基于区块链的数字证书系统在电子政务外网中的应用探究

王新文

(四川省大数据中心 成都 610041)

(2486115361@qq.com)

随着信息技术的飞速发展，信息化办公在各行业的普及程度进一步提高，政府机关及企事业单位的电子政务水平也在飞速发展.政府部门的应用系统目前主要由互联网、电子政务内网、电子政务外网和行业专网4种网络承载，其中电子政务外网在政府部门电子政务中发挥着越来越重要的作用，由于电子政务外网系统中有许多敏感但不涉密的数据和文件，因此非授权访问等系统安全问题尤为突出，这就对电子政务外网系统的安全保障特别是身份认证提出了更高的要求[1].国家信息化领导小组提出要建设以电子认证为主的身份认证体系，完善网络信任体系建设.

1 电子政务外网概述

电子政务外网是服务于各政务部门的重要公共基础设施，实现了横向30多个部委、纵向32个省市地区和2 251个区县的互联，是目前我国覆盖面最广、连接政府部门最多的政务网络平台，为跨地区、跨部门的资源整合、数据共享和业务协同奠定了基础[2].电子政务外网作为业务承载模型，承载了如网上办公、公文交换、视频会议、邮件服务、移动办公等业务，既提升了行政办事的效率，又节约了政府开支，促进服务型政府的建设.

电子政务外网全面推行安全等级保护建设，与互联网之间建设了安全监测和防护系统，实现了有效的逻辑隔离，加强电子认证体系建设，整合的业务系统达到200多项，对政务外网的业务应用安全起到了重要作用.按照目前逐步减少专网建设，大力发展电子政务内外网的发展趋势，电子政务外网在政府网络体系中的重要性越来越突出，其安全性备受关注.

电子政务外网的安全管理措施主要从系统管理、信任体系管理和人员管理3个方面实施.系统方面实行定期安全检查、风险评估、全天24 h的安全监控等措施.信任体系方面实行身份认证和授权管理，通过互联网接入电子政务外网的用户必须使用数字证书方式认证；直接接入电子政务外网的用户，应当使用数字证书方式认证.人员管理方面实行定期培训、年度审查、权责清晰等制度进行保障.

2 常见的身份认证方式分析

身份认证是通过验证操作者的身份，确定操作者访问和使用系统的权限，防止非授权访问，保证系统和数据安全的过程.在网络信息安全防护中，身份认证是非授权访问的第1道障碍，具有非常重要的作用.电子政务系统目前常用的身份认证方式主要有用户名密码、动态口令、生物识别、数字证书等，但是都存在一定的安全性或局限性等问题.

2) 动态口令认证方式通过运算因子的不断变化，每次产生不同的动态口令，这种一次一密的方法安全性较高[3].但是如果服务器与客户端的同步出现问题，用户将长期无法登录.且用户每次输错动态口令都要重新获取，操作不便.

3) 生物识别认证方式主要是指通过识别指纹、虹膜、脸部等生物特征进行身份认证的一种方式.该技术具有很好的安全性，但是存在开发成本高且识别过程中容易出错等问题.

4) 数字证书认证方式是基于公开密钥(public key infrastructure, PKI)，即利用1对密钥实施加密和解密来实现信息传输的完整性和安全性.相比前面几种身份认证方式，数字证书认证方式安全便捷，是目前电子政务外网系统身份认证的主要方式，但是这种方式也存在批量任务效率低、单点失效等问题.

5) 区块链技术是运用块链式数据结构存储数据、运用共识机制更新数据、运用智能合约操作数据的一种分布式系统架构，区块链具有去中心化和不可篡改等特点.分布式存储就是利用多个独立节点记录操作信息并监督操作的合法性，同时利用共识机制来保证数据存储的完整性和一致性，有效避免传统存储方式造成的数据被篡改和丢失等情况；共识机制就是所有节点对数据处理的一致性和完整性等方面之间达成共识的一种手段，是区块链技术的核心.基于区块链的数字证书认证系统，能够有效利用目前的传统数字证书认证体系，同时使用区块链的分布式存储和共识机制等技术[4]，使电子政务外网身份认证方面的安全性、可靠性和高效性方面得到很大提升.

3 传统数字证书系统

传统数字证书体系中数字证书是由CA(certification authority)电子认证服务机构签发的包含密钥和身份信息的电子文档，是用户在一定有效期内在系统上的身份证明[5].数字证书身份认证的工作原理是信息发送方利用信息接收方的公钥进行加密并传输，信息接收方利用自己的私钥对信息进行解密，目前电子政务外网数字证书密钥采用国密算法即椭圆曲线加密算法进行加密，安全性较高.

3.1 传统数字证书体系结构

传统数字证书系统体系结构基本可以分为CA和RA(register authority)证书注册审批机构，CA与RA的体系结构如图1所示.CA是数字证书认证体系结构的核心，是签发、验证和管理数字证书的机构[5].RA是分散在各地直接面向用户办理具体数字证书业务的机构，RA接收和审核用户申请,审核通过后将申请发送给CA中心，下载和发放证书.

图1 传统数字证书体系结构

3.2 传统数字证书系统的流程

数字证书系统在某个特定的范围内为有限的群体发放数字证书，数字证书系统的流程主要包括证书的申请、更新、发放和撤销等[6].

1) 证书的申请和更新

用户按照数字证书管理机构的要求提供相关的资料到RA中心，RA中心操作员录入用户信息，管理员审核通过后由系统提交到CA中心服务器.CA中心服务器产生密钥对并生成证书后返回给RA中心，再由RA中心将证书发给用户.

2) 证书的发放

RA中心将CA中心所签发的证书发布到LDAP(lightweight directory access protocol)轻量级目录访问协议目录服务器上，LDAP目录服务器为用户提供目录浏览，方便用户进行查询和下载.RA中心提供面对面以及网络在线发放证书2种方式.用户按照国家密码局等安全部门的相关要求，利用IC卡、USB卡等方式存储证书.

3) 证书的撤销

由于数字证书信息泄露、口令丢失、有效期到期以及用户信息需要变更等原因，造成数字证书需要被撤销的情况出现[7].RA中心接收用户提交的证书撤销申请并进行审核，审核通过后提交给CA服务器，CA中心同意请求并更新CRL(certificate revocation list)证书吊销列表反馈给RA中心公布.

4 基于区块链的数字证书系统

基于区块链的数字证书系统是在传统数字证书体系的基础上去掉CA中心，同时在电子政务外网上构建区块链PKI体系，由各地的RA机构接收用户申请，验证证书的合法性，产生、发布和存储新的区块.

4.1 基于区块链的数字证书体系结构

基于区块链的数字证书系统体系结构主要由RA和区块链PKI系统组成，如图2所示.RA接收和审核用户申请,审核通过后生成、发布和存储新区块.区块链PKI系统将共识机制、分布式存储等区块链技术与传统数字证书服务结合，具有高安全性、去中心化、不可篡改等特点[8].

图2 基于区块链的数字证书体系结构

4.2 基于区块链数字证书系统的应用

基于区块链的数字证书系统的应用从系统流程和管理措施方面进行探究.

4.2.1 基于区块链数字证书系统的流程

基于区块链的数字证书系统的流程与传统数字证书系统的流程基本一致，也包括证书的申请、更新、发放和撤销等流程，但在证书的发布、管理和使用等方面有所不同.

1) 证书的发布

区别于传统数字证书由唯一的权威CA签发的机制，区块链数字证书系统由区块链中的RA节点进行签发，RA接收用户申请，对申请信息进行验证，利用区块链共识机制生成新区块，同时发布到区块链中，其他RA节点验证该区块的合法性，并保存到本地区块链中.这种方式下用户可以在不同地方不同的网络环境下运用VPN接入电子政务外网发起申请，区块链的分布式存储和计算技术还能够批量生成和配置证书，提高工作效率.上述区块链是由多个区块根据产生时间依次链接而成，每个区块包括产生时间、当前区块的哈希值、前一区块的哈希值以及1条或多条数字证书管理记录.

2) 证书的管理

传统数字证书系统出于安全性考虑，一般由唯一的CA进行数字证书的管理，一旦CA发生故障，整个数字证书系统包括各地的RA将陷入瘫痪.而区块链数字证书系统应用区块链分布式管理机制，由区块链中多个RA节点进行管理和维护，RA节点记录数字证书的操作和请求，由区块链PKI系统中超过半数的RA节点应用共识机制进行审核，审核通过系统才能进行操作和响应[9].这种去中心化的审核和管理机制，有效解决了传统PKI的单点失效问题.

3) 证书的使用

传统数字证书系统由唯一的权威CA进行证书的验证和管理，区块链数字证书系统中应用的安全管理系统接收到用户使用申请，会向区块链网络发起证书验证，区块链数字证书系统对证书状态、有效期和证书内存储的信息等进行验证，验证通过后用户才能进行进一步操作[10].对于直接接入电子政务外网的应用，可以许可存储当前区块链信息，以提高性能.

4.2.2 管理措施

在管理措施方面，基于区块链的数字证书系统与传统数字证书系统一样，也需要建立包括对数字证书的相关资料、存储载体以及密码和证书信息等方面的管理措施并不断完善.

1) 数字证书的申请、注销等相关资料需要RA节点进行严格审核和规范存档，资料不合格同样不能办理数字证书相关业务，资料收集起来要存放到专用的专人管理的密码柜.

2) RA节点数字证书系统的管理同样要建立三权分立的管理原则，管理员、安全员和审计员之间要权责清晰，不能越权处理业务.

3) RA节点在数字证书发放过程中同样要核对和登记领取信息，用户领取数字证书后要及时修改初始密码，遇到丢失、损坏以及冒用等情况，要及时联系RA节点工作人员处理.

5 结 语

互联网技术的日新月异，电子政务外网的快速发展，使电子政务的安全防护更加至关重要.电子政务外网系统是一个集网络和应用于一体的复杂体系，系统的安全性首先就要从身份认证方面进行保障.当前电子政务外网系统中常见的几种身份认证方式存在安全性低、成本高、操作复杂或效率低等各种问题，区块链数字证书系统去中心化、分布式存储的特点使电子政务外网的身份认证过程更加安全和高效.

大数据时代的来临给信息安全提出了更多更高的要求，信息安全问题往往需要从技术和管理2个方面双管齐下，建立和完善数字证书在应用和管理方面的标准规范，推动电子政务外网安全建设标准化、规范化发展，是今后电子政务信息化发展需要探究的方向.