1PKI的技術原理

PKI(PublicKeyInfrastructure)即公鑰基礎設施，是利用公鑰密碼理論和技術建立起來的、提供和實施安全服務的基礎設施。它由公開密鑰密碼技術、數字證書、證書發放機構CA和關于公開密鑰的安全策略等基本成分共同組成，包括加密、數字簽名、數據完整性機制、數字信封、多重數字簽名等基礎技術。在公鑰密碼技術中，為每個用戶生成一對相關的密鑰：一個公開密鑰，通過非保密方式向他人公開；一個私有密鑰，由用戶自己保存。且公鑰和私鑰不能由一個推出另一個。用公鑰加密，私鑰解密，起到信息保密功能；用私鑰加密，公鑰解密，起到數字簽名功能。

1.1數字簽名

數字簽名(DigitalSignature)是電子簽名的一種特定形式，起到與手寫簽名或者蓋章同等的作用。數字簽名的使用包括簽名和驗證簽名兩個階段。簽名過程：簽名方首先使用Hash函數根據需要簽名的原始數據（明文）生成一份固定長度的摘要，決定了生成的摘要是唯一的，且不同的明文散列變換得到的摘要結果總是不同。然后通過某個約定的算法用私鑰對摘要加密，生成數字簽名，最后將相應的數字簽名附在原始數據后。簽名驗證過程：接收方收到密文后，使用對方的公鑰對附在原始數據后的數字簽名進行解密獲得原摘要，再使用Hash函數對數據明文進行運算，得到一份新的摘要，如果兩份摘要完全一致，則驗證數字簽名為真。

1.2數字證書

數字證書也叫數字標識(DigitalCertificate，DigitalID)，相當于個人或機構在網絡環境中的身份證，用于證明在網上進行信息交流及商務活動的各主體（如人、服務器等）的身份。數字證書由一個權威機構（CA認證中心）發放的，其中包含了用戶身份的部分信息、用戶所持有的公開密鑰及認證機構的數字簽名。使用數字證書進行數據傳輸時，發送方與接受方首先交換數字證書，確認彼此的身份，同時雙方都得到了彼此的公開密鑰。隨后，發送方使用接收方的公鑰對要傳輸的數據進行加密，而接收方收到密文后則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。

2PKI技術的作用分析

2.1保證了信息傳輸的保密性

對傳輸中的數據流加密，防止信息在傳輸過程中被非法竊取是對交易安全的保證。由于私鑰的唯一性,確保只有接收方才能成功地解密該信息。

2.2保證了數據的完整性

數據完整性是指數據的接收方可以經過檢查，確認收到的數據是否在傳輸、存儲過程中被修改。如果敏感數據在傳輸和處理過程中被篡改，接受方就不會收到完整的數據簽名，驗證就會失敗。反之，如果簽名通過了驗證，就證明接收方收到的是沒經修改的完整性數據。

2.3保證了發送信息的不可否認性

在傳統貿易中，貿易雙方通過在交易合同、契約等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約的可靠性并預防抵賴行為的發生。應用PKI技術后，由于只有發送方擁有私鑰，所以使用私鑰對消息進行簽名，一定是申請者本人的操作，簽名者無法否認，并對其發生的行為不能抵賴，所以數字簽名完全可以代替現實過程中的“親筆簽字”，在技術和法律上有保證。

2.4驗證交易者身份

在網絡支付中，為了避免欺詐的發生，網上銀行必須證明自己并非虛假網站，而用戶也必須證實自己是帳號的合法持有人。PKI安全體系的是確認身份的重要技術，有助于在網絡系統虛擬環境中檢驗個人或機構的身份，確認這些電子數據所代表的身份以及這些身份的真實可信性。PKI安全體系能夠全面支持電子商務在社會經濟生活進行廣泛應用，并起著重要作用，確保交易信息的安全性，從而極大地促進了電子商務的發展。國務院日前印發了《服務業發展“十二五”規劃》，提出要促進數字證書在電子商務全過程、各環節的深化應用，規范網上銀行、網上支付平臺等在線支付服務，相信數字證書以及相關安全技術在未來的電子商務發展中會獲得更廣泛的使用。

作者：周瑞珍 祖融 單位：中國人民銀行?？谥行闹?/P>