USER电子政务中的PKI体系研究及应用

张文斗

淮阴师范学院

USER电子政务中的PKI体系研究及应用

张文斗

淮阴师范学院

随着计算机网络技术的普及、电子商务的迅速发展，以及国家电子政务工程建设的全面铺开，PKI 技术正在越来越多地运用到电子政务系统中。本文从公开密钥基础设施PKI、基于PKI的公钥技术、PKI体系的应用三个方面，进行了系统地分析和论证，并对其应用技术进行了深入探讨。为建立科学合理的电子政务PKI体系提供了重要的依据和方法。

公开密钥基础设施PKI 公钥技术 电子政务

在当今世界上，互联网和信息技术的发展日益迅速，冲击着传统行业的方方面面。以网络为载体的电子政务以其快捷、方便、高效的特性已对传统的政府办公方式形成了巨大冲击，其安全性、保密性问题也日益突出。随着电子政务系统的不断发展和深入应用，政府公共事务管理、政府公共服务、和政府内部办公运行都越来越离不开电子政务信息系统的支持。电子政务涉及到政府、企业和个人的机密信息，除黑客攻击、病毒感染等来自网络的安全威胁外，也易受到来自系统应用的假冒用户登录、非法篡改等数据安全的威胁。如一些重要的电子票据、合同文件，如果其中的金额或者涉及人员被恶意篡改将会给国家经济造成极大的损失。所以如何保证这些信息在存取、处理和传输各个环节中的机密性、完整性，防止信息的泄漏和窜改，无疑成为电子政务建设成败的关键。

由此可见，电子政务系统迫切需要建立能够解决信息资源安全的可行性方案，为政务活动建立安全平台。目前，唯一能够全面解决信息资源安全问题的可行性方案是公开密钥基础设施PKI（Public Key Infrastructure）技术。

1 公开密钥基础设施PKI

1.1 PKI的基本原理

PKI即“公开密钥体系”，是一种遵循既定标准的密钥治理平台。它能够为所有网络应用提供加密和数字、签名等密码服务及所必需的密钥和证书治理体系。PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。PKI体制克服了网络信息系统密匙治理的困难，同时解决了数字签名问题，并可用于身份认证，可以较好地解决电子政务信息的安全传输问题。

1.2 PKI的基本构成

PKI主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/CRL发布系统和应用接口系统五部分组成。

密钥管理中心KMC（key management controller）：向CA服务提供相关密钥服务，如密钥生成、密钥存储、密钥备份、密钥恢复、密钥托管和密钥运算等。

CA认证机构：CA认证机构是PKI公钥基础设施的核心，它主要完成生成∕签发证书、生成∕签发证书撤销列表（CRL）、发布证书和CRL到命令服务器、维护证书数据库和审计日志库等功能。

RA注册审核机构：RA是数字证书申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证功能。

发布系统：发布系统主要提供LDAP服务、OCSP服务和注册服务。

应用接口系统：应用接口系统为外界提供使用PKI安全服务的入口。应用接口一般采用API、Java Bean、COM等多种形式。

电子政务安全中涉及到的数字证书认证中心CA、审核注册中心RA、密钥管理中心KM都是组成PKI的关键组件，PKI通过管理密钥和证书，为用户建立了一个安全的网络运行环境。

2 基于PKI的公钥技术

利用公钥技术对政务信息在存储环节和网间传输环节进行加密，使之以密文存储和传输，可以有效抵卸对信息的恶意攻击。基于PKI的公钥技术主要用公钥加密和数字签名对信息进行加密。

2.1 公钥加密

公钥加密使用两个密钥：一个公钥和一个私钥，这两个密钥在数学上是相关的。为了与对称密钥加密相对照，公钥加密有时也叫做不对称密钥加密。在公钥加密中，公钥可在通信双方之间公开传递，或在公用储备库中发布，但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据。使用私钥加密的数据只能用公钥解密。与对称密钥加密相似，公钥加密也有许多种算法。公钥算法是复杂的数学方程式，使用十分大的数字。公钥算法的主要局限在于，这种加密形式的速度相对较低。实际上，通常仅在关键时刻才使用公钥算法，如在实体之间交换对称密钥时，或者在签署一封邮件的散列时（散列是通过应用一种单向数学函数获得的一个定长结果，对于数据而言，叫做散列算法）。将公钥加密与其它加密形式（如对称密钥加密）结合使用，可以优化性能。公钥加密提供了一种有效的方法，可用来把为大量数据执行对称加密时使用的机密密钥发送给某人，也可以将公钥加密与散列算法结合使用以生成数字签名。

2.2 数字签名

数字签名是邮件、文件或其它数字编码信息的发件人将他们的身份与信息绑定在一起（即为信息提供签名）的方法。对信息进行数字签名的过程，需要将信息与由发件人掌握的秘密信息一起转换为叫做签名的标记。数字签名用于公钥环境中，它通过验证发件人确实是他或她所声明的那个人，并确认收到的邮件与发送的邮件完全相同，来帮助确保电子商务交易的安全。通常，数字签名用于以明文（如电子邮件）分发数据的情形。如当邮件本身的敏感性可能无法保证加密的安全性时，确保数据处于其原始格式且并非由假冒者发送，是非常重要的。

3 PKI体系的应用

3.1 PKI应用技术

PKI作为一种在互联网上提供安全保证的工具，在中国的电子政务建设中已经成为保障信息安全的利器。PKI主要是通过使用公开的秘钥技术和数字化证书来确保系统信息安全，也是一种验证数字证书持有者的身份的体系。系统通过使用CA颁发的数字证书，结合相对应的私钥，完成对其的单向或双向身份认证，有效地提高了身份认证的安全水平。

例如网上报税。网上报税是指税务部门建立专门的申报网站，纳税户通过Internet访问税务部门网站上的网上报税系统，正确填写电子化申报表后，递交申报数据至税务部门服务器，税务部门的WWW服务器对这些数据进行处理、储存，并将处理结果反馈给纳税人的一种电子申报方式。此种方式大大减少了纳税户往返于税务部门、银行的烦恼，大大减轻了税务部门的工作量。由此我们可以预见，网上报税将成为今后主要的税务申报方式。

目前网上报税应用中存在的主要信息安全隐患有：身份认证、信息的机密性、信息的完整性和信息的不可抵赖性。 针对这些安全隐患，北京国税和惠州地税等率先采用PKI及智能卡技术开展企业网上报税的服务。通过为参与网上报税应用的各方发放数字证书来对其进行身份标识，并且在网上报税应用执行的过程中通过使用数字证书对各方进行身份验证和签名验证，最终满足网上报税的安全需求，有效地防止各种网上报税安全隐患。 此外，网上报税安全认证解决方案还能够实现访问控制功能，保证税务部门内部人员和纳税户在网上报税应用中拥有不同的权限，防止税务部门内部人员窃取纳税户敏感信息；能够实现文件加密保存功能，保证存放在税务部门和纳税户计算机上的文件他人无法打开。

3.2 PKI应用前景

由于PKI是国家重大利益和网络经济的发展的制高点，也是推动互联网发展、保障事务处理安全、推动电子政务、电子商务的支撑点。因此，建立健全国家PKI体系，将有力地促进我国电子政务以及整个国家信息化的发展。

由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案，国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品，如美国的VeriSign, IBM ,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品，为电子商务的发展提供了安全保证。

随着Internet应用的不断普及和深入，政府部门需要PKI支持管理；商业企业内部、企业与企业之间、区域性服务网络、电子商务网站都需要PKI的技术和解决方案；大企业需要建立自己的PKI平台；小企业需要社会提供的商业性PKI服务。从发展趋势来看，PKI的市场需求非常巨大，基于PKI的应用包括了许多内容，如WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Internet上的信用卡交易以及VPN等。因此，PKI具有非常广阔的市场应用前景。

4 结束语

跨部门的电子政务,在政府部门内部之间、政府与公众之间、政府与企业之间、不可避免地存在着信息交互过程,即双向的电子数据交换。如何保证数字化信息在传送过程中的真实性、完整性、机密性和不可否认性,成为确保电子政务安全的关键所在。从以上分析可以看出，随着PKI技术应用的不断深入和对信息安全控制的研究，PKI技术本身也在不断发展与变化，如近年来比较重要的变化有属性证书、漫游证书、无线PKI等。基于PKI技术安全应用实现了身份认证、数据加密等，为电子政务的安全提供保障，并按照PKI体系方法和数值控控制法进行测评，从而提高PKI体系的科学性和对信息安全技术分析的准确性。

[1]李敏，费耀平．数字水印技术及其在电子政务安全领域的应用．信息网络安全， 2006，3(63)：0-3

[2]王志明，李涛等．一种基于Internet的电子政务安全解决方案．计算机应用研究，2006，3：102-104

[3]辛海涛．数字水印技术分析及其在电子商务安全中的应用．商业研究，2005，24（332）：196-197

[4]《公钥基础设施(PKI)实现和管理电子安全》 [美] Andrew Nash 等著 清华大学出版社

[5]《公钥基础设施PKI 与认证机构CA》 关振胜 著 电子工业出版社出版

[6]肖凌，李之棠《公钥基础设施(PKI)结构》 [期刊论文]计算机工程与应用 2002（10）

[7]刘稚. 困境与突破——谈电子政务发展面临的选择[J]. 信息化建设. 2013(02)

张文斗，1973—，女，汉族，江苏淮安人，淮阴师范学院，外国语学院实验室工程师，南京大学软件学院软件工程硕士研究生，研究方向：计算机辅助教学、计算机软件与理论。