PKI与电子政务安全
- 格式:pdf
- 大小:114.98 KB
- 文档页数:2
山西电子技术 2006年第2期 网络时空
PKI与电子政务安全
崔 瀛 (南京工业大学电子科学与工程系,江苏南京210009) 摘要:电子政务的发展对网络的安全性提出了较高的要求,而PKI是网络安全保障的最佳体系蛄构。在对 PKI应用研宛的基础上,针对电子政务中存在的安全问题,提出了有效的电子政务安全解决方案,综合运用数字证 书登录技术、基于数字证书的SSL安全信息通道技术和数字签章技术等多种PKI技术,为电子政务搭建更合理、更 方便、更完善的安全平台。 关键词:PKI;电子政务;网络安全 中图分类号:TP393.08 文献标识码:A
O引言 在解决Intemet的安全问题上,目前被广泛采用的是 PKI体系结构。 将PKI应用于电子政务,可建立安全的电子政务系统, 消除电子政务建设和发展中存在的安全和信任问题,从而保 障电子政务中政府管理职能和服务职能的有效实现。 本文将简单研究PKI机制及其应用,结合电子政务的 特点,从信息安全的角度提出PKI在电子政务中的应用,探 讨有效的电子政务安全解决方案。 1 PKI基础 目前,在解决互联网的安全问题上,基于PKI技术的安 全解决方案是世界各国普遍认为的最具实用性的方案。 PKI(Public Key Inksstnm ̄),即公开密钥基础设施,是 利用公钥理论和技术建立的提供信息安全服务的基础设施。 PKI体系采用数字证书管理公钥,通过第三方的可信机 构CA(Certificate Authority),把用户的公钥和其它标识信息 (名称、E-mail、身份证号等)捆绑在一起,在Intemet上验证 用户的身份。PKI是一种遵循标准的密钥管理平台,它把公 钥密码和对称密码结合起来,能够为所有网络应用提供采用 加密和数字签名等密码服务所必需的密钥和证书管理,保证 网上数据的机密性、真实性、完整性和不可否认性,从而保证 信息的安全传输。 PKI必须具有认证机构(CA)、证书库、密钥备份及恢复 系统、证书作废处理系统、PKI应用接口等基本成分,构建 PKI也将围绕着这五大系统来构建。如图1。 从功能方面来讲,PKI应该提供如下的安全支持: 1)证书与CA 2)密钥备份及恢复证书、密钥对的自动更换 3)交叉签证 4)加密密钥和签名密钥的分隔 5)支持对数字签名的不可抵赖 收稿日期:2005—12—16作者崔瀛女30岁助教 6)密钥历史的管理
圈1 PKI组成部分 2电子政务的安全需求 电子政务在政府实际工作中已经发挥了越来越重要的 作用,为了保障政府的管理和服务职能的有效实现,必须建 立电子政务安全系统。 电子政务系统中的安全体系涉及到物理安全、网络安 全、信息安全以及安全管理等各个方面。由于电子政务系统 是政府和公民使用的信息交流平台,涉及到公文流转、网上 审批等工作,信息安全显得尤为重要。因此在系统的技术选 择过程中,一定要首先考虑电子政务的信息安全问题。 分析电子政务的业务特点,可以看出,为了保证电子政 务业务系统的信息安全,电子政务安全系统应提供以下的基 本服务: 1)身份认证服务:为进行电子政务业务的实体定义唯 一的电子身份标识,并通过该标识进行身份认证,保证身份 的真实性。 2)权限控制服务:把信息资源划分成不同级别,并把使 用信息资源的用户划分成不同类型,实现不同类型人员对不 同级别信息访问的控制策略。 3)信息保密服务:对于传输中需要保密的信息,采用密 码技术进行加解密处理,防止信息的非授权泄漏。 4)数据完整性服务:保证收发双方数据的一致性,防止 信息被非授权修改。 5)不可否认服务:
为第三方验证信息源的真实性和信 维普资讯 http://www.cqvip.com 第2期 崔瀛:PKI与电子政务安全
息的完整性提供证据,它有助于责任机制的建立,为解决电 子政务中的争议提供法律证据。 这些服务互相关联、互相支持,共同为电子政务业务系 统提供整体安全保障体系。 3基于PKI的电子政务安全方案 由以上可见,将PKI技术应用于电子政务,可向参与电 子政务活动的实体和电子政务网站提供身份认证,保证信息 传输过程中的信息机密性和完整性,提供数字签名功能保证 网上行为的不可抵赖性,最终有效防止各种电子政务安全隐 患。 根据电子政务的安全需求特点,设计电子政务系统时可 考虑如下基于PKI的安全解决方案: 1)数字证书登录技术 安全电子政务系统通过使用由可信证=括机构(cA)颁发 的数字证书,结合对应的私钥,完成对实体的单向或双向身 份认证,大大提高身份认证的安全水平。在系统中,用户管 理和登录需要使用数字证书,以确认用户,保证用户的真实 性和合法性,同时防止用户抵赖行为。 2)数字签名技术 电子政务要实现电子公文的流转,最重要的就是数字签 名技术。 数字签名的原理如图2所示。文件发送者将需要签章 的电子文件用Hash算法转换为信息摘要,再使用私钥对信 息摘要进行加密运算,即可得到此文件的数字签章。文件接 收者使用与发送者使用的同一个Hash函数对接收的文件生 成新的信息摘要,再使用发送者的公钥对信息摘要进行验 证,以确认文件发送者的身份和文件是否被修改过。 囡翟 用户签名 l私钥l 图2数罕签名 其中,Hash算法具备单向不可逆运算特性,仅能由原文 件推算出信息摘要,而无法由信息摘要反向推算出原文件的 内容。加密算法是一个复杂的运算过程,其破解困难度非常 高,因此,只要私钥不外泄,任何人将无法伪造电子文件的数 字签名。 在实际运用中,使用数字证书进行数字签名,发送者用 数字证书对电子文件进行签名后,将电子文件并同数字证书 一起传送给收方,收方即可利用数字证书上所载的公钥验证 数字签名的真实性与文件的完整性。 可见,数字签名保证了电子文件的真实有效性、不可否 认性、传输过程中的保密性与不可篡改性。 3)权限控制技术 权限控制设计以数字证书为核心,结合服务器、数据库、 文档和数据字段进行多层次的访问控制。 在服务器端,可对数据库和站点(及目录)的属性进行系 统设置,以限制系统资源的访问权限。在程序设计时中,使 用用户证书的任何唯一标识都可以进行权限限制,实现不同 类型人员对不同级别信息访问的控制。 4)数据加密技术 首先,系统运用SSL数据加密技术,将H丌P与SSL相 结合,在服务器端与客户端之间进行双向认证,使客户端和 服务器应用之间的通信不被攻击者窃听和窃取,从而实现安 全通信。 由于SSL协议建立在传输层协议和应用层协议之间, 它在应用层协议通信之前就已完成加密算法、密钥协商和服 务器认证,在此之后,应用层协议所传送的数据都会被加密, 从而保证通信的机密性。 其次,系统使用数字签名技术对敏感数据文件进行加密 和数字签名,保护系统之间的数据交换,运用非对称密钥密 码技术进一步保证信息的保密性和信息的安全传输。 从证书登录到数字签名的实现,系统在与SSL相结合 的基础上建立安全数据通道,利用对称加密技术、公钥加密 技术以及数字签名技术对客户端与服务器之间的数据流进 行高强度加密,保证了数据的保密性和完整性。 4总结 在对PKI研究的基础上,结合电子政务的特点,本文提 出了有效的电子政务安全解决方案,将多种PKI技术应用 于电子政务系统中,为系统提供了较好的安全性保证,真正 实现了身份认证、信息保密、权限控制、数据完整性和不可否 认性服务。 PKI技术是信息安全技术的核心,是电子政务的关键和 基础技术。随着我国信息化建设的全面展开和PKI技术的 更趋完善,PKI技术会更好的体现出它的优越性,具有十分 广阔的应用前景。 参考文献 [1]William Stallings.Cryptography and Network Security: Principles and Practice 2nd ed[M].北京:清华大学出版 社.2002. [2]关振胜.公钥基础设施PKI与认证机构CAlM].北京: 电子工业出版社,2002. [3]聂元名,丘平.网络信息安全技术[M].北京:科学出版 社。2001.2.
’’Yngk ̄Ul Ilng 、 ture is the be st archi瑟ect ure to?ensur th e securit y of nework.Ba sed upon t he of PK’ I,t he paper pu“t s forwar d an‰ettectxveAbstract:The develapment of elecr0nic g0ven et requests hl secuny t0r network∞n删【un1catl0n- u I1c Aey Im 一
schemeofthe s ̄-ure electronic government,in which many tec.hno.1ogies inc・lud inmg絮.509 d…tgatal,cert|f;lt catas,di i1ture and the ,i l ・3u 1 【 01g0【rdI s1gIla LlI Ⅲ public key encryption related with SSL protocol have been used tO set up a safer and more convenient system・ Key words:PKI;electronic government;network securi
ty 维普资讯 http://www.cqvip.com