周小遨

【摘 要】2001年3月，全國人大通過《國民經(jīng)濟和社會發(fā)展十五計劃綱要》，明確提出了“以信息化帶動工業(yè)化”、“以電子政務帶動信息化”的基本策略。2001年，中辦下發(fā)了《國家信息化領導小組關于我國電子政務建設指導意見》（中辦發(fā)[2001]17號），全國掀起了電子政務和電子政務建設的浪潮。隨著電子政務和電子政務的發(fā)展，大規(guī)模、分布式的應用系統(tǒng)越來越多，對于用戶跨部門、跨地域和跨應用系統(tǒng)的需求越來越旺盛，僅靠單一的密碼技術和分散的用戶管理已經(jīng)不能適應形式的發(fā)展。安全機制成為制約電子政務和電子政務發(fā)展的最大障礙。

【關鍵詞】電子政務；電子政務安全；身份認證體系

本文的研制目標是研制以注冊、鑒權為核心的第三代身份認證體系，實現(xiàn)全程全網(wǎng)的強雙因子身份認證，從而為構建全國電子政務網(wǎng)絡信任體系奠定基礎。第三代身份認證體系是電子政務建設的基礎設施，推進第三代身份認證體系研制，具有以下意義。

是對傳統(tǒng)PKI理論體系的重要發(fā)展

第三代身份認證體系，在繼承傳統(tǒng)PKI技術的基礎上，充分考慮了身份認證服務的快速部署問題，如何適應下一代網(wǎng)絡發(fā)展問題，認證服務如何快速部署問題，以及對應用整合問題等。這些問題在傳統(tǒng)PKI理論體系中沒有涉及，同時這些問題也是目前安全領域研究的熱點問題。第三代身份認證體系很好地解決了這些問題，因此是對傳統(tǒng)PKI理論體系的重要發(fā)展。

是建設電子政務建設的基礎設施

電子政務建設首先要解決信任服務問題，只有在信任服務的基礎上才能實現(xiàn)全國各省、部電子政務網(wǎng)可信的互聯(lián)互通，用戶通過信任服務成為可信的用戶，應用系統(tǒng)通過信任服務成為可信的應用，因此，第三代身份認證體系就是電子政務建設的基礎設施，為全面推進電子政務建設積累經(jīng)驗、奠定基礎，意義重大，影響深遠。

有利于切實保障政務信息系統(tǒng)的健康運行

政務信息系統(tǒng)健康運行的保障是信息安全技術，而以密碼技術為基礎的身份認證是信息安全技術的核心，它能夠有效地解決應用信息的機密性、真實性、完整性和不可否認性等安全問題。因此，在電子政務網(wǎng)構建先進的身份認證體系，有利于切實保障政務信息系統(tǒng)的健康運行。

有利于加強信任服務的快速部署和對應用的整合

由于我國信息化建設經(jīng)歷了20多年，已經(jīng)在使用很多應用系統(tǒng)，本著繼承與發(fā)展的原則，第三代身份認證體系充分考慮了身份認證與應用系統(tǒng)的結合問題。對原有應系統(tǒng)作小的改動，即可實現(xiàn)基于數(shù)字證書的全程全網(wǎng)的身份認證、訪問控制、單點登錄等。

有利于加快政務信息化建設步伐，全面推進電子政務的發(fā)展

信息技術是當今世界先進生產(chǎn)力的主要標志。第三代身份認證體系就是利用最先進的信息技術，構建電子政務網(wǎng)絡信任體系，以便為各級黨委間實現(xiàn)安全可信的互連互通和信息共享打下堅實的基礎。在此基礎上，促進電子政務業(yè)務應用，全面推進電子政務的發(fā)展。

傳統(tǒng)PKI理論體系是利用公鑰理論和技術建立的提供安全服務的基礎設施，是信息安全技術的核心，它能夠有效地解決應用信息的機密性、真實性、完整性和不可否認性等安全問題。但是，實踐證明目前的PKI技術無法適應下一代網(wǎng)絡的發(fā)展需要，并缺少如何快速與應用整合的內(nèi)容。對稱密碼技術又叫單密鑰技術，就是我們通常說密碼技術。對稱密碼技術的特點是加密密鑰和解密密鑰是一樣的，或實質(zhì)上是等同的，這種情況下，密鑰就經(jīng)過安全的密鑰信道由發(fā)方傳給收方。單鑰密碼的特點是無論加密還是解密都使用同一個密鑰，因此，此密碼體制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼是1977年美國國家標準局頒布的des算法。

針對對稱密鑰存在的問題，以解決信息的機密性、完整性、可認證性、不可抵賴性為主要目的非對稱密鑰技術出現(xiàn)了。非對稱密鑰技術的最大特點是公共密鑰和私有密鑰之間不能相互推導出對方。目前非對稱密鑰技術發(fā)展的比較成熟，并且在身份認證領域得到成功應用，最著名的是PKI（Public Key Infrastructure）公鑰基礎設施，本文將它歸納為第二代身份認證體系。盡管PKI技術在中國發(fā)展迅速，但是，總體來講，PKI技術的應用效果并不理想，主要表現(xiàn)在，我國各個省市基本都有自己的CA認證中心，但是，帶來的社會效益有限；各行業(yè)都有自己的CA認證中心，但是帶來的經(jīng)濟效益有限；各個省市、各個行業(yè)認證系統(tǒng)獨立，無法實現(xiàn)可信的互連互通。因此，第二代身份認證服務體系存在并需要進一步解決以下問題：

（1）第二代身份認證服務體系只能對局部應用提供信任服務，不能提供支持全程全網(wǎng)的信任服務（“全程全網(wǎng)”是電信術語，可以理解為隨時隨地），即象電信網(wǎng)一樣，實現(xiàn)一次注冊，全網(wǎng)通行；

（2）與應用深度耦合，不利于快速部署，即：PKI技術如何與在對現(xiàn)有應用改造很少的情況下，與現(xiàn)有應用系統(tǒng)很好地結合方面，實現(xiàn)身份認證服務的快速部署；

（3）不能有效控制網(wǎng)絡設備和服務器的可信接入，無法構建可信的網(wǎng)絡；

（4）信任鏈的源頭是數(shù)字證書而非人。

以注冊鑒權為核心的第三代身份認證體系是本文研究的主要內(nèi)容，也是本文的主要創(chuàng)新點。它很好地繼承了第一代信任服務體系和第二代信任服務體系的相關技術，結合電子政務建設的特點，面向下一代網(wǎng)絡（NGN），使用NGN中的呼叫控制技術結合傳統(tǒng)PKI技術，實現(xiàn)全程全網(wǎng)的身份認證。

第三代身份認證體系有以下特點：

（1）要支持全程全網(wǎng)全業(yè)務

解決“信任服務體系的統(tǒng)一”的問題；

解決“一次認證，全網(wǎng)通行”的問題；

解決“可信私有網(wǎng)絡互聯(lián)”的問題，實現(xiàn)端到端的互聯(lián)互通；

具有獨立于應用提供信任服務的能力。

（2）要支持繼承與發(fā)展

面向應用的繼承與發(fā)展

面向網(wǎng)絡的繼承與發(fā)展

面向第一、二代信任服務的繼承與發(fā)展

（3）支持快速部署

快速部署就是在應用系統(tǒng)少改動，甚至不改動的前提下，能為用戶提供身份認證、實體鑒權、訪問控制等信任服務，需要支持以下幾點：

支持身份認證的快速部署

支持訪問控制的快速部署

支持網(wǎng)絡可信互聯(lián)的快速部署

第三代身份認證體系在繼承第二代身份認證體系優(yōu)勢成果的基礎上，結合下一代網(wǎng)絡/下一代服務的關鍵技術，融合第一代和第二代身份認證體系的功能和服務，構建可信的網(wǎng)絡和可信的服務，實現(xiàn)用戶和應用的統(tǒng)一注冊、鑒權，實現(xiàn)對應用系統(tǒng)的快速整合，信任服務的快速部署。為將整個網(wǎng)絡成為一個可信、可控、安全的、支持全程全網(wǎng)全業(yè)務的網(wǎng)絡提供支撐。

第三代身份認證體系由公鑰基礎設施、注冊服務系統(tǒng)、鑒權服務系統(tǒng)、狀態(tài)管理系統(tǒng)、資源整合服務系統(tǒng)組成，三代身份認證體系提供的服務：

繼承第二代身份認證體系的可信服務

第三代信任服務體系充分繼承第二代信任服務體系的優(yōu)勢技術，提供證書生產(chǎn)、加解密服務、簽名/簽名驗證服務、證書查詢驗證服務等。

可信的注冊和鑒權服務

> 實體注冊和鑒權，服務注冊和鑒權；

> 在可信的網(wǎng)絡層實現(xiàn)了“注冊才能上網(wǎng)、鑒權才能通行”的全新的網(wǎng)絡信任模式；

> 可信網(wǎng)絡注冊和鑒權服務技術突破了傳統(tǒng)認證模式下由各個應用對用戶進行頻繁身份認證和有限范圍權限管理的思路，實現(xiàn)面向全網(wǎng)的單點登錄；

> 解決原有信任服務與業(yè)務邏輯深度耦合的問題；

> 為實現(xiàn)全程全網(wǎng)全業(yè)務奠定基礎。

可信的私有網(wǎng)互聯(lián)服務

> 統(tǒng)一的身份認證體系建立跨域私有網(wǎng)絡的信任關系；

> 可信網(wǎng)絡設備為私有網(wǎng)絡互聯(lián)提供基礎環(huán)境；

> 統(tǒng)一的注冊提供穿透私有網(wǎng)絡的必要條件；

> 統(tǒng)一的鑒權使用戶只能訪問其被授權訪問的資源。

【參考文獻】

[1]《國家信息化領導小組關于我國電子政務建設指導意見》。中辦發(fā)[2001]17號

[2]中辦信息中心：《電子政務試點示范工程可信電子政務平臺可行性研究報告》。2004年9月

[3]“中共中央辦公廳國務院辦公廳 轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》的通知”。中辦發(fā)[2003]27號；

[4]周宏仁、唐鐵漢，《電子政務的理論與實踐》。北京：國家行政學院出版社，2002

[5]汪玉凱：電子政務應用示范工程回顧及政策建議。信息化建設，2005（7）

[6]汪玉凱：2006年中國電子政務發(fā)展展望。信息化建設，2005（Z1）

[7]（美） Andrew Nash ，William Duane ，Celia Joseph ，Derek Brink. 公鑰基礎設施（ PKI） ：實現(xiàn)和管理電子安全。北京：華大學出版社，2002. 12.

[8]（美）Peter T. Davis：計算機安全保密指南。電子工業(yè)出版社，1997