◆魯恩銘

（湖南生物機(jī)電職業(yè)技術(shù)學(xué)院 湖南 410128）

基于PKI技術(shù)的電子合同機(jī)制在企業(yè)級云存儲出錯數(shù)據(jù)證明中的應(yīng)用研究

◆魯恩銘

（湖南生物機(jī)電職業(yè)技術(shù)學(xué)院 湖南 410128）

本文首先論述了基于PKI技術(shù)的電子合同機(jī)制在企業(yè)級云存儲出錯數(shù)據(jù)證明中應(yīng)用的必要性和可行性，然后提出了電子合同的申請和頒發(fā)、仲裁意向書、仲裁確認(rèn)書、復(fù)議仲裁意向書、復(fù)議仲裁確認(rèn)書的生成和頒發(fā)等具體的實施方案，最后結(jié)出了利用傳統(tǒng)的PKI數(shù)字簽名和保密傳輸機(jī)制實現(xiàn)該方案的流程。

PKI技術(shù)；數(shù)字簽名；云存儲；電子合同

0 引言

現(xiàn)代社會是一個信息大爆炸的社會，技術(shù)日新月異，科技突飛猛進(jìn)，它們以互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)為典型代表，后PC時代已經(jīng)來臨，它們正在引領(lǐng)或即將引領(lǐng)著科技的發(fā)展、社會的變革和人民生活水平的不斷提高，這些技術(shù)都和云存儲技術(shù)息息相關(guān)。然而，云存儲的企業(yè)級用戶在并未實現(xiàn)爆炸式的增長，云存儲的數(shù)據(jù)量也未實現(xiàn)幾何級的增長。究其原因是因為云生態(tài)系統(tǒng)并不成熟[1]，云安全問題已經(jīng)成為云計算和云存儲發(fā)展的瓶頸問題。

當(dāng)前，云存儲中缺乏權(quán)責(zé)明確互信的可認(rèn)證平臺，企業(yè)級云存儲用戶并不放心將自己重要的數(shù)據(jù)放在遙不可及的云端，沒有安全感，其實云存儲的過程和銀行辦理業(yè)務(wù)的過程類似，云服務(wù)提供商類似銀行，云存儲用戶相當(dāng)于客戶，數(shù)據(jù)相當(dāng)于金錢。存錢和取錢相當(dāng)于存放數(shù)據(jù)和刪除數(shù)據(jù)，而查看明細(xì)相當(dāng)于瀏覽數(shù)據(jù)，雙方的信任是建立在合同的基礎(chǔ)之上，電子合同的機(jī)制為互信認(rèn)證的平臺提供了技術(shù)保障，數(shù)字簽名的應(yīng)用為電子合同的訂立提供了技術(shù)手段，而RSA非對稱密碼算法的應(yīng)用為數(shù)字簽名技術(shù)的實現(xiàn)提供了算法的支撐[2]。

網(wǎng)絡(luò)安全存在著五性，即機(jī)密性用于防泄密、完整性用于防篡改、可用性用于防中斷、可控性用于監(jiān)控和審計、不可否認(rèn)性用于防抵賴。傳統(tǒng)的PKI技術(shù)的保密傳輸機(jī)制完成機(jī)密性，PKI的數(shù)字簽名機(jī)制主要實現(xiàn)完整性、可用性、可控性和不可否認(rèn)性。利用傳統(tǒng)的PKI技術(shù)，能解決網(wǎng)絡(luò)安全的絕大多數(shù)問題，利用PKI的電子合同機(jī)制搭建權(quán)責(zé)明確互信可認(rèn)證的平臺成為一種最為現(xiàn)實的解決方案。

當(dāng)企業(yè)級云存儲數(shù)據(jù)出現(xiàn)錯誤的時候，保密性、完整性、可用性、可控性和不可否認(rèn)性受到嚴(yán)重的挑戰(zhàn)，云用戶數(shù)據(jù)得不到充分的保障，用戶和服務(wù)提供商之間權(quán)責(zé)分配不清晰，一旦出現(xiàn)問題，相互推卸責(zé)任的現(xiàn)象時有發(fā)生?？衫没赑KI技術(shù)的電子合同機(jī)制搭建權(quán)責(zé)明確并相互信任的平臺，從而推動云存儲技術(shù)的發(fā)展。

基于PKI的電子合同機(jī)制應(yīng)該為雙方都認(rèn)可的權(quán)威的第三方機(jī)構(gòu)，并且云存儲用戶、云服務(wù)提供商都能隨時快捷方便安全地跟基于PKI的電子合同中心建立聯(lián)系，一旦云存儲客戶發(fā)現(xiàn)云存儲數(shù)據(jù)出錯的問題，電子合同中心應(yīng)就該出錯事件劃分雙方的責(zé)任，并一經(jīng)劃定就具有最高的權(quán)威性和有效性，從而解決因數(shù)據(jù)出錯而導(dǎo)致的相互推卸責(zé)任的問題，進(jìn)而最大限度地保護(hù)云存儲客戶的權(quán)益。

1 方案

基于PKI的電子合同機(jī)制應(yīng)用到企業(yè)級云存儲出錯數(shù)據(jù)的證明中，是一個比較新的領(lǐng)域，由于存儲數(shù)據(jù)處在分布式網(wǎng)絡(luò)環(huán)境中，建立統(tǒng)一的，所有企業(yè)級用戶和云存儲服務(wù)提供商之間都認(rèn)可的電子合同中心，具有一定的難度，主要應(yīng)從以下兩個方面考慮：

（1）身份認(rèn)證和數(shù)字簽名的集中管理，涉及到非常多的對稱和非對稱密鑰的分配和管理，主要通過傳統(tǒng)的PKI技術(shù)實現(xiàn)；

（2）云平臺中電子合同條款的生成，企業(yè)級云存儲數(shù)據(jù)出錯時，雙方責(zé)任的劃分、仲裁意向書及復(fù)議仲裁意向書的生成并保證其有效性和權(quán)威性，主要由電子合同中心CC完成。

具體方案和流程如圖1所示：

圖1 云存儲中基于 PKI 的電子合同機(jī)制

⑴電子合同中心CC向PKI的CA申請數(shù)字證書，CA嚴(yán)格審核其身份后向其頒發(fā)數(shù)字證書，證明其擁有CC的身份。

⑵CC根據(jù)目前市面上企業(yè)級云存儲用戶的需求，將安全級別設(shè)置為一級絕密、二級機(jī)密、三級保密三種級別，并根據(jù)級別的不同，對應(yīng)生成電子合同條款，最終生成三種電子合同樣式。

⑶對生成三種電子合同樣式用自己的私鑰簽名，公鑰進(jìn)行公布，發(fā)布電子合同樣式

⑷企業(yè)級云存儲用戶選擇電子合同樣式，填寫電子合同內(nèi)容，包括安全級別、數(shù)據(jù)量大小、受保護(hù)年限、文件目錄結(jié)構(gòu)等內(nèi)容。

⑸云存儲用戶對電子合同進(jìn)行數(shù)字簽名并向云服務(wù)提供商提出合同的申請。

⑹云服務(wù)商嚴(yán)格審查云客戶的身份，并就填寫的合同條款檢查其真實性、完整性和可行性，如若判斷不可行，立即將不通過的結(jié)果和原因返回給云客戶，否則云服務(wù)進(jìn)行數(shù)字簽名并向CC提出申請

⑺CC嚴(yán)格審查云存儲用戶和云服務(wù)商的身份，并就雙方認(rèn)可的合同條款檢查其真實性、完整性和可行性，如若判斷不可行，立即將不通過的結(jié)果和原因返回給云存儲用戶和云服務(wù)商，否則CC進(jìn)行數(shù)字簽名。

⑻CC生成一式三份的電子合同，并向云存儲用戶和云服務(wù)商頒發(fā)其已經(jīng)簽名的電子合同，并自己留存一份

⑼若云存儲用戶在云存儲數(shù)據(jù)的使用過程中，發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)錯誤，向CC提出仲裁申請，CC根據(jù)自己留存的電子合同中的條款，對該錯誤進(jìn)行仲裁，就損失進(jìn)行責(zé)任的劃分，并就仲裁結(jié)果進(jìn)行數(shù)字簽名，生成一式三份的仲裁意向書，將仲裁意向書頒發(fā)給云存儲用戶和云服務(wù)商，并自己留存一份

⑽云存儲用戶和云服務(wù)商若均無異議，云存儲用戶對仲裁意向書進(jìn)行數(shù)字簽名，并發(fā)送給云服務(wù)商，云服務(wù)商進(jìn)行再次簽名，并將仲裁意向書發(fā)送給CC，

⑾CC生成一式三份的仲裁確認(rèn)書，并向云存儲用戶和云服務(wù)商頒發(fā)其已經(jīng)簽名的仲裁確認(rèn)書，并自己留存一份，出錯數(shù)據(jù)證明完成。

⑿若任何一方有異議，可就仲裁意向書進(jìn)行再次復(fù)議并進(jìn)行申請，CC再次根據(jù)電子合同條款就復(fù)議內(nèi)容進(jìn)行復(fù)議仲裁，并就復(fù)議仲裁結(jié)果進(jìn)行數(shù)字簽名，生成一式三份的復(fù)議仲裁意向書，將仲裁意向書頒發(fā)給云存儲用戶和云服務(wù)商，并自己留存一份。

⒀云存儲用戶就復(fù)議仲裁意向書進(jìn)行數(shù)字簽名，并發(fā)送給云服務(wù)商，云服務(wù)商進(jìn)行再次簽名，并發(fā)送給CC，

⒁CC生成一式三份復(fù)議仲裁確認(rèn)書，并向云存儲用戶和云服務(wù)商頒發(fā)其已經(jīng)簽名的復(fù)議仲裁確認(rèn)書，自己留存一份，出錯數(shù)據(jù)證明完成。

在該方案中，云存儲用戶、云服務(wù)提供商和CC之間為了保證數(shù)據(jù)的真實性，完整性，防止篡改和任何一方的抵賴行為，多次用到數(shù)字簽名，數(shù)字簽名 DS（Digital Signature）是指發(fā)送方使用私有密鑰對待傳送的整個信息進(jìn)行加密或者是對整個原始信息的哈希值進(jìn)行加密所得的數(shù)據(jù)，并將其附在原始數(shù)據(jù)后面一起發(fā)送，接收方在 CA上查找發(fā)送方的公開密鑰，對數(shù)字簽名進(jìn)行解密得到原始明文數(shù)據(jù)或者原始明文的散列值 接收方運用同樣的散列函數(shù)作用于收到的明文得到一個散列值，比較這兩個散列值是否一致，從而驗證原始信息是否真實完整。

在數(shù)據(jù)的傳輸過程中是明文，信息是可見的，為了保證三者之間數(shù)據(jù)傳輸?shù)臋C(jī)密性、防止泄密，必須用到保密傳輸。在此基礎(chǔ)上，可以利用PKI的保密傳輸機(jī)制，發(fā)送方使用接收方的公鑰對明文信息進(jìn)行加密，接受方使用自己的私鑰對密文進(jìn)行解密。由于只有接收方才能對由自己的公鑰加密的信息解密，因此可以實現(xiàn)保密通信。

在雙方數(shù)據(jù)傳輸?shù)倪^程中，接收方可能會存在以沒有收到信息為由發(fā)生抵賴行為而推卸相應(yīng)的責(zé)任，為了達(dá)到網(wǎng)絡(luò)安全的不可否認(rèn)性，在發(fā)送數(shù)據(jù)之前，在彼此之間應(yīng)建立一條相互認(rèn)證的通道，確認(rèn)雙方的身份，此時需用到PKI的身份認(rèn)證技術(shù)，雙方的驗證同樣需要各自的數(shù)字簽名[3]。相互認(rèn)證過程如圖2所示：

圖2 相互認(rèn)證通道的建立過程

2 小結(jié)

本文論述了當(dāng)企業(yè)級云存儲數(shù)據(jù)出錯時，為了解決相互推卸責(zé)任，保證責(zé)任劃分的最高權(quán)威性和有效性，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性、可靠性、可用性和不可否認(rèn)性，提出了基于PKI技術(shù)的電子合同機(jī)制，并提出了具體實施方案，從而構(gòu)建權(quán)責(zé)明確、權(quán)威可靠的相互認(rèn)可的第三方電子合同認(rèn)證平臺。PKI技術(shù)的數(shù)字簽名技術(shù)可防止抵賴行為，從而保證數(shù)據(jù)傳輸?shù)耐暾?、可用性、可控性和不可否認(rèn)性；PKI技術(shù)的保密傳輸技術(shù)可實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?。而電子合同的申請、頒發(fā)，仲裁意向書、仲裁確認(rèn)書、復(fù)議仲裁意向書、復(fù)議仲裁確認(rèn)書的頒發(fā)等諸多數(shù)據(jù)傳輸問題都要用到保密傳輸技術(shù)，電子合同、仲裁意向書、仲裁確認(rèn)書、復(fù)議仲裁意向書、復(fù)議仲裁確認(rèn)書的生成都要用到數(shù)字簽名技術(shù)。而傳統(tǒng)的PKI技術(shù)剛好滿足該類技術(shù)需求，我們完全可將傳統(tǒng)的PKI技術(shù)移植到新型的云存儲技術(shù)中，從而實現(xiàn)企業(yè)級云存儲出錯數(shù)據(jù)責(zé)任的劃分和證明的應(yīng)用。以最大限度保護(hù)云存儲客戶的利益，進(jìn)而推動云存儲技術(shù)的蓬勃發(fā)展。

[1]商業(yè)伙伴咨詢機(jī)構(gòu)．中國云計算生態(tài)系統(tǒng)白皮書．（2014～2015），2015．

[2]余凌，鑒定．基于數(shù)字水印和數(shù)字簽名的電子合同訂立系統(tǒng)研究．湖北農(nóng)機(jī)化，2008．

[3]魯恩銘．基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究．電腦知識與與技術(shù)，2016．