基于PKI的金融服務研究

李振婷

摘 要：本文從數字證書認證的本質出發，研究PKI證書服務系統的思路和方法。可以預見PKI的研究將對金融領域的公鑰數字證書使用起到極大的推動作用，存在可觀的預期收益和研究價值。

關鍵詞：PKI；數字證書；金融服務

引言：伴隨科技的進步，網絡技術的革新，金融服務業發展也更加豐富化。然而與之相伴隨的安全問題也接踵而來，這就使得我們不得不重新審視各類金融業數字化網絡服務的安全問題。金融領域是數字證書應用最活躍、最廣泛的領域之一。建立在非對稱和對稱密碼體制等密碼技術基礎上的數字證書在當今日趨復雜的信息環境中，為各類金融安全需求者提供有效地保護，為我們在金融領域建立起一套嚴密的身份認證和數據保密系統，在保證金融信息的保密、交易記錄不可否認性、交易者身份的確定性、交易內容的完整性等金融服務方面發揮著重要作用。

一、金融業PKI現狀分析

根據我國信息產業部的不完全統計，從1999年我國第一家CA認證機構——中國電信CA安全認證系統建立以來，截止2010年底，在我國已建成140多家CA認證系統。而從2005年《中華人民共和國電子簽名法》頒布開始，通過專家審核，信息產業部已經為22家CA機構頒發執照。

從PKI的建設情況與背景來看，大致可以把國內的PKI分為三類：第一類是根據每個行業的需求建立的各大行業CA；第二類是各級政府部門為實現信息化辦公而籌劃的專門為電子政務服務的政府CA；第三類是以盈利為目的的商業性CA。

為解決電子商務網上支付安全問題， CFCA于1998年由電子商務領導小組第二次會議議定籌劃建立，1999年正式開工建設，并與2000年正式掛牌成立，它是由中國人民銀行牽頭，組織中國銀行、中國工商銀行、中國建設銀行、中國農業銀行、中國光大銀行、深圳發展銀行、交通銀行、中信實業銀行、華夏銀行、招商銀行、廣東發展銀行、興業銀行、民生銀行十三家銀行聯合共建的金融行業統一的第三方安全認證機構。2003年

CFCA“國家金融安全認證系統”建設被列入國家863計劃。

CFCA不僅支持金融領域的各種證書應用以及其它如OA、MIS安全業務，還支持各種基于電子商務平臺的業務運作模式。

二、公鑰基礎設施PKI

（一）數字簽名。數字簽名是一種基于公鑰密碼體制的一種數字認證，其分為簽名和認證兩個部分。數字簽名是在數字化的金融領域中，以技術的手段實現傳統其商務活動中的簽字、蓋章作用，以保證金融交易的真實性、安全性和不可抵賴性，為金融交易的安全性提供保障服務。

（二）數字證書。在虛擬的數字世界中，為了證明每個參與者的真實身份，類似于現實生活中居民身份證的數字證書，將參與者的真實身份與公鑰綁定在一起，以證書的形式頒發給參與者。數字證書是由權威的認證中心（CA），在申請者提出申請后，根據申請者的申請信息，對其真實身份進行驗證后，利用CA的根證書對申請者的公鑰及身份信息進行簽名后，將簽名后形成的數字文件頒發給申請者并儲存于CA證書庫，供其它使用者下載和查詢。

（三）全套接層協議——SSL。在PKI體系中，為了解決金融業對數據的完整性、數據傳輸安全性及用戶之間、用戶與CA之間、不同CA之間的身份認證要求，PKI各實體間的信息傳輸釆用了網景公司基于公鑰密碼體制的網絡安全協議——SSL安全套接層協議。SSL協議在互聯網的基礎上提供了一種保證通信私密性和安全性的解決方案。它使得各實體間的通信不被攻擊者所竊聽，并始終保持對了客戶實體對服務器的認證。

（四）PKI體系結構。在電子商務、金融交易網絡化日益普及的大環境下，公開密鑰體制為為我們的交易提供了通信保密性服務、數據完整性服務、認證服務，保證了交易的不可抵賴性、保密性等。同時也提出了一個新的問題即公鑰的真實性問題。在虛擬化的電子交易中，用戶不能指望交易雙方能面對面地交換公鑰，同時也需要面對如何管理公鑰的問題，即如何處理用戶的公鑰更新、公鑰作廢等需求的問題。這一系列技術問題都是公開密鑰體制下必須解決的技術難題，只有這些問題解決了才能使公開密鑰技術得到廣泛的推廣和使用。

PKI以公鑰密碼體制為核心，將數字證書、數字簽名等技術結合在一起，為整個公鑰密碼體系提供了一個安全基礎框架，在這個框架中，為基于公鑰的各種應用、服務提供安全環境。

三、基于PKI的可重用證書方案

（一）PKI的可重用證書方案基本思想。首先公鑰證書的可重用方案設計，將在不改變PKI構架的基礎上，只針對證書的管理進行優化，這將最大限度的繼承并優化現有的PKI系統資源。那么思路的核心將是金融證書的可重用性。那么在金融業數字證書可重用方案中，PKI所簽發的用戶主公鑰證書將要求實現可重用，可重用公鑰證書方案的大致思路可以描述為：（1）證書申請者將選擇一對自己的主公-私鑰，將主公鑰連同自己的身份信息發送給 PKI 的 CA 中心；（2）通過認證，CA中心將簽發關于用戶主公鑰的數字證書；（3）用戶獲得主公鑰證書后能利用主公-私鑰自主生成用戶子公-私鑰，并利用這些用戶子公-私鑰參與實際的公鑰應用；（4）驗證者能通過用戶主公鑰證書來驗證并確定用戶子公鑰的歸屬。

利用上述設計思路可以減少PKI系統直接管理的用戶公鑰證書總量，此時PKI系統是面向用戶提供證書服務，而傳統方式下是面對不同的公鑰應用提供證書。這樣能有效減少PKI證書服務器數量，提高證書管理效率，為優化PKI服務器網絡連接性能創造有利條件，還能增加用戶公鑰選擇自由度。

（二）可重用證書的功能需求。金融業可重用數字證書的設計使得我們將只為一個用戶（個人，法人機構）發放一個超級USB Key，用戶能夠使用該超級USB Key實現多個不同金融賬號的登錄，以及相關操作，但是從安全上卻要求與央行“超級網銀”的簡單賬號綁定區別開來。在這種設計思想下，就要求金融管理部門只需要為每個用戶發放一個主公鑰證書，而滿足不同金融部門的認證要求。

（三）可重用證書的安全需求。金融業數字證書用于保證金融交易中參與者身份的真實性和相關交易數據的安全，而公鑰證書的作用是確保公鑰的真實性，只有滿足了公的真實性才能使公鑰的相關應用（加密，數字簽名）確保金融交易數據的安全性。那么基于PKI的可重用公鑰證書方案就必須滿足同一份公鑰證書認證多個用戶公鑰的要求，這就對可重用公鑰證書方案的安全性提出了更高要求。

一方面，在現有金融業PKI系統中，一份公鑰證書對應一個公鑰，公鑰的失效（私鑰暴露）只會讓該公鑰證書作廢。然而在可重用公鑰證書的設計方案中必須考慮公鑰證書重用后，一旦子公鑰失效是否會影響其它整個重用證書的安全，這就需要認真研究。另一方面，一份主公鑰證書對應多個子公鑰，這些對應子公鑰由誰指定，這就需要研究如何實現讓授權者來生成這些對應的子公鑰，同時也要約束授權者生成這些子公鑰后不能否認他的生成行為，即明確子公鑰的歸屬，這是可重用公鑰證書系統安全的核心。

根據上述安全要點，本文構建的理論方案安全要求為：（1）有且只有主公鑰證書（金融USB Key）的合法持有者能夠利用戶私鑰生成用戶子公-私鑰；（2）用戶子公鑰集合中部分子公鑰對應的私鑰暴露不會影響未失效的子公鑰安全性；（3）用戶子公鑰集合中部分子公鑰對應私鑰的暴露不會影響主公鑰證書的安全性。

結束語：本論文提出的方案是基于PKI下公鑰數字證書結構性創新工作，在論文中主要創新點有：對PKI下的公鑰證書進行可重用設計，使PKI中證書管理的部分權限下放給具體的證書持有者。實現了一個用戶只向PKI申請一份主公鑰證書；一份用戶主公鑰證書能對用戶多個子公鑰進行認證；驗證者能利用用戶主公鑰證書驗證用戶生成的所有子公鑰。然而，整個基于PKI的金融業可重用證書系統將是一個龐大的系統工程，本論文只是完成了整個可重用公鑰證書系統的部分工作，存在著些許不足，還有很多更為詳細的后續工作需要跟進。

參考文獻：

[1] 梅穎. PKI信任模型比較分析[J].湖北師范學院學報（自然科學版）.2010（1）：18-20endprint