PKI/CA技术在电子政务信息安全领域的运用探索

13869145568

    信息时代的到来，让计算机网络走入国民经济和社会生活各个领域。电子政务的发展使“网上政府”从构想变为现实，为提升行政效率、构建和谐社会做出了巨大贡献。然而，科学技术是一把双刃剑，电子政务在为大家带来方便的同时也存在信息安全威胁。本文先容了公开密钥基础架构体系/数字认证（PKI/CA）技术在电子政务信息安全领域的运用，阐述了如何运用PKI/CA技术通过数字加密和数字签名，确保身份认证性、信息保密性、完整性和不可抵赖性，达到为电子政务信息安全保驾护航的作用。

1. PKI/CA技术浅析

1.1密码技术

密码技术是用来保证信息安全的一种必要手段，是信息安全的核心。从数学角度讲，加密是一种从“明文”定义域到“密文”值域的函数，解密是加密的反函数。

1.2公开密钥基础架构体系（PKI）

PKI是“Public KeyInfrastructure”的缩写，PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子政务的每一方的合法性的其他注册颁发机构所构成。迄今为止的所有公钥密码体系中，RSA算法是最著名、使用最广泛的一种。

1.3数字证书

数字证书又称为数字标识（DigitalCertificate，Digital ID）。它提供了一种在Internet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。

1.4电子签名法

《中华人民共和国电子签名法》于2005年4月1日正式施行。法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。《电子签名法》的施行，标志着我国首部“真正意义上的信息化法律”正式诞生，它将对我国电子政务的发展起到至关重要的促进作用。

2.电子政务安全支撑平台

2.1作用和意义

构建以公钥基础设施（PKI）技术和授权管理基础设施（PMI）技术为核心的电子政务安全支撑平台，旨在满足电子政务业务信息系统运作流程中遇到的身份识别、权限控制、数据加密、数据完整性、抗抵赖等多种安全需求。电子政务安全支撑平台主要负责数字安全证书的申请受理、认证、制作、签发和管理，为开展电子政务提供身份认证、数字签名、证书目录查询、电子公证、安全电子邮件等服务，为城市信息化建设提供安全保障。

2.2各子系统工作原理

2.2.1认证系统

证书认证（CA）中心负责用户注册、证书/注销列表生成与签发、证书/注销列表存储与发布、证书状态查询、证书管理控制和策略配置、安全审计管理等。密钥管理（KM）中心提供加密证书密钥对的管理功能，作为独立运行的系统，可为一个或多个认证系统提供密钥管理服务，实现密钥的产生、存储、分发、更新、撤销、归档、恢复等密钥管理服务。

2.2.2授权系统

授权系统对用户主体进行权限管理，实现对计算机系统中的受控资源进行访问许可，受控资源表示系统中需要进行访问控制的资源，访问类型是指对于相应的受控对象的访问控制，如：读取、修改、删除等等。

2.2.3数字时间戳

数字时间戳（DTS：digital time stamp）是信息安全服务项目之一，提供电子文件日期和时间信息的安全保护。DTS是一个经加密形成的凭证文档，包括需加DTS的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。

2.2.4 PKI中间件

PKI中间件是以PKI为基础，遵循国际、国内安全标准，面向信息安全应用，提供数字证书安全服务的开放式中间件。通过PKI中间件与信息系统的集成，可以实现不同层面的系统安全。诸如Java Applet、WWW服务器插件和应用服务器端Java Servlets等都需要数据加解密、密钥生成、数字签名等密码运算和证书管理，应根据具体应用环境选用不同的加密设备。

2.2.5 PMI中间件

身份验证组件用于鉴别用户身份，应用系统根据自身安全需要选择使用强/弱身份认证。权限验证组件用于审查合法用户的访问权限，对于合法用户，该组件将从LDAP服务器上获得用户属性证书，根据授权管理访问策略，判断是否授权用户访问。

3. PKI/CA技术应用

3.1开机登录

将加密硬件设备安装于电脑主机上，当打开主机时，系统会验证使用者的身份。这时只有证书的合法持有人将载有证书的介质（USBKEY、IC卡等）插入识别器，经识别器验证通过之后才能将机器打开。

3.2应用系统登录

使用数字证书登录应用系统时，用户将证书存储介质（如USBKEY）插入读取器，应用系统向USBKEY读取用户信息，如用户登录名；由用户在登陆界面输入PIN码。PIN码输入正确后，系统再读取证书和密钥对用户的身份进行验证，验证通过才能登录到应用系统。USBKEY的“双因子认证”方式从根本上杜绝了黑客盗取用户名和密码就能登录应用系统的可能。

3.3加密和解密

电子政务的文件传输，由于涉密原因不能采用明文方式，而应该采用基于PKI/CA技术的“加密—传输—解密”方式。PKI基于RSA非对称加密算法，同时与对称加密算法混合使用，从而保证了信息的保密性和传输的高效性。

3.4签名和验证

数字签名作为电子签名的一种，具有更好的应用安全性和可操作性，保证了信息的“不可抵赖性”。数字签名就是一种可靠的电子签名，发送方采用HASH算法和RSA算法，使用签名私钥对文件进行签名，接收方用发送方证书中所含的公钥对签名进行验证。

3.5安全Email服务

数字证书与Email应用App的结合使用使得发件人可以使用证书对邮件加密或者签名，或者既加密又签名，只有邮件的合法收件人才能加密和验证邮件内容。

3.6支付平台

电子政务中涉及资金支付的业务对信息安全提出了更高要求。如招标采购、资金结算、办公超市、资产管理等政务活动，都需要建立可信的支付平台，PKI/CA技术实现了安全的身份认证、保密传输、签名验证等功能，为电子政务的发展保驾护航。