PKI/应用_北京安软天地

当前位置：首页 > 安全技术 > PKI技术规范

安全技术

PKI/应用

1．基于数字证书可实现四种基本安全功能

(1)身份认证。

网上交易的双方很可能素昧平生，相隔千里。要使交易成功进行，首先要能确认对方的身份，商家要考虑客户不能是骗子，而客户也会担心网上的商店是不是个玩弄欺诈的黑店，因此能方便而可靠地确认对方身份是交易成功的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对销售商店来说，他们对顾客刷卡消费所用的信用卡的真伪是不知道的，商店只能把信用卡的身份确认工作完全交给银行来完成。数字证书可作为网络身份证，在网络世界中进行交互时，证书持有人（持证人）只需出示数字证书对方。通过判断该证书是否伪造、持证人是否拥有对应的私钥、该证书是否被作废或冻结等内容即可验证该持证人的身份是否合法，从而很方便地实现高强度的身份认证功能。

(2)保密性。

交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。使用数字证书中的公钥对静态数据（如文档）或动态数据（如交易报文）进行加密，只有持证人才能使用对应的私钥进行解密，从而实现各种敏感数据的保密性。

(3)完整性。

为保障交易的严肃和公正，交易的文件不应被修改，如合同或订单。卖方收到订单后，如发现商品大幅涨价，若能私自改动合同，将商品价格或订购数量修改，就可大幅受益，那么买方可能就会蒙受损失。使用私钥对静态数据（如文档）或动态数据（如交易报文）进行签名，使用对应的数字证书中的公钥就能验证该数据是否被篡改，从而实现各种敏感数据和交易记录的完整性。

(4)抗抵赖性（不可否认性）。

由于商情的千变万化，交易一旦达成是不能被否认的，否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如果销售方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。

在交易过程中，可要求对方使用其私钥对交易数据进行签名，交易完成后可将交易数据及对方签名存储起来，一旦发生交易纠纷，就可调出所存储的交易数据和对方签名，使用对方数字证书中的公钥即可证明该交易是对方进行的，从而实现交易过程的抗抵赖性。

2．数字证书如何与应用系统结合

基于证书接口中间件（模块或组件），应用系统可以很方便地使用数字证书技术，从而提高应用系统的身份认证强度、保证应用系统中各种敏感数据的保密性、保证应用系统中各种敏感数据和交易记录的完整性、用户各种操作或交易的不可否认性。

PKI技术经过30多年的发展历程，已经形成比较完善的标准规范体系，几乎覆盖应用系统的各个方面，目前很多软件都已经支持数字证书技术，如操作系统、数据库系统、Web服务器、应用服务器等。由于受应用环境多样性和应用技术复杂性的影响或限制，在不同的应用环境和应用技术下，数字证书技术应用的方式可能差异很大。

当前主流的数字证书应用技术主要包括：Windows域目录、操作系统登录、电子文件加密、安全电子邮件、电了印章、代码签名、时间戳、WTLS应用、SSL/TLS应用(如Web网站安令、SSL VPN)、lP Sec应用(如IPSec VPN)等。

3．数字证书典型应用

(1)网上报税。

随着IT技术的迅速发展及其在税收领域的广泛应用，网上税收已成为不可逆转的发展趋势，其主要存在两类安全隐患或问题：一是网络安全问题。重点是身份认证，目前采用的用户名／口令机制容易被他人假冒身份；二是纸质报表的事后报表问题。只有加盖企业公章的纸质报表才能作为法律凭证。

电子签名法赋予数字签名法律效力后，数字证书技术就可有效解决上述两个问题，使得企业网上报税成为现实，同时提高了企业和税务部门的工作效率。

事实上，国内大部分省份上千万家企业已经通过数字证书进行网上报税。

(2)网上银行。

网上银行是商业银行基于互联网为客户提供安全、实时的银行业务服务。作为一种全新的银行客户服务渠道，客户可以不必亲自去银行办理业务，只要能够上网，无论在家里、办公室，还是在旅途中，都能够每天24小时安全便捷地管理自己的资产，或者办理查询、转账、缴费等银行业务。

网上银行以Internet等开放式网络环境传输交易数据，而且涉及用户资金转移等敏感信息，所以在用户的身份认证、资金的秘密传输以及数据的完整性方面，存在许多安全问题。网上银行服务提供者首先需要确定自己的系统不会受到网络黑客的入侵，造成秘密信息泄露、业务损失或服务中断。对用户而言，必须确认在网络上输入的秘密信息不会被盗用、输入的交易资料不会被篡改并且能正确迅速地传送到接收端系统。基于数字证书技术，网上银行能有效解决用户身份认证、敏感数据保密性、交易数据完整性和交易操作不可抵赖性问题，极大地方便了银行企业客户和个人客户。

数字证书（俗称U盾）已经成为国内网上银行的标准配置。如果没有数字证书，企业用户将不允许使用网上银行。上亿个人用户已经通过数字证书访问网上银行实现转账或汇款等资金操作。