張文斗

淮陰師范學院

USER電子政務中的PKI體系研究及應用

張文斗

淮陰師范學院

隨著計算機網(wǎng)絡技術的普及、電子商務的迅速發(fā)展，以及國家電子政務工程建設的全面鋪開，PKI 技術正在越來越多地運用到電子政務系統(tǒng)中。本文從公開密鑰基礎設施PKI、基于PKI的公鑰技術、PKI體系的應用三個方面，進行了系統(tǒng)地分析和論證，并對其應用技術進行了深入探討。為建立科學合理的電子政務PKI體系提供了重要的依據(jù)和方法。

公開密鑰基礎設施PKI 公鑰技術 電子政務

在當今世界上，互聯(lián)網(wǎng)和信息技術的發(fā)展日益迅速，沖擊著傳統(tǒng)行業(yè)的方方面面。以網(wǎng)絡為載體的電子政務以其快捷、方便、高效的特性已對傳統(tǒng)的政府辦公方式形成了巨大沖擊，其安全性、保密性問題也日益突出。隨著電子政務系統(tǒng)的不斷發(fā)展和深入應用，政府公共事務管理、政府公共服務、和政府內(nèi)部辦公運行都越來越離不開電子政務信息系統(tǒng)的支持。電子政務涉及到政府、企業(yè)和個人的機密信息，除黑客攻擊、病毒感染等來自網(wǎng)絡的安全威脅外，也易受到來自系統(tǒng)應用的假冒用戶登錄、非法篡改等數(shù)據(jù)安全的威脅。如一些重要的電子票據(jù)、合同文件，如果其中的金額或者涉及人員被惡意篡改將會給國家經(jīng)濟造成極大的損失。所以如何保證這些信息在存取、處理和傳輸各個環(huán)節(jié)中的機密性、完整性，防止信息的泄漏和竄改，無疑成為電子政務建設成敗的關鍵。

由此可見，電子政務系統(tǒng)迫切需要建立能夠解決信息資源安全的可行性方案，為政務活動建立安全平臺。目前，唯一能夠全面解決信息資源安全問題的可行性方案是公開密鑰基礎設施PKI（Public Key Infrastructure）技術。

1 公開密鑰基礎設施PKI

1.1 PKI的基本原理

PKI即“公開密鑰體系”，是一種遵循既定標準的密鑰治理平臺。它能夠為所有網(wǎng)絡應用提供加密和數(shù)字、簽名等密碼服務及所必需的密鑰和證書治理體系。PKI采用非對稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。PKI體制克服了網(wǎng)絡信息系統(tǒng)密匙治理的困難，同時解決了數(shù)字簽名問題，并可用于身份認證，可以較好地解決電子政務信息的安全傳輸問題。

1.2 PKI的基本構成

PKI主要由密鑰管理中心、CA認證機構、RA注冊審核機構、證書/CRL發(fā)布系統(tǒng)和應用接口系統(tǒng)五部分組成。

密鑰管理中心KMC（key management controller）：向CA服務提供相關密鑰服務，如密鑰生成、密鑰存儲、密鑰備份、密鑰恢復、密鑰托管和密鑰運算等。

CA認證機構：CA認證機構是PKI公鑰基礎設施的核心，它主要完成生成∕簽發(fā)證書、生成∕簽發(fā)證書撤銷列表（CRL）、發(fā)布證書和CRL到命令服務器、維護證書數(shù)據(jù)庫和審計日志庫等功能。

RA注冊審核機構：RA是數(shù)字證書申請、審核和注冊中心。它是CA認證機構的延伸。在邏輯上RA和CA是一個整體，主要負責提供證書注冊、審核以及發(fā)證功能。

發(fā)布系統(tǒng)：發(fā)布系統(tǒng)主要提供LDAP服務、OCSP服務和注冊服務。

應用接口系統(tǒng)：應用接口系統(tǒng)為外界提供使用PKI安全服務的入口。應用接口一般采用API、Java Bean、COM等多種形式。

電子政務安全中涉及到的數(shù)字證書認證中心CA、審核注冊中心RA、密鑰管理中心KM都是組成PKI的關鍵組件，PKI通過管理密鑰和證書，為用戶建立了一個安全的網(wǎng)絡運行環(huán)境。

2 基于PKI的公鑰技術

利用公鑰技術對政務信息在存儲環(huán)節(jié)和網(wǎng)間傳輸環(huán)節(jié)進行加密，使之以密文存儲和傳輸，可以有效抵卸對信息的惡意攻擊?；赑KI的公鑰技術主要用公鑰加密和數(shù)字簽名對信息進行加密。

2.1 公鑰加密

公鑰加密使用兩個密鑰：一個公鑰和一個私鑰，這兩個密鑰在數(shù)學上是相關的。為了與對稱密鑰加密相對照，公鑰加密有時也叫做不對稱密鑰加密。在公鑰加密中，公鑰可在通信雙方之間公開傳遞，或在公用儲備庫中發(fā)布，但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數(shù)據(jù)。使用私鑰加密的數(shù)據(jù)只能用公鑰解密。與對稱密鑰加密相似，公鑰加密也有許多種算法。公鑰算法是復雜的數(shù)學方程式，使用十分大的數(shù)字。公鑰算法的主要局限在于，這種加密形式的速度相對較低。實際上，通常僅在關鍵時刻才使用公鑰算法，如在實體之間交換對稱密鑰時，或者在簽署一封郵件的散列時（散列是通過應用一種單向數(shù)學函數(shù)獲得的一個定長結果，對于數(shù)據(jù)而言，叫做散列算法）。將公鑰加密與其它加密形式（如對稱密鑰加密）結合使用，可以優(yōu)化性能。公鑰加密提供了一種有效的方法，可用來把為大量數(shù)據(jù)執(zhí)行對稱加密時使用的機密密鑰發(fā)送給某人，也可以將公鑰加密與散列算法結合使用以生成數(shù)字簽名。

2.2 數(shù)字簽名

數(shù)字簽名是郵件、文件或其它數(shù)字編碼信息的發(fā)件人將他們的身份與信息綁定在一起（即為信息提供簽名）的方法。對信息進行數(shù)字簽名的過程，需要將信息與由發(fā)件人掌握的秘密信息一起轉換為叫做簽名的標記。數(shù)字簽名用于公鑰環(huán)境中，它通過驗證發(fā)件人確實是他或她所聲明的那個人，并確認收到的郵件與發(fā)送的郵件完全相同，來幫助確保電子商務交易的安全。通常，數(shù)字簽名用于以明文（如電子郵件）分發(fā)數(shù)據(jù)的情形。如當郵件本身的敏感性可能無法保證加密的安全性時，確保數(shù)據(jù)處于其原始格式且并非由假冒者發(fā)送，是非常重要的。

3 PKI體系的應用

3.1 PKI應用技術

PKI作為一種在互聯(lián)網(wǎng)上提供安全保證的工具，在中國的電子政務建設中已經(jīng)成為保障信息安全的利器。PKI主要是通過使用公開的秘鑰技術和數(shù)字化證書來確保系統(tǒng)信息安全，也是一種驗證數(shù)字證書持有者的身份的體系。系統(tǒng)通過使用CA頒發(fā)的數(shù)字證書，結合相對應的私鑰，完成對其的單向或雙向身份認證，有效地提高了身份認證的安全水平。

例如網(wǎng)上報稅。網(wǎng)上報稅是指稅務部門建立專門的申報網(wǎng)站，納稅戶通過Internet訪問稅務部門網(wǎng)站上的網(wǎng)上報稅系統(tǒng)，正確填寫電子化申報表后，遞交申報數(shù)據(jù)至稅務部門服務器，稅務部門的WWW服務器對這些數(shù)據(jù)進行處理、儲存，并將處理結果反饋給納稅人的一種電子申報方式。此種方式大大減少了納稅戶往返于稅務部門、銀行的煩惱，大大減輕了稅務部門的工作量。由此我們可以預見，網(wǎng)上報稅將成為今后主要的稅務申報方式。

目前網(wǎng)上報稅應用中存在的主要信息安全隱患有：身份認證、信息的機密性、信息的完整性和信息的不可抵賴性。 針對這些安全隱患，北京國稅和惠州地稅等率先采用PKI及智能卡技術開展企業(yè)網(wǎng)上報稅的服務。通過為參與網(wǎng)上報稅應用的各方發(fā)放數(shù)字證書來對其進行身份標識，并且在網(wǎng)上報稅應用執(zhí)行的過程中通過使用數(shù)字證書對各方進行身份驗證和簽名驗證，最終滿足網(wǎng)上報稅的安全需求，有效地防止各種網(wǎng)上報稅安全隱患。 此外，網(wǎng)上報稅安全認證解決方案還能夠?qū)崿F(xiàn)訪問控制功能，保證稅務部門內(nèi)部人員和納稅戶在網(wǎng)上報稅應用中擁有不同的權限，防止稅務部門內(nèi)部人員竊取納稅戶敏感信息；能夠?qū)崿F(xiàn)文件加密保存功能，保證存放在稅務部門和納稅戶計算機上的文件他人無法打開。

3.2 PKI應用前景

由于PKI是國家重大利益和網(wǎng)絡經(jīng)濟的發(fā)展的制高點，也是推動互聯(lián)網(wǎng)發(fā)展、保障事務處理安全、推動電子政務、電子商務的支撐點。因此，建立健全國家PKI體系，將有力地促進我國電子政務以及整個國家信息化的發(fā)展。

由于PKI體系結構是目前比較成熟、完善的Internet網(wǎng)絡安全解決方案，國外的一些大的網(wǎng)絡安全公司紛紛推出一系列的基于PKI的網(wǎng)絡安全產(chǎn)品，如美國的VeriSign, IBM ,Entrust等安全產(chǎn)品供應商為用戶提供了一系列的客戶端和服務器端的安全產(chǎn)品，為電子商務的發(fā)展提供了安全保證。

隨著Internet應用的不斷普及和深入，政府部門需要PKI支持管理；商業(yè)企業(yè)內(nèi)部、企業(yè)與企業(yè)之間、區(qū)域性服務網(wǎng)絡、電子商務網(wǎng)站都需要PKI的技術和解決方案；大企業(yè)需要建立自己的PKI平臺；小企業(yè)需要社會提供的商業(yè)性PKI服務。從發(fā)展趨勢來看，PKI的市場需求非常巨大，基于PKI的應用包括了許多內(nèi)容，如WWW服務器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Internet上的信用卡交易以及VPN等。因此，PKI具有非常廣闊的市場應用前景。

4 結束語

跨部門的電子政務,在政府部門內(nèi)部之間、政府與公眾之間、政府與企業(yè)之間、不可避免地存在著信息交互過程,即雙向的電子數(shù)據(jù)交換。如何保證數(shù)字化信息在傳送過程中的真實性、完整性、機密性和不可否認性,成為確保電子政務安全的關鍵所在。從以上分析可以看出，隨著PKI技術應用的不斷深入和對信息安全控制的研究，PKI技術本身也在不斷發(fā)展與變化，如近年來比較重要的變化有屬性證書、漫游證書、無線PKI等。基于PKI技術安全應用實現(xiàn)了身份認證、數(shù)據(jù)加密等，為電子政務的安全提供保障，并按照PKI體系方法和數(shù)值控控制法進行測評，從而提高PKI體系的科學性和對信息安全技術分析的準確性。

[1]李敏，費耀平．數(shù)字水印技術及其在電子政務安全領域的應用．信息網(wǎng)絡安全， 2006，3(63)：0-3

[2]王志明，李濤等．一種基于Internet的電子政務安全解決方案．計算機應用研究，2006，3：102-104

[3]辛海濤．數(shù)字水印技術分析及其在電子商務安全中的應用．商業(yè)研究，2005，24（332）：196-197

[4]《公鑰基礎設施(PKI)實現(xiàn)和管理電子安全》 [美] Andrew Nash 等著 清華大學出版社

[5]《公鑰基礎設施PKI 與認證機構CA》 關振勝 著 電子工業(yè)出版社出版

[6]肖凌，李之棠《公鑰基礎設施(PKI)結構》 [期刊論文]計算機工程與應用 2002（10）

[7]劉稚. 困境與突破——談電子政務發(fā)展面臨的選擇[J]. 信息化建設. 2013(02)

張文斗，1973—，女，漢族，江蘇淮安人，淮陰師范學院，外國語學院實驗室工程師，南京大學軟件學院軟件工程碩士研究生，研究方向：計算機輔助教學、計算機軟件與理論。