身份認證系統在電子政務中的應用與研究

孫毅

摘要：電子政務在政府提高行政效率、推動職能轉變方面發揮了重要作用，其應用系統的網絡安全問題也越來越重要。該文闡述了江蘇省發改委通過身份認證系統的建設，提升了其電子政務平臺網絡和系統的安全性。

關鍵詞：身份認證;數字證書;PKl技術;電子政務

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）34-0263-01

近年來隨著我國電子政務的飛速發展，信息系統的安全問題日益重要。中共中央辦公廳在《國家信息化領導小組關于加強信息安全保障工作的意見》中明確提出要“加強以密碼技術為基礎的信息保護和網絡信任體系建設，要建立協調管理機制，規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設”。

江蘇省電子政務江蘇省發展和改革委員會（以下簡稱省發改委），是研究擬訂經濟和社會發展政策、指導經濟體制改革的綜合經濟調節部門，電子政務平臺建設早、發展快，其相應的業務系統無論服務公眾或是對內辦公，都發揮了重要作用。為了能夠進一步提高業務系統安全性，遂依托省電子政務外網的電子認證基礎設施，建設省發政委的應用安全認證系統。

1 建設環境

目前江蘇省電子政務外網及業務系統已開展建設，作為基礎性支撐系統的電子認證體系，也將完成部署，為網絡、應用系統提供可靠的安全保障。江蘇省電子政務外網電子認證基礎設施包含電子認證服務中心、電子認證發證中心、安全認證網關以及移動辦公身份認證建設等方面，統一用戶管理系統包含統一用戶管理、統一授權管理及目錄服務等。

省發改委的“陽光發改”平臺于2013年開通，2015年移動辦公平臺上線，在“互聯網+電子政務”移動端應用方面進行了初步嘗試。目前應用系統采用的是“用戶名+弱口令”方式，這種認證模式存在極大的隱患：口令一旦丟失，系統將完全暴露在使用者面前，系統中所涉及的密級文件和敏感信息將被使用者一覽無余;系統日志也將形同虛設，賬號持有者也會以密碼丟失為由，任何操作都可以被抵賴;后臺系統需要維護大量的用戶口令列表并負責口令的保存安全，管理起來相當困難。

針對以上隱患，省發改委業務系統需要建立一套安全可信的認證系統，為日常辦公或外出使用手機端的本單位用戶提供統一、安全的身份認證服務，以滿足應用保護、身份鑒別、訪問控制等需求。并能夠與省電子政務外網電子認證基礎設施信任體系對接.保障體系一致。

2 系統建設

系統應用以PKI體系為基礎，結合相應的管理軟件，針對省發改委用戶、互聯網接人用戶、專線接入用戶進行針對性的身份鑒別，整體提升本單位業務系統在身份認證、訪問控制方面的安全性。

省發改委業務系統的身份認證建設包含四個部分內容：

（1）數字證書的申請、發放與管理。省發改委用戶的數字證書由省電子政務外網電子認證發證中心實現證書的申請、發放與管理。數字證書在RA系統申請通過后由用戶下載至US-BKey中，用戶每人均持有綁定了數字證書的USBKey。

（2）基于數字證書實現應用的身份認證。在訪問應用系統時，將本人的USBKey插入本地計算機USB接口中，通過安全認證網關實現應用系統的數字證書身份鑒別。移動用戶通過申請下載軟證書至自己的移動設備中，由安全認證網關實現應用系統訪問的身份鑒別。

安全認證架構如下：

在省發改委信息系統劃分應用認證服務區和移動辦公認證服務區。應用認證服務區部署兩臺安全認證網關，采取雙機部署模式，提高應用身份認證的可靠性，為單位內部用戶訪問本單位業務系統提供身份鑒別、訪問控制等;移動辦公認證服務區部署一臺安全認證網關、移動終端制證系統和移動終端證書中間件系統。整合VPN接口、移動終端數字證書發放體系、身份認證體系，形成統一的APP，為單位移動辦公用戶提供身份鑒別、訪問控制。

（3）省發改委信息系統與省政務外網的邊界安全，除了已部署的一臺網閘，需要在此基礎上增設一臺安全綜合網關，實現訪問控制、入侵防御及防病毒。

（4）應用系統與安全認證網關的對接。省發改委可依托省電子政務外網統一用戶管理平臺，并對現有應用系統的用戶進行梳理，與統一用戶管理平臺數據進行對接，并提供數據的接口。通過目錄服務實現“一次登錄，全網通行”實現部門、用戶關系的角色管理和分級管理機制，管理員可以管理自己單位的部門、用戶等相關信息;通過與其他組件的協同，實現統一身份認證、單點登錄、用戶資源授權訪問。

3 應用分析

省發改委的業務系統有工作流控制，每步的責任要具體落實到個人，身份認證系統的建設，對委系統的安全性提供了更可靠的保障。

（1）提高本委用戶賬號的安全性

用戶在操作系統時必須插入USBKey，輸入PIN碼后，系統會將輸入的PIN碼與USBKey中的PIN碼進行比對，如果兩者不同，那么系統拒絕登陸，用戶名、密碼在傳輸時被監聽和截獲的可能性幾乎為零。即便PIN碼泄露，但如果沒有Key -樣無法登陸系統。移動端辦公的用戶，在移動設備丟失后及時向管理員報備，可以廢止其移動端的證書，并通過后臺系統對辦公APP進行資料清除。

（2）減少登陸多系統的煩瑣、簡化了工作程序

委里系統繁多，每個系統都有一套自己的賬號，將身份認證系統集成入統一認證平臺，減少了逐個登陸各平臺的煩瑣，也減少了用戶的操作步驟，大大提高了工作效率。

（3）規范了賬號的身份管理

身份認證系統應用前，部分用戶因為出差或者操作不熟練常會把賬號交給他人來操作，最終導致賬號被很多人知曉，一旦出問題將難以追責。系統應用后，嚴格遵循一人一 Key的管理模式，誰操作誰負責，有效減少了操作抵賴，有效消除了多人共用賬號的問題。

4 結束語

網絡身份認證技術的廣泛運用，其運算能力和易用性也將不斷提高。隨著江蘇省電子政務外網建設和部署的不斷完善，將會為電子政務平臺的運行提供更可靠的安全保障。

【通聯編輯：代影】