账号:
密码:
CTIMES / 文章 /   
PKI 在网路安全的角色
电子交易的安全认证

【作者: 李貞文】2001年09月01日 星期六

浏览人次:【2914】
  

前言

证期会表示,现行国内的网路交易,自本年六月一日起,都需透身份认证公司,以第三者公信单位作为认证,提高网路下单的安全性。网路商业的利益愈大,风险也愈大,Gartner Group表示,网路诈欺发生的频率比传统交易诈欺多12~18倍,最近一个月刑事局惊报,国内首宗网路下单骇客案等来自内、外部的各式攻击,声声催促产业早日堆砌资讯安全的护城墙!


实体世界面对面的交易,再加上国民身份证、驾照、或护照等凭证,双方都可以很容易地确认彼此的身份,签字盖章就是同意交易的背书。但是,网路的匿名特性,使单纯的身份认证及签章困难重重。建置网路安全机制是一场无止境的进化过程,就像网路频宽、电脑速度、应用程式、防毒软体、晶圆制造技术等等,永远都不够好,永远都在研发,永远都在向上提升一样。资讯安全的防范,就像家中大门的锁,愈多道锁,就愈安全,但花费在重重关卡到真正进门的时间就相对延长。


PKI 的防护机制

大众琅琅上口的防火墙,可比为网路安全的第一道锁,但不是防火墙一道锁就可抵挡所有非法入侵,最明显的,防火墙可防外神,却不能防内鬼,也不能解决网路安全首重的机密性( Confidentiality)、身份认证(Authentication)、资料完整性(Integrity)、与不可否认性(Non-repudiation)。统计数据显示,80%的骇客事件由内部人员所为,网路诈欺案频率比传统交易诈骗高出12~18倍!网路安全的方式千百种,各有各的独特功能,但是,防护层愈多,对电脑系统运作速度的影响也愈大。 Public Key Infrastructure ( PKI )利用非对称金钥( asymmetric keys )的概念,发展出数位凭证、数位签章等网路风险管理的技术。


数位凭证( digital certificate )就像实体世界中的国民身份证,数位凭证由受信任的第三者( Certificate Authority )发放之,并把每一个数位凭证及其对应的真实身份安全地储存在资料库中, CA 并管理凭证的发行、撤销及更新等。数位凭证让交易双方可确认彼此身份,让交易及传送的资料(如网路下单、网路转帐等)在一临时通道中,安全地往返,未授权的第三者,无法窥知机密资料的内容。


数位凭证的基本概念是公钥加密原理,利用一对钥匙(公钥与私钥)来加解密,用公钥加密的文件,只有相对应的私钥才能解开( asymmetric keys ),而非如对称金钥( symmetric keys )般,加、解密金钥为同一把钥匙。数位签章就是送信方把送出的文件加上自己的密钥(私钥)签章,因私钥加密的文件只有对应的公钥才能解开,因此,收信方就可确认送信方的真实身份。这个概念,就好比是实体世界中,我们在文件上加上自己的亲笔签名,来证明此文件发信人的身份。


Certificate Revocation List ( CRL )技术是储存管理所有被撤销的无效凭证的资料库,进行身份确认时,须先与CRL比对,才不会有不肖商家或个人拿已过期的凭证招谣撞骗。


在PKI 的金字塔结构中,最上层为Root CA ( Certificate Authority ),Root CA发放凭证给CA,CA 再发放给企业用户,企业用户可再发放给其下的个人用户如(图一),用户的数位凭证可能是由不同的Root CA或CA颁发,因此需要交互认证( cross certification )的制度,如此,不同CA的用户,透过交互认证,仍可迂回追溯至其CA,进而对此用户的身份进行确认。银行若自己建置CA,可再发放给旗下客户,并将客户分级,做好安全控管。有了数位凭证机制,银行可以自信地推出各种线上服务,而客户也可放心地进行各种线上交易。



《图一 数字证书的安全防范架构》
《图一 数字证书的安全防范架构》

PKI的应用广泛,包括网路下单、VPN、ERP、E-mail、个人电脑档案、无线通讯、Supply Chain、电子商务、单一签入(Single Sign-on)等安全应用。


结语

PKI 的产品及服务百家争鸣,各踞山头,因缺乏全球统一的PKI 产品规格,造成不同厂商或不同安全等级的产品无法相互整合,进而造成市场的混乱与不确定性,也使推动PKI 的进展缓慢。有鉴于此,European Commission 与EEMA( European Forum for Electronic Business )创立 pkiC ( PKI Challenge )组织,推动不同PKI产品的相容性、建立一全球通行之 PKI 标准、与最佳应用方案。在容许使用各种不同 PKI 产品的前提下, pkiC 将孵育一国际的安全 PKI电子商务平台,促进各PKI厂商的共识,及网路交易的繁荣。


相关文章
提供更好用户体验 才是发展5G通讯的真正意义
企业全面防骇宝典
安全是通往电子商务唯一的路
浅谈网路资讯安全的基础架构
认识 Identrus 新交易体系
comments powered by Disqus
相关讨论
  相关新闻
» 达梭系统收购IQMS扩展3DEXPERIENCE平台
» 5G前导技术NB-IoT窄频广域物联网应用
» 爱立信加入「远传5G先锋队」并展示台湾首个在3.5 GHz频段
» 微软、神州数字、热酷共同主办2018云海链金国际区块链总决赛
» 亚旭电脑×远传电信秀5G应用
  相关产品
» 浩亭展示数位商品 通过射频识别直接进入云端
» MailBase蝉联日本国内邮件归档市场冠军宝座
» 意法半导体扩大对亚马逊FreeRTOS的支援
» 是德科技与OPPO携手推动5G行动装置的开发和商业化
» 新加坡邮政子公司在亚洲电子商务奖上获得表彰

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw