网际威信新闻
活动讯息

 

 

 

 


  网际威信新闻

2002年7月 亚洲(Asia)PKI论坛大会 专题报道
 

网际威信发言文章

PKI的应用与发展趋势

任何一种交易(Transaction)都包括了交易之保密(Confidentiality)、身分认证(Authentication)、交易资料完整(Integrity)、交易的不可否认性(Non-repudiation)在内的四种安全需求;尤其是透过谁也不认识谁的网络要进行电子商务,在缺乏信任的机制下,这四种安全需求益形重要。

不仅是在Internet上进行的电子商务须思考这些问题,银行的金融转帐与未来医疗病历透过网络进行交换,以及企业内部公文传送交换、流程签核与ERP、SCM等应用,都不离身分认证、权限、加解密、资料完整与交易的不可否认性等范畴,而这也正是PKI架构中所能达到的功能;当网际网络已经成为生活的一部份时,信息安全格外重要,或许我们也可以说:未来将无须特别强调PKI这一个名词,因为我们就生活在PKI的架构下。
以公钥与私钥进行加解密有何好处?例如A君(传送者)要传送资料给B君(接收者)时,A君先到CA取得B君的公开金钥以进行资料加密,再将资料传送给B君,由B君用自己的私钥进行解密;如此一来,除了A君与B君,不会有第三者看到资料的内容。至于A君送资料给B君时,如何让B君在收到资料时,确认是A君寄出的呢? A君可先用自己的私钥对所传送的资料进行加签,再传送给B君,B君到CA取得A君的公开金钥,确认这一组公钥/私钥是否可以比对,若比对无误,即可确定资料的传送者的确是A君。至于资料是否被窜改就要经过讯息摘要(Message Digest)的比对。

从以上B君确认A君是资料传送者、资料加密、资料未被窜改,再加上只有A君知道自己的私钥,当B君收到的资料含有A君的私钥,A君就无法否认传送的事实,再加上CA具有举证的义务,当交易纠纷发生时,其必须提供相关证据资料,以协助仲裁单位处理纠纷;如此一来,也就达到了交易之保密、身分认证、交易资料完整、交易的不可否认性四大需求。

PKI的应用

PKI的概念可广泛应用到各种领域,例如企业流程(Work Flow)管理、ERP、 SCM 等相关应用、B2B/B2C应用程序等,PKI的应用范围还包括:员工差勤门禁系统、企业员工网络数据传输的加密及数字签名、企业内部网络安控与使用权限机制、企业内部安全电子邮件及电子公文系统环境,以及电子供货商采购系统、电子经销商订货系统、客户分级与使用权限、安全电子交易加密与数字签名、安全电子交易市集平台、跨国网络交易认证、交易认证国际漫游功能等;企业皆可透过PKI以支持网络企业经营模式发展,并依其不同需求进行规划。由于对信息安全的需求度相对较高,政府机构、军事单位、金融与电信等行业是目前对PKI需求较大的对象,线上证券交易服务必须有电子签章以确保认证和不可否认性,因此目前券商在网络下单对PKI需求相当大。

当许许多多的资料都透过网络进行传输时,网络安全就格外受到重视,网络安全包含了很多不同的层面,目前市面上推出的PKI产品分别针对IP、TCP、AP这三层的安全需求进行身分认证与权限控管。在IP是利用VPN;TCP则是以SSL或TLS之类的网络通讯协议;在AP(企业公文系统/进销存系统/ERP/SCM都在这一层)则利用SET或SMIME等;不同层次的安全与保密问题,有赖PKI架构的促成。

必须强调的是,PKI的应用是不分行业与领域的,端视使用单位对信息安全需求的程度,只要具有身分认证、保密、交易资料完整、交易的不可否认性四种安全需求的对象都可适用PKI,尤其PKI若应用在企业内部的公文签核、B2B等方面,除进行身分确认,尚须根据使用者的凭证(身分)与权限进行控管;身分认证、权限控管二者是截然不同的两件事。
未来发展趋势

未来随着PKI的应用日趋成熟,将会有更多用户提出需要,相信PKI技术会更成熟,价钱亦会降低,届时对大众来说PKI架构已是再自然不过的事,采鸿科技亚太地区区域经理林金保即指出,未来将是一个PKI的世界。

在PKI概念应用范围广泛的情况下,Smart Card不仅可结合使用计算机权限、资料加密等功能,亦加入差勤功能,不啻是PKI业者与门禁业者结合的新契机。裴兆旭认为,大规模PKI整合以金融、电信、政府为主,对经费较不足的中小企业来说,还是以数字凭证等价位较低的过渡产品较合适,他预期,未来委外(Outsourcing)建置PKI的情况将会相当普遍,将会出现提供PKI服务、管理的公司,而在后PC时代里,PKI架构除了与Smart Card结合,未来与手机或是PDA结合亦是可以预期的。

PKI观念有待推广

PKI技术已经成熟,但是对PKI有深切了解的个人或企业等使用单位却相当有限,此外,安全警觉不足、信息安全相关技术与管理人员缺乏、政府法令及奖励企业推广措施尚待加强皆是PKI在推行上的障碍,因此信息安全相关立法、企业信息安全政策之分析建立与风险评估、使用习惯建立与推广、建置经验之培养等配套措施相当重要。

马来西亚、新加坡、韩国、香港、日本等亚洲地区,以及欧美国等国已相继完成电子签章相关立法,中国若尽速通过电子签章法,亚洲PKI市场很快会起来;林金保也认为,PKI是一个完整的产业,日本、韩国与新加坡之所以能在亚洲PKI论坛占有举足轻重地位的主要原因即在于这三个国家已通过电子签章相关立法,韩国政府甚至投入资金支持产业发展。

安全到底重不重要?相信答案在企业主心目中的经营天平有一定的份量,不过在企业经营的过程中,安全通常不是企业主重视的第一顺位,尤其在经济不景气的困境中,企业会降低对信息设备之投资,林永修就建议政府应先行建立信息安全基础建设,并奖励民间推广信息运用,促进网络交易以加速经济发展,在目前个人或企业等使用单位缺乏对PKI的使用经验的情况下,政府应通过相关法令并予以奖励。他以美国密西根大学、英国Exeter大学推动PKI与Smart Card的项目为例,在政府、学校与银行的支持下,持卡学生透过注册、影印、便利商店购物等方式熟悉PKI机制,有助于PKI使用经验的累积。

当资料透过网络传输已是不可避免的趋势,电子商务又成为新兴商业模式,PKI架构足以发挥信息安全功能的共识已建立,其应用范围也昭然若揭;下一步应该加强对PKI的了解并建立法源的基础,透过政府与业者的力量累积用户对PKI的使用经验。
Copyright (c) HiTRUST Inc. All rights reserved Legal Notices  
2002年 网际威信股份有限公司版权所有 非经本公司书面同意, 请勿任意转载网站内容