基于PKI/CA技術的電子政務外網安全

電子政務的發展是國家經濟發展的客觀要求，也是施政為民、為民服務的必然趨勢，是黨委、政府有效決策、管理和服務的重要手段，這必然會遭到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊，以浙江省為例，電子政務外網建立在以MPLS VPN技術為主的基于互聯網技術的網絡平臺上，而與電子政務外網相連接的互聯網是一個無行政主管的全球網絡，自身缺少設防，安全隱患很多，且目前對互聯網犯罪尚缺少足夠的法律威懾，大量的跨國網絡犯罪給執法帶來很大的難度。所以利用互聯網進行犯罪則有機可乘，使基于互聯網開展的電子政務外網應用面臨著嚴峻的挑戰。據統計，僅在2007年，全國就有3000余家電子政務網發生過網頁被篡改的事件，嚴重影響了政府的對外形象。隨著電子政務建設的逐步推進，電子政務網絡所承載的業務數量在逐步增加，政府網站或其它應用系統被入侵或篡改所帶來的危害將不僅限于政府的形象，甚至會造成巨大的經濟損失，或者嚴重的社會問題。

電子政務系統安全上的需求

對各級電子政務外網的安全威脅目前主要包括網上黑客的入侵、網上病毒的泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息安全產品的失控等。以縣一級政府的電子政務外網為例，由于相對投入比較少，技術力量嚴重不足，在電子政務外網安全上普遍存在以下一些后果嚴重的風險:

一是政府網站頁面被篡改。政府門戶網站作為政府形象的重要標志之一，常常是一些不法分子的重點攻擊對象，政府門戶網站一旦被篡改，常常會引發較大的負面影響，嚴重時甚至會造成政治事件。其中頁面被篡改的一種常見方式是“網頁掛馬”，網頁內容表面上沒有任何異常，卻可能被偷偷地掛上了木馬程序。一些木馬程序能使公眾訪問政府網站時直接轉接到了一些黃色反動的網站上，這使得政府網站的權威性和公信力受到了嚴重打擊，并最終給電子政務的普及帶來重大的負面影響。

二是政府部門的在線業務被攻擊。對企業、公眾提供在線服務已成為縣級電子政務外網的重要功能，以紹興縣為例，通過電子政務外網出口公眾網向公眾提供如社會保險個人查詢系統、行政審批服務系統、企業交稅網上系統、個人公積金查詢系統等服務，這些服務一旦受到攻擊就會面臨癱瘓或終止，對業務的正常運轉必然造成極大的影響，并很可能會造成經濟損失，嚴重的甚至會影響社會穩定。

三是機密數據被竊取。在線業務系統中總是需要保存一些企業、公眾的相關資料，這些資料往往涉及到企業機密和個人隱私，一旦泄露就會造成企業或個人的利益受到損失，并可能帶來嚴重的法律糾紛，而如目前運行于電子政務外網上的紀委網上舉報系統的數據如被竊取甚至可能引起社會穩定問題等政治問題。

因此，為了保證互聯網上電子政務的安全性，防范系統遭攻擊或信息丟失或被截獲篡改，必須在互聯網中建立并維持一種令人信任的環境和機制。基于公開密鑰技術的數字證書解決方案，目前已逐漸被較大范圍的采用。

PKI與CA技術概述

PKI又稱為公鑰基礎設施(Public Key Infrastructure)，是一個用非對稱密碼算法原理和技術實現并提供安全服務的具有通用性的安全基礎設施，也是一種遵循標準的利用公鑰加密技術為電子商務、電子政務的開展提供一整套安全的基礎設施。用戶利用PKI平臺提供的安全服務進行安全通信。PKI這種遵循標準的密鑰管理平臺，能夠為所有網絡應用透明的提供采用加密和數字簽名等密碼服務所需要的密碼和證書管理。

使用基于公開密鑰技術平臺的用戶建立安全通信信任機制的基礎是，網上進行的任何需要提供安全服務的通信都是建立在公鑰的基礎上的，而與公鑰成對的私鑰只掌握在他們與之通信的對方。這個信任的基礎是通過公鑰證書的使用來實現的。公鑰證書是用戶的身份與之所持有的公鑰的結合，在結合之前，由一個可依賴的權威機構---認證機構(CA)來證實用戶的身份。然后由可信任的CA對該用戶身份及對應公鑰相結合的證書進行數字簽名，用來證明證書的有效性。

PKI技術是公開密鑰學完整的、標準化的、成熟的工程框架。它基于并且不斷吸收公開密鑰密碼學豐碩的研究成果，按照軟件工程的方法，采用成熟的各種算法和協議，遵循國際標準和RFC文檔，如PKCS、SSL等完整地提供網絡和信息系統安全的解決方法。

CA(CertificationAuthority)是認證機構的國際通稱，是指對數字證書的申請者發放、管理、取消數字證書的機構。CA的作用是檢查證書持有者身份的合法性，并簽發證書(在證書上簽字)，以防證書被偽造或篡改。但由于CA很難解決數據傳輸中的安全性和完整性，因此它一般都需與PKI技術一起進行應用(PKI/CA)。PKI是一種建立在公開密鑰技術之上的信息安全體系結構，主要包括兩方面的內容:一是數字簽名，該技術可以保證所傳輸信息的完整性;另一內容是加密，用戶在使用公開密鑰法對信息進行加密后，在解密時使用的密鑰無須在Internet上傳輸，這樣就避免了密鑰被人竊取后造成信息的暴露。但PKI又無法保證用戶身份的確認，于是出現了PKI/CA這一完整的CA認證概念。

PKI/CA系統的組成與功能

一般來說，PKI/CA系統必須具有權威認證機構CA、注冊機構RA、數字證書查詢驗證服務系統(LDAP)、密鑰管理服務系統(KM)、密碼管理服務系統等組成部分。

(1)認證機構CA是PKI的信任基礎，它管理公鑰的整個生命周期，其作用包括:發放證書、規定證書的有效期和通過發布證書廢除列表(CRL)確保必要時可以廢除證書。認證機構CA主要功能有:

數字證書簽發功能:系統接受RA錄入的用戶證書申請信息，為其提供證書(加密證書和簽名證書)簽發服務;

數字證書歸檔功能:所發放的數字證書將由CA系統進行統一的歸檔處理;

數字證書注銷功能:CA提供數字證書的注銷功能，一旦注銷將由CA提交LDAP進行發布，保證注銷后的數字證書的失效;

數字證書更新功能:在數字證書到期或者密鑰泄露的情況下，CA系統提供證書的更新功能，同時將新證書進行發布;

數字證書發布功能:新申請的數字證書或更新的數字證書，將由CA系統向LDAP進行發布;

數字證書查詢功能:提供數字證書的即時查詢服務等。

(2)注冊機構RA提供用戶和CA之間的一個接口，它獲取并認證用戶的身份，向CA提出證書請求。它主要完成收集用戶信息和確認用戶身份的功能。這里指的用戶，是指將要向認證中心(即CA)申請數字證書的客戶，可以是個人，也可以是集團或團體、某政府機構等。注冊管理一般由一個獨立的注冊機構(即RA)來承擔。它接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意CA給其簽發數字證書。注冊機構并不給用戶簽發證書，而只是對用戶進行資格審查。因此，RA可以設置在縣一級的電子政務外網系統上，而CA設置在省或市一級的電子政務外網上。當然，對于財政實力較強的縣來說，可單獨建設認證機構CA，可把注冊管理的職能由認證機構CA來完成，而不設立獨立運行的RA。但這并不是取消了PKI的注冊功能，而只是將其作為CA的一項功能而已。PKI國際標準推薦由一個獨立的RA來完成注冊管理的任務，可以增強應用系統的安全。

(3) 數字證書查詢驗證服務系統(LDAP)為證書認證系統和授權管理系統的核心基礎設施。為證書認證系統提供證書查詢、CRL查詢等服務功能，同時也為統一認證和授權管理系統提供用戶管理、角色管理、授權策略管理等功能提供高性能的數據存儲和查詢服務能力。主要功能有:

發布和更新CA中心簽發的數字證書:LDAP接收CA發出的證書信息，由LDAP進行發布和更新;

發布和更新CA中心簽發的證書撤消列表CRL:LDAP接收CA發出的證書撤消列表(CRL)信息，由LDAP進行發布和更新;

證書撤消列表CRL的在線查詢服務:為用戶提供數字證書的證書撤消列表CRL的在線查詢，并且通過驗證接口，可以驗證數字證書的有效性;

目錄控制服務:數字證書和CRL采用目錄形式發布，由LDAP進行目錄控制等。

(4)密碼管理服務系統提供加密、解密、簽名、驗簽等服務，客戶端的加密、解密、簽名、驗簽由證書載體提供，服務器端的加密、解密、簽名、驗簽由密鑰服務器提供。所有密碼算法必須在經國家密碼主管部門審批的密碼設備上運行。密碼管理服務系統要構建一個相對獨立的可信計算環境，進行安全密碼算法處理;要采用分布式計算技術，提供系統性能的動態可擴展;應采用安全中間件技術，兼容各種密碼設備，向上層應用提供統一穩定的服務接口。主要功能有:

加/解密、簽名、驗簽服務，提供加/解密服務是密碼管理服務系統的核心功能，主要包括:對數據的加解密功能與提供密鑰生成和存儲功能。

利用安全中間件技術對底層的密碼算法進行封裝，為應用提供穩定的統一密碼服務接口等。

電子政務外網中PKI/CA技術的應用實例

如紹興縣電子政務外網CA服務體系，以浙江省與紹興市電子政務外網安全支撐平臺為根，采用與省市電子政務外網安全支撐平臺一致的體系結構建設，為本縣政府下屬各部門、下級鎮街以及因工作需要應用的單位提供電子政務外網數字證書的統一生產和發放、數據加解密，同時為電子政務外網的統一身份認證和可信應用整合提供安全支撐。

縣電子政務外網PKI/CA安全支撐平臺部署規范如下圖所示:

(1)基于CA認證方式的VPE技術。

MPLS VPN是目前我省電子政務外網普遍采用的技術，這是一種比較理想的實現網絡資源分配的技術，可以將一個物理的電子政務外網網絡劃分為多個獨立的“邏輯網絡”，每類業務都可以獲得一部分網絡資源供自己使用，包括地址空間、路由轉發表、帶寬、隧道、服務質量等。但從網絡全局來看，MPLS VPN的應用范圍基本限制在電子政務外網中，這樣電子政務外網的資源劃分與安全隔離就無法跨越公網延伸到網絡的最邊緣。而IP VPN雖然實現了網絡邊緣節點對電子政務外網的安全訪問，但無法實現不同業務的安全隔離與區別服務。因此單純采用任何一種VPN技術都不足以實現端到端的VPN業務，電子政務外網需要更加完善的VPN解決方案。

近年來MPLS VPN與IP VPN技術的融合成為VPN技術發展方向，由此產生了H3C公司的VPE技術，目前，該技術已使用于浙江省與紹興的電子政務外網中，技術上正處于不斷完善中。

VPE(VPN PE)是一種特殊的PE，它和CE之間的連接方式不是傳統的DDN/E1/POS/ETH/PVC等專線技術，而是IPSEC/L2TP/GRE/UDP VPN等隧道技術。VPE實現的核心功能是IP VPN隧道與MPLS VPN之間的映射和銜接。VPE技術很好地融合了MPLS VPN和IP VPN的優勢，在網絡邊緣也實現了網絡資源的邏輯劃分及安全隔離，核心網與邊緣網絡形成了一個整體。下圖是一個基于CA認證的紹興縣電子政務外網遠程訪問VPE。

(2)基于PKI/CA技術的公文電子印章系統

隨著網絡的發展以及網上辦公的需要，各級政府機構之間需要頻繁傳遞公文文件，特別是一些重要敏感度高的公文和印章，更需要嚴格的保護，而采用PKI/CA技術建立起來的電子公文和電子印章安全系統體系，滿足了這方面的安全需求。

電子印章系統主要包括以下內容:電子公文完整性的驗證;對發送電子公文的單位進行驗證;電子公文機密性保護;完善的密碼管理機制;印章文件加密存儲;持有電子印章的用戶可以驗證印章文件的真假;只有合法用戶才能閱讀公文;只有經過授權的合法用戶才有權查看或打印所帶的印章，杜絕電子公文的非法流轉使用專用密碼算法，各域之間通過標準證書互連互通;支持異域用戶授權等。

通過建立的電子政務外網CA服務體系，使本域電子政務外網中用戶有本域CA簽發的證書，相互之間可以互相信任，傳遞電子公文以及共享數據。以紹興的電子印章系統為例，系統流程如下圖所示:

(a)用戶登錄應用平臺(辦公自動化系統、文檔管理系統……)插上USBKey智能卡，執行蓋章操作后，簽章客戶端首先驗證當前用戶證書的有效性，驗證可以采用OCSP的實時在線驗證也可以采用CRL的離線驗證。身份驗證通過以后進入蓋章環節。

(b)印章服務器接收到用戶蓋章請求，返回當前用戶有權限的印章列表，執行蓋章操作。同時發送操作日志到印章服務器。

(c)用戶打印文檔、再次編輯印章等等操作，簽章客戶端都會與印章服務器交互，校驗權限和記錄操作日志。

電子政務是互聯網和政務應用發展的必然趨勢，它將逐漸成為政務辦公中一個重要部分。不要讓安全問題成為電子政務發展的瓶頸，基于PKI/CA技術的數字證書能夠全面支持電子政務應用的各種主要模式，確保政務信息的安全性，正確科學化規劃和使用數字證書，從而極大地推動電子政務的發展。由于本人才疏學淺，在具體基于PKI/CA技術的電子政務外網安全應用上的研究還不夠深入，也難免存在一些錯誤和不足。當然，電子政務外網中PKI/CA技術的各類應用是潮流也是趨勢，需要專業性的企業及專家們進一步孜孜不倦地實踐和研究。

(作者單位:浙江省紹興縣機關信息中心)