA中心將簽發(fā)關(guān)于用戶主公鑰的數(shù)字證書；（3）用戶獲得主公鑰證書后能利用主公-私鑰自主生成用戶子公-私鑰，并利用這些用戶子公-私鑰參與實際的公鑰應(yīng)用；（4）驗證者能通過用戶主公鑰證書來驗證并確定用戶子公鑰的歸屬。

利用上述設(shè)計思路可以減少PKI系統(tǒng)直接管理的用戶公鑰證書總量，此時PKI系統(tǒng)是面向用戶提供證書服務(wù)，而傳統(tǒng)方式下是面對不同的公鑰應(yīng)用提供證書。這樣能有效減少PKI證書服務(wù)器數(shù)量，提高證書管理效率，為優(yōu)化PKI服務(wù)器網(wǎng)絡(luò)連接性能創(chuàng)造有利條件，還能增加用戶公鑰選擇自由度。

（二）可重用證書的功能需求。金融業(yè)可重用數(shù)字證書的設(shè)計使得我們將只為一個用戶（個人，法人機(jī)構(gòu)）發(fā)放一個超級USB Key，用戶能夠使用該超級USB Key實現(xiàn)多個不同金融賬號的登錄，以及相關(guān)操作，但是從安全上卻要求與央行“超級網(wǎng)銀”的簡單賬號綁定區(qū)別開來。在這種設(shè)計思想下，就要求金融管理部門只需要為每個用戶發(fā)放一個主公鑰證書，而滿足不同金融部門的認(rèn)證要求。

（三）可重用證書的安全需求。金融業(yè)數(shù)字證書用于保證金融交易中參與者身份的真實性和相關(guān)交易數(shù)據(jù)的安全，而公鑰證書的作用是確保公鑰的真實性，只有滿足了公的真實性才能使公鑰的相關(guān)應(yīng)用（加密，數(shù)字簽名）確保金融交易數(shù)據(jù)的安全性。那么基于PKI的可重用公鑰證書方案就必須滿足同一份公鑰證書認(rèn)證多個用戶公鑰的要求，這就對可重用公鑰證書方案的安全性提出了更高要求。

一方面，在現(xiàn)有金融業(yè)PKI系統(tǒng)中，一份公鑰證書對應(yīng)一個公鑰，公鑰的失效（私鑰暴露）只會讓該公鑰證書作廢。然而在可重用公鑰證書的設(shè)計方案中必須考慮公鑰證書重用后，一旦子公鑰失效是否會影響其它整個重用證書的安全，這就需要認(rèn)真研究。另一方面，一份主公鑰證書對應(yīng)多個子公鑰，這些對應(yīng)子公鑰由誰指定，這就需要研究如何實現(xiàn)讓授權(quán)者來生成這些對應(yīng)的子公鑰，同時也要約束授權(quán)者生成這些子公鑰后不能否認(rèn)他的生成行為，即明確子公鑰的歸屬，這是可重用公鑰證書系統(tǒng)安全的核心。

根據(jù)上述安全要點，本文構(gòu)建的理論方案安全要求為：（1）有且只有主公鑰證書（金融USB Key）的合法持有者能夠利用戶私鑰生成用戶子公-私鑰；（2）用戶子公鑰集合中部分子公鑰對應(yīng)的私鑰暴露不會影響未失效的子公鑰安全性；（3）用戶子公鑰集合中部分子公鑰對應(yīng)私鑰的暴露不會影響主公鑰證書的安全性。

結(jié)束語：本論文提出的方案是基于PKI下公鑰數(shù)字證書結(jié)構(gòu)性創(chuàng)新工作，在論文中主要創(chuàng)新點有：對PKI下的公鑰證書進(jìn)行可重用設(shè)計，使PKI中證書管理的部分權(quán)限下放給具體的證書持有者。實現(xiàn)了一個用戶只向PKI申請一份主公鑰證書；一份用戶主公鑰證書能對用戶多個子公鑰進(jìn)行認(rèn)證；驗證者能利用用戶主公鑰證書驗證用戶生成的所有子公鑰。然而，整個基于PKI的金融業(yè)可重用證書系統(tǒng)將是一個龐大的系統(tǒng)工程，本論文只是完成了整個可重用公鑰證書系統(tǒng)的部分工作，存在著些許不足，還有很多更為詳細(xì)的后續(xù)工作需要跟進(jìn)。

參考文獻(xiàn)：

[1] 梅穎. PKI信任模型比較分析[J].湖北師范學(xué)院學(xué)報（自然科學(xué)版）.2010（1）：18-20endprint