基于PKI CA跨域认证平台应用.docVIP

基于PKI CA跨域认证平台应用 　　【 摘 要 】 随着医院管理信息化的建设，安全问题越来越引起人们重视。PKI具有支持可追究服务，为原发数据提供了更高级别的担保，具有保护机密性，没有安全验证服务在线的限制，应用领域不受具体应用的限制，具有极强的互联能力方面的优势。本文主要主要阐述了PKI体系存在的问题及基于PKI CA的跨域认证平台在医院信息安全管理中的应用。【 关键词 】 PKI技术；应用 　　1 公钥基础设施（PKI）概述 　　公钥基础设施（PKI）是为电子政务、电子商务提供安全的，遵循标准的利用公钥密码技术，具有广泛的通用性；靠非对称密码算法技术和原理提供安全服务，为网络应用提供所需要的证书和密码管理。PKI系统主要包含五个方面，分别是应用接口（API）、密钥备份及恢复系统、权威认证机构（CA）、证书作废系统和数字证书库。公钥基础设施（PKI）的优点主要是具有支持可追究服务，为原发数据提供了更高级别的担保，更好地保护弱势个体；具有保护机密性，为相互认识的实体之间及陌生的用户之间都可以提供保密支持；没有安全验证服务在线的限制，能为更广阔的用户提供服务；应用领域不受具体应用的限制，具有极强的互联能力。 　　2 PKI体系存在的问题 　　2.1 在密钥管理方面 　　PKI的问题主要集中在认证中心及用户密钥管理上。如果认证机构和用户的私钥丢失或失密将会产生严重的信任问题。因此，认证机构和用户的私钥管理尤为重要，一旦私钥丢失或失密将会导致由该认证机构及下游组织所组成的信任体系的崩溃。 　　2.2 在法律法规方面 　　在全世界范围内，PKI的相关法律发建设都有待加强，许多国家已经赋予了数字签名和手工签名同等的法律地位。特别是在我国，目前尚无完善的有关PKI技术应用的相应的立法，认证中心和密钥托管中心本身的法律地位、建立程序、业务运作规则等都需要立法予以明确。 　　2.3 在相关配套服务方面 　　面对黑客的四处活动，我国的PKI行业还面临另外一个问题：当用户利用遭受严重的损失时，没有一种有效的赔付机制来理赔和保险，而这正是国内认证机构在建立信誉时面临的问题。而在国外，认证机构的赔付机制大多依靠保险，但目前中国没有这一险种。 　　2.4 在技术规范方面 　　在我国，认证中心的建设没有统一标准，各自为战，造成大量的重复建设。当前，国内的PKI产品与服务市场正进入诸侯割据的时代。各认证机构发放的证书在相互兼容、互通互用方面也存在很多问题。 　　2.5 在安全管理方面 　　PKI本身一种信息安全机制，其目的是在虚拟世界里建立起一种信任机制，因此作为提供PKI服务的认证机构本身必须满足一定的安全条件，才能真正建立起可信的网络应用环境。所以，必须有一套规范来对认证机构的安全性进行必要的评估和管理，以保证认证机构的可信性。除此之外，各认证机构向用户提供PKI服务时，规范尚未统一，且服务规章也不健全，因此，必须要有有关部门对PKI行业进行统一的监管，并在竞争的同时加强合作。 　　2.6 在用户认识方面 　　用户是PKI应用的宿主，用户对PKI的认识程度与水平直接影响着我国PKI行业的发展。大部分用户对PKI这一新技术了解的比较少，所以就谈不上应用了。因此，我国的PKI行业必须花大力气去培育用户群体。 　　3 PKI 技术在 HIS 中的运用分析 　　3.1 开发工具分析 　　本文中 PKI 系统的操作系统为Windows XP，相关信息和证书的存储工具为 SQL Server2000 数据库，开发工具为OpenSSL软件包和VC++6.0。用 C 语言编写的OpenSSL软件包具有优秀的跨平台性能，可在多个平台上安装使用，如VMS、Windows、Mac、Linux等，具有广泛的适用性。OpenSSL 可以提供多种功能，如大数运算、数字证书和CRL 操作、大量加密算法、SSL 协议实现、非对称算法密钥生成、摘要算法等。 　　3.2 密钥对生成技术分析 　　密钥对产生的方法主要有两种：（1）集中式产生：先由PKI的密钥管理中心的系统产生密钥对，然后交由 CA 的证书管理模块完成数字证书的制作，最后把证书和私钥交给用户：（2）分布式产生：先通过外部的硬、软件，用户在本地产生并存储密钥对，然后将用户信息和公钥并传给 CA，由 CA 为用户签发数字证书，最后将用户证书安装在本地使用。这两种方法比较而言，集中式应用更为广泛。 　　3.3 CA 私钥备份技术分析 　　管理私钥是 PKI 系统中的一大难点，是一项长期、细致、复杂的工作。私钥参与了CA 所有的操作，因此在私钥的使用和传输过程中，其安全性非常重要。所以为了避免因私钥丢失对用户和系统带来安全隐患，一般PKI 系统都含有私钥备份环节。本文对 CA 私钥的备份选用 Shamir 门限方案。Shamir