數字證書技術在江蘇省生態環境監控系統(“1831”項目)中的實踐與應用

陳 高，童波郵

（江蘇省生態環境監控中心，江蘇 南京 210036）

0 引言

隨著社會經濟的不斷發展，信息技術成為了我們生活不可缺少的部分，伴隨信息化不斷滲透入政府服務的各個部門，電子政務越來越得到認可和重視，并呈現出蓬勃發展的態勢，在各業務部門中發揮著舉足輕重的作用。隨著政務信息管理軟件系統的功能越來越復雜，可訪問的資源越來越多，系統用戶的類別越來越多，權限關系也越來越復雜。同時，電子政務網絡內部涉及大量的敏感、機密信息也對網絡信息安全提出了新的要求，一些原始的身份認證方式，已經不能滿足現有電子政務系統的需求，我們必須利用一些加密解密算法，建立不同的加密通道來傳輸或識別這些信息，以不斷滿足信息系統日益提升的數據安全要求。

江蘇省生態環境監控系統（“1831”項目）用一個平臺集成了多個子系統，對涉及水環境質量、大氣環境質量、飲用水源地、輻射環境質量等多類數據進行了整合，內容涉及大量環境業務信息，平臺系統延伸至省市縣三級，對信息系統的訪問安全有著很高的要求，因此我們必須選擇一種十分安全的身份認證技術，確保系統內部信息在被訪問和傳輸過程中的安全性和完整性，防止惡意用戶修改數據等行為的發生。

1 身份認證技術的選擇

身份認證是實現信息安全的基本技術，身份認證的本質就是在計算機網絡中確認操作者身份的一個過程：如何保證以數字代號進行操作的操作者就是這個數字身份合法擁有者，也就是說如何保證操作者的物理身份與數字身份相對應，身份認證技術就是為了解決這個問題。作為網絡和系統安全的第一道關口，身份認證起著舉足輕重的作用。

目前，我們常用的身份認證技術包括四大類：基于密碼的身份認證、基于智能卡的身份認證、基于生物識別的身份認證以及基于數字簽名的身份認證。

1.1 密碼認證

基于密碼的身份認證技術比較原始，但從目前來看，大多數電子政務系統的身份認證方式都仍是采用這種基于用戶名/密碼的方式，這種方式的優勢在于密碼是用戶自己設定，系統實現比較簡便，用戶名和口令都以明文或密文的方式直接存于數據庫，只要服務端程序接收到用戶名對應的密碼，系統就認為訪問者身份合法。但弊端在于，用戶設定的密碼容易采用生日等個人信息，通過社會工程學方式就可以輕易破解密碼。同時，由于密碼信息駐留內存，密碼傳輸不是加密傳輸，用戶密碼在存儲和傳輸過程中極易被木馬程序和網絡黑客截取，這樣很容易造成密碼泄漏。所以基于密碼的身份認證技術是一種不安全的身份認證技術。

1.2 智能卡認證

基于智能卡的身份認證是一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。我們常見的智能卡包括公交卡、校園卡、門禁卡等等都屬于智能卡認證的一種方式。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

1.3 生物識別認證

基于生物識別的身份認證主要包括：指紋、掌型、視網膜、虹膜、臉型、簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；基于生物識別的身份認證優勢在于識別項的唯一性，指紋、視網膜、虹膜等都是唯一存在，可以直接標示一個人的合法身份的，這些信息不能輕易被仿冒，所以安全性較高。但生物識別技術目前還處于研究階段，尚未形成一套成熟的技術解決方案，系統對生物信息的識別效率和誤差率等都亟待改善，所以并不是目前電子政務最好的身份認證解決方案。

1.4 數字簽名認證

數字證書就是網絡通訊中標志通訊各方身份信息的一系列數據，用于網絡身份驗證，其作用類似于日常生活中的身份證，所以數字證書又有“數字身份證”之稱。人們可以在網絡通訊中用它來識別證書擁有者的身份。

數字證書可提供4種重要的安全保證:

（1）機密性：文件可以用密鑰加解密，以達到機密性。

（2）完整性：文件接收者通過數字簽名核對可確保此文件的完整性。

（3）不可否認性：因只有文件發送者知道自己的私有密鑰，而且文件具有發送者的數字簽名，使其無法否認發送的事實。

（4）身份識別：文件接收者可確認此文件的發送者身分。

盡管現在還涌現出很多新興的身份認證技術，如：動態口令技術、密保卡技術以及短信密碼驗證等等，但這些技術從經濟、安全性、便捷性等都存在一定的弊端，且數字證書技術已經在我國電子政務領域得到廣泛引用，技術成熟度較高，系統實施和整合較為便捷，所以我們經過綜合考慮選擇了數字簽名認證作為“1831”系統的身份認證技術。

2 使用數字簽名認證技術的優勢

2.1 電子簽名可確認系統用戶真實身份

在用戶端，通過頒發具有國家認可資質的電子認證服務提供者的數字證書（電子身份證）來確認用戶身份，保證用戶身份真實可信，不會被冒名竊取。用戶驗證信息被密鑰加密，且傳輸內容也被加密，即使第三方獲取了相關內容也無法解密，確保了訪問“1831”系統用戶的真實物理身份。

2.2 電子簽名可確保簽名數據的法律性

江蘇省生態環境監控系統使用數字證書和安全中間件對電子數據信息進行了電子簽名，當事后用戶可能對他當時提交的信息存在置疑，不承認信息內容時，通過保存的電子簽名信息，數字證書可以通過國家認可的技術手段證明其電子簽名確實存在，并且電子簽名后的原文信息沒有被任何改動。可以防止其抵賴，讓其無法否認電子簽名內容。并且對用戶所要提交的電子數據信息可以加蓋時間戳，在電子簽名的基礎上加上標準時間信息，可以對時間敏感的電子數據信息提供更加安全可靠的法律效力保證，在“1831”系統的申報和審批業務中得到了廣泛的應用。

2.3 電子簽名將進一步推進環保信息化、無紙化

含有電子簽名技術的辦公自動化系統可以大大減少重復勞動，它可以使各個部門、各個環節的單獨處理工作串聯起來，同時也能處理流程上多環節的任務。可以方便進行各個環節的審核、批復、簽字，同時也可以進行不同環節批復的查詢。不僅解決了傳統辦公的效率低下和紙張浪費狀況，而且也解決了因領導無法使用煩瑣的現代辦公自動化系統而閑置的信息化投資。

3 數字證書技術在江蘇省生態環境監控系統中的實踐與應用

3.1 整體架構設計

為了解決生態環境監控系統應用數據機密性、身份認證強度兩方面安全風險，同時結合生態環境監控系統場景的特點，相應的安全解決方案使用CA客戶端和身份認證網關建立加密通道，網關代理應用數據，CA客戶端顯示BS頁面，建設方案整體架構圖如圖1所示。

圖1 整體架構圖

首先，江蘇環保證書服務器生成客戶端證書和服務器端證書，然后用江蘇CA根證書給客戶端證書和服務器端證書簽名。使用時，將自簽發的客戶端證書導入客戶端瀏覽器，通過架設在省廳的數字簽名認證網關與江蘇CA根證書服務器進行證書認證。當客戶端首次登陸系統，雙方都要提交證書供對方驗證，驗證通過之后，雙方使用協商好的對稱密鑰進行數據的加密傳輸。

3.2 邏輯架構設計

生態環境監控系統應用安全解決方案邏輯架構設計如圖2所示。

圖2 邏輯架構設計圖

3.3 簡化的B/S應用訪問流程

B/S應用訪問流程如圖3所示。應用業務按照網關接入方案改造后，可以使用CA客戶端訪問BS應用，具體步驟如下：

圖3 B/S應用訪問流程

（1）CA客戶端向安全接入網關發起訪問請求；

（2）CA客戶端用戶提交數字證書，身份認證網關進行身份有效性認證，驗證證書，獲取屬性信息和權限信息（需UMS和PMS）

（3）認證通過后，網關安全通道建立。用戶點擊CA客戶端中的應用列表，向移動辦應用提交訪問請求；身份認證網關向服務器端代理用戶的請求，同時在請求中增加用戶身份信息，傳遞給應用

（4）應用根據傳遞的身份信息判斷用戶權限，返回客戶端頁面需要的數據。

3.4 移動應用中間件訪問模式流程介紹

除上述B/S應用模式之外，未來，江蘇省生態環境監控系統還會存在移動客戶端APP的訪問模式。經過調研分析，我們初步進行了流程設計，流程圖如圖4所示。

圖4 流程設計

在生態環境監控系統應用建設廠商將客戶端APP進行改造后，集成了VPN連接客戶端接口，同時針對移動中間件平臺進行必要改造，將認證方式從用戶名/口令方式改變為數字證書認證方式。改造完成后，生態環境監控系統用戶的應用訪問流程如下：

（1）生態環境監控系統用戶通過點擊客戶端APP，APP集成的VPN客戶端接口向VPN網關發起訪問請求；

（2）VPN系統要求生態環境監控系統用戶提交數字證書，進行身份有效性認證。認證通過后，VPN通道建立。客戶端通過點擊終端APP中的應用圖標，向生態環境監控系統中間件平臺提交訪問請求；

（3）生態環境監控系統中間件平臺將訪問請求重定向給安全接入網關，進行數字證書驗證；

（4）安全接入網關驗證用戶移動證書，將證書解析后獲得的用戶信息傳遞給中間件平臺；

（5）中間件平臺獲得生態環境監控系統用戶身份，根據用戶權限，將用戶訪問的信息反饋給生態環境監控系統用戶，實現身份認證。

4 結語

通過對數字證書技術的介紹，以及數字證書技術與“1831”系統相結合的典型案例剖析，我們可以看出數字證書在環保電子政務系統中的應用前景，盡管以上案例只是數字證書認證技術實際應用的很小一個部分，目前涉及范圍也僅用于用戶身份的認證，但其數據安全性和強不可抵賴性在未來完全可以滿足于數據申報、數據審核、電子簽章乃至環保電子政務的其他領域的數據安全需求。隨著網絡安全技術的不斷成熟和完善，數字證書技術在“1831”系統中的應用將更加廣泛，也必將得到越來越多人的肯定。

［1］黃銳，李濤，王姝妲，等.基于B/S和C/S混合模式的CA證書發放實現［J］.計算機應用研究，2006（3）：113-115.

［2］勞幗齡.電子商務安全與管理［M］.北京：高等教育出版社，2003：185-193.

［3］葉新，雷明，張煥國.PKI及其在基于SSL的Web安全中的應用實現［J］.計算機工程與應用，2003.

［4］張一清.電子商務中的安全基礎設施PKI技術［J］.商場現代化，2006（10）：89-90.

［5］張巍，李濤，劉曉潔，徐春林.認證中心CA的功能及其實現技術［J］.計算機工程與設計，2007（9）：38-39.