PKI在電子商務中應用場景的探究

胡運江

摘要：公鑰基礎設施是網絡安全建設的基礎設施，是電子商務安全最基本的保障， PKI技術的發展和研究是信息安全領域的重點。本文對PKI技術進行介紹、闡述、分析和總結。其中包括PKI的概念、產生、原理和PKI應用等。希望通過本文對PKI的探究，對CA的開發、應用和普及具有一定的作用。

關鍵詞：公鑰基礎設施;PKI;電子商務;CA

一、PKI的概念

PKI，也叫公鑰基礎設施，它是一組包括軟硬件、機構和應用系統等的集合，通過該集合實現公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能。它為電子商務提供了基本的安全信任服務，讓用戶身份明確。

二、PKI的產生

密碼學上，公開密鑰基礎建設借著數字證書認證機構（CA）將用戶的個人身份跟公開密鑰鏈接在一起。1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相繼公布了安全密鑰交換與非對稱密鑰算法后，用戶對安全通信的需求越來越強。在密碼學的發展進程中，美國律師協會、企事業組織對隱私、訪問、可靠性的質疑，密碼學的發展進程很緩慢。隨著電子商務的高速發展，人們對安全交易的迫切需要，PKI的安全機制快速發展起來。

三、PKI機制的原理

（一）PKI的基本原理

公開密鑰基礎設施，就是用戶可以提出認證，并使用公鑰證書內的公鑰信息加密給對方。解密時，每個用戶使用自己的私密密鑰解密，該密鑰通常被通行碼保護。

（二） PKI的組成

一個完整PKI包括如下幾個部分：

1.安全服務器：安全服務器提供證書申請、瀏覽、證書撤銷列表、證書下載等安全服務。

2.注冊機構RA：一方面向CA轉發安全服務器傳輸過來的證書申請請求，另一方面向LDAP服務器和安全服務器轉發CA頒發的數字證書和證書撤銷列表（CRL）。

3.LDAP服務器：提供目錄瀏覽服務，負責將注冊機構服務器RA傳輸過來的用戶信息以及數字證書加入到服務器上。用戶通過訪問LDAP服務器就能夠得到其他用戶的數字證書。

4.CA服務器：整個證書機構的核心，負責證書的簽發。

5.數據庫服務器：CA中的核心部分，用于CA中數據、日志、統計信息的存儲和管理。

（三）PKI的功能

1 .證書的申請：用戶獲取CA的數字證書（根證書），與安全服務器建立連接;生成自己的公鑰和私鑰，將公鑰和自己的身份信息提交給安全服務器，安全服務器將用戶的申請信息傳送給RA服務器。然后RA審核，合格CA發行證書，最后用戶獲得證書。

2.證書的撤銷：用戶申請撤銷證書，然后RA審核，CA更新CRL，RA轉發CRL，注冊中心收到CRL，以多種方式將CRL公布，最后用戶告知。

3.證書的管理：認證中心CA負責維護和發布證書廢除列表CRL。

四、PKI的應用

PKI的應用非常廣泛，其為網上金融、電子商務、電子政務等網絡中的數據交換提供了完備的安全服務功能。PKI作為安全基礎設施，能夠提供身份認證、數據完整性、數據保密性、數據公正性、不可抵賴性等多方面的安全服務。

（一）提供用戶身份認證

用戶身份認證，就是給授權用戶安全登錄方式在PKI體系中，認證中心CA為系統內每個合法用戶辦一個網上身份認證，即身份證。另外還有移動認證幫助我們移動管理身份認證，設備認證管理我們的身份認證。

（二）確保數據的完整性

PKI數據的完整性就是防止非法篡改信息，如修改、復制、插入、刪除等。在交易過程中，要確保交易雙方接收到的數據與原數據完全一致，否則交易將存在安全問題。一般使用散列函數的方法來保證通信時數據的完整性。

（三）確保數據的保密性

數據的保密性就是對需要保護的數據進行加密，從而保證信息在傳輸和存儲過程中不被未授權人獲取。通過對稱加密和非對稱加密來實現。

（四）確保數據的不可抵賴性

在PKI系統中，不可抵賴性來源于數字簽名。通過數字簽名可以實現數據的不可抵賴。

（五）基于云的應用程序及服務

基于云的應用程序及服務就是通過云平臺托管PKI，管理證書。

（六）電子郵件安全

電子郵件的安全是基于標準的電子郵件加密能力，確保電子郵件的安全需求比如機密、完整、認證和不可否認等，通過PKI技術實現，比如S/MIME郵件協議。

（七）Web安全

Web的安全問題也可以通過PKI技術實現，比如在兩個實體進行通信前，先要建立SSL連接，然后利用PKI技術，SSL協議允許在瀏覽器和服務器之間進行加密通信，確保web通信安全。

五、小結

PKI最初產生于美國， 歐洲在PKI基礎建設方面也成績顯著，比如頒布了93/1999EC法規成立了歐洲橋CA指導委員會，我國的PKI技術從1998年開始起步，政府和各有關部門對PKI產業的發展給予了高度重視。2001年PKI技術被列為“十五”863計劃信息安全主題重大項目，并于同年10月成立了國家863計劃信息安全基礎設施研究中心。國家電子政務工程中明確提出了要構建PKI體系。我國已全面推動PKI技術研究與應用。先后通過電子簽名法，規定電子簽名與手寫簽名或者蓋章具有同等的法律效力。它的誕生極大地推動了我國的PKI發展。

PKI是一種安全技術，PKI具有強大的生命力和無與倫比的技術優勢，它來源于公鑰密碼技術，同時，數字證書破殼而出，并成為PKI中最為核心的元素。盡管PKI技術的應用很多，但是沒有一個特色招牌應用，也沒有人們想象中那么迅速的發展。但是它作為一項當前比較流行的安全技術，PKI正逐步得到更加廣泛的應用。

參考文獻：

[1] 張天芳.對電子信息安全技術PKI的認識及研究[J].中國新通信，2018，v.20（10）：186..

[2] 王瓊霄，王聰麗，林璟鏘，宋利.PKI證書服務的安全增強技術[J].信息安全研究，2019，5（01）：52-60.

[3] 謝躍偉.淺談PKI數字證書在WEB系統中的安全應用[J].中國新通信，2017（7）