公開密鑰基礎(chǔ)設(shè)施 (Public Key Infrastructure，PKI)，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，也是一個(gè)提供強(qiáng)大開放的數(shù)據(jù)加密和支持加密服務(wù)的典型方法。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡(jiǎn)單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，PKI技術(shù)是信息安全技術(shù)的核心，也是電子政務(wù)系統(tǒng)的關(guān)鍵基礎(chǔ)技術(shù)。

電子政務(wù)所涵蓋的信息系統(tǒng)是政府機(jī)構(gòu)用于執(zhí)行政府職能的信息系統(tǒng)。政府機(jī)構(gòu)從事的行業(yè)性質(zhì)跟國(guó)家緊密聯(lián)系，所涉及的眾多信息都帶有保密性，所以信息安全問題尤其重要。例如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等，都將對(duì)電子政務(wù)系統(tǒng)的正常運(yùn)行構(gòu)成威脅。為保證電子政務(wù)的信息安全，有必要對(duì)其信息和網(wǎng)絡(luò)系統(tǒng)進(jìn)行專門的安全設(shè)計(jì)。

電子政務(wù)的信息安全目標(biāo)

信息系統(tǒng)信息安全的宗旨是通過在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮到自身、伙伴和客戶的信息風(fēng)險(xiǎn)，確保組織能夠完成它的全部使命和目標(biāo)。進(jìn)而言之，電子政務(wù)系統(tǒng)信息安全的宗旨就是通過在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn)，從而確保一個(gè)政府部門能夠有效地完成法律所賦予的政府職能。

為此，電子政務(wù)系統(tǒng)必須實(shí)現(xiàn)可用性、完整性、保密性、可記賬性和保障性等信息安全目標(biāo)：

◎可用性目標(biāo)：是指確保電子政務(wù)系統(tǒng)有效率地運(yùn)轉(zhuǎn)并使授權(quán)用戶得到所需信息服務(wù)。通常，可用性目標(biāo)是電子政務(wù)系統(tǒng)的首要信息安全目標(biāo)。

◎完整性目標(biāo)：包括兩個(gè)方面：數(shù)據(jù)完整性和系統(tǒng)完整性。通常，完整性目標(biāo)是電子政務(wù)系統(tǒng)除了可用性目標(biāo)之外最重要的信息安全目標(biāo)。

◎保密性目標(biāo)：是指不向非授權(quán)個(gè)人和部門暴露私有或者保密信息。通常，對(duì)于大多數(shù)電子政務(wù)系統(tǒng)而言，保密性目標(biāo)在信息安全的重要程度排序中僅次于可用性目標(biāo)和完整性目標(biāo)。然而，對(duì)于某些特定的電子政務(wù)系統(tǒng)和數(shù)據(jù)，保密性目標(biāo)是最重要的信息安全目標(biāo)。

◎可記賬性目標(biāo)：是指電子政務(wù)系統(tǒng)能夠如實(shí)記錄一個(gè)實(shí)體的全部行為。通常，可記賬性目標(biāo)是政府部門的一種策略需求。可記賬性目標(biāo)可以為拒絕否認(rèn)、威懾違規(guī)、隔離故障、檢測(cè)和防止入侵、事后恢復(fù)和法律訴訟提供支持。

◎保障性目標(biāo)：保障性是電子政務(wù)系統(tǒng)信息安全的信任基礎(chǔ)。保障性目標(biāo)突出了這樣的事實(shí)：對(duì)于希望做到安全的信息系統(tǒng)而言，不僅需要提供預(yù)期的功能，而且需要保證不會(huì)發(fā)生非預(yù)期的行為。具體而言，保障性目標(biāo)是指提供并正確實(shí)現(xiàn)需要的電子政務(wù)功能；在用戶或者軟件無意中出現(xiàn)差錯(cuò)時(shí)，提供充分保護(hù)；在遭受惡意的系統(tǒng)穿透或者旁路時(shí)，提供充足防護(hù)。

基于PKI的安全電子政務(wù)層次架構(gòu)模型

在電子政務(wù)系統(tǒng)建設(shè)中，為全面實(shí)現(xiàn)可用性、完整性、保密性、記賬性和保障性等信息安全目標(biāo)，需要研究設(shè)計(jì)建立安全的電子政務(wù)系統(tǒng)架構(gòu)模型。根據(jù)電子政務(wù)系統(tǒng)架構(gòu)層次化特點(diǎn)，提出了圖1所示的基于PKI的安全電子政務(wù)層次架構(gòu)模型，主要從核心層、網(wǎng)絡(luò)層、數(shù)據(jù)存儲(chǔ)層、應(yīng)用層、接口層以及物理和管理層等方面改進(jìn)優(yōu)化系統(tǒng)信息安全指標(biāo)。

圖1. 基于PKI的安全電子政務(wù)層次架構(gòu)模型

1.核心層：是指基于PKI技術(shù)建立的整個(gè)電子政務(wù)應(yīng)用的安全核心，該層次是電子政務(wù)安全的基礎(chǔ)；

2.網(wǎng)絡(luò)層：是指在網(wǎng)絡(luò)接入的層面上建立整個(gè)系統(tǒng)的信任網(wǎng)絡(luò)接入和網(wǎng)絡(luò)管理，以及數(shù)據(jù)傳輸層的網(wǎng)絡(luò)安全等；

3.數(shù)據(jù)存儲(chǔ)層：是指整個(gè)應(yīng)用的數(shù)據(jù)存儲(chǔ)的可信任機(jī)制。

4.應(yīng)用層：是指電子政務(wù)應(yīng)用的安全、認(rèn)證的應(yīng)用接入、應(yīng)用層的身份/權(quán)限以及授權(quán)服務(wù)、單點(diǎn)登錄(SSO)以及應(yīng)用的機(jī)密性和不可抵賴性等；

5.接口層：是指數(shù)據(jù)的交換和應(yīng)用的交互的安全性的控制;

6.物理和管理層：是指整個(gè)安全體系的涉密設(shè)備和介質(zhì)以及安全等級(jí)和規(guī)范的管理。其中包括人員的培訓(xùn)和涉密系統(tǒng)的管理，健全相應(yīng)的管理措施，管理機(jī)構(gòu)依據(jù)管理制度和管理流程對(duì)日常操作、運(yùn)行維護(hù)、審計(jì)監(jiān)督、文檔管理進(jìn)行統(tǒng)一管理等等。

核心層安全

圖2. 核心層的PKI/CA的結(jié)構(gòu)

核心層采用圖2所示的PKI/CA結(jié)構(gòu)實(shí)現(xiàn)。PKI是電子政務(wù)信息安全基礎(chǔ)設(shè)施的重要組成部分，授權(quán)管理基礎(chǔ)建設(shè)、可信時(shí)間戳服務(wù)系統(tǒng)、安全保密管理系統(tǒng)、統(tǒng)一的安全電子政務(wù)平臺(tái)的構(gòu)建都離不開它的支持。PKI主要分布在分布式計(jì)算環(huán)境中提供數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可抵賴性等安全功能。

圖3. PKI的實(shí)體模型

PKI信任服務(wù)體系主要由注冊(cè)中心(RA)、認(rèn)證中心(CA)、密鑰管理中心(KM)、證書在線狀態(tài)查詢服務(wù)、證書目錄服務(wù)、時(shí)間戳服務(wù)等組成，其中注冊(cè)中心（RA）和認(rèn)證中心（CA）又包含相應(yīng)的模塊，如圖2所示。

具有完整的體系結(jié)構(gòu)的PKI實(shí)現(xiàn)的可以包括以下功能模塊:實(shí)體鑒別服務(wù)模塊，包括智能卡接口等個(gè)人安全環(huán)境的API；核基于PKI技術(shù)的安全電子政務(wù)系統(tǒng)的設(shè)計(jì)心算法服務(wù)模塊，包括基本密碼算法如公鑰算法、散列函數(shù)實(shí)現(xiàn)；高層密碼服務(wù)模塊，包括證書申請(qǐng)、簽名、驗(yàn)證等函數(shù)實(shí)現(xiàn)；證書管理服務(wù)模塊，向數(shù)據(jù)倉庫增加或者撤消證書、密鑰等函數(shù)實(shí)現(xiàn)；PKI訪問服務(wù)模塊，利用LDAP訪問PKI完成證書查詢等功能的函數(shù)實(shí)現(xiàn)。安全協(xié)議模塊，提供安全訪問通道的協(xié)議實(shí)現(xiàn)，包括IPSec、S/MIME等；安全策略服務(wù)模塊，包括信息注冊(cè)、訪問控制、審計(jì)等功能實(shí)現(xiàn):支持服務(wù)模塊，LDAP目錄訪問API等相關(guān)功能實(shí)現(xiàn)，如圖3所示。

核心算法服務(wù)是底層的密碼安全模塊，包括隨機(jī)數(shù)產(chǎn)生、公鑰對(duì)產(chǎn)生(RSA)、散列算法(SHA、MDS)、對(duì)稱密鑰加密算法(DES、AES等)，該模塊可以用軟件實(shí)現(xiàn)，也可以根據(jù)安全等級(jí)要求用硬件實(shí)現(xiàn)。

網(wǎng)絡(luò)層安全

內(nèi)部網(wǎng)絡(luò)進(jìn)行虛擬子網(wǎng)絡(luò)隔離，邊界接入網(wǎng)絡(luò)采用物理隔離實(shí)現(xiàn)。包括對(duì)電子政務(wù)關(guān)鍵主機(jī)物理安全保障和機(jī)房安全建設(shè)。采用的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及其他軟件系統(tǒng)，建立一個(gè)可信的安全操作環(huán)境。

網(wǎng)絡(luò)安全建設(shè)主要通過基于網(wǎng)絡(luò)協(xié)議和服務(wù)的安全配置、網(wǎng)絡(luò)安全防護(hù)網(wǎng)、基于PKI技術(shù)的安全電子政務(wù)系統(tǒng)的設(shè)計(jì)絡(luò)實(shí)時(shí)監(jiān)控等措施實(shí)現(xiàn)，所以盡量保證網(wǎng)絡(luò)中采用的協(xié)議和提供的服務(wù)進(jìn)行安全評(píng)估并根據(jù)具體網(wǎng)絡(luò)應(yīng)用重新配置，減少協(xié)議與服務(wù)本身存在的風(fēng)險(xiǎn)。可以采用安全網(wǎng)關(guān)或者防火墻系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)，一些重要的子網(wǎng)絡(luò)間采用基于密碼設(shè)備的防護(hù)。對(duì)于關(guān)鍵網(wǎng)絡(luò)或者邊界網(wǎng)絡(luò)采用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)與預(yù)警系統(tǒng)，監(jiān)控網(wǎng)絡(luò)流量并進(jìn)行綜合分析，根據(jù)安全規(guī)則對(duì)攻擊行為、非正?；蛘呖赡艿娜肭中袨檫M(jìn)行告警、切斷網(wǎng)絡(luò)等響應(yīng)。

數(shù)據(jù)存儲(chǔ)層安全

在電子政務(wù)應(yīng)用中，數(shù)據(jù)存儲(chǔ)有兩種不同的類型：一種是使用過程的運(yùn)轉(zhuǎn)數(shù)據(jù)；另一種是運(yùn)轉(zhuǎn)結(jié)束后的歷史數(shù)據(jù)。即正在運(yùn)行和流轉(zhuǎn)的數(shù)據(jù)和歷史檔案數(shù)據(jù)及查詢數(shù)據(jù)。根據(jù)不同的安全等級(jí)，數(shù)據(jù)的存儲(chǔ)就相應(yīng)的有兩種方式：非密存儲(chǔ)、加密存儲(chǔ)。在系統(tǒng)中正在流轉(zhuǎn)的數(shù)據(jù)，可以根據(jù)相應(yīng)的密級(jí)進(jìn)行加密或者不加密。而歷史數(shù)據(jù)和檔案要根據(jù)具體分析是否進(jìn)行加密存放。可以將所有必要的數(shù)據(jù)進(jìn)行加密存儲(chǔ)，這樣做就可以保證數(shù)據(jù)存儲(chǔ)的安全和保密，但是加密存儲(chǔ)數(shù)據(jù)會(huì)帶來一些相應(yīng)的問題和不便。

查詢和全文檢索的問題。歷史數(shù)據(jù)之所以要保存，是因?yàn)檫@些數(shù)據(jù)的利用價(jià)值，沒有價(jià)值的數(shù)據(jù)的保存是沒有意義的。在電子政務(wù)系統(tǒng)中，數(shù)據(jù)的利用價(jià)值就是查詢和參考，如果所有的數(shù)據(jù)都進(jìn)行加密的存儲(chǔ)，那么查詢就會(huì)打折扣，很多加密的內(nèi)容將不容易被查詢，全文檢索更難以實(shí)現(xiàn)，因?yàn)樗屑用艿臄?shù)據(jù)直接檢索幾乎是不可能的。

加密存放時(shí)間問題。加密保存的歷史數(shù)據(jù)具有比較長(zhǎng)的時(shí)間存放時(shí)效，一般的公文都要保存幾十年，但不論是基于什么加密體系的密鑰的有效期都遠(yuǎn)低于這些數(shù)據(jù)的保存期限，這就帶來加密存放的時(shí)間問題。

密鑰問題。隨著數(shù)據(jù)保存的時(shí)間的延長(zhǎng)，以及單位人事的變動(dòng)，加密的密鑰管理也會(huì)帶來相關(guān)的問題。目前的PKI體系主要采用雙證書管理，但是檔案的存放時(shí)間遠(yuǎn)遠(yuǎn)大于安全體系的有效期。

可以采用非密存儲(chǔ)、存儲(chǔ)服務(wù)器認(rèn)證、加密存儲(chǔ)和解密代理等方法解決上述提到的問題?？梢圆捎眉用?解密代理的方法解決密鑰的問題，但是這種方式的查詢還很困難，全文檢索幾乎不可能。但是電子政務(wù)應(yīng)用的大量信息還不能脫離查詢和全文檢索?？梢岳肞KI的認(rèn)證和權(quán)限的控制，進(jìn)行存儲(chǔ)服務(wù)的認(rèn)證控制。系統(tǒng)的數(shù)據(jù)存取不加密，將存儲(chǔ)的服務(wù)器置于一個(gè)邏輯的隔離區(qū)(其他的服務(wù)和用戶不能直接訪問)，用戶或服務(wù)提交的存取或查詢的請(qǐng)求都必須提交給存取/權(quán)限控制機(jī)構(gòu)，而存取/控制機(jī)構(gòu)根據(jù)身份認(rèn)證和控制策略的判定結(jié)果與存儲(chǔ)服務(wù)進(jìn)行加密交互，最后將結(jié)果返回提交請(qǐng)求者。這些問題的解決方法還不是確定的，仍值得進(jìn)一步討論。

應(yīng)用層安全

電子政務(wù)系統(tǒng)應(yīng)用層的安全可以通過建設(shè)應(yīng)用安全服務(wù)平臺(tái)來實(shí)現(xiàn)，通過安全平臺(tái)向各項(xiàng)應(yīng)用提供統(tǒng)一的安全服務(wù)如數(shù)據(jù)加密/解密、數(shù)字簽名/驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、密鑰管理等功能。這個(gè)服務(wù)平臺(tái)可以基于統(tǒng)一的身份鑒別和統(tǒng)一授權(quán)管理實(shí)現(xiàn)。這些安全服務(wù)主要包括身份認(rèn)證、應(yīng)用接入認(rèn)證、數(shù)字簽名、加密、權(quán)限控制/授權(quán)、單點(diǎn)登錄和目錄服務(wù)等。

身份認(rèn)證、身份鑒別主要解決通信雙方的身份問題，即“who are you”的問題，身份認(rèn)證和身份鑒別時(shí)電子政務(wù)系統(tǒng)的重要核心內(nèi)容之一。在應(yīng)用接入認(rèn)證中，主要解決應(yīng)用和用戶、應(yīng)用和應(yīng)用之間的認(rèn)證問題。對(duì)于應(yīng)用的接入認(rèn)證，可以采用C/S和WEB方式。雙向認(rèn)證過程可以采用“三次握手協(xié)議”，該認(rèn)證過程如圖4所示。

數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它的實(shí)現(xiàn)基礎(chǔ)就是公開密鑰加密技術(shù)。加密在電子政務(wù)的應(yīng)用中解決的是數(shù)據(jù)的“機(jī)密性”的問題。訪問控制機(jī)制包括自主訪問控制和強(qiáng)制訪問控制模式，一般有訪問控制列表(ACL)、能力列表(CL)和權(quán)限關(guān)系表(AR)等。單點(diǎn)登錄，就是通過用戶的一次性鑒別登錄，即可獲得需訪問系統(tǒng)和應(yīng)用軟件的授權(quán)，從而，管理員無需修改或者干涉用戶登錄就能方便的實(shí)施希望得到的安全控制。

圖4.“三次握手”認(rèn)證過程

接口層安全

電子政務(wù)安全的接口層是指數(shù)據(jù)的交換和應(yīng)用的交互的安全性的控制。在電子政務(wù)的應(yīng)用中，存在大量的數(shù)據(jù)交換，并且存在許多跨部門的數(shù)據(jù)交換。電子政務(wù)應(yīng)用的接口層的安全對(duì)整個(gè)電子政務(wù)的安全具有深遠(yuǎn)的影響。

電子政務(wù)的接口層是與接口層需要的具體技術(shù)相關(guān)的，安全的Web Services技術(shù)是在Web Services基礎(chǔ)上發(fā)展而來的。安全的Web Services通過安全的SOAP技術(shù)保證。消息的機(jī)密性、完整性和不可抵賴性，通過安全的WSDL描述可信服務(wù)組件，通過安全的UDDI發(fā)布可信服務(wù)組件。

政府信息的敏感性以及網(wǎng)絡(luò)的虛擬性和開放性，決定了電子政務(wù)系統(tǒng)需要有強(qiáng)有力的身份認(rèn)證手段和數(shù)據(jù)加密手段來保證電子政務(wù)系統(tǒng)的安全。從國(guó)外電子政務(wù)建設(shè)項(xiàng)目采用的主流身份認(rèn)證技術(shù)分析，當(dāng)前基于PKI體系進(jìn)行身份認(rèn)證是一種先進(jìn)和通行的身份認(rèn)證手段，而且PKI體系除了能實(shí)現(xiàn)身份認(rèn)證功能之外還能提供數(shù)據(jù)加密、數(shù)字簽名等多種功能。本文提出了一種基于PKI的安全電子政務(wù)層次架構(gòu)模型，詳細(xì)分析了保證核心層、網(wǎng)絡(luò)層、數(shù)據(jù)存儲(chǔ)層、應(yīng)用層、接口層等各個(gè)層次應(yīng)用安全的各種技術(shù)和可行性。

（作者單位：林鳳海，浙江省麗水市景寧畬族自治縣政府信息中心主任；吳吉義，杭州市電子商務(wù)與信息安全重點(diǎn)實(shí)驗(yàn)室常務(wù)副主任）