网站原创【 摘 要 】 在Inter上开展保险业务缩短了销售渠道,但安全认证问题也成为发展网上保险的障碍.文章分析了用户密钥管理问题和PKI中签名应用和加密应用中对私钥管理上的不同要求,建议选择使用USBKey作为用户密钥安全管理的方案.研究了在PKI体系中引入USB Key,并且成功实现了基于USBKey的签名证书和加密证书在保险公司CA系统上的申请和签发流程.
【 关 键 词 】 USBKey;私钥保护;不可否认;PKI
Study on USBKey based on PKI and its Application in Insurance
Zhang Hong-mei
(Shandong Shengli Vacational College ShandongDongying 257000)
【 Abstract 】 The developments of insurance on Inter has greatly shortened the sale channels and cut the cost . But the problem of security certificate has also bee the obstacle in the development of inter insurance. In this paper, we he various circumstances in the application of PKI, archiving recovery and key encryption applications. This paper discusses the introduction of USBKey to PKI system and succesully ensure that the USBKeybased signature certificates could realize the application and issue process in the CA system of the insurance pany.
【 Keywords 】 USBKey;private key protection;PKI;non-repudiation
0 引言
随着计算机和网络通信技术的发展,从而产生了网上保险,保险公司和客户之间可以通过网络实现投保、核保、理赔和给付.对于网上保险,人们最关注的莫过于其安全性和严肃性,能否保证保户个人信息的隐私性及网上保险销售是否具有法律契约效力等都格外重要.目前保险公司开展过程中,缺乏一个具有公众信誉的认证机构(CA)来负责验证或识别网上交易活动的各个主体的身份,这些问题阻碍了保险电子商务的顺畅运行.
1.研究的背景及意义
公钥基础设施(Public Key Infrastructure,PKI)体系,是目前公认的解决大规模、分布式开放网络环境下的信息安全问题最可行、最有效的、应用最广泛、最成熟的方法.基于PKI技术的证书权威机构中心应运而生.CA中心作为电子商务交易中受信任的第三方,专门解决PKI公钥体系中公钥的合法性问题.身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性.
保证私钥的安全是整个PKI的最重要问题,如何实现对密钥的有效管理是构建PKI客户端系统的重要内容之一,它涉及到的生成、分发、保存、验证、撤销、更新等多个环节USBKey无须读卡器之类的外设,可以直接与USB接口相连,并且当前绝大多数的桌面操作系统都支持USB接口,可以即插即用.另外USBKey内置加密算法程序,可以自行产生密钥对,USBKey跟智能卡一样能够保证私钥始终无法从外部读取,签名、加密运算均在USBKey内进行,不会被读入计算机的内存中,也不会占用额外的CPU资源.
2.PKI体系与用户密钥管理分析
| 有关论文范文主题研究: | 关于密钥的论文范本 | 大学生适用: | 在职论文、学院学士论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 11 | 写作解决问题: | 写作资料 |
| 毕业论文开题报告: | 标准论文格式、论文小结 | 职称论文适用: | 论文发表、初级职称 |
| 所属大学生专业类别: | 写作资料 | 论文题目推荐度: | 免费选题 |
2.1 PKI提供的安全怎么写作
PKI是一个利用公钥技术在开放的互联网环境中提供数据加密和数据签名怎么写作的统一的技术框架.它由公钥技术、数字证书、权威认证机构(CA)和系统安全策略等基本部分组成.PKI系统的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性和不可否认性.PKI体系是目前比较成熟、完善的互联网安全解决方案.PKI作为安全基础设施,能为用户根据不同的安全需求提供多种安全怎么写作.这些安全怎么写作主要包括认证怎么写作、机密性怎么写作、数据完整性怎么写作和不可否认怎么写作等.
2.2 签名密钥管理分析
在网络中,不可否认性是通过数字签名来实现的,而这是建立在属于用户的私钥是无法被其他人获得这个检测设之上的,即建立在单一密钥的检测设之上的,如果用户的私钥可以被复制或者被其他人访问,那么不可否认的前提就不复存在了.由此可见,作好用户签名密钥的管理是至关重要的.对于一个企业或者是一个机构而言,这样的加密密钥的备份就尤为重要,一方面,从被加密数据的重要性上来看,企业数据可能比用户个人数据更加重要.另外一方面,企业也无法承受因为某位雇员丢失了密钥、或者是雇员的离职,而导致其加密的企业数据无法恢复所造成的损失.因此,对于加密用途的密钥,通常都有进行归档备份的客观需求.
2.3 用户私钥安全存储方式
为了保证私钥的安全以及为了确保签名私钥的唯一性需求,需要做大量的工作.如果不止一个用户拥有私钥的副本,则PKI系统的有效性就出现了问题.为了提供可行的对私钥的唯一性的保护,私钥生命周期内的所有阶段和它的处理都是很重要的.私钥使用的关键方面是私钥的存储位置和私钥的保护,以及用户为了获得对密钥存储的访问所采用的身份验证方式.
3.USBKey在保险公司CA系统中的设计
3.1 保险公司CA系统
本文设计的CA系统基于PKI信任体系框架,它提供安全认证体系的所有功能,负责保险公司工作人员数字证书的发放和管理,构建一个可以保证授权的合法性、身份的真实性、交易数据的完整性和保密性以及不可否认性的可信的安全认证系统.
CA安全认证中心包括1个全国中心(CA)和若干个审核受理中心(RA).每个审核受理中心(RA)下面包含若干个证书申请受理点(RS).整个网络结构呈树形结构,如图所示.
3.2 CA证书申请及发放
CA证书的审核、制作、发放流程中RS负责录入用户的申请信息,审核相关,并将信息提交至RA中心.RA中心审核通过后,向CA中心转发证书的申请请求.CA中心响应RA中心的证书请求,为该用户签发证书并返回给RA中心.RA中心操作员打印相应证书的信封,并将该用户的证书灌制到证书介质中,RA中心制作证书和信封后通过RS业务受理点向用户发放.
该CA系统支持单密钥和双密钥证书的申请和发放.单密钥证书指证书的公钥用途有两种:既可以用来签名,也可以用来加密.双密钥证书指加密和签名分别由两份证书来完成,其中一份证书在密钥/证书用途上规定只用于签名应用,另一份规定只用于加密应用.
欲将USBKey作为PKI证书及密钥的安全载体,必须严格遵循密钥和证书的管理规范.在用户证书及私钥的整个生命周期中,始终根据安全策略对证书及密钥进行规范使用,并给予全方位的保护,保证整个PKI体系不会在用户密钥及证书管理这个最薄弱环节上出现纰漏.如果认为有了技术保证就可以高枕无忧,在证书及密钥管理上不给予足够的重视,则整个安全体系很可能就形同虚设,无法达到应有的安全水平.将USBKey引入到PKI体系中,为了达到PKI整体安全标准,必须从用户证书申请、密钥生成一直到最后密钥和证书过期废止这整个过程中,对USBKey进行规范的使用和管理.
用户使用PKI的应用范围主要分为两类,一类是签名应用,另一类是加密应用.根据这两类应用的不同,PKI体系提供了签名证书和加密证书这两种不同用途的证书,对这些应用给予支持.在PKI中引入USBKey,在USBKey上实现对这两类应用的支持,必须从公/私钥对生成开始,就采取完全不同的策略.
4.结束语
本文以保险公司认证中心(CA)为背景,在CA系统中引入了USBKey.实践了基于USBKey的签名证书和加密证书在CA系统上的申请签发流程.使用签名证书和加密证书这两类证书来实现PKI对于保险业务中数据传输的真实性、机密性、完整性、和不可否认性的支持.为PKI安全认证体系实施提供了一个全新的思路,对PKI在电子商务系统中的应用做了较好的探索.