◆鲁恩铭

（湖南生物机电职业技术学院 湖南 410128）

基于PKI技术的电子合同机制在企业级云存储出错数据证明中的应用研究

◆鲁恩铭

（湖南生物机电职业技术学院 湖南 410128）

本文首先论述了基于PKI技术的电子合同机制在企业级云存储出错数据证明中应用的必要性和可行性，然后提出了电子合同的申请和颁发、仲裁意向书、仲裁确认书、复议仲裁意向书、复议仲裁确认书的生成和颁发等具体的实施方案，最后结出了利用传统的PKI数字签名和保密传输机制实现该方案的流程。

PKI技术；数字签名；云存储；电子合同

0 引言

现代社会是一个信息大爆炸的社会，技术日新月异，科技突飞猛进，它们以互联网+、云计算、大数据为典型代表，后PC时代已经来临，它们正在引领或即将引领着科技的发展、社会的变革和人民生活水平的不断提高，这些技术都和云存储技术息息相关。然而，云存储的企业级用户在并未实现爆炸式的增长，云存储的数据量也未实现几何级的增长。究其原因是因为云生态系统并不成熟[1]，云安全问题已经成为云计算和云存储发展的瓶颈问题。

当前，云存储中缺乏权责明确互信的可认证平台，企业级云存储用户并不放心将自己重要的数据放在遥不可及的云端，没有安全感，其实云存储的过程和银行办理业务的过程类似，云服务提供商类似银行，云存储用户相当于客户，数据相当于金钱。存钱和取钱相当于存放数据和删除数据，而查看明细相当于浏览数据，双方的信任是建立在合同的基础之上，电子合同的机制为互信认证的平台提供了技术保障，数字签名的应用为电子合同的订立提供了技术手段，而RSA非对称密码算法的应用为数字签名技术的实现提供了算法的支撑[2]。

网络安全存在着五性，即机密性用于防泄密、完整性用于防篡改、可用性用于防中断、可控性用于监控和审计、不可否认性用于防抵赖。传统的PKI技术的保密传输机制完成机密性，PKI的数字签名机制主要实现完整性、可用性、可控性和不可否认性。利用传统的PKI技术，能解决网络安全的绝大多数问题，利用PKI的电子合同机制搭建权责明确互信可认证的平台成为一种最为现实的解决方案。

当企业级云存储数据出现错误的时候，保密性、完整性、可用性、可控性和不可否认性受到严重的挑战，云用户数据得不到充分的保障，用户和服务提供商之间权责分配不清晰，一旦出现问题，相互推卸责任的现象时有发生。可利用基于PKI技术的电子合同机制搭建权责明确并相互信任的平台，从而推动云存储技术的发展。

基于PKI的电子合同机制应该为双方都认可的权威的第三方机构，并且云存储用户、云服务提供商都能随时快捷方便安全地跟基于PKI的电子合同中心建立联系，一旦云存储客户发现云存储数据出错的问题，电子合同中心应就该出错事件划分双方的责任，并一经划定就具有最高的权威性和有效性，从而解决因数据出错而导致的相互推卸责任的问题，进而最大限度地保护云存储客户的权益。

1 方案

基于PKI的电子合同机制应用到企业级云存储出错数据的证明中，是一个比较新的领域，由于存储数据处在分布式网络环境中，建立统一的，所有企业级用户和云存储服务提供商之间都认可的电子合同中心，具有一定的难度，主要应从以下两个方面考虑：

（1）身份认证和数字签名的集中管理，涉及到非常多的对称和非对称密钥的分配和管理，主要通过传统的PKI技术实现；

（2）云平台中电子合同条款的生成，企业级云存储数据出错时，双方责任的划分、仲裁意向书及复议仲裁意向书的生成并保证其有效性和权威性，主要由电子合同中心CC完成。

具体方案和流程如图1所示：

图1 云存储中基于 PKI 的电子合同机制

⑴电子合同中心CC向PKI的CA申请数字证书，CA严格审核其身份后向其颁发数字证书，证明其拥有CC的身份。

⑵CC根据目前市面上企业级云存储用户的需求，将安全级别设置为一级绝密、二级机密、三级保密三种级别，并根据级别的不同，对应生成电子合同条款，最终生成三种电子合同样式。

⑶对生成三种电子合同样式用自己的私钥签名，公钥进行公布，发布电子合同样式

⑷企业级云存储用户选择电子合同样式，填写电子合同内容，包括安全级别、数据量大小、受保护年限、文件目录结构等内容。

⑸云存储用户对电子合同进行数字签名并向云服务提供商提出合同的申请。

⑹云服务商严格审查云客户的身份，并就填写的合同条款检查其真实性、完整性和可行性，如若判断不可行，立即将不通过的结果和原因返回给云客户，否则云服务进行数字签名并向CC提出申请

⑺CC严格审查云存储用户和云服务商的身份，并就双方认可的合同条款检查其真实性、完整性和可行性，如若判断不可行，立即将不通过的结果和原因返回给云存储用户和云服务商，否则CC进行数字签名。

⑻CC生成一式三份的电子合同，并向云存储用户和云服务商颁发其已经签名的电子合同，并自己留存一份

⑼若云存储用户在云存储数据的使用过程中，发现数据出现错误，向CC提出仲裁申请，CC根据自己留存的电子合同中的条款，对该错误进行仲裁，就损失进行责任的划分，并就仲裁结果进行数字签名，生成一式三份的仲裁意向书，将仲裁意向书颁发给云存储用户和云服务商，并自己留存一份

⑽云存储用户和云服务商若均无异议，云存储用户对仲裁意向书进行数字签名，并发送给云服务商，云服务商进行再次签名，并将仲裁意向书发送给CC，

⑾CC生成一式三份的仲裁确认书，并向云存储用户和云服务商颁发其已经签名的仲裁确认书，并自己留存一份，出错数据证明完成。

⑿若任何一方有异议，可就仲裁意向书进行再次复议并进行申请，CC再次根据电子合同条款就复议内容进行复议仲裁，并就复议仲裁结果进行数字签名，生成一式三份的复议仲裁意向书，将仲裁意向书颁发给云存储用户和云服务商，并自己留存一份。

⒀云存储用户就复议仲裁意向书进行数字签名，并发送给云服务商，云服务商进行再次签名，并发送给CC，

⒁CC生成一式三份复议仲裁确认书，并向云存储用户和云服务商颁发其已经签名的复议仲裁确认书，自己留存一份，出错数据证明完成。

在该方案中，云存储用户、云服务提供商和CC之间为了保证数据的真实性，完整性，防止篡改和任何一方的抵赖行为，多次用到数字签名，数字签名 DS（Digital Signature）是指发送方使用私有密钥对待传送的整个信息进行加密或者是对整个原始信息的哈希值进行加密所得的数据，并将其附在原始数据后面一起发送，接收方在 CA上查找发送方的公开密钥，对数字签名进行解密得到原始明文数据或者原始明文的散列值 接收方运用同样的散列函数作用于收到的明文得到一个散列值，比较这两个散列值是否一致，从而验证原始信息是否真实完整。

在数据的传输过程中是明文，信息是可见的，为了保证三者之间数据传输的机密性、防止泄密，必须用到保密传输。在此基础上，可以利用PKI的保密传输机制，发送方使用接收方的公钥对明文信息进行加密，接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因此可以实现保密通信。

在双方数据传输的过程中，接收方可能会存在以没有收到信息为由发生抵赖行为而推卸相应的责任，为了达到网络安全的不可否认性，在发送数据之前，在彼此之间应建立一条相互认证的通道，确认双方的身份，此时需用到PKI的身份认证技术，双方的验证同样需要各自的数字签名[3]。相互认证过程如图2所示：

图2 相互认证通道的建立过程

2 小结

本文论述了当企业级云存储数据出错时，为了解决相互推卸责任，保证责任划分的最高权威性和有效性，保证数据传输的机密性、完整性、可靠性、可用性和不可否认性，提出了基于PKI技术的电子合同机制，并提出了具体实施方案，从而构建权责明确、权威可靠的相互认可的第三方电子合同认证平台。PKI技术的数字签名技术可防止抵赖行为，从而保证数据传输的完整性、可用性、可控性和不可否认性；PKI技术的保密传输技术可实现数据传输的保密性。而电子合同的申请、颁发，仲裁意向书、仲裁确认书、复议仲裁意向书、复议仲裁确认书的颁发等诸多数据传输问题都要用到保密传输技术，电子合同、仲裁意向书、仲裁确认书、复议仲裁意向书、复议仲裁确认书的生成都要用到数字签名技术。而传统的PKI技术刚好满足该类技术需求，我们完全可将传统的PKI技术移植到新型的云存储技术中，从而实现企业级云存储出错数据责任的划分和证明的应用。以最大限度保护云存储客户的利益，进而推动云存储技术的蓬勃发展。

[1]商业伙伴咨询机构．中国云计算生态系统白皮书．（2014～2015），2015．

[2]余凌，鉴定．基于数字水印和数字签名的电子合同订立系统研究．湖北农机化，2008．

[3]鲁恩铭．基于PKI技术的企业级云存储出错数据证明的研究．电脑知识与与技术，2016．