1、 简论基于 PKI 的金融服务论文基于 PKI 的金融服务论文导读:本论文是一篇关于基于 PKI 的金融服务的优秀论文范文,对正在写有关于公钥论文的写有一定的参考和指导作用,摘 要:本文从数字证书认证的本质出发,研究 PKI 证书服务系统的思路和策略。可以预见 PKI 的研究将对金融领域的公钥数字证书使用起到极大的推动作用,存在可观的预期收益和研究价值。关键词:PKI;数字证书;金融服务引言:伴随科技的进步,X 络技术的革新,金融服务业发展也更加丰富化。然而与之相伴随的安全理由也接踵而来,这就使得我们不得不重新审视各类金融业数字化 X 络服务的安全理由。金融领域是数字证书应用最活跃、最广泛的领
2、域之一。建立在非对称和对称 体制等 技术基础上的数字证书在当今日趋复杂的信息环境中,为各类金融安全需求者提供有效地保护,为我们在金融领域建立起一套严密的身份认证和数据保密系统,在保证金融信息的保密、交易记录不可否认性、交易者身份的确定性、交易内容的完整性等金融服务方面发挥着重要作用。一、金融业 PKI 目前状况分析根据我国信息产业部的不完全统计,从 1999 年我国第一家 CA认证机构中国电信 CA 安全认证系统建立以来,截止 2010 年底,在我国已建成 140 多家 CA 认证系统。而从 2005 年中华人民共和国电子签名法颁布开始,通过专家审核,信息产业部已经为 22家 CA 机构颁发执
3、照。从 PKI 的建设情况与背景来看,大致可以把国内的 PKI 分为三类:第一类是根据每个行业的需求建立的各大行业 CA;第二类是各级政府部门为实现信息化办公而筹划的专门为电子政务服务的政府CA;第三类是以盈利为目的的商业性 CA。为解决电子商务 X 上支付安全理由, CFCA 于 1998 年由电子商务领导小组第二次会议议定筹划建立,1999 年正式开工建设,并与 2000 年正式挂牌成立,它是由中国人民银行牵头,组织中国银行、中国工商银行、中国建设银行、中国农业银行、中国光大银行、深圳发展银行、交通银行、中信实业银行、华夏银行、招商银行、广东发展银行、兴业银行、民生银行十三家银行联合共建的
4、金融行业统一的第三方安全认证机构。2003 年CFCA“国家金融安全认证系统 ”建设被列入国家 863 计划。CFCA 不仅支持金融领域的各种证书应用以及其它如 OA、MIS安全业务,还支持各种基于电子商务平台的业务运作模式。二、公钥基础设施 PKI(一)数字签名。数字签名是一种基于公钥 体制的一种数字认证,其分为签名和认证两个部分。数字签名是在数字化的金融领域中,以技术的手段实现传统其商务活动中的签字、盖章作用,以保证金融交易的真实性、安全性和不可抵赖性,为金融交易的安全性提供保障服务。(二)数字证书。在虚拟的数字世界中,为了证明每个参与者的真实身份,类似于现实生活中居民身份证的数字证书,将
5、参与者的真实身份与公钥绑定在一起,以证书的形式颁发给参与者。数字证书是由权威的认证中心(CA),在申请者提出申请后,根据申请者的申请信息,对其真实身份进行验证后,利用 CA 的根证书对申请者的公钥及身份信息进行签名后,将签名后形成的数字文件颁发给申请者并储存于 CA 证书库,供其它使用者下载和查询。(三)全套接层协议SSL。在 PKI 体系中,为了解决金融业对数据的完整性、数据传输安全性及用户之间、用户与 CA 之间、不同 CA 之间的身份认证要求,PKI 各实体间的信息传输釆用了 X景公司基于公钥 体制的 X 络安全协议SSL 安全套接层协议。SSL 协议在互联 X 的基础上提供了一种保证通
6、信私密性和安全性的解决方案。它使得各实体间的通信不被攻击者所窃听,并始终保持对了客户实体对服务器的认证。(四)PKI 体系结构基于 PKI 的金融服务由专注毕业论文与职称论文的.提供, .。在电子商务、金融交易 X 络化日益普及的大环境下,公开密钥体制为为我们的交易提供了通信保密性服务、数据完整性服务、认证服务,保证了交易的不可抵赖性、保密性等。同时也提出了一个新的理由即公钥的真实性理由。在虚拟化的电子交易中,用户不能指望交易双方能面对面地交换公钥,同时也需要面对如何管理公钥的理由,即如何处理用户的公钥更新、公钥作废等需求的理由。这一系列技术理由都是公开密钥体制下必须解决的技术难题,只有这些理
7、由解决了才能使公开密钥技术得到广泛的推广和使用。PKI 以公钥 体制为核心,将数字证书、数字签名等技术结合在一起,为整个公钥 体系提供了一个安全基础框架,在这个框架中,为基于公钥的各种应用、服务提供安全环境。三、基于 PKI 的可重用证书方案(一)PKI 的可重用证书方案基本思想。首先公钥证书的可重用方案设计,将在不转变 PKI 构架的基础上,只针对证书的管理进行优化,这将最大限度的继承并优化现有的 PKI 系统资源。那么思路的核心将是金融证书的可重用性。那么在金融业数字证书可重用方案中,PKI 所签发的用户主公钥证书将要求实现可重用,可重用公钥证书方案的大致思路可以描述为:(1)证书申请者将
8、选择一对自己的主公-私钥,将主公钥连同自己的身份信息发送给 PKI 的 CA 中心;( 2)通过认证, CA 中心将签发关于用户主公钥的数字证书;(3)用户获得主公钥证书后能利用主公-私钥自主生成用户子公-私钥,并利用这些用户子公-私钥参与实际的公钥应用;(4)验证者能通过用户主公钥证书来验证并确定用户子公钥的归属。利用上述设计思路可以减少 PKI 系统直接管理的用户公钥证书总量,此时 PKI 系统是面向用户提供证书服务,而传统方式下是面对不同的公钥应用提供证书。这样能有效减少 PKI 证书服务器数量,提高证书管理效率,为优化 PKI 服务器 X 络连接性能创造有利条件,还能增加用户公钥选择自
9、由度。(二)可重用证书的功能需求。金融业可重用数字证书的设计使得我们将只为一个用户(个人,法人机构)发放一个超级 USB Key,用户能够使用该超级 USB Key 实现多个不同金融 的登录,以及相关操作,但是从安全上却要求与央行“超级 X 银”的简单 绑定区别开来。在这种设计思想下,就要求金融管理部门只需要为每个用户发放一个主公钥证书,而满足不同金融部门的认证要求。(三)可重用证书的安全需求。金融业数字证书用于保证金融交易中参与者身份的真实性和相关交易数据的安全,而公钥证书的作用是确保公钥的真实性,只有满足了公的真实性才能使公钥的相关应用(加密,数字签名)确保金融交易数据的安全性。那么基于P
10、KI 的可重用公钥证书方案就必须满足同一份公钥证书认证多个用户公钥的要求,这就对可重用公钥证书方案的安全性提出了更高要求。一方面,在现有金融业 PKI 系统中,一份公钥证书对应一个公钥,公钥的失效(私钥暴露)只会让该公钥证书作废。然而在可重用公钥证书的设计方案中必须考虑公钥证书重用后,一旦子公钥失效是否会影响其它整个重用证书的安全,这就需要认真研究。另一方面,一份主公钥证书对应多个子公钥,这些对应子公钥由谁指定,这就需要研究如何实现让授权者来生成这些对应的子公钥,同时也要约束授权者生成这些子公钥后不能否认他的生成行为,即明确子公钥的归属,这是可重用公钥证书系统安全的核心。根据上述安全要点,本文
11、构建的理论方案安全要求为:(1)有且只有主公钥证书(金融 USB Key)的合法持有者能够利用户私钥生成用户子公-私钥;(2)用户子公钥集合中部分子公钥对应的私钥暴露不会影响未失效的子公钥安全性;(3)用户子公钥集合中部分子公钥对应私钥的暴露不会影响主公钥证书的安全性。结束语:本论文提出的方案是基于 PKI 下公钥数字证书结构性创新工作,在论文中主要创新点有:对 PKI 下的公钥证书进行可重用设计,使 PKI 中证书管理的部分权限下放给具体的证书持有者。实现了一个用户只向 PKI 申请一份主公钥证书;一份用户主公钥证书能对用户多个子公钥进行认证;验证者能利用用户主公钥证书验证用户生成的所有子公钥。然而,整个基于 PKI 的金融业可重用证书系统将是一个庞大的系统工程,本论文只是完成了整个可重用公钥证书系统的部分工作,存在着些许不足,还有很多更为详细的后续工作需要跟进。
