基于pki的usbkey在保险系统中的研究.doc

基于PKI的USBKey在保险系统中的研究与应用【摘 要】在internet ±开展保险业务缩短了销售渠道,但安全认证问题也成为发展网上保险的障碍文章分析了用户密钥 管理问题和pki中签名应用和加密应用中对私钥管理上的不同要 求，建议选择使用usbkey作为用户密钥安全管理的方案研究了 在pki体系中引入usb key,并且成功实现了基于usbkey的签名证 书和加密证书在保险公司ca系统上的申请和签发流程关键词】usbkey；私钥保护；不可否认；pki【abstract 】 the developments of insurance on internet has greatly shortened the sale channels and cut the cost . but the problem of security certificate has also become thein thisobstacle in the development of internet insurance.paper,we have various circumstances inthe application ofpki, archiving recovery and key encryption applications, this paper discusses the introduction of usbkey to pki system and successfully ensure that the usbkey - based signature certificates could realize the application and issue process in the ca system of the insurance company.【keywords 】 usbkey； private key protection； pki； non-repudiation随着计算机和网络通信技术的发展，从而产生了网上保险，保险 公司和客户之间可以通过网络实现投保、核保、理赔和给付。

对于 网上保险，人们最关注的莫过于其安全性和严肃性，能否保证保户 个人信息的隐私性及网上保险销售是否具有法律契约效力等都格 外重要目前保险公司开展过程中，缺乏一个具有公众信誉的认证 机构(ca)来负责验证或识别网上交易活动的各个主体的身份，这 些问题阻碍了保险电子商务的顺畅运行1 研究的背景及意义公钥基础设施(public key infrastructure, pki)体系，是目 前公认的解决大规模、分布式开放网络环境下的信息安全问题最可 行、最有效的、应用最广泛、最成熟的方法基于pld技术的证书 权威机构中心应运而生ca中心作为电子商务交易中受信任的第三 方，专门解决pld公钥体系中公钥的合法性问题身份验证机构的 数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字 信息传输的完整性，用户的数字签名可以保证数字信息的不可否认 性保证私钥的安全是整个pki的最重要问题，如何实现对密钥的有 效管理是构建pki客户端系统的重要内容之一，它涉及到密码的生 成、分发、保存、验证、撤销、更新等多个环节usbkey无须读卡 器之类的外设，可以直接与usb接口相连，并且当前绝大多数的桌 面操作系统都支持usb接口，可以即插即用。

另外usbkey内置加 密算法程序，可以自行产生密钥对，usbkey跟智能卡一样能够保证 私钥始终无法从外部读取，签名、加密运算均在usbkey内进行， 不会被读入计算机的内存中，也不会占用额外的CPU资源2 pki体系与用户密钥管理分析2. 1 pki提供的Pki是一个利用公钥密码技术在开放的互联网环境中提供数据加 密和数据统一的技术框架它由公钥密码技术、数字证 书、权威认证机构(ca)和系统安全策略等基本部分组成pki系 统的主要目的是通过自动管理密钥和证书，为用户建立起一个安全 的网络运行环境，使用户可以在多种应用环境下方便的使用加密和 数字签名技术，从而保证网上数据的机密性、完整性、有效性和不 可否认性pki体系是目前比较成熟、完善的互联网安全解决方案 Pki作为安全基础设施，能为用户根据不同的安全需求提供多种安这些要包括机数据完整不可2.2 签名密钥管理分析在网络中，不可否认性是通过数字签名来实现的，而这是建立在 属于用户的私钥是无法被其他人获得这个假设之上的，即建立在单 一密钥的假设之上的，如果用户的私钥可以被复制或者被其他人访 问，那么不可否认的前提就不复存在了由此可见，作好用户签名 密钥的管理是至关重要的。

对于一个企业或者是一个机构而言，这 样的加密密钥的备份就尤为重要，一方面，从被加密数据的重要性 上来看，企业数据可能比用户个人数据更加重要另外一方面，企 业也无法承受因为某位雇员丢失了密钥、或者是雇员的离职，而导 致其加密的企业数据无法恢复所造成的损失因此，对于加密用途 的密钥，通常都有进行归档备份的客观需求2.3 用户私钥安全存储方式为了保证私钥的安全以及为了确保签名私钥的唯一性需求，需要 做大量的工作如果不止一个用户拥有私钥的副本，则pld系统的 有效性就出现了问题为了提供可行的对私钥的唯一性的保护，私 钥生命周期内的所有阶段和它的处理都是很重要的私钥使用的关 键方面是私钥的存储位置和私钥的保护，以及用户为了获得对密钥 存储的访问所采用的身份验证方式3 usbkey在保险公司ca系统中的设计3. 1 保险公司ca系统本文设计的ca系统基于pki信任体系框架，它提供安全认证体系 的所有功能，负责保险公司工作人员数字证书的发放和管理，构建 一个可以保证授权的合法性、身份的真实性、交易数据的完整性和 保密性以及不可否认性的可信的安全认证系统ca安全认证中心包括1个全国中心(ca)和若干个审核受理中心(ra)o每个审核受理中心(ra)下面包含若干个证书申请受理点(rs)o整个网络结构呈树形结构，如图所示。

3. 2 ca证书申请及发放ca证书的审核、制作、发放流程中rs负责录入用户的申请信息， 审核相关证件，并将信息提交至ra中心ra中心审核通过后，向 ca中心转发证书的申请请求ca中心响应ra中心的证书请求，为 该用户签发证书并返回给ra中心ra中心操作员打印相应证书的 密码信封，并将该用户的证书灌制到证书介质中，ra中心制作证书 和密码信封后通过rs业务受理点向用户发放该ca系统支持单密钥和双密钥证书的申请和发放单密钥证书指 证书的公钥用途有两种：既可以用来签名，也可以用来加密双密 钥证书指加密和签名分别由两份证书来完成，其中一份证书在密钥 /证书用途上规定只用于签名应用，另一份规定只用于加密应用欲将usbkey作为pki证书及密钥的安全载体，必须严格遵循密钥 和证书的管理规范在用户证书及私钥的整个生命周期中，始终根 据安全策略对证书及密钥进行规范使用，并给予全方位的保护，保 证整个pki体系不会在用户密钥及证书管理这个最薄弱环节上出现 纽:漏如果认为有了技术保证就可以高枕无忧，在证书及密钥管理 上不给予足够的重视，则整个安全体系很可能就形同虚设，无法达 到应有的安全水平将usbkey引入到pki体系中,为了达到pki 整体安全标准，必须从用户证书申请、密钥生成一直到最后密钥和 证书过期废止这整个过程中，对usbkey进行规范的使用和管理。

用户使用Pki的应用范围主要分为两类，一类是签名应用，另一 类是加密应用根据这两类应用的不同，pld体系提供了签名证书 和加密证书这两种不同用途的证书，对这些应用给予支持在pld 中引入usbkey,在usbkey ±实现对这两类应用的支持，必须从公/ 私钥对生成开始，就采取完全不同的策略4 结束语本文以保险公司认证中心(ca)为背景，在ca系统中引入了 usbkeyo 实践了基于usbkey的签名证书和加密证书在ca系统上的申请签发 流程使用签名证书和加密证书这两类证书来实现pki对于保险业 务中数据传输的真实性、机密性、完整性、和不可否认性的支持 为pki安全认证体系实施提供了一个全新的思路，对pki在电子商 务系统中的应用做了较好的探索参考文献［1］ 张志红•智能卡安全技术及在pki中的应用.网络安全技术与 应用,2005, 3(6) : 10-12.［2］ 赵洪,王仲文•基于usb接口的智能密码钥匙的研究•遥测遥 控，2005, 28(2) : 68-71.［3］ 赖建华，汪宏伟.pki体系私钥保护机制研究•情报探索，2006, 18(1) : 42-44.［4］ 张仕斌，何大可,代群.pki安全认证体系的研究•计算机应用 研究,2005, 20(7) : 127-130.：5］麦炳•第二代居民身份证制证系统解决方案•金卡工程，2006, 9(2) : 33-34.。