（计算机软件与理论专业论文）采购信息管理系统的安全策略及其技术实现.pdf

政府采购信息管理系统的安全策略及其技术实现 专业计算机软件与理论 研究生王姝妲指导教师李涛 在经济和信息全球化加快发展的背景下，促进电子政务的发展己经成为 个国家或地区参与全球竞争，提升国家或地区的全球竞争力，争得经济和社会 发展“先机”的重要内容。同时，电子政务的发展正受到安全因素的制约，电子 政务的网络信息安全问题成为电子政务能否全面实现的关键因素。政府采购系 统作为电子政务的典型应用，也面临巨大的安全问题。 本文首先分析了政府采购信息管理系统所面临的安全隐患1 2 l ，针对这些安 全问题提出了一个基于i n t e t n e t 的政府采购信息管理系统安全策略框架。该安 全策略是基于公钥基础设施规范，采用密文的方式传输敏感信息。使用严格的 身份认证和访问控制，提供保密性，身份认证、访问控制、完整性、不可抵赖 性和可用性等安全服务，能够有效地杜绝安全隐患。该安全策略为政府采购业 务建立了一个具高可靠性、高安全性的网络平台。本文分析并阐述了政府采购 系统的安全策略及技术实现的同时，本文还分析了政府采购系统的p k i 实现 f s c a 的系统结构。最后，本文提出了并实现了政府采购中基于角色的访问控 制子系统卯r b a c ，该系统保护政府采购信息管理系统中敏感数据的访 问安全。 总体来说，本文的主要贡献有： 提出了政府采购信息管理系统的安全策略框架，并进行了完备而详尽 的分析和阐述。 分析了政府采购系统的p 实现f s c a 的系统结构。 提出了政府采购信息管理系统访问控制模型g pr b a c 。 实现了政府采购信息管理系统中的访问控制子系统g p _ r b a c 。 关键词：电子政务政府采购p k i 身份认证f s c a 访问控制基于角色的访 问控制g pl l a b c ； t h es e c u r i t yp o l i c ya n di m p l e m e n t a t i o no f g o v e r n m e n tp r o c u r e m e n ts y s t e m m a j o rc o m p u t e rs o t t w a r e t h e o r y s t u d e n tw a n gs h u d aa d v i s o rl it a o w i t ht h er a p i dd e v e l o p m e n to ft h en e wg e n e r a t i o no fi n f o r m a t i o nt e c h n o l o g y r e p r e s e n t e db yi n t e r n e t t h e h u m a nb e i n g sa r ea d v a n c i n gt oac o m p l e t e l yn e wa g e r e l i e do nn e t w o r k b u t t h ea b s e n c eo fs e c u r i t yi st h em a i nb a r r i e ro fe l e c t r o n i c g o v e r n m e n ti m p r o v e m e n t a so n eo ft h et y p i c a la p p l i c a t i o no fe _ g o v e r n m e n t ，i t i sa l s of a c e dt h et r o u b l eo fs e c u f i t y f r o mt h er e q u i r e m e n tf o rs e c u r i t y , f i r s t l y , t h i st h e s i sg e n e r a l i z e dt h es e e u r i t y p r o b l e mf a c e dw i t he _ g o v e m m e n tp r o c u r e m e n ts y s t e m s e c o n d l y , as e c u r i t y p o l i c yb a s e di n t e r a c to fe _ g o v e r n m e n tp r o c u r e m e n ts y s t e mw a sb e e na d v a n c e d i nt h i s s e c u r i t yp o l i c y , t h eeg o v e r n m e n tp r o c u r e m e n ts y s t e mi s ac r e d i b l e s e c u r en e t w o r kp l a t f o r mb a s e dt h ew e b s i t e a n dt h i ss y s t e mc a nk e e pa w a yf r o m t h et r o u b l ea b o u ts e c u r i t y t h i r d l y , t h et h e s i sa n a l y s e st h es t r u c t u r eo ft h ep k ii n eg o v e r n m e n tp r o c u r e m e n t - f s c a a tl a s t ，t h i sp a p e ra d v a n c e dt h em o d e lo f r o l eb a s e da c c e s sc o n t r o li nt h es y s t e m 一g p _ r b a c ，a n dd e s c r i b e dt h e i m p l e m e n t a t i o no fg p _ r b a c b a s i c a l l y , t h ec o n t r i b u t i o n so ft h i sp a p e r a r ea sf o l l o w s ： t h i sp a p e rm a k e sc a r e f u l l ya n a l y s e sa n dd e s c r i b eo nt h es e c u r i t yp o l i c y i ng o v e r n m e n tp r o c u r e m e n ts y s t e m 1 1 坞a p p l i c a t i o no fp k ii ng o v e r n m e n tp r o c u r e m e n ts y s t e m - - - f s c ai s a n a l y s e d t h em o d e lo fr o l eb a s e da c c e s sc o n t r o li nt h es y s t e m - g p _ r b a ci s f u l l ya n a l y s e da n dd e s c r i b e d t h eg p _ r b a ci se s t a b l i s h e d i i i ( e l m o r d $ ：eg o v e r n m e n teg o v e r n m e n tp r o c u r e m e n tp k if s c ar o l e - b a s e d a c c e s sc o n t r o l ( r b a c ) g p _ r b a c - 争 气 四川大学硕十学位论文 1 绪论 1 1 背景 信息技术的迅猛发展，特别是互联网技术的普及应用，使电子政务【1 2 】的 发展成为当代信息化的最重要的领域之一。电子政务最重要的内涵是运用信息 及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使得人们 可以通过不同的渠道得到政府的信息及服务。 电子政务的重要性使得其信息价值倍增，但它本身存在着管理和技术实现 的脆弱性，因此电子政务系统容易受到敌对国家和国内外组织、敌对个人犯罪 分子以及黑客的攻击，造成政府财政预算、决策信息、关系国计民生的基础数 据等机密信息的泄漏、破坏甚至被恶意的篡改，对我国的国家安全造成严重威 胁。 政府采购信息管理系统是这几年电子政务建设的热点。由于信息的高敏感 性，使安全策略是个需要格外关注的问题。互联网是一个开放的网络，建立在 其上的政府采购活动也必然具有同样的特点。网络的开放性必然带来信息失窃 的隐患，解决好信息共享与保密性、完整性的关系，开放性与保护隐私的关系， 互联性与局部隔离的关系，是实现安全的政府采购系统的前提。在享受网络带 给我们的便利的同时，严格控制对用户的身份认证、对信息的访问权限、保证 信息的安全访问及完整性对于政府来说足迫切需要解决的问题。 目前现有的政府采购信息管理系统虽然或多或少采用了相关的一些安全技 术，如公钥基础设施p k f ，访问控制技术3 1 、防火墙技术口4 j ，入侵检测技术【3 , 4 1 等，但缺少一个统一高效的安全支撑体系，来提供完备政府采购安全服务，仍 然受到安全问题的威胁。所以，很多现有的政府采购信息管理系统只能作为采 购信息发布平台，不能实现真正意义的政府采购业务。 政府采购信息管理系统需要建立在一个具有高可靠性、高安全性的网络平 台上，彻底抛弃了过去建专用网来保证网络安全的做法，建立起了跨地域的达 到军用绝密级标准的保密通信，既而建立起以财政厅信息中心为核心的高效、 安 群 办 保 多 信 新 难 个 究 阔 供 程 焦 度 同 可 服 四川大学硕+ 学位论文 政府采购信息管理是政府采购部门实现科学决策、计划管理以及“公正、 公开、公平”的基础手段，是对政府采购工作进行调控和监督的基础手段，也 是政府采购部门与政府其它管理部门之间、本部门各管理层次之间以及部门 与广大服务对象之间相互沟通、有机联系的纽带。通过信息处理和信息特有 的反馈作用，可以使政府采购部门的运行效率在计划、组织、指挥、协调和 调度等五大环节上达致最佳。政府采购信息化是电子政务( e g o v e r n m e n t ) 在政府管理中应用的主要部分和重要环节。同时，各级政府采购监督部门、 集中采购机构充分通过信息化建设以提高政府采购的科学化和规范化程度是 全面贯彻政府采购法的有效途径。 政府采购综合信息系统的根本目的是在整合政府采购信息资源的基础上 构建一个统一的政府采购平台。财政部门、采购人( 进行政府采购的国家机 关、事业单位、团体组织) 、集中采购机构( 一般为政府采购中心) 、供应商 等与政府采购有关的法人或自然人均可以使用该平台，从而完成政府采购流 程所涉及的各个环节。 目前在我国，政府采购信息管理系统已成为电子政务发展的热点领域。 很多省市都相继建立了自己的政府采购信息管理系统。逐步向转变政府职能， 提供便民服务，提高办事效率，节约成本，节约资金的无纸化办公方向发展。 然而，在政府采购信息系统建设蓬勃发展的同时，安全威胁也无处不在，由 于政府采购系统数据的敏感性，政府采购信息管理系统正常运行的前提和保 障。现在，流行的电子政务网络安全技术非常多，主要有身份认证技术、访 问控制技术、入侵检测技术、防火墙技术等。现有的政府采购信息管理系统 或多或少的都采用了这些安全技术，也能够达到一定的安全防范目的。但是， 由于缺乏一个完备的安全策略支撑体系架构，仍然不能解决目前的网络安全 问题。这造成了大部分现有的政府采购信息管理系统只能成为一个采购信息 的发布平台。不能实现诸如网上招投标、网上竞争性谈判等关键，达到无纸 化办公的目的，违背了建立政府采购信息管理系统的初衷。 由此看来，建立一个完备的政府采购信息管理系统安全策略支撑体系架 构是非常必要的。然而国外的一些成熟的解决方案都价格非常昂贵，且不一 定适合中国政府采购的需要。因此，本文提出了一个安全策略架构，以满足 政府采购信息管理系统的安全需要。 四川大学硕七学位论文 1 4 本文工作 本文首先从安全需求出发，分析了政府采购信息管理系统所面临的安全隐 患，提出了一个基于i n t e r n e t 的安全策略支撑框架，随后详细阐述和分析了该 安全策略的组成部分及其实现技术，以及这些安全策略在政府采购业务系统中 所起到的安全作用。 随后，本文着重分析了公钥基础设施- - p k i 技术在该政府采购信息管理 系统安全策略中的应用，使用严格的身份认证机制。同时，在访问控制模块中， 本文提出了一种基于角色的访问控制在w e b 上的具体实现模型一一 g p ，并详细阐述了该模型在政府采购信息管理系统中的实现。该安全_rbac 策略框架采用密文的方式传输机密信息采用密文的方式传输机密信息，使用严 格的身份认证和访问控制机制，提供保密性、身份认证、访问控制、完整性、 不可抵赖性和可用性等安全服务，能够有效地杜绝安全隐患。 政府采购信息管理系统针对政府采购中心日常事务和采购事务的特点， 提供内部办公自动化和采购流程管理等功能，其中内部办公自动化系统满足 了政府部门日常基本的办公需求，采购流程管理则提供了针对政府采购业务 流程处理的统一的工作平台，以及与此相关的信息决策、供应商管理、专家 信息管理等功能。可以这么说，政府采购信息管理系统，在结合了网上竞价 的基础上，综合四种采购形式( 联合采购、自行采购、委托采购、代理采购) 和八种采购方式( 公开招标、邀请招标、竞争性谈判、询价采购、单一来源 采购、定点采购、延续采购、网上竞价) ，可以对物资、软、硬件、工程等项 目实施采购，满足我国政府采购实务所要求的全部采购模式。 另外，在业务流程管理方面，系统充分体现了方便性和灵活性，系统能 够实现采购流程柔性管理，通过对与采购流程有关的采购方式、流程节点、 流程走向、流程操作等概念进行抽象，建立灵活的可视化流程定制功能，满 足业务流程的个性化、标准化和模块化的要求。 具体来说，本文的主要贡献有： 对电子政务安全体系策略进行了完备而详尽的分析和阐述。 四川大学硕士学位论文 提出了一种基于i n t e r a c t 的政府采购系统的安全策略。 对访问控制模型及策略进行了完备而详尽的分析和阐述。 实现了政府采购系统中基于角色访问控制子系统。 1 5 论文结构 本文首先从理论上详尽阐述了p k i 体系，然后介绍了f s c a 的设计和实现。 论文结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内政府采购信息管理系统的 发展现状及本文工作。 第二章，分析了政府采购信息管理系统的安全需求。 第三章，提出了政府采购信息管理系统安全策略框架，并分析了该安全策 略框架各组成部分。 第四章，通过介绍政府采购信息管理系统的业务框架，分析了安全策略 框架对政府采购业务框架的支撑作用。 第五章，阐述了政府采购系统中基于公钥基础设施的安全策略。 第六章，阐述了政府采购系统中访问控制子系统- - - - g pr b a c 的设计及 实现。 第七章，对全文的总结。 得政府采购事务处理更加高效、方便。 规、发布招投标信息、公布中标信息、 标等功能。实现全省联网、异地投标。 它能为公众提供有关政府采购政策法 并提供商家在线下载标书及网上招投 该系统是电子政务的典型应用，政府采购工作部分开放至互联网实现， 系统中的敏感的资金流数据面临着前所未有的安全威胁，其信息安全保障问 题显得更加的突出和重要。一旦存在安全漏洞，将会给社会造成少则上万， 多则上亿的资产损失。因此，对政府采购信息管理系统中敏感信息的访问进 行控制成为了本文所关注的问题。 2 1 政府采购信息管理系统安全隐患分析 政府采购信息管理系统的网络安全的基本目标是实现信息的机密性、完 整性、可用性和资源的合法使用。政府采购信息管理系统面临的威胁就是对 于这四个基本安全目标的威胁。下面本文将从四个方面分析政府采购信息管 理系统中存在的安全隐患。 2 1 1 信息泄漏 信息泄漏。1 是指政府采购信息管理系统中的敏感数据在有意或无意中被 泄漏、丢失或透露给某个未授权的实体。信息泄漏通常包括： 信息在传输过程中被丢失或泄漏( 如利用电磁泄漏或搭线窃听等方 式截获信息) ； 通过网络攻击进入存放敏感信息的服务器主机后，非法复制敏感信 1 3 四川大学硕士学位论文 息； 通过对信息的流向、流量、通信频度和长度等参数的 有用信息( 如用户口令、帐号等重要信息) 。 非法用户与非授权的客户的非法使用，而造成网络路由错误，信息 被拦截或监听。 2 1 2 完整性破坏 完整性破坏。”即为以非法手段窃得对信息的管理权，通过未授权的创建、 修改、删除和重放等操作而使数据的完整性受到破坏，以达到的破坏信息完 整性的目的。 攻击者可以从三个方面破坏信息的完整性： 篡改：改变信息流的次序、时序、流向、内容和形式； 删除：删除消息全部或者其中的一部分； 插入：在消息中插入一些无意义或者有害的内容。 2 1 3 服务拒绝 服务拒绝1 4 3 】是指网络系统的服务能力下降或者丧失甚至瘫痪。服务拒绝可 以由两个方面的原因造成： 受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问 尝试而产生过量的系统负载，从而导致系统资源对合法用户的服务能 力下降或者丧失。 由于系统或组件在物理上或者逻辑上遭到破坏而中断服务。 2 1 4 未授权访问 未授权实体非法访问嘲系统资源，或授权实体超越权限访问系统资源。例 1 4 - 四川大学硕士学位论文 如，非法用户通过有意避开系统访问控制机制，对信息设备及资源进行非法操 作或运行；系统用户擅自扩大权限，越权访问系统资源。非法访问主要有假冒 和盗用合法用户身份攻击、非法进入网络系统进行违法操作，合法用户以未授 权的方式进行操作等形式。 2 2 政府采购信息管理安全体系的需求分析 在对政府采购信息管理系统面临的安全隐患进行了分析之后，本文认为在 政府采购信息管理系统中应该从身份认证，访问控制，信息传输安全，系统备 份四个方面入手，来保障整个系统的安全，杜绝信息泄漏、完整性破坏、服务 拒绝、未授权访问等安全隐患，确保政府采购信息管理业务的正常进行。 2 2 1 身份认证安全的需求分析 通过网上进行电子业务活动时，由于双方并不在现场，因此，必须确认 双方的合法身份；同时业务信息是双方的秘密，在网上传输时必须保证安全 性，防止信息被窃取；并且，一旦发生纠纷，必须能够提供仲裁。因此，在 电子业务中，一定要从技术上实现身份认证，安全传输，保证权威性、不可 否认性以及数据完整性。 认证就是确认实体为自己所声明的实体，鉴别身份的真伪。身份认证技 术能够密切结合政府采购信息管理系统的业务流程，阻止对重要资源的非法 访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问 题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安 全体系的基础。 网络的虚拟性和匿名性使得网络欺诈行为和反悔行为得以随时随地发 生，严重威胁着电子商务的发展。建立有效的网上交易身份认证机制，提升 交易双方的信用度是有效控制网络欺诈的重要途径，对于电子商务的健康发 展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈 四川大学硕士学位论文 之一。在现实社会中，即便有着诸多因素的制约，仍然普遍地存在着信用缺 乏的现象，建立完善的信用机制已经成为社会各界的共识。而在互联网时代， 高新技术的发展、网络的匿名性、管理的非中心化、无国界性给信用机制带 来了前所未有的机遇和挑战。政府采购信息管理系统身份认证对于建立整个 政府采购业务的信用机制起着重要作用，因此如何确认政府采购信息管理系 统参与者的身份便成为本系统迫切希望解决的问题。 而现在大多数网上政府采购信息管理系统中都采用传统的用户名+ 口令 的方式来对系统用户身份进行认证，系统信息资源面临着重大的安全隐患。 具体表现在： 口令易被猜测，在传输中也易被截获，给用户和网络管理者带来极 大的安全风险： 投标用户在做完相关操作后，由于涉及到自身经济利益，可能出现 抵赖曾经做过某些操作的现象，增加了系统的管理难度： 在服务器端，用于认证用户信息的资料，容易成为黑客攻击的对象， 也容易被超级用户( 如：系统管理员) 有意或无意的泄露； i n t e r n e t 上的信息站点容易被伪造，网上政府采购的网站被假冒后， 可以被用来发布虚假消息，误导投标用户，造成不可估量的损失； 系统信息在网上采用明文的方式进行传输，敏感的招投标信息容易 被泄露、篡改等等。 这些安全问题的存在严重威胁着政府网上采购的顺利开展。因此，本文 认为在政府采购信息管理系统中，身份认证机制要实现以下需求： 采用实名制来建立一个安全的信任体系，确保政府采购信息管理系 统中每一位注册的用户为政府采购机构认可的人员； 确保每位登陆进政府采购信息管理系统的用户都如他自己申明的身 份一样； 确保政府采购信息管理系统合法用户的身份不会被非法用户盗用， 包括系统的超级用户( 如：系统管理员) ； 确保政府采购信息管理系统合法用户参与了网上政府采购业务后， 不能反悔，即实现不可抵赖性： 四川大学硕七学付论文 2 2 2 访问控制的安全需求分析 电子政务作为网络应用的一个特殊领域，除了要考虑一般性的网络安全问 题外，电子政务的信息化的特点对系统最终的元素数据的安全访问提出了 特殊的要求。 访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证 网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并 在身份识别的基础上，根据身份对提出资源访问的请求加以控制。它是对信 息系统资源进行保护的重要措施，也是计算机系统最重要和最基础的安全机 制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用 这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。 在网络安全环境中，访问控制能够限制和控制通过通信链路对主机系统和应 用的访问。为了达到这种控制，每个想获得访问的实体都必须经过鉴别或身 份认证，这样才能根据个体来制定访问权力。 政府采购信息管理系统的网络规模很大，功能非常复杂，涉及的敏感资 源种类也越来越多，整个系统中的人员也非常多，因此潜在的攻击者也会越 来越多，因此在政府采购信息管理系统中进行严格的访问控制是非常必要的， 以确保系统的资源不受非法的问与篡改。 因此，本文认为在政府采购信息管理系统中的访问控制机制需要满足以 下几点： 访问控制机制对终端用户透明：政府采购信息管理系统的合法用户， 通过了身份认证之后进入到系统中，系统提供给他的功能，即他所 能够操作的资源就只有系统给该用户授权的资源访问权限； 对政府采购信息管理系统中的用户可访问资源的访问控制管理的粒 度要小，以适应政府采购信息管理系统中大量用户对各种资源的不 同访问控制的管理要求； 减少系统政府采购信息管理系统管理员的授权管理工作的复杂度， 降低管理开销：由于政府采购信息管理系统拥有海量用户，必须采 用种最适合访问控制机制，来达到系统复杂度和效率的平衡。 四川大学硕士学伊论文 2 2 3 信息安全传输需求分析 由于网络环境的广泛性和复杂性，信息在传输过程中可能被截取、篡改。 给用户和政府采购信息管理系统都带来不必要的麻烦，甚至是及其严重的后 果。例如，在网上招投标过程中，各供应商的出价信息如果在网络传输的时 候，遭到了黑客恶意的截取或篡改，将可能会对供应商、政府采购机构、采 购人带来严重的损失，整个政府采购业务将无法在i n t c r n e t 上开展。因此，确 保政府采购信息管理系统所有信息在i n t e r n e t 上传输的安全性，将为政府采购 业务在i n t e r n e t 上的应用提供一个非常完备的保障，非常显著的提升政府采购 信息管理系统的效率，节约大量资金。 通过分析，本文提出在政府采购信息管理系统中保障信息传输安全必须满 足以下几点需求： i n t e m e t 上传输的政府采购信息管理系统所有信息必须通过加密，以密 文而不是明文的形式在网络上进行传送； 保证接收信息的一方能够确认收到的信息没有被篡改； 确保当发生信息交换行为后，一方如果进行否认，另一方能够拿出证 据证明否认方确实参与了交换行为。例如：在网上招投标过程中，供 应商通过i n t e m e t 出具了价格信息，中标之后，如果供应商一方否认 曾经的出价信息，单方面加价，采购人能够证明该供应商在中标之前 出具的价格属实。 确保传输的信息确实能够为授权者所用，防止由于某些原因造成信息 被非法者所用。 2 2 4 容灾系统的安全需求分析 政府采购信息管理系统毋庸置疑给大家带来使用的方便、费用的降低、效 率的提高等诸多好处。与此同时，也大大增加了人类对政府采购信息管理系统 的依赖程度。如何使大量资料安全的存储，如何确保信息系统的正常运行，当 系统发生问题时如何确保数据的快速安全恢复，也时政府采购信息管理系统的 四川大学硕七学位论文 安全架构必须考虑的问题。一旦发生数据的丢失和损坏将造成难以估量的损失。 如“9 1 1 ”恐怖袭击事件，以及近期在我国很多地区肆虐的“麦莎”台风，都是典型 的例子。除了受灾地区所承受的直接损失之外，还因为信息化设施的停顿，造 成大量潜在和外围的损失。这一方面说明了信息对社会经济和人民生活的重要 性，另一方面也说明了政府采购信息管理系统中提高信息数据的抗灾性的必要。 因此，政府采购信息管理系统中需要引入容灾机制，该机制要满足如下需 求如下： 能够实现本地数据的远程异步备份： 能够可直接架构于i n t e m e t 上，降低系统的运作成本； 能够对政府采购信息管理系统透明，支持l i n u x 下的所有文件系统及 存储设备。 可同时实现对多台服务器的集中备份； 对本地服务器的影响较小； 提供了方便友好的客户端配置管理工具。 2 3 小结 本章对政府采购信息管理系统所面临的安全隐患进行了详细的分析，并根 据这些安全隐患，提出通过身份认证机制，访问控制机制、信息安全传输机制， 以及容灾机制来杜绝政府采购信息管理系统可能面临的安全隐患，最后从政府 采购信息管理系统的这四方面进行了详细需求分析，为进一步的政府采购信息 管理系统安全支撑框架的设计做好充分的准备工作。 四川大学硕士学位论文 3 政府采购信息管理系统的安全体系设计 3 1 政府采购信息管理系统安全策略的设计目标 政府采购信息管理系统作为电子政务的典型应用，要确保政府采购业务能 够安全顺利的完成。安全策略设计的好坏会直接影响着政府采购网上业务的开 展。同时更会破坏政府的公众形象，因此，建立一个完备而健壮的安全策略是 非常必要的。 该安全策略设计目标为； ( 1 ) 提供高秘密性保护：政府采购信息管理系统中传输的政府采购管理部 门及管理相对人的各类信息，很多涉及到秘密和隐私，因此必须保证信息传 输的秘密性。 ( 2 ) 提供完整性保护：网上传输的信息不仅可能被截获而造成泄密，而且还 可能被别有用心的人篡改，造成不必要的损失。此外，数据传输过程中信息 的丢失、信息重复或信息传送的次序差异也会导致信息的不真实。因此信息 的完整性将影响到政府采购管理部门的正确决策和管理相对人的切身利益。 因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中 信息的丢失和重复并保证信息传送次序的统一。 ( 3 ) 提供不可抵赖性保护：在传统的政务活动中，是凭借签名盖章来保证不 可抵赖性的，也就是人们常说的“白纸黑字”。电子政务中通过手写签名和印 章进行鉴别已是不可能的。需要在政务信息的传输过程中为参与的个人、企 业或国家提供可靠的标识，来保证政务活动的正确有效。 ( 4 ) 提供实现强身份认证：政府采购系统中，管理活动的双方不是面对面 的，管理者内部之间也不是面对面的，有可能某一方被人冒充。如何确定要 进行政府采购活动是按照正常的程序和权限进行的是保证政府采购顺利进行 的关键。政府采购系统必须提供策略，保证交易双方的身份是确定无误的。 ( 5 ) 提供隐私权保护：主要是管理相对人，不希望他人得到他们的隐私信 息，如对供应商来说提供的产品价格信息等，对专家来说其身份证号码等类 四川大学硕士学竹论文 似的信息，即实现优质的访问控制服务。 综上所述，安全问题是政府采购系统建设中的关键性问题之一。政府采 购系统对安全的基本要求是：系统稳定、数据安全、身份鉴定、权限管理、机 要信息安全等，以保证政府采购管理工作正常有序地进行。政府采购信息管 理系统安全策略需要达到以上本文提出的设计目标，以保证政府采购信息管 理系统能够在一个安全，稳定的状态下运行，为政府采购网上业务提供完善 的安全保障。 3 2 政府采购信息管理系统采用的安全技术手段 电子政务安全是一个系统的概念，要想增强电子政务系统的安全系数， 不仅要建立以网络安全技术( 如认证、授权、数据加密、访问控制等) 为基础 的网络安全防护体系，而且要有合适的网络系统安全策略和其它的安全措施。 不过，建立在网络安全技术基础之上的安全业务和现有的网络安全技术手段， 是提高网络安全的有力保障。 3 2 1 公铜基础设施p k i 3 2 1 1 构建p k i 的宓要性 随着网络技术和信息技术的发展，诸如电子政务、电子商务、网上银行 等网上电子业务己逐步被人们所接受，并得到不断普及，i n t e r n e t 的发展为市 场带来了无限商机。但是国际互联网的发展被其开放式设计的网络本身阻碍 了，截取、监听和伪造网络中传输的消息比较容易，人们不敢贸然用网络传 输金融或敏感数据。通过网上进行电子业务活动时，首先必须确认双方的合 法身份，彼此具有可信任关系【1 2 1 ，这是任何可信的网上业务的前提。其次， 业务信息是双方的秘密，在网上传输时必须保证安全性，防止信息被窃取。 再者，如果业务发生纠纷，必须有权威的机构提供仲裁。因此，在网上电子 业务中，一定要从技术上实现身份认证，安全传输。保证权威性、不可否认 四川大学硕七学位论文 性以及数据完整性。 在密码学中，公钥密码体制最适用于满足电子商务要求的。在这种体制 中，对私钥而言，主要考虑的问题是如何防止泄漏，它由用户自己保存；对 公钥来说，它必须分发给任何需要和该用户进行通信的人，因此需要将公钥 放在一个任何人可以取得到的公共的地方。这就给攻击者可乘之机，他们可 以伪造用户公钥。考虑以下情形：攻击者可以任意进入该公共地方，并将自 己的公钥替换掉a 用户的公钥。当用户b 需要和a 通信时，b 首先去公共的地 方取出a 的公钥，但此时它实际取出的是攻击者的公钥。b 将私密数据用该公 钥加密后传送给a ，然而此时攻击者可以截获该加密数据，用自己的私钥将 其解密，从而得到了a 与b 的私密数据。对于数字签名来说也存在同样的问题， 数字签名采用单向h a s h 函数，对原文进行加密压缩形成数据摘要，然后用发 送方的私钥对数据摘要加密形成数字签名附在原文上一起发送，这段信息类 似于现实中的签名或印章。接收方使用发送方的公钥对数字签名进行解密， 并同时对原文使用相同的h a s h 函数生成数据摘要，比较两个数据摘要，如果 匹配，则签名验证通过。而此时如果接收方取得的公钥是攻击者的公钥，那 么它所解密的数据并非发送者发送过来的，而是攻击者用自己的私钥签名的 数据。 所以现在的问题是，我们确定不了用于加密解密的公钥是否确实属于你 认定的实体? 对于用户来说，创建公私密钥对是一项简单的操作。由于公钥 是公开的，而且放在某个相当容易被访问的地方，入侵者可以自己生成密钥 对，然后使用他的公钥替换那个已经用于标识某人的公钥。一旦这个公钥被 公布了，入侵者就可以用自己拥有的私钥解密发送给其他人的信息，并且还 可以用私钥来生成一个签名，从而导致用户确认该签名并错误地信任它。 为了防止这种攻击，在使用公钥密码体制时，必须要确立可信赖的身份， 仅仅拥有一对公私密钥不足以确立一个可信赖的身份。如何建立这种用户之 间的信任关系是任何安全系统的建立所需要考虑的。目前网络安全解决方案 中多采用两种信任关系，一种是直接信任，另一种是第三方信任。然而对于 网上电子商务，网上银行等网络应用来说，交易双方可能互不认识，因此直 接信任关系并不是适用。而所谓的第三方信任是指两个人可以通过第三方间 接地达到彼此信任。当两个陌生人都和同一个第三方彼此信任并且第三方也 四川大学硕士学位论文 担保他们的可信度时，这两个陌生人就可以做到彼此信任。这种方式是大规 模网络环境中建立信任关系的主要形式。 从上面的分析可以得出结论：建立一个可信的第三方机构来统一管理用 户的公钥是解决公钥密码体制中身份问题的必然结果。用户的公钥必须依法 登记，获得使用许可证的密钥对才允许使用，这样的加密或数字签名才具有 法律效力。简单地说，我们需要一套公钥基础设旖( p k i ，p u b l i ck e y i n f r a s t r u c t u r e ) 【6 7 】。p k i 就是管理和发布公钥的系统。它采用证书管理公钥， 通过第三方的可信任机构c a ( c e r t i f i c a t e a u t h o r i t y ) 8 - 1 0 l ，把用户的公钥和用 户的其他标识信息( 如名称、e m a i l 、身份证号等“捆绑在一起，在i n t e m e t 网 上验证用户的身份。 p k 提供了一个框架，在这个框架中，各种各样的组件组合起来为电子 商务提供了四个主要的安全功能： 1 ) 保密性保证信息不被泄漏或者暴露给未授权实体； 2 ) 完整性保证信息没有被篡改； 3 ) 身份认证证明一个人或一个应用的身份； 4 ) 不可否认性保证发送和接收的信息不能被否认。 一个有效的p k i 系统必须是安全的和透明的，用户在获得加密和数字签名 服务时，不需要详细地了解p i e d 是怎样管理证书和密钥的。p k i 基础设施是目 前比较成熟、完善的i n t e m e t 网络安全解决方案。p k i 提供的安全功能满足了网 上电子业务的安全需求：一定要从技术上实现身份认证、安全传输，保证权 威性、不可否认性以及数据完整性。缺乏安全性被认为是阻碍电子商务发展 的主要障碍，而逐渐成熟、完善的p k i 体系将成为重要的i n t c r n e t 网络安全解 决方案。但p k i 绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商 务以及国家信息化的整体发展战略等多层面问题。p k i 作为国家信息化的基础 设施，是相关安全策略、技术、组织、规范和法律法规的总和，是一个宏观 体系，其本身就体现了强大的国家实力。中国作为一个网络发展大国，发展 自己的p k i 技术是很有必要而且是非常迫切的。 3 2 1 2p k i 的技术背量 公开密钥基础设施( p i g ) 实际上是8 0 年代的技术。国际电信联盟( i t u ) 在1 9 8 8 年定义的x 5 0 0 目录服务中规范了x 5 0 9 鉴别框架，它成为当今所有p k i 的基础。x 5 0 9 规范是i s o 和c c i t t i t u t 的x 5 0 0 标准系列的一部分，在p k i 概念由小的、封闭式的实验环境变到大的、开放式分布环境中，x 5 0 9 起了无 可比拟的作用。 然而，基于x 5 0 9 的p k i 实现技术面临着和诸多国际标准一样的问题：复 杂而庞大。x 5 0 9 虽然只描述鉴别框架，但由于它本身是x 5 0 0 目录服务系列 的一部分，因此它的核心机构( c a ) 也是按照分布式目录的目录信息树( d i t ) 来组织结构的。x 5 0 0 目录的分布式、可伸缩性、健壮性、规模性、可复制性、 可选项性等，使之非常难于全部真正实现。 因此，作为i n t e m e t 领导者的i e t f 组织吸取了t c p i p 在i n t e r a c t 上的成功经 验，于1 9 9 9 年3 月正式出台了i n t e r n e t 上的p k i 规范：r f c 2 4 5 9 、r f c 2 5 1 0 和 r f c 2 5 1 1 等。这些p k i 规范也来自于x 5 0 9 ，但证书的存储并没有规定一定要 使用x 5 0 0 目录服务，只是建议使用轻量目录访问协议( l d a p ，l i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ) ，l d a p 是x 5 0 0 目录访问协议中易描述、易执行的功能子集。 r f c 2 5 7 8 详细说明了适用于与l d a p 相兼容的信息存储，以此为p k i 实体的证 书和证书撤销列表信息存储提供基于标准化方法的存储，从而大大提高了在 l d a p 环境中实现不同生产商之间的p k i 产品互操作性的可能性。 当前p k i 的标准存在于两个基本方面。一方面，r s a 的公钥密码学标准 ( p u b l i c - k e y c r y p t o g r a p h ys t a n d a r d s ，p k c s ) 定义了许多p k i 的必要成分， 包括数字签名格式( p k c s # 7 ) ，证书请求格式( p k c s # 1 0 ) 和个人信息交 换语法( p k c s # 1 2 ) 等等。另一方面，就是f h i e t f 赞助下的公钥基础构架工 作组( p x ) 设计的一个基于x 5 0 9 版本3 的国际互联网的p k i ，它紧密遵循 x 5 0 9 版本3 标准，有一些不同的扩展。 p i g 标准与协议的开发迄今为止已有1 6 年的历史，目前的p k i 已完全可以 为企业网络提供有效的安全保障。关于p k i 的研究和应用一直是国内外的热 点。各国政府都在发展p k i ，讨论p i g ，开发和应用p k i ，同时基于p k i 的市场 也是巨大的。国外开发p k i 产品的公司很多，比较有影响力的有b a l t i m e o r e 和 2 4 四川大学硕士学付论文 e n t r u s t ，e n t r u s t p k i5 0 可提供多种功能，能够较好的满足企业的实际需求。 v e a i s i n g n 公司也已经开始提供p k i 服务，i n t e r n e t 上许多软件的签名认证都来 i 刍v e r s i g n 公司。但这些p k i 产品价格都较高，而且由于国外政府对加密技术 的出口限制，使得出口到我国的产品无法适应高强度的安全应用。另外，信 息安全是一特殊领域，在此领域中，我们必须开发出拥有自主知识产权的技 术和产品。 我国在p k i 领域的研究虽然起步较晚，但保持着迅速发展的态势。 北京大学、山东大学、上海交大和外经贸部中国国际电子商务中心等机 构都对c a 做了大量的研究工作。2 0 0 1 年9 月，我国科学技术部公布了国家8 6 3 计划“8 6 3 - 1 0 4 - 0 1 0 1 公钥基础设施关键技术( 重大项目) ”。 实际应用方面，已成立地区性认证中心的城市有：上海、广州、深圳等： 已成立的行业性认证中心有：中国电信( 湖南) c a 、外经贸部c a ( 国富安) 、 中国金融认证中心( c f c a ) 。另外，部分电子商务应用比较先进的企业也建 立了自己的认证中心，如招商银行等一批商业银行。 3 2 1 3p k i 的体系结构 p k 是“p u b l i ck e yi n f r a s t r u c t u r e ”的缩写，意为“公钥基础设施”。简单地 说，p k i 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。 该基础设施希望从技术上解决网上身份认证、电子信息的完整性和不可抵赖 性等安全问题，为各种网络应用如电子商务、电子邮件等提供可靠的安全服 务。 良好的基础设施的前提是：它被直接看到的越好，就工作得越好。比如 现实中得电力系统，我们并不知道其内部是如何实现的，只知道插上电源插 座就可以得到需要的电能。而对于需要电能的电器可以看着是该基础设施的 上层应用。对于p k i 来说也是同理，p k i 最主要的任务就是确立可信任的数字 身份，而这些身份可以被用来和密码机制相结合，为所有网络应用透明地提 供采用加密和数字签名等密码服务所需要的密钥和证书管理，这些服务的用 户可以在相当程度上确信自己没有被误导。这个可信任的数字身份通过公钥 四j i i 大学硕七学付论文 证书来实现，公钥证书是用户身份和公钥的结合。 p k i 作为一种基础设施，它提供了一个框架，该框架包括各种各样的安 全策略、组件和应用。其中策略规定了整个p k i 系统的方针、政策，具有监控 各个p k i 组件的责任。p k i 体系中包括多种组件，其中最核心的组件是操作组 件和证书库【l l 】。 操作组件可以分为两大类：管理实体和终端实体。管理实体是p k i 服务 的提供者，主要包括证书认证机构( c a ，c e r t i f i c a t ea u t h o r i t v ) 和注册机构 ( r a ，r e ：g i s t r a t i o na u t h o r i t y ) ，c a 作为具有权威性和公证性的第三方信任 机构，其主要功能就是颁发用户公钥证书。r a 是c a 的延伸部分，其重要功 能就是审查用户的身份，然后将通过审查的用户信息传送给c a ，请求c a 给 该合法用户颁发公钥证书。证书持有者和验证者是两种终端实体，持有者是 证书所声明的主体，是证书的拥有者。持有者还可以在需要时向管理实体提 出撤销或者更新证书请求。验证者通常是授权方，确认持有者所提供证书的 有效性以及对方是否为该证书的真正拥有者，只有在成功鉴别后才可以授权 给对方。 证书库用来存放数字证书和证书撤销列表( c r l ，c e r t i f i c a t er e v o k e l i s t ) ，可用数据库，f t p ，l d a p 目录来实现。 各个组件之间通过p k i 操作完成证书的请求、审批、颁发、撤销、更新 等过程。p k i 操作可分为存取操作和管理操作两大类。存取操作包括管理实体 和证书库之间的交互( 例如，管理实体将颁发的证书和c r l 发放到证书库) ， 终端实体与证书库之间的交互( 例如