基于ＰＫＩ的安全電子政務層次架構模型研究

公開密鑰基礎設施 (Public Key Infrastructure，PKI)，是一種遵循既定標準的密鑰管理平臺，也是一個提供強大開放的數據加密和支持加密服務的典型方法。它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施，PKI技術是信息安全技術的核心，也是電子政務系統的關鍵基礎技術。

電子政務所涵蓋的信息系統是政府機構用于執行政府職能的信息系統。政府機構從事的行業性質跟國家緊密聯系，所涉及的眾多信息都帶有保密性，所以信息安全問題尤其重要。例如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等，都將對電子政務系統的正常運行構成威脅。為保證電子政務的信息安全，有必要對其信息和網絡系統進行專門的安全設計。

電子政務的信息安全目標

信息系統信息安全的宗旨是通過在實現信息系統時充分考慮到自身、伙伴和客戶的信息風險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務系統信息安全的宗旨就是通過在實現信息系統時充分考慮信息風險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。

為此，電子政務系統必須實現可用性、完整性、保密性、可記賬性和保障性等信息安全目標：

◎可用性目標：是指確保電子政務系統有效率地運轉并使授權用戶得到所需信息服務。通常，可用性目標是電子政務系統的首要信息安全目標。

◎完整性目標：包括兩個方面：數據完整性和系統完整性。通常，完整性目標是電子政務系統除了可用性目標之外最重要的信息安全目標。

◎保密性目標：是指不向非授權個人和部門暴露私有或者保密信息。通常，對于大多數電子政務系統而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務系統和數據，保密性目標是最重要的信息安全目標。

◎可記賬性目標：是指電子政務系統能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求。可記賬性目標可以為拒絕否認、威懾違規、隔離故障、檢測和防止入侵、事后恢復和法律訴訟提供支持。

◎保障性目標：保障性是電子政務系統信息安全的信任基礎。保障性目標突出了這樣的事實：對于希望做到安全的信息系統而言，不僅需要提供預期的功能，而且需要保證不會發生非預期的行為。具體而言，保障性目標是指提供并正確實現需要的電子政務功能；在用戶或者軟件無意中出現差錯時，提供充分保護；在遭受惡意的系統穿透或者旁路時，提供充足防護。

基于PKI的安全電子政務層次架構模型

在電子政務系統建設中，為全面實現可用性、完整性、保密性、記賬性和保障性等信息安全目標，需要研究設計建立安全的電子政務系統架構模型。根據電子政務系統架構層次化特點，提出了圖1所示的基于PKI的安全電子政務層次架構模型，主要從核心層、網絡層、數據存儲層、應用層、接口層以及物理和管理層等方面改進優化系統信息安全指標。

圖1. 基于PKI的安全電子政務層次架構模型

1.核心層：是指基于PKI技術建立的整個電子政務應用的安全核心，該層次是電子政務安全的基礎；

2.網絡層：是指在網絡接入的層面上建立整個系統的信任網絡接入和網絡管理，以及數據傳輸層的網絡安全等；

3.數據存儲層：是指整個應用的數據存儲的可信任機制。

4.應用層：是指電子政務應用的安全、認證的應用接入、應用層的身份/權限以及授權服務、單點登錄(SSO)以及應用的機密性和不可抵賴性等；

5.接口層：是指數據的交換和應用的交互的安全性的控制;

6.物理和管理層：是指整個安全體系的涉密設備和介質以及安全等級和規范的管理。其中包括人員的培訓和涉密系統的管理，健全相應的管理措施，管理機構依據管理制度和管理流程對日常操作、運行維護、審計監督、文檔管理進行統一管理等等。

核心層安全

圖2. 核心層的PKI/CA的結構

核心層采用圖2所示的PKI/CA結構實現。PKI是電子政務信息安全基礎設施的重要組成部分，授權管理基礎建設、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平臺的構建都離不開它的支持。PKI主要分布在分布式計算環境中提供數據機密性、完整性、身份認證和行為的不可抵賴性等安全功能。

圖3. PKI的實體模型

PKI信任服務體系主要由注冊中心(RA)、認證中心(CA)、密鑰管理中心(KM)、證書在線狀態查詢服務、證書目錄服務、時間戳服務等組成，其中注冊中心（RA）和認證中心（CA）又包含相應的模塊，如圖2所示。

具有完整的體系結構的PKI實現的可以包括以下功能模塊:實體鑒別服務模塊，包括智能卡接口等個人安全環境的API；核基于PKI技術的安全電子政務系統的設計心算法服務模塊，包括基本密碼算法如公鑰算法、散列函數實現；高層密碼服務模塊，包括證書申請、簽名、驗證等函數實現；證書管理服務模塊，向數據倉庫增加或者撤消證書、密鑰等函數實現；PKI訪問服務模塊，利用LDAP訪問PKI完成證書查詢等功能的函數實現。安全協議模塊，提供安全訪問通道的協議實現，包括IPSec、S/MIME等；安全策略服務模塊，包括信息注冊、訪問控制、審計等功能實現:支持服務模塊，LDAP目錄訪問API等相關功能實現，如圖3所示。

核心算法服務是底層的密碼安全模塊，包括隨機數產生、公鑰對產生(RSA)、散列算法(SHA、MDS)、對稱密鑰加密算法(DES、AES等)，該模塊可以用軟件實現，也可以根據安全等級要求用硬件實現。

網絡層安全

內部網絡進行虛擬子網絡隔離，邊界接入網絡采用物理隔離實現。包括對電子政務關鍵主機物理安全保障和機房安全建設。采用的操作系統、數據庫系統及其他軟件系統，建立一個可信的安全操作環境。

網絡安全建設主要通過基于網絡協議和服務的安全配置、網絡安全防護網、基于PKI技術的安全電子政務系統的設計絡實時監控等措施實現，所以盡量保證網絡中采用的協議和提供的服務進行安全評估并根據具體網絡應用重新配置，減少協議與服務本身存在的風險?？梢圆捎冒踩W關或者防火墻系統實現網絡隔離與防護，一些重要的子網絡間采用基于密碼設備的防護。對于關鍵網絡或者邊界網絡采用網絡實時監測與預警系統，監控網絡流量并進行綜合分析，根據安全規則對攻擊行為、非正?；蛘呖赡艿娜肭中袨檫M行告警、切斷網絡等響應。

數據存儲層安全

在電子政務應用中，數據存儲有兩種不同的類型：一種是使用過程的運轉數據；另一種是運轉結束后的歷史數據。即正在運行和流轉的數據和歷史檔案數據及查詢數據。根據不同的安全等級，數據的存儲就相應的有兩種方式：非密存儲、加密存儲。在系統中正在流轉的數據，可以根據相應的密級進行加密或者不加密。而歷史數據和檔案要根據具體分析是否進行加密存放?？梢詫⑺斜匾臄祿M行加密存儲，這樣做就可以保證數據存儲的安全和保密，但是加密存儲數據會帶來一些相應的問題和不便。

查詢和全文檢索的問題。歷史數據之所以要保存，是因為這些數據的利用價值，沒有價值的數據的保存是沒有意義的。在電子政務系統中，數據的利用價值就是查詢和參考，如果所有的數據都進行加密的存儲，那么查詢就會打折扣，很多加密的內容將不容易被查詢，全文檢索更難以實現，因為所有加密的數據直接檢索幾乎是不可能的。

加密存放時間問題。加密保存的歷史數據具有比較長的時間存放時效，一般的公文都要保存幾十年，但不論是基于什么加密體系的密鑰的有效期都遠低于這些數據的保存期限，這就帶來加密存放的時間問題。

密鑰問題。隨著數據保存的時間的延長，以及單位人事的變動，加密的密鑰管理也會帶來相關的問題。目前的PKI體系主要采用雙證書管理，但是檔案的存放時間遠遠大于安全體系的有效期。

可以采用非密存儲、存儲服務器認證、加密存儲和解密代理等方法解決上述提到的問題。可以采用加密/解密代理的方法解決密鑰的問題，但是這種方式的查詢還很困難，全文檢索幾乎不可能。但是電子政務應用的大量信息還不能脫離查詢和全文檢索。可以利用PKI的認證和權限的控制，進行存儲服務的認證控制。系統的數據存取不加密，將存儲的服務器置于一個邏輯的隔離區(其他的服務和用戶不能直接訪問)，用戶或服務提交的存取或查詢的請求都必須提交給存取/權限控制機構，而存取/控制機構根據身份認證和控制策略的判定結果與存儲服務進行加密交互，最后將結果返回提交請求者。這些問題的解決方法還不是確定的，仍值得進一步討論。

應用層安全

電子政務系統應用層的安全可以通過建設應用安全服務平臺來實現，通過安全平臺向各項應用提供統一的安全服務如數據加密/解密、數字簽名/驗證、數據完整性校驗、密鑰管理等功能。這個服務平臺可以基于統一的身份鑒別和統一授權管理實現。這些安全服務主要包括身份認證、應用接入認證、數字簽名、加密、權限控制/授權、單點登錄和目錄服務等。

身份認證、身份鑒別主要解決通信雙方的身份問題，即“who are you”的問題，身份認證和身份鑒別時電子政務系統的重要核心內容之一。在應用接入認證中，主要解決應用和用戶、應用和應用之間的認證問題。對于應用的接入認證，可以采用C/S和WEB方式。雙向認證過程可以采用“三次握手協議”，該認證過程如圖4所示。

數字簽名技術是實現交易安全的核心技術之一，它的實現基礎就是公開密鑰加密技術。加密在電子政務的應用中解決的是數據的“機密性”的問題。訪問控制機制包括自主訪問控制和強制訪問控制模式，一般有訪問控制列表(ACL)、能力列表(CL)和權限關系表(AR)等。單點登錄，就是通過用戶的一次性鑒別登錄，即可獲得需訪問系統和應用軟件的授權，從而，管理員無需修改或者干涉用戶登錄就能方便的實施希望得到的安全控制。

圖4.“三次握手”認證過程

接口層安全

電子政務安全的接口層是指數據的交換和應用的交互的安全性的控制。在電子政務的應用中，存在大量的數據交換，并且存在許多跨部門的數據交換。電子政務應用的接口層的安全對整個電子政務的安全具有深遠的影響。

電子政務的接口層是與接口層需要的具體技術相關的，安全的Web Services技術是在Web Services基礎上發展而來的。安全的Web Services通過安全的SOAP技術保證。消息的機密性、完整性和不可抵賴性，通過安全的WSDL描述可信服務組件，通過安全的UDDI發布可信服務組件。

政府信息的敏感性以及網絡的虛擬性和開放性，決定了電子政務系統需要有強有力的身份認證手段和數據加密手段來保證電子政務系統的安全。從國外電子政務建設項目采用的主流身份認證技術分析，當前基于PKI體系進行身份認證是一種先進和通行的身份認證手段，而且PKI體系除了能實現身份認證功能之外還能提供數據加密、數字簽名等多種功能。本文提出了一種基于PKI的安全電子政務層次架構模型，詳細分析了保證核心層、網絡層、數據存儲層、應用層、接口層等各個層次應用安全的各種技術和可行性。

（作者單位：林鳳海，浙江省麗水市景寧畬族自治縣政府信息中心主任；吳吉義，杭州市電子商務與信息安全重點實驗室常務副主任）