（计算机应用技术专业论文）基于pki技术的安全电子政务系统的设计.pdf

基于p k i 技术的安全电子政务系统的设计 摘要 随着电子政务应用的不断深入，使得政府部门的工作方式发生了巨大的 变化。电子政务给政府工作带来方便和高效率的同时，也带来许多安全问题。 如何保障在信息安全的前提下提高政府部门的办事效率成为当前研究的热 点问题。电子政务应用中涉及到许多的机密数据，如何保证这些数据的真实 性、完整性和不可否认性是电子政务中的重要问题。而p k i 技术可以很好的 解决当前电子政务系统所面临的上述安全问题。 本文首先对电子政务这个概念进行了阐述，并对当前国内外电子政务系 统的发展现状进行了分析，并提出了当前电子政务系统中亟待解决的问题： 当前的体系缺乏身份认证体系和信息的传输中的加密问题。然后对p k i 技术 作了详细的论述，p k i 可以利用公钥技术和基于x 5 0 9 证书所提供的安全服 务，可建立安全域，并在其中发布密钥和证书，可以解决身份认证和信息传 输中的加密问题。并分析了当前p k i 系统使用的常用模型和常用的认证体 系，对各种模型和体系的优缺点进行了分析和讨论。 最后构建了一个安全的电子政务系统的模型并设计初步实现了电子政 务系统中一个重要组成部分数字证书系统。在这一部分中详细设计了安全的 电子政务体系应具备的各个层次，并讨论了各个层次在应用的可行性。包括 核心层p k i c a 的建设，网络层的认证接入，和应用层的身份认证、加密传 输、数字签名，接口层可信数据朋艮务的发布，及采用加密代理的方式来保证 数据的存储的安全性。文章的最后设计并初步实现了一个数字证书系统，包 括数字证书的申请、签发和撤销及查询，从而保证数据的安全传输。本文旨 在构建一个安全的电子政务系统，在保证安全的基础上为提高政府的办事效 率做出探索和努力。 关键字：电子政务系统；p k i ；数字证书 基于p k i 技术的安全电子政务系统的设计 a b s t r a c t w i t ht h ed e e pd e v e l o p m e n to fe g o v e r n m e n ta p p l i c a t i o n , t h em o d e so f g o v e r n m e n tw o r k i n g sc h a n g el a r g e l y b u te - g o v e r n m e n tb r i n g ss e c u r i t yp r o b l e m a l o n gw i t ht h eh i g l le f f i c i e n c y h o wt oi m p r o v et h eg o v e r n m e n t sw o r k m g e f f i c i e n c yt h r o u g he n s u r i n gi n f o r m a t i o ns e c u r i t yi sah o tq u e s t i o n e - g o v e r n m e n t a p p l i c a t i o ni n v o l v e ss o m ec o n f i d e n t i a ld a t a h o wt oe n s u r et h ea u t h e n t i c i t ya n d t h ei n t e g r a l i t yo f t h ed a t ai sa ni m p o r t a n tp r o b l e m t h et e c h n i q u eo f p c a nw e l l s o l v et h ea b o v ep r o b l e m i nt h i sp a p e r , w ee x p a t i a t et h ec o n c e p t i o no fe - g o v e m m e n tt h ef i r s t , t h e n a n a l y z e t h e d e v e l o p m e n t a c t u a l i t i e so fc u r r e n tn a t i o n a la n di n t e r n a t i o n a l e - g o v e r n m e n ts y s t e m ：t h el a c ko fi d e n t i t ya u t h e n t i c a t i o na n dt h ee n c r y p t i o ni n t h et r a n s m i s s i o no fi n f o r m a t i o n t h e nw ed i s s e r t a t em i n u t e l yt h et e c h n i q u eo f p k i p k ic a nu t i l i z et h et e c h n i q u eo fp u b l i ck e ya n ds e c u r i t ys e r v i c e sw h i c ht h e c e r t i f i c a t eb a s e do nx 。5 0 9p r o v i d e d ，a n df o u n ds e c u r i t yz o n ew h i c hc a r lr e l e a s e t h ek e ya n dc e r t i f i e a t e ，a c c o r d i n g l ys o l v et h ep r o b l e mo fi d e n t i t ya u t h e n t i c a t i o n a n dt h ee n c r y p t i o n t h e nw ea n a l y z et h eu n i v e r s a lm o d e la n da u t h e n t i c a t i o n s y s t e m ，t h e na n a l y z ea n dd i s c u s st h ea d v a n t a g ea n dd i s a d v a n t a g eo fc u r r e n t m o d e la n ds y s t e m l a s t l yw ed e s i g nam o d e lo f c u r ee - g o v e m m c n ta n di m p l e m e n t e l e m e n t a r i l y a d i g i t a l c e r t i f i c a t e s y s t e m ，w h i c h i sa n i m p o r t a n tp a r t i n e - g o v e r n m e n ts y s t e m i nt h i sp a r tw ed e s i g nm i n u t e l yt h en e c e s s a r yp a r to f s e a ：u i e s y s t e ma n da n a l y z et h ef e a s i b i l i t yo fe v e r yp a r tw h i c hi n c l u d e st h e c o n s t r u c t i o no fp k i c a 也ea u t h e n t i c a t i o no fn e t w o r kl a y e r , t h e i d e n t i t y a u t h e n t i c a t i o na n dt h ee n c r y p t i o ni nt h et r a n s m i s s i o na n dd i g i t a ls i g n a t u r eo f a p p l i c a t i o nl a y e r , t h er e l e a s eo fa u t h e n t i cd a t a s e r v i c e so fi n t e r f a c el a y e r , t h ew a y o fe n c r y p t i o na g e n tt oe n s u r et h es e c u r i t yo fd a t as t o r a g e i nt h el a s tw ed e s i g n a n di m p l e m e n te l e m e n t a r i l yad i g i t a lc e r t i f i c a t es y s t e mw h i c hi n c l u d e st h e a p p l i c a t i o n ，t h es i g n a t u r e ，t h ec a n c e l l a t i o na n dt h eq u e r yo f t h ec e r t i f i c a t e i nt h i s i i 苎王! 坠垄查箜室全皇王堕墨墨竺塑堡生 p a p e rw ep u r p o s et oc o n s t r u c tas e c 珊ee - g o v e r n m e n t , t oi m p r o v et h ew o r k i n g e f f i c i e n c yo f g o v e r n m e n tu n d on ep r e c o n d i t i o no f s e c u r i t y k e y w o r d s ：e - g o v e r n m e n ts y s t e m ；p k i ；d i g i t a lc e r t i f i c a t e i l l 基于p k i 技术的安全电子政务系统的设计 第一章绪论 1 1 课题的背景和问题的提出 全球性的网络化、信息化进程正改变着人们的生活和工作方式，互联网 技术应用的飞速发展给人们生活、工作的各个层面带来了深刻的影响。随着 信息技术的飞速发展，政府办公迈向了自动化、电子化和网络化，电子政务 ( e l e c t r o n i cg o v e r n m e n t ) 在政府实际工作中发挥了越来越重要的作用。电 子政务是继电子商务之后信息技术应用的一个热点。电子政务系统是政府机 构运用现代网络通信技术与计算机技术，将其内部和外部的管理和服务职能 经过精简、优化整合、重组后到网络上实现。电子政务系统打破了时间、空 间及部门分离的制约，为社会公众及自身提供一体化的高效、优质的管理和 服务。政府信息化是政府行为，直接涉及到各级政府的核心政务，并且电子 政务经常要涉及到大量的机密数据，对信息的有效性、机密性、完整性和修 改的不可抵赖性等安全性要求非常严格，所以要求电子政务的实施过程中始 终具有高度的可靠性和安全性【1 】。然而，在电子政务给政府和社会带来高效 率的同时，由于互联网的开放性和复杂性给电子政务系统带来的极大的威 胁、风险和责任。计算机病毒的泛滥，木马程序的肆虐，黑客的入侵，各种 各样的网络犯罪和网络欺诈都将对电子政务系统的正常运行构成威胁。为了 保障政府的管理和服务职能的有效实现，必须解决电子政务建设和发展中的 安全和信任问题。如何构建具有高可信度的电子矽务系统是目前政府部门和 软件行业亟需解决的重要问题。 1 2 论文的研究内容及意义 电子政务经常要涉及到大量的机密数据，对信息的有效性、机密性、完 整性和修改的不可抵赖等安全性要求非常严格，所以要求电子政务的实施过 程中始终具有高度的可靠性和安全性。电子政务系统的安全体系包括物理安 全、网络安全、信息安全等多个方面。本论文旨在对构建一个安全的电子政 务系统做出一些积极的分析和探索。本文的研究内容和具体工作如下： 基于p k i 技术的安全电子政务系统的设计 1 、分析当前国内外的电子政务的发展现状及技术特点和当前国内电子政务 系统中存在的问题。 2 、分析电子政务系统应用的通用安全技术p k i 技术的发展现状和p k i 技术 的特点。 3 、提出一个安全电子政务系统的模型，分析各种模块在应用上的可行性。 4 、初步实现一个电子政务系统中的数字证书系统。初步解决电子政务在通 信过程中数字证书、加密技术等问题，使得电子政务应用安全可靠地在网上 进行，保证系统资源的可信应用。 1 3 论文的组织结构 第一章绪论。在本章中主要介绍了本课题的研究背景和问题的提出，对本 课题的主要研究内容做出一个简要的介绍。 第二章电子政务系统概述。在本章中主要对电子政务系统作一个概述，并 对当前国内外电子政务系统的发展现状进行了分析，以及存在的问题。并对 电子政务系统普遍应用的技术做出一个简要的分析。 第三章p k i 安全技术概述。在本章中主要对p k i 技术做出详细的介绍，对 p k i 的使用的信任模型和认证体系进行详细的探讨，分析了各个模型的优缺 点。 第四章基于p k i 技术的安全电子政务系统的设计。在本章中主要对一个安 全的电子政务系统设计，主要分析各个层次在应用上的可行性。 第五章一个数字证书系统的设计与实现。在本章中主要是对电子政务系统 中的一个重要组成模块数字证书系统的初步实现。 第六章本论文的不足和下一步进行的研究工作及对未来工作的展望。 1 4 本章小结 本章主要介绍了本课题研究的背景，和对本课题主要的研究内容和本论 文主要的工作做了一个简要的介绍。并对本论文的组织结构作了总体的介 绍。 2 基于p k i 技术的安全电子政务系统的设计 第二章电子政务系统概述 2 1 电子政务的基本概念 电子政务作为政务信息化的具体表现，是指国家各级政府机关在政务活 动中，全面地运用信息技术进行办公、管理和为社会提供公共服务的应用。 电子政务是政府在其管理和服务职能中运用现代信息技术和通信技术，实现 政府组织结构和工作流程的重组优化，超越时间、空间和部门分割的制约， 全方位地向社会提供优质、规范、透明的服务。电子政务包括两个方面：一 是政府部门利用信息技术实现办公自动化、管理信息化和决策科学化；二是 政府部门利用信息技术向民众提供全方位、高效优质的服务。 电子政务将原有的政府通过现代信息技术转变为新型的管理体系，以适 应基于i n t e r a c t 的、全球性的、以信息为基础的信息经济，适应信息经济下 社会运行方式的根本转变。实施电子政务的意义有以下四条： l 、电子政务将使政务工作更有效、更简洁、更公开、更透明。 2 、电子政务将为企业和民众提供更好、更便捷的服务。 3 、电子政务将重新构建政府、企业、社会大众的关系，使之比以前更加协 调，使企业和社会大众能够更好的参与政府的管理。 4 、电子政务将使政府能够更好的适应信息经济社会的运行方式。 根据利用信息技术的目的和信息技术的处理能力划分，电子政务的发展 大致经历了以下三个阶段： l 、面向数据处理的第一代电子政务；该阶段主要集中在1 9 5 5 年以前，以政 府内部的办公自动化和管理信息系统的建设为主要特征，通过基于文件系统 和数据库系统的综合应用，以结构化数据为存储和处理的对象，重点强调对 数据的计算和处理能力，实现了数据统计和日常文档处理的电子化，完成了 办公信息载体从原始纸介质向电子介质的飞跃，实现了公务员个体工作的自 动化。 2 、面向信息处理的第二代电子政务；这一阶段的电子政务以网络为中心建 基于p k i 技术的安全电子政务系统的设计 立通信基础平台，并以非结构化数据的信息流为主要的存储和处理对象，应 用的领域也逐步延伸到政府职能的各个方面，有效地提高了政府的办公效率 和管理质量。第二代电子政务一直延续到2 0 0 1 年。 3 、面向知识处理的第三代电子政务；目前电子政务已经进入了第三个发展 阶段，其主要目标是在政府信息支撑环境的基础下，利用知识管理技术提高 政府的决策能力，建立基于网络的分布式政府结构，并通过分布式的“一站 式政府”服务中心提供跨部门的政府业务服务。 电子政务所包含的内容极为广泛，几乎可以包括传统政务活动的各个方 面。根据今年来国际电子政务的发展和我国电子政务的实践，目前，电子政 务的模式主要有以下四种【2 】： l 、gt og 模式：gt og 电子政务即政府( g o v e r n m e n t ) 与政府( g o v e r n m e n t ) 之 间的电子政务，又称作g 2 g 。它是指政府内部、政府上下级之间、不同地区 和不同职能部门之间实现的电子政务活动。 2 、gt oe 模式：gt oe 电子政务是指政府( g o v e r n m e n t ) 与政府公务员( 即 政府雇员) ( e m p l o y e e ) 之间的电子政务，又称g 2 e 。它是政府机构同过网 络技术实现内部电子化管理的重要形式。 3 、gt ob 模式：gt ob 电予政务是指政府( g o v e r n m e n t ) 与企业( b u s i n e s s ) 之间的电子政务，又称g 2 b 。g 2 b 电子政务的形式主要有；政府电子采购、 电子税务系统、电子工商行政管理系统等。 4 、gt oc 模式：gt oc 电子政务是指政府( g o v e r n m e n t ) 与公民( c i t i z e n ) 之间的电子政务，又称g 2 c 。它是政府通过电子网络系统为公民提供各种服 务。 2 2 电子政务系统的发展现状 由于西方发达国家的信息化基础比较好，在加上其政治体制的特点，因 此，美欧等国的当政政府都在其任期内积极倡导电子政务。美国前总统克林 顿和副总统戈尔首倡电子政务。电子政务有两层含义：一是为减少“橡皮图 章”，加速政府对国民需要的回应，让美国人能更快捷、更方便地了解政府， 4 基于p k i 技术的安全电子政务系统的设计 并能“一站式”满足公民向政府申请贷款、竞标合同和网上付税等服务；二 是为重塑美国的政府运行系统，使之更富有效率，运行成本更低，并彻底扫 除美国政府的官僚作风。目前，英国在建设电子政务方面已领先美、法、加 拿大等国家和地区的政府机构，居世界前列。日本前首相森喜朗在国会会议 上发表的施政演说中，描绘了一个“b 日本”的构想，拟在2 0 0 3 年建成日 本的“电子政务”，并力争5 年内全球信息化潮流中“超越美国”。除了这些 工业化国家，许多发展中国家的政府也在积极迎合电子政务，积极致力于电 子政务的建设，并已初见成效1 3 l 。 总的来说我国的电子政务是遵循“办公自动化”、“电子化工程”( 如相关 业务主管部门的“三金工程”金关工程、金税工程、金卡工程) 、“政府上网 工程”、“电子政务”这一条线展开的。当前很多地方政府和国家有关的部 委还是停留在比较低的层面上，具体地说能够在完全意义上的“政府上网” 还不是很普遍。有关的调查研究说明，中国目前的电子政务度为2 2 6 。同 时，我国的电子政务发展很不平衡。由于我国各地的发展水平差距较大，这 些差别主要是表现在地区差别、城乡差别、行业差别上，因此我国的电子政 务在发展过程中，则是在中央政府的“推动”下和需求的“拉动”下从一些 行业管理部门开始的。另外，我国的电子政务发展的不平衡表现为东部沿海 地区、大城市发展较快。与这些重点部门和地区相比，我国的其它地方政府 和行业部门的电子政务发展相对迟缓。2 0 0 3 年中美黑客大战期间遭受攻击的 我国大陆网站中，政府网站占4 1 5 ：另外2 0 0 3 年，我们国家9 5 与i n t e m e ! t 相连的网管中心遭受过黑客的攻击t 4 1 ；还有一个情况，i n t e m e t 加快了泄密速 度，扩大了泄密范围，网络泄密案件近两年迅速增加，已占到我们国家总泄 密案件的1 ，3 。目前中央国家部委的涉密网络有一半以上没有达到国家安全 保密的要求。 由于多方面的原因，目前的电子政务应用还存在许多问题，这其中牵涉 到很多方面，有体制的问题、管理的问题、技术的问题、法律的问题、观念 的问题等等。目前涉及到技术层面亟待解决的主要问题有： 1 、目前的电子政务应用缺乏整套的安全保障体系。现在大部分的应用系统 还处在被动的防御阶段，相对较好的系统还是停留在传统的安全框架，即防 5 基于p i l l 技术的安全电子政务系统的设计 火墙、入侵检测、漏洞扫描、网络隔离等阶段。这种方式解决了许多问题， 但是并没有从根本上构架出整套的安全电子政务体系。 2 、“三网模式”应用1 5 j ( 即政务应用的安全内网、面向公众的外网、政府间 的专网) ，安全保密问题亟待解决。涉密信息的传递、保存等问题，在电子 政务应用中愈显突出。传统的涉密信息的管理方式越来越不适应当前电子政 务的发展要求，必须从根本上解决安全保密问题。 3 、当前的应用架构缺乏身份认证体系。这里说的身份认证是广义的认证， 不仅是人的身份，同时还包括组织机构和设备的身份等。随着应用规模的不 断扩大，保证进入网络、软件系统的用户、设备必须是经过许可或授权的， 如何很好的解决这个问题就变得非常迫切了。 4 、信息交换和共享缺乏，以公文( 非密级) 应用较多。这个问题其实本质 上与上述三个问题相关。安全和保密以及信任的问题没有解决，就不能很好 的进行信息交换和资源的共享，因为政务信息的交换和传递必须是“可靠、 信任”的。 5 、信息在传输过程中的安全问题。主要是机密信息在流动传输过程中的被 监听，和对用户身份的仿冒，对截获到的信息的篡改，和对发出的信息进行 恶意的否认，还有对信息进行重发，攻击者截获网络上的密文信息并不破译， 而是把这些数据再次发向有关服务器实现恶意目的。 2 3 本章小结 本章主要介绍电子政务的基本概念及基本内涵和电子政务的发展阶段 及发展模式，对当前国内外电子政务发展的现状进行了阐述，并详细探讨和 分析了目前电子政务系统在技术层面上存在的问题，而p k i 技术可以很好的 解决这些问题。 6 基于p k i 技术的安全电子政务系统的设计 3 1 p k i 的基本概念 第三章p k i 安全技术 p k i ( p u b l i ck e yi n 翻s 岫袖】) 即“公开密钥基础设施”，是一种遵循既 定标准的密钥管理平台，也是一个提供强大开放的数据加密和支持加密服务 的典型方法。它能够为所有网络应用提供加密和数字签名等密码服务及所必 需的密钥和证书管理体系。简单来说，p k i 就是利用公钥理论和技术建立的 提供安全服务的基础设施，p k i 技术是信息安全技术的核心，也是电子政务 系统的关键基础技术嘲。 3 2 p 的组成 一个典型、安全、有效的p k i 应用系统应具有认证中心( c a ) 、注册审 批机构( r a ) 、l d a p 目录服务器、数字证书库、密钥备份及恢复系统、证 书撤销处理系统、p k i 应用接口系统等基本组成部分，构建p k i 系统也将围 绕这几个部分来进行。 l 、认证中心c a ( c e r t i f i c a t i o n a u t h o r i t y ) ：c a 是p k i 的核心，它是证书的 签发机构，是保证电子商务、电子政务、网上银行、网上证券等交易的权威 性、可信任性和公正性的第三方机构，它负责生成、分发和撤销数字证书， 通过认证过程将一个公共密钥与一个人、一台计算机或一个主体联系起来， 并对它们的身份及与公钥的匹配关系进行认证和证明。它的主要职责是颁发 证书、验证用户身份的真实性。一般情况下，证书必须由一个可信任的第三 方权威机构c a 认证中心实施数字签名以后才能发布。而获得证书的用户通 过对c a 的签名进行验证，从而确定了公钥的有效性。c a 负责产生、分配 并管理p 结构下的所有用户( 包括各种应用程序) 的证书，把用户的公钥 和其他信息捆绑在一起，在网络上验证用户的身份，并且负责用户证书的黑 名单登记和黑名单发布。 7 基于p k i 技术的安仝电子政务系统的设计 2 、注册审批机构r a ( r e g i s t e r a u t h o r i t y ) ：r a 是c a 的证书发放、管理的 延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对 发放的证书完成相应的管理功能。r a 系统是整个c a 中心得以正常运行不 可缺少的一部分。在r a 的下一层还可以有多个业务受理点。 3 、l d a p 目录服务器：l d a p 目录服务器用于发布用户的证书和黑名单信息， 用户可通过标准的l d a p 协议查询自己或者其他人的证书和下载黑名单信 息。 4 、数字证书库：数字证书库是证书集中存贮的地方，可供用户进行开放式 查询，用户可以从此处获得其他用户可用的证书和公钥信息。证书库支持分 布式存放，允许采用数据库镜像技术将c a 签发的证书与本组织有关的证书 和证书撤销列表存放到本地，以提高查询效率。数字证书库一般是基于l d a p 或者是基于x 5 0 0 系列的，也可以基于其他平台。 5 、密钥备份及恢复系统：密钥可能会由于一些原因而使密钥的所有者无法 访问。密钥的丢失将导致那些被密钥加密的数据无法恢复。为避免这种情况 的出现，就需要p 提供密钥备份与恢复的机制。 、 6 、证书撤销处理系统：c a 签发证书把用户的身份和密钥绑定在一起。那么， 当用户的身份改变或者密钥遭到破坏时，就必须存在一种机制来撤销这种认 可。 7 ，p k i 应用接1 ：3 系统：一个完整的p k i 必须提供良好的应用接口系统，以 便各种应用都能够以安全、一致、可信的方式与p k i 交互，确保所建立起来 的网络环境的可信性，降低管理和维护的成本。 3 3 国内外p k i 的现状 i d c 调查显示，2 0 0 3 年世界p k i 市场已达到1 3 亿美元。而英国市场 调查公司d a t a m o n i t o r 对p k i 市场的估计则更为乐观，该公司预计包括产品、 集成、专业服务、维护和p k i 服务在内的p k i 市场在2 0 0 3 年达到3 5 亿美元。 由此可以看出，p k i 技术已经日趋成熟，其应用已覆盖了安全电子邮件，虚 拟专用网络( v p n ) 、w e b 交互安全、电子数据交换、i n t e r a c t 上的信用卡交 3 基于p k i 技术的安全电子政务系统的设计 易等，涉及电子商务、电子政务、电子事务安全等诸多领域。 许多p i l l 新技术都在不断地涌现，c a 之间的信任模型、使用的加解密 算法、密钥管理的方案等也在不断地变化之中。i n t e r n e t 的安全应用离不开 p k i 技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存 取控制等安全需求，只有p k i 技术才能满足。作为一个网络发展大国，我国 的p k i 市场方兴未艾，未来必将大有可为。 世界各国，尤其是发达国家，已逐步认识到p k i 涉及重大国家利益，是 推动i n t e m e t 发展、保障事务处理安全、推动电子政务、电子商务的支撑点。 以美国为代表的发达国家代表了国际p k i 发展的主流。 美国在p k i 建设过程中，经历一个自上而下的过程，首先是建立了一 批p k i 体系，典型的有v e r s i g n 、r s a 、m i c r o s o f t 和g t e ( 目前已被b a t t i m o r e 收购) ，它们面向各种网上交易的实体提供服务。同时，一些政府部门也分 别建立了自己独立的p k i 体系，向其开展的电子政务服务提供安全支持。为 了整合各个独立的p k i 体系，1 9 9 6 年美国政府专门成立了“联邦p k i 筹划 指导委员会”( f p k is t e e r i n gc o m m i t t e e ) ，负责规划、协调和管理f p 的建 设和应用。为形成完整的国家p k i 体系，解决已经建立的各p k i 体系之间的 交叉认证问题，f p k i 于1 9 9 8 年提出桥c a 这一概念，并开展实验。联邦桥 c a ( f b c a ) 由联邦策略管理机构( 靴l m a ) 控制，它的目的是在联邦p k i 中不同的可信域之间提供可信路径。2 0 0 1 年7 月，美国联邦政府正式公布了 联邦桥( f e d e r a lb r i d g e ) 计划，该计划最终将建立一个覆盖美国所有政府部 门的p k i 以保护政府的电子通信安全。目前f p k i 已经开始动作，国家航空 学和空间机构( n a s a ) 、美国农业部( u s d a ) 国家财政中心已与其交叉认 证，并且发放了证书，伊利诺州在2 0 0 1 年9 月也与其交叉认证【7 1 。 与此同时，欧盟国家也不落后。1 9 9 7 年4 月，欧盟发表了“欧洲电子商 务的主导权”报告，随后成立了e e s s i ，负责同e e s s i 合作开发欧洲的电子 签名技术标准。目前欧洲已通过g s n 这样的协议规范，建立电子签名标准。 欧洲希望在不失技术有利的条件下制定相关规范，尤其要保障传统商业交易 能在公平、安全及透明化的条件下进行商业活动，并能够保障欧洲中小企业 的利益，他们希望适时抓住p k i 建设这个商业机会，以加速中小企业成长。 9 基于p k i 技术的安全电子政务系统的设计 欧洲在p k i 基础建设方面投入相当多心血，尤其针对b 2 b 交易在软环 境方面加大了投入和建设力度。如已经颁布的9 3 1 9 9 9 e c 法规中强调技术中 立、隐私权保护、国内与国外相互认知以及无歧视等原则，为促进p i g 建设 提供了良好的法律保障。同时欧盟为解决各国p i g 之间的协同工作问题，在 信息社会理事会设立i c e t e l 和i c e - - c a r 项目资助相关研究院所、大学 和企业研究p k i 相关技术，特别是p i g 互操作性相关技术，并建立c a 网络 及其定级c a 。 亚太地区各国，p k i 的发展并不平衡，很多国家意识到它的重要性。 为了缩小各国技术及制度上的差异，推动p i g 等技术的标准化，并充实法律 制度，2 0 0 0 年由日本、韩国、新加坡等国家发起设立了“亚洲p i g 论坛”， 参加成员有日本、中国、韩国、新加坡以及香港、台湾等亚洲及大洋洲的8 个国家的地区的p i g 团体和组织。亚洲p i g 论坛的目的是确保p 的互操作 性以及促进在亚洲地区利用p i g 进行的电子商务活动。 在日本的p i g 管理架构中，首先将应用体系按公众和私人两大领域来划 分；其次，它们在公众领域的市场还要进一步细分，主要分成商业、政府与 公众管理内务、电信、邮政三大块。不同的领域适用不同的认证规则。比如 在公众领域的三大块当中，就分别采用商业注册、政府p i g 及数字签名法； 而私人领域则建立了一种专门的私人p i g 标准。日本的政府p i g 组织架构包 括策略批准机构( p a a ) 、策略产生机构( p c a ) 、认证机构( c a ) 、注册机 构( r a ) 和证书使用者。在p a a 之间、p c a 之间、c a 之间、c a 与p c a 之间都有可能有交叉认证。但必须保证交叉认证机构之间政策的一致性。 3 4 p 常用的常用信任模型 r r u - t 推荐标准x 5 0 9 规范( x 5 0 9 ，s e c t i o n 3 3 2 3 ) 的定义：如果一个 用户假定c a 把任一个公钥绑定到某个实体上，则他信任该c a t 引。 常用的四种信任模型：认证机构的严格层次结构模型、分布式信任结构 模型、w e b 模型和以用户为中心的信任模型唧。 l o 基于p k i 技术的安全电子政务系统的设计 3 4 1 认证机构的严格层级结构模型 根c a 代表一个对整个p i g 系统的所有实体都有特别意义的c a ，层次 结构中的所有实体都信任唯一的根c a 。每个实体( 包括中介c a 和终端实 体) 都拥有根c a 的公钥，该公钥的安装是在这个模型中为随后进行的所有 通信进行证书处理的基础。一个实体可以通过物理途径如信件或电话来取得 这个密钥，也可以选择通过电子方式取得该密钥，然后再通过其它机制来确 认它，如将密钥散列结果( 有时被称作密钥的“指纹”) 用信件发送、公布 在报纸上或者通过电话告之。 终端实体直接被其上层的c a 认证( 也就是颁发证书) ，但是它们的信任 锚是另一个不同的c a ( 根c a ) 。如果是没有子c a 的层次结构，则对所有 终端实体来说，根和证书颁发者是相同的。这种层次结构被称作可信颁发者 层次结构( t r u s t e d - i s s u e r h i e r a r c h i e s ) 。 3 4 2 分布式信任模型 分布式信任模型把信任分散在两个或多个c a 上，相应的c a 必须是整 个p k i 系统的一个子集所构成的严格层次结构的根c a 。 如果这些严格层次结构都是可信颁发者层次结构，那么该总体结构被称 作完全同位体结构( f t d lp e e r e da r c h i t e c t u r e ) 。如果所有的严格层次结构都是 多层结构( m u l t i 1 e v e lh i e r a r c h y ) ，这样的结构就被叫做满树结构( f u l l yt r e e d a r c h i t e c t u r e ) 。混合结构( h y b r i dt r e e 矗a r c h i t e c t u r e ) ( 具有若干个可信颁发者 层次结构和若干个多层树型结构) 也是可能的。一般来说，完全同位体结构 部署在某个组织内部，而满树结构和混合结构则是在原来相互独立的p 系 统之间进行互联的结果。同位体根c a ( p e e rr o o tc a ) 的互连过程通常被称 为“交叉认证( c r o s s c e r t i f i c a t i o n ) ”。 基于p k i 技术的安全电子致务系统的设计 3 4 3 w e b 模型 w e b 模型是在w o r l dw d ew e b 上诞生的，而且依赖于流行的浏览器。 许多c a 的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户 最初信任的c a ，这组根密钥可以被用户修改。 类似于认证机构的严格层次结构模型。在实际上，浏览器厂商起到了根 c a 的作用，丽与被嵌入的密钥相对应的c a 就是它所认证的c a ，这种认证 并不是通过颁发证书实现的，而且只是物理的把c a 的密钥嵌入浏览器。 w e b 模型在方便性和简单互操作性方面有明显的优势，但是也存在许多 安全隐患。例如，因为浏览器的用户自动地信任预安装的所有公钥，所以即 使这些根c a 中有一个是“坏的”( 例如，该c a 从没有认真核实被认证的实 体) ，完全性将被完全破坏。 另外一个潜在的安全隐患是没有实用的机制来撤销嵌入到浏览器中的 根密钥，最后，该模型还缺少有效的方法在c a 和用户之间建立合法协议， 该协议的目的是使c a 和用户共同承担责任。 3 4 4 以用户为中心的信任模型 以用户为中心的信任模型中，每个用户自己决定信任哪些证书。通常， 用户的最初信任对象包括用户的朋友、家人或同事，但是否信任某证书则被 许多因素所左右【1 0 1 。 著名的安全软件p r e t t y g o o d p r i v a c y ( p g p ) 最能说明以用户为中心的信 任模型。在p g p 中，一个用户通过担当c a ( 签署其它实体的公钥) 并使其 公钥被其他人所认证来建立( 或参加) 所谓的“信任网”( w e b o f t r u s t ) 。 因为所信赖于用户自身的行为和决策能力，因此以用户为中心的模型在 技术水平较高的利害关系高度一致的群体中是可行的，但是在一般的群体 ( 它的许多用户有极少或者没有安全及p k i 的概念) 中是不现实的。这种模 型一般不适合用在贸易、金融或政府环境中。 基于p k i 技术的安全电子政务系统的设计 3 5p k i 的安全认证体系结构 p k i 的安全认证体系结构主要由传统的p i g 认证体系结构和桥认证体系 结构两种。 3 5 1 传统的p k i 认证体系结构 传统的p k i 认证体系结构有三种情况，即单个c a 的p k l 分级( 分层) 结构的p i g 和网状结构的p i g 。每种体系结构由p k i 的基本属性来决定，包 括p k i 中用户给予信任的c a ( 用户可信任点) 的数量和在多个c a 的p i g 环境中，c a 之间的信任关心。 3 5 1 1 单个c a 结构的p k i 认证体系“ 最基本的p k i 认证体系结构是单个c a 的p k v 结构，它为p i g 中的所有 用户提供服务( 证书、证书状态信息等) 。p k i 中的所有用户对此c a 给予信 任，每个证书路径都起始于该c a 的公钥，这就产生了单一的用户信任点。 这种结构的优点是：容易实现，只需建立一个根c a ，所有的用户都能实现 相互认证。缺点是：不易扩展到支持大量的或者不容群体的用户，用户的群 体越大，支持所有必要的应用就越困难。 3 5 1 2 分级结构的p k i 认证体系 在实际应用中，一个证书机构很难得到所有用户的信赖并接受它所发行 的所有用户证书，而且这个证书机构也很难对所有潜在用户有足够的了解， 这就需要多个c a 。人们也希望单个c a 扩展成不同群体的c a ，这样来刨建 一个更大的、更为多样化的p k i ，两个互相独立的c a 可以用两种方式结合 生成更大的p k i 系统，即主从关系和对等关系。一个以主从( 从属) c a 关 系建立的p k i 成为分级结构的p k i ，在这种方式下，所有的用户都信任一个 根c a ，在进行网上交易双方的身份认证时，交易双方互相提供自己的证书 基于p i g 技术的安全电子政务系统的设计 和数字签名，由c a 来对证书进行有效性和真实性的认证。若一个持有由特 定c a 发证的公钥用户要与另一个c a 发放公钥证书的用户进行安全通信， 需要解决跨域的认证，图3 - 1 表示了这一认证过程，该过程在于建立一个可 信赖的证书链或证书通路，高层c a 称为根c a ，它向地层c a 发放公钥证 书。 图3 1 证书链 在图3 - 1 中，证书3 的合法性由证书2 的签字密钥来保证，而证书2 的 合法性由证书1 ，即根c a 的签字密钥来保证，用户u i 与发证者所限定的 子区域内用户进行安全通信时，只需利用c a c 的公钥，即涉及三个证书。 若用户u l 要与c 以外的用户u 2 进行通信，则需借助于c a - c ，c a d 和 c ab 的公钥进行认证，需要涉及五个证书。 分级结构的p k i 由于其简单的结构和单向的可信任关系，具有如下优 点：l 、分级结构的p k i 易于升级和增加新的认证域用户。2 、证书路径由于 其单向性容易扩展，可生成从用户到可信任点的简单的、明确的路径。3 、 证书路径相对较短。4 、基于分级结构中的c a 的位置，用户隐含的知道一 个证书用于哪种应用。因此，分级结构的p k i 中使用的证书可以比网状结构 中的证书更小，更简单。 当然，分级结构的p k i 也有其缺点，主要表现在：l 、由于分级结构的 p 融依赖于一个单一的可信任点，即根c a ，根c a 是每个用户的可信任点 ( 分级结构的p k i 系统的实质是所有的信任都集中在根c a ) ，它的安全性很 弱，一旦该信任点出现故障，后果是灾难性的，2 、目前构建一个单一的、 1 4 基于p k i 技术的安全电子政务系统的设计 共同的根c a 可能在政治上还无法做到，如美国等发达国家和中国都未能建 立一个有效的根c a 。3 、将当前已建立的彼此分离的单个c a 过渡到分级结 构的p k i 逻辑上是不现实的，因为所有的用户都不得不重新设置他们的可信 任点。 3 5 1 3 网状结构的p i g 认证体系 为了解决分级结构的p k i 的不足，人们提出了以对等关系连接c a 的 p ，即网状结构的p 鼬图。图3 - 2 表示了对等关系的交叉认证，c a 1 、c a 2 与c a - 3 是对等关系，它们通过相互的颁发证书来实现不同信任域内网络用 户的互相信任。在图3 - 2 中，u 1 信任c a - 1 ，u 1 如果要证明u 2 证书的合法 性，则首先需要验证c a - 3 对证书6 的签名，其次验证c a - 2 对证书3 的签 名，最好验证c a - l 对证书2 的签名，因为u l 信任c a 1 ，所以信任证书6 ， u 1 通过这样一个证书链达到验证证书6 的合法性，图表示了一个网状结构 的p i g ，网状结构的p k i 中的所有c a 都可能是可信任点，通常，用户信任 为他们发放证书的c a ，c a 之间相互发放证书，证书描述了双向的信任关系， 由于c a 之间具有对等关系，它们不能管理其他的c a 发放的各种类型的证 书。因为其信任关系是无限制的，所以如果一个c a 希望限制这种信任，它 必须在发放给其他c a 的证书中声明这些限制【1 2 1 。 由于c a 之间的信任关系可以使对等关系，也可以是从属关系，而在实 际应用中，证书用户群体之间的关系往往不是基于主从关系，因为用户群体 是分别独立的部门，所以没有明确的中央管理机构，缺乏中央管理机构，这 些群体可能无法找到彼此都接受的第三方来建立，p k i 体系中的根c a ，而 改变可信任点与用户群体之伺已经建立的关系发生冲突。 基于p k i 技术的安全电子政务系统的设计 昌凸 图3 3 网状结构的p k i 的认证体系 网状结构的p k i 可以在c a 之间通过相互发放证书来建立双向的可信任 关系( 图3 - 3 ) 由于不同用户群体的用户不共享一个单一的可信任点，每个 用户仍然信任给他发放证书的c a ，特别是在一个行业内部，从属关系是明 确的，网状结构的p k i 不能反映这些关系，因此网状结构的p k i 可能更有争 议，所以需要一种新的认证体系。 1 6 基于p k i 技术的安全电子政务系统的设计 3 5 2 桥c a 认证体系 针对分级结构的p k i 和网状结构的p k i 的不