PKI第8章安全应用概述

猾华大学出版社

第8章安全应用概述

8.1X.509标准与PKIX标准的差异

8,2电子商务

8.3电子政务概述

习题

清华女学出版社

8.1X.509标准与PKIX标准的差异

国际电信联盟（ITU）在其推荐标准中定义了一个

认证服务的框架，这种框架由一个“目录”表示。

所谓“目录”就是一个或多个并列的服务器，服务

器上用类似数据库的方式保存了有关用户的信息，

通过目录服务可以很容易地从用户名查找到用户的

电话号码、电子邮件地址和工作单位等相关信息。

所以说，目录服务实际上起的是电话号码簿的作用,

相当于一个快速的数据库。X.509隶属于国际电联

X.500目录服务协议。而后者是一个庞然大物，一

直到现在都没有全部完成。

清华无字圜版卷黑金照制!盘

X.509描述两个级别的认证：一个是简单认证，即

基于口令的认证；另外一个是强认证，这种认证方

式用到了密码学的技术。平时我们见到的X.509认

证指的就是第二种认证方式，它已经成为一个用来

进行远程认证的事实上的标准。X.509中定义的认

证服务是以X.500目录的形式提供给用户的。目录

中存放了颁发给用户的公钥证书。在国内的一些证

书服务产品中，目录服务就“因陋就简”地用普通

的数据库代替了。X.509系列版本的证书格式如图

8.1所示。

猾华大学出版社

版

版

版

本

本

本

—23

所

有

版

本

图8.1X.509系列版本的证书格式

清华犬淳圜版社TSf.盟|*制加盘思廿"mM"!

而PKIX是IETF（Internet标准指定组织）制定的一个

关于公钥基础设施的标准。可以把PKIX看成是一

种对X.509进行加工、裁剪、改进而成的标准。

IETFPKIX工作小组在1995年秋季成立，其主要目

的是开发在Internet上使用X.509数字证书的标准。

到目前为止，PKIX工作小组的工作范畴已超过原

先预定的目标，它不仅定义了国际电信联盟的PKI

标准，还进一步开发了能够在Internet上使用X.509

格式的公钥基础设施新标准。

鬲始方:学出胧社鹭霏

PKIX已经开发出多个普遍采用的国际信息规范的

标准文件，其中和PKIX成立之初目标相关的有

RFC2459（X.509版本3的证书格式）、RFC2587

（X.509版本2的证书与证书作废链表的LDAP存

储）、RFC3039（X.509PKI合格证书格式）、

RFC2527（X.509PKI证书策略和认证实施框架）

等。

而PKIX延伸其既定目标所拟定出的标准文件包括

RFC2510（证书管理协议）、RFC2560（线上证

书状态通信协议）、RFC2511（证书管理请求格

式）、RFC3161（时间戳协议）、RFC2585（使

用FTP及HTTP进行PKI传输）o

高华:字出版社

表8.1PKIX标准的收录情况

内容RFC

X.509版本3公钥证书和X.509版本2证书作废链表RFC2459

PKIX证书管理协议RFC2510

相关操作协议RFC2559,RFC2585,RFC2560

证书策略和应用框架RFC2527

时间戳和日期认证服务目前只是IETF草案阶段

表8.1给出了有关PKIX技术标准的收录情况。

可以这样来概括X.509标准和PKIX标准的区别：

X.509主要提供了一个总的鉴别框架，PKIX利用这

个鉴别框架对公钥进行管理，同时PKIX对X.509的

一些具体实现细节进行了修改和增补，对公钥管理

所依赖的网络及其他一些协议进行了定义。

8.2电子商务

电子商务（ElectronicCommerce）是在Internet开

放的网络环境下，基于浏览器/服务器应用方式，

实现消费者的网上购物、商户之间的网上交易和在

线电子支付的一种新型的商业运营模式。

Internet上的电子商务可以分为3个方面：信息服务、

交易和支付。主要内容包括电子商情广告、电子选

购和交易、电子交易凭证的交换、电子支付与结算

以及售后的网上服务等。主要交易类型有企业与个

人的交易（BtoC方式）和企业之间的交易（BtoB方式）

两种。

高华尤学出瓶社蜀岩三混嬲

参与电子商务的实体有4类：顾客（个人消费者或企

业集团）、商户（包括销售商、制造商、储运商）、银

行（包括发卡行、收单行）及认证中心。电子商务是

Internet爆炸式发展的直接产物，是网络技术应用

的全新发展方向。Internet本身所具有的开放性、

全球性、低成本、高效率的特点，也成为电子商务

的内在特征，并使得电子商务大大超越了作为一种

新的贸易形式所具有的价值，它不仅会改变企业本

身的生产、经营、管理活动，而且将影响到整个社

会的经济运行与结构。电子商务具有以下特征：

电子商务将传统的商务流程电子化、数字化，一方

面以电子流代替了实物流，可以大量减少人力、物

力，降低了成本；另一方面突破了时间和空间的限

制，使得交易活动可以在任何时间、任何地点进行,

从而大大提高了效率。

电子商务所具有的开放性和全球性的特点，为企业

创造了更多的贸易机会。

电子商务使企业可以以相近的成本进入全球电子化

市场，使得中小企业有可能拥有和大企业一样的信

息资源，提高了中小企业的竞争能力。

高华尤学出颁社蜀需刚就爆悭—|

电子商务重新定义了传统的流通模式，减少了中间

环节，使得生产者和消费者的直接交易成为可能，

从而在一定程度上改变了整个社会经济运行的方式。

电子商务一方面破除了时空的壁垒，另一方面又提

供了丰富的信息资源，为各种社会经济要素的重新

组合提供了更多的可能，这将影响到社会的经济布

局和结构。电子商务可以通过多种电子通信方式来

完成。简单的，例如通过打电话或发传真的方式与

客户进行商贸活动，似乎也可以称作为电子商务。

但是，现在人们所探讨的电子商务主要是以

EDI(ElectronicDataInterchange,电子数据交换)

和Internet来完成的。尤其是随着Intemet技术的日

益成熟，电子商务真正的发展将是建立在Internet

技术上的，所以也有人把电子商务简称为IC

(InternetCommerce)。

广义地说，电子商务是指在计算机与通信网络的基

础上，利用电子工具实现在线的商业交换和行政作

业活动的全过程。

清华；字出版社毒I!麻顿扁黑_

8.2.1业务分类

基于Internet网络的电子商务应用领域十分广泛，

对业务的分类方式也多种多样：

从支付角度来分，可以分为支付型电子商务业务和

非支付型电子商务业务。

从服务类型来分，可以分为企业对企业（BtoB）的

电子商务、企业对消费者（BtoC）的电子商务和

消费者对消费者（CtoC）的电子商务。这里的企

业包括企事业单位、金融机构和政府部门。

从支付角度对电子商务业务进行分类，可分为如下

两类（如图8.2所示）：

猾华大学出版社

图8.2电子商务业务分类

清华＞麝圜版社:置三布::，况娜f裁房信"mH

非支付型电子商务业务是指不涉及支付的电子商务

业务，这类业务仅对业务系统的安全有要求，它直

接建立在相关的安全基础结构之上；

支付型电子商务业务是指涉及支付的电子商务业务,

这类业务不仅对业务系统的安全有要求，而且要求

业务系统提供安全的支付功能。

支付型电子商务业务本身又可分为两大类：

基于CTEC支付体系的电子商务业务，这类业务直

接建立在CTEC支付体系之上；

基于SET标准的电子商务业务，这类业务主要建立

在SET支付体系之上，所有交易流程均符合SET协

议的统一规定。

高华:字出版社

8.2.2支付网关

支付网关与支付型电子商务业务相关，位于公网和

传统的银行网络之间，其主要功能是将公网传来的

数据包解密，并按照银行系统内部的通信协议将数

据重新打包；接收银行系统内部传回来的响应消息,

将数据转换为公网传送的数据格式，并对其进行加

密。即支付网关主要完成通信、协议转换和数据加

解密功能，并且可以保护银行的内部网络。此外，

支付网关还具有密钥保护和证书管理等其他功能。

信华史学出版社士欣1

j.yjr二『尸，.刀‘：-/jiJ>I-，，p1r"』”"，"，尸,二"^j>'一一

8.2.3业务系统

业务应用系统通过特定的业务系统软件接入

Interneto业务系统分布在各地，并通过该网络实

现企业对用户(BtoC)和企业对企业(BtoB)的

电子商务应用。

支付型电子商务业务通过电子柜员机软件系统接入

公网，是电子商务系统中提供支付型电子商务服务

的服务提供者的支付服务器，它必须能处理用户的

申请并和银行进行通信(通过支付网关)、发送和

接收加密信息、存储签名钥匙和钥匙交换钥匙、申

请和接受认证、与数据库进行通信以便存储和填写

订单及保留和处理记录。

清华71字出版社.-

8.2.4用户及终端

电子商务系统用户终端包括计算机终端用户、智能

终端用户、电话终端用户、简易终端用户等。

计算机终端/智能终端用于数字数据业务的接入，

如果用户所使用的是多媒体计算机，也可用于多媒

体业务的接入。它的主要特点是价格较高、对用户

的文化素质要求较高、安全性能较好等。

各种专用的简易终端用于数据业务的接入，它具有

使用方便、功能灵活、价格便宜、安全性能较好等

特点。同时，随着业务的不断扩展，不必对终端的

软硬件做修改，只需在业务接入点做相应扩充及升

级即可完成对终端用户和业务的扩展及升级。

清华亍:学出瓶社'加忠思母醐制京猱的

J•-J"——J♦'J，，'JI-''一，1.J,»^1*'•'J*~^~~'

电话终端用于语音业务的接入，它具有使用方便、

普及和使用范围较广等特点。

用户通过用户终端和终端软件（如标准浏览器及其

插件、专用终端软件等）接入Internet。电子商务

用户包括企事业用户、个人用户等，用户分布在全

国各地，并通过该网络享受各种电子商务服务。

在支付型电子商务系统中，用户端软件称为电子钱

包。它与电子柜员机软件进行通信，完成数据的加

解密，管理证书和密钥对，申请、接受和保存证书,

并且能够进行交易记录。

8.2.5用户接入

用户终端通过多种接入手段接入中国公众多媒体通

信网（含ChinaNet）,包括PSTN、DDN、FR、

ISDN等o

用户接入平台包括以下两种方式。

L拨号接入平台

拨号接入平台即多媒体网/ChinaNet接入，主要面

对计算机终端及智能终端用户。

通过多媒体网（含ChinaNet）的接入平台可采用

PSTN、ISDN拨号接入，也可以通过DDN、帧中继

或宽带网等数据专线接入。

清华无:学出版钝

2.非计算机终端接入平台

非计算机终端接入平台，如语音接入平台，主要实

现电话终端和简易终端的接入。

通过语音接入平台可采用PSTN、ISDN拨号接入，

连入多媒体通信网（含ChinaNet）,并且给用户提

供简单和普及的方式进行电子商务业务。

电子商务系统安全体系结构如图8.3所示。

清士幻二号

电子商务业务系统

电子商务支付系统

电

安全应用协议子

CTEC、SET、SSL、PGP、S/MIME商

务

系

统

CA体系、数字签名、数字信封安

全

体

基本加密算法系

（非对称密钥加密/对称密铜加密/结

安全散列函数……）构

图8.3电子商务系统安全体系结构

清华交学出版社:聋g布易躺加出焉

电子商务安全体系包括以下3层：

基本加密算法；

以基本加密算法为基础的CA体系以及数字信封、

数字签名等基本安全技术；

以基本加密算法、安全技术、CA体系为基础的各

种安全应用协议。

以上部分构成了电子商务的安全体系，在此安全体

系之上建立电子商务的支付体系和各种业务应用系

统。

8.2.6电子商务支付体系功能

电子商务支付体系可以包括以下功能部分：用户端

电子钱包、商家电子柜员机(POS)＞支付网关

(PG),其功能要求符合电子商务的规定。

EC支付体系由PG/SG、POS、用户端电子钱包组

成。

PG/SG一般合称为电子商务EC支付系统；

EC支付体系协议是对这3个系统间的协议、规程的

定义。

以下内容主要对PG/SG,即EC支付系统进行描述。

清华o骞出胧钝制||息制|施息假建电■■■■

EC支付体系实现原则如下：

EC使用统一的支付体系，并为该支付体系指定统

一的支付协议；

EC支付体系采用CA/GDCS证书体系；

PG应支持EC体系内各种电子商务业务的支付；

PG应能够支持与多银行、多业务系统的连接。

信络尢学出瓶社

^7pyrsrrrr,<“FNP，'/l：nfJr^t>1•.d「7—r^^An

1.EC支付系统功能模型

从为各类用户提供服务的角度来看，EC支付系统

有以下两种组织方式：

将网关系统划分为支付网关（PG）和业务网关

（SG）两大功能模块，其中，PG一端接银行系统,

另一端接SG；SG一端通过公网接业务系统和用户,

另一端接PG,其功能模型如图8.4所示。

支付网关系统一端直接接银行系统，另一端通过公

网与业务系统和用户连接，不设业务网关，其功能

模型如图8.5所示。

化X

丁

EC支付系统

银

商

支

行

家

付

内

业EC协议EC协议

网ISO8583

部

务

关

系

系

统

统

SGPG

ECEC协议

公网银行

用户终端

图8.4EC支付系统功能模型一

化学

丁X

EC支付系统

商支银

家付行

业网内

务关ISO8583部

系系

统统

CTPG

银行

公网

用户终端

图8.5支付系统功能模型二

信华文学出瓶社

^7fyrr>Jrrf“"少A7//.l；pj^teVf.J勿/JI?.irrY

2.EC支付系统网络结构

EC支付系统网络结构如图8.6所示。

图8.6包括如下内容：

用户终端、商家业务系统直接与公网相连；

SG（业务网关）作为支付型电子商务的业务管理

系统直接与公网连接；

银行的支付网关采用两种方式与公网连接；

通过业务网关与公网连接，另一端与银行内部系统

连接；

直接接入公网，另一端与银行内部系统连接；

根据业务需求，可设立多个业务网关；

银行内部系统

银行内部系统银行内部系统

图8.6EC支付系统网络结构图

一个业务网关可与多个支付网关相连；

一个支付网关可与多个银行系统相连。

3.EC支付系统各模块功能要求

如图8.4、图8.5所示，EC支付系统分为支付网关

(PG)和业务网关(SG),其功能要求如下所述。

(1)支付网关

支付网关位于公网与银行内部网络之间，保护银行

内部网络；

一个支付网关能够与多个银行连接；

清华文学别■做咚凝品m捌霆撼।场鹦・■■HI

个支付网关能够通过业务网关直接与多个业务

系统连接；

支付网关使用CA/GDCS证书系统发放的证书，完

成公网与银行内部网络之间来往消息的认证与加解

密功能；

完成公网与银行内部网络之间数据的协议转换功能;

完成密钥保护和证书管理功能；

根据业务系统传来的各种请求中的银行标识，将请

求发往不同的银行系统；

将银行返回的应答消息发往业务网关。

高华尤学出版社JSaWMMBMBEgMtWWff

（2）业务网关

业务网关作为向社会提供的一项可选的服务，为银

行支付网关发展用户（包括业务系统及最终用户）；

业务网关位于银行支付网关和商家业务系统/用户

终端之间；

一个业务网关能够与多个支付网关连接；

一个业务网关能够与多个业务系统/用户终端连接；

业务网关使用CA/GDCS证书系统发放的证书，完

成与商家业务系统/用户终端之间的认证及数据加

解密功能；

清华关淳圜版社£看£布：:，筋娩粉比模里MMMH

业务网关将通过它的数据包转换为银行支付网关可

接收的统一数据格式，由支付网关将这些数据转换

成ISO8583数据格式；

业务网关汇总多媒体网上各业务系统/用户终端发

往支付网关（后台为银行系统）的授权、请款、对

账、转账、清算等请求；

业务网关根据业务系统/用户终端发来的请求中的

银行标识将请求发往相应的支付网关；

业务网关将支付网关返回的响应消息发回业务系统

/用户终端；

业务网关对多媒体网(含ChinaNet)上通过它的各

种业务流进行监控、统计和汇总等，具有业务管理

功能；

业务网关的日志功能为业务系统、用户终端和银行

之间的各种对账、清算等提供数据备份，作为处理

纠纷的部分依据。

(3)支付系统基本数据流程

根据网关系统的结构划分，网上支付数据的基本流

程分为两种情况：通过业务网关和不通过业务网关,

其流程分别如图8.7、图8.8所示。

图8.7支付系统基本数据流图通过业务网关

猾华大学出版社

图8.8支付系统基本数据流图不通过业务网关

高华尤学出振社jsa嬲晶遍嬲翻匾有

①数据流程模

这种数据流程一般用于用户向商家业务系统发出服

务请求的情况，如在线购物业务、银证转账业务等。

用户浏览业务系统提供的服务，选择相应的服务后

下订单；

业务系统接收用户的订单，同时将授权请求发往业

务网关；

业务网关根据业务系统发来的请求中的银行标识信

息将该请求发往相应的支付网关；

支付网关进行相应的数据处理后，根据请求中的银

行标识信息将请求发往相应的银行；

银行进行相应的处理后，将授权响应消息发往支付

网关；

支付网关将响应发往业务网关；

业务网关将响应发往发出授权请求的业务系统；

业务系统为用户提供相应的服务。

②数据流程模型二。

这种数据流程一般用于商家业务系统向银行发出请

款、对账等服务请求的情况。

业务系统通过业务网关、支付网关向银行发出请款、

对账等服务请求；

业务网关根据业务系统发来的请求中的银行标识信

息，将该请求发往相应的支付网关；

清华犬淳圜版强频嬲

支付网关进行相应的数据处理后，根据请求中的银

行标识信息将请求发往相应的银行；

银行进行相应的处理后，将响应消息发往支付网关;

支付网关将响应发往业务网关；

业务网关将响应发往发出请求的业务系统。

③数据流程模型三。

这种数据流程一般用于用户向银行发出转账、账户

查询等请求的情况，如各种电子银行业务等。

用户通过业务网关、支付网关向银行发出转账、账

户查询等服务请求；

清华大学出胧泡甘置式岩:制觥|愉

业务网关根据用户发来的请求中的银行标识信息，

将该请求发往相应的支付网关；

支付网关进行相应的数据处理后，根据请求中的银

行标识信息将请求发往相应的银行；

银行进行相应的处理后，将响应消息发往支付网关;

支付网关将响应发往业务网关；

业务网关将响应发往发出请求的用户。

图8.8的业务流程（4）、（5）、（6）除了数据流不通过业

务网关而直接发往支付网关外，其余与图8.7的流

程相同。

清华文学出瓶社制顺思i飓腆凰

8.2.7SET支付体系

SET支付体系用于为基于银行支付卡的电子商务业

务提供支付手段，其实现必须遵循安全电子交易协

议SET的规定，本小节为简要说明，详细内容请参

见有关SET协议部分。

如图8.9所示，在基于SET的电子商务系统中，不可

缺少地包括持卡人、商家、支付网关、CA/SET中

心以及位于支付网关后面的银行系统。其中，支付

网关（包括其后面连接的银行系统）、电子柜员机、

用户端电子钱包构成了SET的支付体系。

猾华大学出版社

商家（电子柜员机）

银行系统

图8.9SET电子商务模块组成

信络笈学出髓社

1.SET支付体系各模块功能要求

在SET支付体系中，交易各方之间的信息传送都使

用SET协议以保证其安全性。电子钱包是SET在用

户端的实现，电子柜员机是SET在商家的实现，支

付网关是银行金融系统和Internet之间的接口，完

成来往数据在SET协议和现存银行卡交易系统协议

（如ISO8583协议）之间的转换及出入公网的数据

加解密操作，是SET在金融方的实现。

2.SET支付网关

支付网关连接银行内部网络中的收单行。发卡行通

过银行内部网络或其他交流渠道与收单行通信，不

需要用SET协议来实现。

清华无学出版钝一弋MS布局，的眦除B段灯

支付网关需要接收和确认商家从持卡人处收到的支

付信息，它首先要通过收单行与持卡人卡的发行机

构（即发卡行）通信进行申请和接受授权，然后将

授权转发给商家，由商家完成订单，最后接收从发

卡银行得到的付款并将其转移给商家。基本的支付

网关为从卡处理系统返回的信息（如ISO8583）和

发往卡处理系统的信息（SET）提供了通信和协议

转换能力，并执行所有的SET密码功能。支付网关

起到了一种连接作用，将用于持卡人和商家之间交

换信息的开放网络（如Internet）与传统的封闭网

络和金融机构互相通信的其他方法连接起来。

清络史学出版社毁士,於!

3.电子柜员机

电子柜员机是在线商家的支付服务器，它必须能处

理持卡人的申请并和收单行（通过支付网关）进行

通信、发送和接收加密信息、存储签名钥匙和钥匙

交换钥匙、申请和接受认证、与数据库进行通信以

便存储和填写订单及保留和处理记录。客户端软件

需使用不同的密钥分别对购买信息和支付信息进行

加密，电子柜员机只能看到用户的购买信息，支付

信息则完整地转发给支付网关。

4.持卡人电子钱包

滑Q学

持卡人使用的软件叫作“电子钱包”应用系统，它

能完成SET交易所需要的功能，能够发送和接收信

息，加密和解密，存储公用和私用的签名钥匙和用

于钥匙交换的钥匙，申请、接受和保存证书，并且

能够进行交易记录。为了在WWW上进行实际的交

易，软件还必须能与Web浏览器进行通信，作为内

置程序或者作为帮助程序执行。

5.基于SET协议的购买/支付流程

如图8.10所示，基于SET协议的购买/支付流程包括

用户的购买流程、商家的支付授权请求流程及商家

和银行之间的支付转账流程。

有关SET支付的详细流程应符合SET协议的具体规

定。

图8.10基于SET协议的购买/支付流程

清峪藜岸幽据浊

8.2.8电子商务业务系统

1.业务分类

电子商务业务分为以下3类：

第一类为证书业务。指审核证书申请人的身份，为

用户签发证书，管理证书注销列表，提供证书发布

功能和密钥托管等功能。

第二类为支付网关/业务网关业务。指电子商务系

统通过支付网关/业务网关为用户提供的网上支付

业务。

第三类为应用业务。指建立在电子商务系统的证书

和支付体系之上的各种应用业务。

清华史学出胧钝布局/物

电子商务业务体系中每层业务都是其上层业务的前

提和基础：

证书业务是电子商务支付体系和应用业务的安全保

证；

支付体系是实现网上支付应用的前提；

具体的应用业务是电子商务真正面向用户、服务用

户的前台和窗口。

2.证书业务

证书业务为电子商务应用和用户提供安全的身份认

证和数据加解密服务，以保证数据传输的安全性、

数据的完整性、身份认证和交易防抵赖等。它作为

电子商务的基本业务提供给支付网关和应用业务。

(1)证书申请

证书申请必须建立在用户的合法性基础上，即需要

得到RA的审核和认可。

(2)证书发放

证书发放以软盘、ic卡等介质或直接从网上传送到

用户。如果以软盘、ic卡方式发放，则必须由CA

认证中心或其授权、合作单位以领取、邮寄的方式

发放到用户手中。

(3)证书作废

证书作废由CA和RA中心管理和审核。

清华十字出胧钝AMBMHESSWiH

⑷证书注销列表库管理

全国证书注销列表库由全国CA中心负责更新和管

理，各地证书注销列表库由各地RA中心负责管理,

CA中心负责更新。应用业务系统在实现交易时必

须先查询证书注销列表库，以确认对方的证书是否

作废。

用户可以单独申请证书业务。此类业务的管理由电

子商务平台系统完成。

清华文学出版社士褥泉

1ft[STrrFK^l1ifyJJJBf*，/l：Qf/忸A<7rrrj,--

支付网关业务为商家、用户和银行提供安全的网上

支付服务，应用业务系统通过支付网关为电子商务

用户提供支付类的电子商务服务。一个网关可以连

接多家合作银行，为多种应用业务提供网上支付服

务。

此类业务的管理由电子商务支付网关的运营商完成,

网关运营商将支付网关业务作为电子商务基础业务

提供给应用业务系统。

4.业务网关业务

一个业务网关可以连接多个支付网关；

律单关:学出版强

业务网关接收多媒体网上各业务系统/用户终端发

往支付网关（后台为银行系统）的授权、请款、对

账、转账、清算等请求；

根据业务系统/用户终端发来的请求中的银行标识，

将请求发往相应的支付网关；

将支付网关返回的响应消息发回业务系统/用户终

端；

对多媒体网上通过它的各种业务流进行监控、统计

和汇总；

业务网关的日志功能为业务系统、用户终端和银行

之间的各种对账、清算等提供数据备份，作为处理

纠纷的部分依据。

清监於学出版苞,品第娜慧鼎麟!|凰黑

此类业务的管理由电子商务业务网关的运营商完成,

网关运营商将业务网关业务作为电子商务基础业务

提供给支付类应用业务系统。

5.应用业务

电子商务应用业务是建立在电子商务证书业务和支

付体系之上的业务系统。应用业务系统的管理由业

务运营商承担。用户为实现安全电子交易、查询功

能而申请的证书及相关业务的管理则由电子商务平

台系统承担。

涓华大学出版社4a名

8.3电子政务概述

8.3.1电子政务

随着计算机技术、通信技术以及Internet技术的飞

速发展，信息化时代宣告来临。一个国家的信息化

需要来自多方面力量的推进，其中，政府作为国家

组成及信息流的“中心结点”，在社会信息化的进

程中起着无可替代的作用。电子政务作为经济与社

会信息化的重要条件，正在发展成为当代信息化最

重要的领域之一。

潸华7二字

电子政务是指政府机构运用现代网络通信与计算机

技术，将其内部和外部的管理和服务职能通过精简、

优化、整合、重组后到网上实现，打破时间、空间

以及部门分隔的制约，为社会公众及自身提供一体

化的高效、优质、廉洁的管理和服务。根据现代管

理学管理成本的概念，在管理层这个中间环节，在

提高效率的同时也需要消耗资源。传统上，政府主

要采用粗放型的管理模式，运作成本偏高而效力较

低，并遵循边际成本递增的规律，即管理的社会化

任务越重，管理的服务范围越大，相应的单位管理

成本就越高。

清华为:学出胧粒73^%/施•巴睨!/"

而实施了电子政务的政府则遵循边际成本递减规律,

即随着社会化管理任务的不断增加和管理服务单位

的不断扩大，相对的管理成本反而下降。造成这种

区别的原因在于，随着政务服务量的增加，投入的

信息化建设成本可以在更广的用户范围内加以均摊,

因此单位的管理成本可以下降，这是信息技术降低

管理成本的一个直接效应。

如何运用先进的信息技术实践电子政务，以电子化、

信息化手段提高政府的行政效能、行政管理水平和

决策准确性，从而更科学、更有效地为社会、企业

和公众服务，目前已成为各国政府越来越紧迫的一

项工作。

看塔史学出版社V置g:赃出方会

美国、欧盟各国、澳大利亚和新西兰等已经开始全

面着手建设国家电子政务工程，力图将信息化社会

中政府的服务职能放在突出的地位，并将电子政务

的建设重点定位在公众服务方面，通过服务来带动

网络化生产力的发展。而我国周边的一些国家，如

新加坡、日本、俄罗斯以及印度，虽然与信息化程

度较发达国家还有一定的差距，但在电子政务建设

的热情和对电子政务理念的定位方面还是非常接近

的。总体而言，国外电子政务建设的特点是将公众

服务放在首要的地位，以信息共享和数据获取为核

心，以网络化办公为依托，并以信息安全为基础，

其中又以信任与授权服务为信息安全的核心。

清华7'二学出版社

1.广义与狭义政务

电子政务是借助电子信息技术而进行的政务活动。

由于电子政务是电子信息技术与政务活动的交集，

所以它的内涵和外延在很大程度上取决于我们对于

电子信息技术和政务活动所下的定义。

政务有广义和狭义之分。其中，广义的政务泛指各

类行政管理活动，而狭义的政务则专指政府部门的

管理和服务活动。电子信息技术在公共管理中的应

用，实际上要远远超出政府系统的范围。

为了方便分析，我们将采用狭义的政务概念，即政

务专门指政府部门的管理和服务活动。

与“政务”一样，并非所有的电子信息技术与政务

活动的结合，都称为电子政务。电子政务真正作为

一个独立的概念出现，是在计算机网络技术相对成

熟和普及之后。只有在网络技术出现之后，大量政

务信息的实时共享和双向交流在技术上才成为可能,

从而使传统的政务开展方式发生根本性的改变。从

这个意义上说，电子政务的物质基础是计算机网络

技术。

电子政务主要包括3个组成部分:一是政府部门内部

的电子化和网络化办公，二是政府部门之间通过计

算机网络而进行的信息共享和实时通信，三是政府

部门通过网络与民众之间进行的双向信息交流。具

体地说，目前各级政府部门所广泛使用的办公自动

化系统，属于第一类电子政务的范畴；国家最近建

设完成的“三金”工程和电子口岸执法系统是第二

类电子政务的典型例子。政府部门通过自己的

Internet网站发布政务信息，以及进行网上招标、

网上招聘，接受网上投诉等，则属于第三类电子政

务的范畴。一个完整的电子政务系统，应当是上述

3类系统的有机结合。

高华文学出版就・岂景|;二M簿》疣普“MMMHI

2.办公自动化与电子政务的界定

所谓办公自动化，主要是指利用现代化的办公设备、

计算机技术和通信技术来代替办公人员的手工作业,

从而大幅度地提高办公效率。办公自动化设备早在

20世纪80年代就已经开始在我国普及应用，而电子

政务系统的大规模应用基本上是20世纪90年代中期

以后的事情。

具体地说，电子政务和办公自动化系统在以下几个

方面存在明显的差异：

应用定位不同。电子政务侧重于政府部门内部以及

跨部门、系统和地区的应用；而办公自动化系统的

应用重点一般是在部门内部，并且集中于办公人员

的个人层面。

二者的应用主体不同。办公自动化广泛地应用于几

乎所有的党政机关和企事业单位；而电子政务顾名

思义，其应用主体主要是各级政府部门。

系统用户不同。办公自动化系统的用户多为办公人

员；而电子政务由于一般是互动式进行的，因此其

系统用户的范围要广得多，除了政府部门的工作人

员之外，还包括与这些部门相关的企业和公众等。

蒲舒淳出瓶社・兰的UJiBHSSEBEESIWM

虽然电子政务和办公自动化在应用定位、应用主体、

功能、系统管理模式等方面均存在较大的差异，但

是它们之间仍然有着十分密切的关系。由于电子政

务实现了打破部门界限的联网办公和互动式作业，

因此可以把电子政务看作是办公自动化系统在范围

和功能上的对外延伸，是面向全社会的政府办公自

动化。

8.3.2电子政务总体技术框架

1.电子政务分层逻辑模型

电子政务是一个复杂的系统工程，其总体框架必须

按照分层的思想加以设计和实现。这种分层的体系

结构能较好地实现建设任务的分解，使得整个电子

政务系统的建设任务能在明确接口定义的基础上，

进行并发建设以缩短整体的建设周期。

清华夫学即该神布/时朋史却力匕卅mtn

同时，在接口保持不变的前提下，这种分层的系统

体系结构也能提供电子政务系统总体架构对各层基

础技术发展的良好适应性，并较好地体现以知识管

理与信息共享为核心，以信息安全为基础，面向决

策支持、面向公众服务的电子政务定位。

如图8.11所示为电子政务系统的分层逻辑模型。整

个逻辑结构按照功能可以自下而上划分为3个层次：

基础设施层、统一的安全电子政务平台层和电子政

务应用层。这个逻辑模型是对各级电子政务系统的

抽象概括，既适用于具体政府部门的电子政务系统,

也适用于整个电子政务系统框架。

猾华文学出版社

网上工商网上税务网上统计金融服务办公处理

电于政务

应用层

一站式服务框架

统一的安全电

于政务平价层

信息安全基础设施

PMI

CARAAARM

基础设施层

图8.11电子政务的总体技术体系结构模型

2.电子政务信息安全基础设施

任何安全系统的建立都依赖于系统、用户之间存在

的各种信任形式。电子政务公钥基础设施为应用系

统建立一种可靠的信任关系。

(1)电子政务PKI需求分析

由于电子政务网络结构复杂，网上承载的应用系统

繁多，政务网已成为人们工作中不可分割的一部分。

由于政务网的开放性和通用性，网上的大部分信息

对用户都是公开的，因此应用系统对信息的安全性

提出了以下更高的要求：

清学出旃社$

①对身份合法