郭秀琪

（陜西師范大學(xué) 陜西 西安 710119）

隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展及其在政府服務(wù)領(lǐng)域的廣泛應(yīng)用，原有基于有線網(wǎng)絡(luò)技術(shù)的電子政務(wù)系統(tǒng)，由于政府辦公人員現(xiàn)場(chǎng)操作模式的限制，某種程度上客觀上影響了電子政務(wù)系統(tǒng)管理和服務(wù)效果。從“有線政府”變成“無線政府”的移動(dòng)電子政務(wù)系統(tǒng)建設(shè)勢(shì)在必行，對(duì)支持移動(dòng)辦公的電子政務(wù)平臺(tái)的探索也成為新的研究領(lǐng)域。移動(dòng)政務(wù)系統(tǒng)正處于探索與發(fā)展階段，安全問題比較突出，安全需求由移動(dòng)終端安全、無線信道安全、接入網(wǎng)絡(luò)安全組成。由于移動(dòng)政務(wù)系統(tǒng)特殊性，其對(duì)維護(hù)信息安全的應(yīng)用技術(shù)要求相對(duì)較高，這就需要通過嚴(yán)格的身份認(rèn)證系統(tǒng)和有效的數(shù)據(jù)加密手段來實(shí)現(xiàn)。在國(guó)際上的身份認(rèn)證領(lǐng)域，利用PKI體系進(jìn)行身份認(rèn)證是一種先進(jìn)和通行的身份認(rèn)證手段，而且PKI體系除了能實(shí)現(xiàn)身份認(rèn)證功能之外還能提供數(shù)據(jù)加密、數(shù)字簽名等多種功能[1]。PKI（Public Key Infrastructure）是一個(gè)使用公共密鑰和數(shù)字證書技術(shù)，以確保信息安全，以驗(yàn)證數(shù)字證書所有者的身份的系統(tǒng)。數(shù)字證書是PKI最基本的元素，以使所有的安全操作都通過PKI的數(shù)字證書來實(shí)現(xiàn)。PKI通過數(shù)字證書進(jìn)行身份驗(yàn)證，因?yàn)閿?shù)字證書是可信的第三方證明，溝通，相互驗(yàn)證對(duì)方信息，而不必?fù)?dān)心信息是偽造的。通過可信的第三方認(rèn)證中心CA（Certification Authority）來識(shí)別信息，驗(yàn)證用戶在互聯(lián)網(wǎng)上的身份，并將用戶的公鑰和用戶的其他信息（如名稱，身份證號(hào)碼，電子郵件等）捆綁在一起。而對(duì)于移動(dòng)電子政務(wù)系統(tǒng)的用戶來說，數(shù)字證書是他們與PKI體系聯(lián)系最密切、最直接的部分，擁有個(gè)人數(shù)字證書的用戶可以對(duì)信息進(jìn)行加密解密和數(shù)字簽名等行為。由于移動(dòng)電子政務(wù)系統(tǒng)涉及政府部門，由Verisign或行業(yè)CA簽發(fā)的證書，在保密性和安全性得不到最大的保障。政務(wù)部門應(yīng)該結(jié)合自身的實(shí)際需要和移動(dòng)電子政務(wù)否認(rèn)高效性和移動(dòng)性的優(yōu)勢(shì)特點(diǎn)建立自主的CA來簽發(fā)證書。因此，作為PKI體系核心一一一認(rèn)證機(jī)構(gòu)CA的建立和布署是PKI體系建設(shè)的關(guān)鍵問題。

1 面向移動(dòng)政務(wù)的數(shù)字證書認(rèn)證中心CA

1.1 數(shù)字證書認(rèn)證系統(tǒng)的需求

移動(dòng)政務(wù)是在移動(dòng)終端與應(yīng)用服務(wù)器之間信息傳輸實(shí)現(xiàn)政務(wù)應(yīng)用的（如圖1所示）。在移動(dòng)電子政務(wù)PKI體系中，移動(dòng)終端與應(yīng)用服務(wù)器之間是通過數(shù)字證書來實(shí)現(xiàn)雙方的身份認(rèn)證以保障彼此通信安全。整個(gè)數(shù)字證書系統(tǒng)的管理體系由兩部分組成：注冊(cè)中心RA與認(rèn)證中心CA。在移動(dòng)政務(wù)PKI平臺(tái)中，CA負(fù)責(zé)為移動(dòng)政務(wù)系統(tǒng)的用戶提供證書服務(wù)，進(jìn)行移動(dòng)政務(wù)的各種認(rèn)證，為移動(dòng)終端與應(yīng)用服務(wù)器提供基本安全保障，建立相互的信任機(jī)制。RA主要功能是申請(qǐng)完成用戶所有證書注冊(cè)的相關(guān)操作，協(xié)助CA完成用戶數(shù)字證書的申請(qǐng)、簽發(fā)、更新、查詢等功能。移動(dòng)終端用戶注冊(cè)的最終目的是為了獲得數(shù)字證書，實(shí)現(xiàn)與應(yīng)用服務(wù)器的身份認(rèn)證，因此獲得認(rèn)證是目的，進(jìn)行注冊(cè)只是手段。CA是整個(gè)移動(dòng)政務(wù)信任服務(wù)體系的核心和基本結(jié)點(diǎn)。

圖1 移動(dòng)政務(wù)通信過程Fig.1 The process of m-Government communication

1.2 數(shù)字證書認(rèn)證中心CA的系統(tǒng)設(shè)計(jì)

CA中心主由Web服務(wù)模塊、目錄服務(wù)模塊、證書業(yè)務(wù)處理模塊、證書簽發(fā)服務(wù)模塊以及網(wǎng)絡(luò)安全支撐系統(tǒng)等組成[2]。面向移動(dòng)電子政務(wù)的CA的設(shè)計(jì)要突出移動(dòng)政務(wù)注重服務(wù)性和安全性的特點(diǎn)，在服務(wù)結(jié)構(gòu)和安全結(jié)構(gòu)進(jìn)行設(shè)計(jì)。服務(wù)結(jié)構(gòu)的設(shè)計(jì)以CA中心的功能需求、服務(wù)對(duì)象以及實(shí)際操作的證書業(yè)務(wù)處理流程為根據(jù)，主要的服務(wù)結(jié)構(gòu)包含證書的簽發(fā)、變更、使用、發(fā)布、注銷，證書CRL的產(chǎn)生與發(fā)布以及RA管理系統(tǒng)的管理員驗(yàn)證及權(quán)限控制等。

CA中心系統(tǒng)安全設(shè)計(jì)主要有物理安全、網(wǎng)絡(luò)層安全、信息層安全、應(yīng)用層安全、數(shù)據(jù)庫(kù)層安全。移動(dòng)政務(wù)CA中心系統(tǒng)尤其應(yīng)該加強(qiáng)信息層安全，采用CA證書技術(shù)的數(shù)字信封、數(shù)字簽名等技術(shù)來保證通信內(nèi)容的保密性、數(shù)據(jù)的完整性，并進(jìn)行通信雙方的身份認(rèn)證[3]。移動(dòng)政務(wù)CA中心的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的連接安全需要通過一個(gè)中介網(wǎng)絡(luò)實(shí)現(xiàn)，中介網(wǎng)絡(luò)對(duì)信任服務(wù)體系的核心設(shè)備提供安全保障。

2 面向移動(dòng)電子政務(wù)的層次CA與橋CA信任模型

數(shù)字證書是PKI的核心元素，PKI是基于數(shù)字證書的信任授權(quán)而建立的。所謂信任在PKI中可以理解為：當(dāng)用戶A可以獲得用戶B的公鑰，并可以用該公鑰驗(yàn)證所獲得的B的證書的正確性和有效性，則A信任B[4]。C A的建立是以形成統(tǒng)一的PKI身份認(rèn)證體系為宗旨的，以便為終端用戶實(shí)體提供數(shù)字證書及其他安全服務(wù)。建設(shè)PKI的最終目標(biāo)是建立統(tǒng)一身份認(rèn)證體系，即在C A中心建設(shè)的基礎(chǔ)上架構(gòu)一種信任體系。

在創(chuàng)立和運(yùn)行PKI的安全基礎(chǔ)設(shè)施過程中，解決各信任域之間如何進(jìn)行互聯(lián)互通的問題亟待解決。PKI信任模型就是用來描述PKI體系在分布式網(wǎng)絡(luò)環(huán)境下如何進(jìn)行信任傳遞和管理的模型。由于現(xiàn)實(shí)世界中信任關(guān)系紛繁復(fù)雜，架構(gòu)在現(xiàn)實(shí)信任關(guān)系基礎(chǔ)上的PKI系統(tǒng)的結(jié)構(gòu)有很大差異。選擇適當(dāng)合理的信任模型是構(gòu)筑和操作移動(dòng)政務(wù)PKI平臺(tái)十分必需的一個(gè)環(huán)節(jié)?，F(xiàn)有的PKI信任模型主要有層次CA信任模型、橋CA信任模型、網(wǎng)狀信任模型、信任列表信任模型、用戶中心信任模型。下文將分析嚴(yán)格層次CA和橋CA這兩種十分典型PKI結(jié)構(gòu)在移動(dòng)政務(wù)PKI體系中處理實(shí)體間信任關(guān)系的優(yōu)劣和實(shí)際操作可能性。

2.1 層次CA信任模型

層次信任模型，也被稱作嚴(yán)格層次信任模型（如圖2），采用倒置的樹型分層的結(jié)構(gòu)，擁有唯一的根CA。自上而下各樹枝部位有一個(gè)中間CA，葉子節(jié)點(diǎn)是終端用戶。在該模型中，所有節(jié)點(diǎn)都信任根CA中心，并且保存一份根CA的公鑰證書。根CA、中間CA都可以為直接后代節(jié)點(diǎn)發(fā)放證書。在此信任模型中，任何兩個(gè)用戶之間的通信必須通過根C A中心驗(yàn)證對(duì)方的公鑰證書才能進(jìn)行，根CA中心是所有用戶最終的信任中心。用戶A與B通信的交叉認(rèn)證過程如圖2中所示。

圖2 層次CA信任模型Fig.2 Hierarchical trust model

層次CA模型與政府機(jī)關(guān)部門的管理層次吻合度較高，且易于控制，由根CA對(duì)所有下級(jí)CA進(jìn)行集中控制，建立、計(jì)算信任路徑更為容易。根CA可以根據(jù)移動(dòng)政務(wù)的具體需求，如不同政府部門規(guī)模結(jié)構(gòu)、區(qū)域性劃分或證書的用途來創(chuàng)建和簽發(fā)下屬級(jí)別CA，同時(shí)下屬級(jí)別CA也可以根據(jù)自身實(shí)際需求進(jìn)行樹狀型的擴(kuò)展。如果按照區(qū)域性劃分來進(jìn)行整個(gè)移動(dòng)政務(wù)系統(tǒng)中CA的建設(shè)，那么，根CA建設(shè)在省級(jí)信息中心，省級(jí)以下可以再建設(shè)市縣級(jí)CA。

但是一旦根CA出現(xiàn)密鑰泄露問題，整個(gè)系統(tǒng)將有毀滅性的影響，這樣對(duì)整個(gè)移動(dòng)政務(wù)PKI體系就存在著一定的隱患。另外其擴(kuò)展性較差，在多信任域或多個(gè)對(duì)等實(shí)體間建立層次模型是不實(shí)際的[5]。

2.2 橋CA信任模型

橋CA信任模型也可稱作混合型信任模型結(jié)構(gòu)，是一種集層次、網(wǎng)狀、信任列表等信任模型于一身的整合結(jié)構(gòu)，在信任結(jié)構(gòu)中比較常見，具有較多的優(yōu)勢(shì)，應(yīng)用普遍。（橋CA信任模型如圖3）橋CA是橋接的認(rèn)證機(jī)構(gòu)，它具有證書機(jī)構(gòu)的基本功能，向各個(gè)主C A簽發(fā)證書，不直接向終端用戶簽發(fā)終端實(shí)體證書，也就是說它不具備層次信任結(jié)構(gòu)根CA信任起點(diǎn)的功能，不具有管理職能，僅起到橋梁連接作用。橋C A是一個(gè)獨(dú)立的C A中心，與每一個(gè)主C A信任域建立對(duì)等的信任關(guān)系，是作為中介機(jī)構(gòu)第三方的角色。

圖3 橋CA信任模型Fig.3 Bridge trust model

此模型中，各域?qū)嶓w用戶允許保留他們自己的原始信任點(diǎn)，各主CA只和處于中心的橋CA之間存在信任關(guān)系。用戶A與B通信的交叉認(rèn)證過程如圖2中所示如果橋CA認(rèn)為對(duì)方CA屬于可信的，那么就認(rèn)為對(duì)方CA域內(nèi)的用戶是可信的。每個(gè)終端實(shí)體用它所在域的根C A的密鑰，通過證書路徑處理之后，取得中CA的密鑰，然后得到另一個(gè)域中的一個(gè)CA的密鑰，最后是取得那個(gè)域中的目標(biāo)終端實(shí)體的密鑰[6]。因此橋C A是多信任域PKI體系的核心，在跨信任域?qū)嶓w間建立信任關(guān)系。

在移動(dòng)政務(wù)PKI體系中，橋CA結(jié)構(gòu)可以充分發(fā)揮其靈活性、開放性、簡(jiǎn)捷性、安全性的優(yōu)勢(shì)，這與移動(dòng)政務(wù)的優(yōu)勢(shì)特點(diǎn)相吻合。具體地說，以省、直轄市、自治區(qū)為單位建立主CA中心，下屬級(jí)別政府機(jī)關(guān)單位可以分級(jí)建立子CA中心，還根據(jù)政務(wù)需要進(jìn)行縱向和橫向的擴(kuò)展，不同省市、同一省市不同地區(qū)、同一地區(qū)不同政府部門之間可以建立跨域信任體系。這一橋CA的第三方則可以由需要建立信任關(guān)系的多信任域共同商討決定?，F(xiàn)在正處于全球信息高速傳播的時(shí)期，移動(dòng)電子政務(wù)仍在發(fā)展階段，廣大市民對(duì)政府信息的及時(shí)發(fā)布公開有著很高的要求。移動(dòng)政務(wù)也是基于這種需求和無線技術(shù)的發(fā)展而實(shí)現(xiàn)的。因此，移動(dòng)政務(wù)的PKI體系的建設(shè)仍需要高效、迅捷、方便。橋C A結(jié)構(gòu)中，在其體系規(guī)模發(fā)生變化時(shí)，增加或者減少一個(gè)C A或P K I域相對(duì)容易，信任關(guān)系容易管理。而且，其利用橋梁連接的方式，使得一定數(shù)量的CA其交叉認(rèn)證的證書也是一定數(shù)量的，經(jīng)濟(jì)簡(jiǎn)便。更重要的是，在橋C A出現(xiàn)意外的情況下，與橋C A橋接的各個(gè)主C A可通過撤銷其發(fā)放橋CA的證書，終止信任關(guān)系，然后仍可獨(dú)立運(yùn)行。相較于層次CA結(jié)構(gòu)由過度依賴根CA而存在的高風(fēng)險(xiǎn)性，橋CA結(jié)構(gòu)的這一特點(diǎn)充分顯示了其較高的安全性，而這也是移動(dòng)政務(wù)PKI體系十分關(guān)鍵和核心的要素。因此PKI的信任模型中，最適合移動(dòng)政務(wù)應(yīng)用的是橋CA模型。

當(dāng)然，橋CA結(jié)構(gòu)也有弊端，由于其綜合了層次結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)及信任列表結(jié)構(gòu)，也就相應(yīng)地會(huì)產(chǎn)生數(shù)字證書內(nèi)容的生成、驗(yàn)證比較復(fù)雜的問題。另外橋CA結(jié)構(gòu)僅涉及信任關(guān)系路徑的構(gòu)建和一些方法，缺少關(guān)于其實(shí)用性問題的思考。

3 我國(guó)移動(dòng)政務(wù)CA中心建設(shè)趨勢(shì)

P K I體系對(duì)國(guó)家發(fā)展至關(guān)重要，它是互連網(wǎng)健康、安全、有序發(fā)展的保證。目前我國(guó)也進(jìn)行了大量的P K I/C A的建設(shè)，主要有行業(yè)型、獨(dú)立型、區(qū)域型類型，行業(yè)型主要面對(duì)某個(gè)行業(yè)提供數(shù)字證書與安全服務(wù)，如銀行系統(tǒng)、郵政系統(tǒng)。獨(dú)立型則是向各種電子商務(wù)、電子政務(wù)應(yīng)用或個(gè)體提供數(shù)字證書。這類C A中心即不屬于某個(gè)行業(yè)的最高領(lǐng)導(dǎo)機(jī)構(gòu)也不屬于某個(gè)區(qū)域的權(quán)威領(lǐng)導(dǎo)機(jī)構(gòu)而屬于邏輯上獨(dú)立的認(rèn)證機(jī)構(gòu)（但可能又具有行業(yè)特點(diǎn)），可以充當(dāng)理論上公正的第三方[7]。區(qū)域型則是向某個(gè)區(qū)域提供數(shù)字證書服務(wù)?，F(xiàn)階段，移動(dòng)政務(wù)發(fā)展處于初步階段，作為電子政務(wù)系統(tǒng)的一個(gè)非常重要的組成部分，結(jié)合實(shí)際情況，可以依托現(xiàn)有電子政務(wù)CA中心，先采用層次CA結(jié)構(gòu)的PKI信任模式，具體就是以區(qū)域型（省級(jí)）身份認(rèn)證模式建設(shè)區(qū)域型（省級(jí)）CA，簡(jiǎn)單、可操作性強(qiáng)，便于管理，從而建立區(qū)域（省級(jí)）CA中心。待到發(fā)展成熟之時(shí)，可以逐漸采用橋CA結(jié)構(gòu)，增強(qiáng)區(qū)域CA的信任聯(lián)系在種模式中，可以將區(qū)域型的CA中心建設(shè)與獨(dú)立型CA中心建設(shè)融合，建立公正的第三方橋CA中心，實(shí)現(xiàn)跨域網(wǎng)狀管理，進(jìn)一步提高彼此的高效性與安全性，為移動(dòng)政務(wù)向廣大市民提供穩(wěn)定、高效、安全的政務(wù)服務(wù)奠定基礎(chǔ)。

4 結(jié)語語

移動(dòng)電子政務(wù)系統(tǒng)在被廣大用戶逐步認(rèn)同，取得一定發(fā)展的同時(shí)，由于無線網(wǎng)絡(luò)的開放性和復(fù)雜性，政務(wù)系統(tǒng)的信息安全面臨著重大考驗(yàn)。PKI技術(shù)為移動(dòng)政務(wù)解決這一問題提供了保障，其中政府部門應(yīng)該加大對(duì)政務(wù)應(yīng)用信任體系的研究與投入。

參考文獻(xiàn)：

[1]蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2004：30-32.

[2]趙鋒.面向電子政務(wù)層次CA結(jié)構(gòu)設(shè)計(jì)[J].信息與電腦：理論版，2013（6）：29-31.ZHAO Feng.Design of hierarchical structure for e-Government[J].China Computer&Communication：Edition of Theory，2013（6）：29-31.

[3]蘭麗娜，楊濤海.CA系統(tǒng)安全性的分層多方面設(shè)計(jì)[J].計(jì)算機(jī)工程，2007，33 （23）：179-181.LAN Li-na，YANG Tao-hai.Multi-layer and multi-aspect design of CA system security [J].Computer Engineering，2007，33 （23）：179-181.

[4]李鵬，張昌宏，周立兵.基于交叉認(rèn)證的PKI信任模型研究[J].計(jì)算機(jī)與數(shù)字工程，2010 （12）：100-103.LI Peng，ZHANG Chang-hong，ZHOU Li-bing.Research on PKI Trust Model based on Cross Certification [J].Computer&Digital Engineering， 2010 （12）：100-103.

[5]謝冬青，冷健.PKI原理與技術(shù)[M].北京：清華大學(xué)出版社，2004.

[6]龔傳，劉鵬，宗銳，等.公鑰基礎(chǔ)設(shè)施PKI信任模式研究[J].計(jì)算機(jī)安全，2009 （4）：79-88.GONG Chuan，LIU Peng，ZONG Rui，et al.Survey of Trust-Model based on PKI[J].Computer Security，2009 （4）：79-88.

[7]劉遠(yuǎn)航.區(qū)域型（省級(jí)）CA中心建設(shè)模式的探討[J].信息網(wǎng)絡(luò)安全，2003（4）：44-46.LIU Yuan-hang.Discussion of regional （provincial）CA Model Construction[J].Netinfo Security，2003（4）：44-46.