電子政務中身份認證技術的研究與實現

劉邦桂　曾思財

摘? 要：針對電子政務應用中網絡自助業務不斷增多，用戶網絡安全意識普遍不高，容易受仿冒服務端發起的網絡攻擊，導致信息泄露、財產損失等安全問題，以業務中通信數據的完整性、機密性、不可否認性為研究對象，深入研究分析了密碼學、數字簽名、PKI（Public Key Infrastructure， 公共基礎設施）、CA（Certificate Authority， 證書授權機構）以及證書的工作機制，提出了基于PKI的電子身份認證技術在自助電子政務中的運用方案。利用開源OpenSSL軟件包，選用RSA（Rivest Shamir Adleman）簽名算法、SHA（Secure Hash Algorithm， 安全散列）摘要算法，在目前最新且被市場穩定使用的Red Hat Linux 7.4系統中進行了仿真驗證。結果表明，數字證書能夠為通信雙方提供加密和身份認證服務，結合實名制、生物識別等新網絡安全技術，能有效保證自助電子政務業務的安全性，可在實際應用中推廣，為解決目前自助電子政務安全難點提供了參考。

關鍵詞：電子政務;數字簽名;身份驗證;生物識別

中圖分類號：TP393.2? ? ?文獻標識碼：A

Research and Implementation of Identity Authentication

Technology in E-government

LIU Banggui1， ZENG Sicai2

（1.School of Artificial Intelligence， the Open University of Guangdong， Guangzhou 510091， China;

2.Guangdong? Yunzheng Data Technology Co.， Ltd.， Zhongshan 528400， China）

liubanggui@qq.com; gdyztech@163.com

Abstract： With the increasing network self-service business in e-government applications， network users generally have low awareness of network security and they are vulnerable to network attacks from counterfeit servers， which leads to security issues such as information leakage and property loss. Taking the integrity， confidentiality and non repudiation of communication data in business as the research objects， this paper is based on in-depth research and analysis of cryptography， digital signatures， PKI （Public Key Infrastructure）， CA （Certificate Authority） and working mechanism of certificates. This paper then proposes an application scheme of electronic identity authentication technology based on PKI in self-service e-government， using open source OpenSSL software package， and selecting RSA （Rivest Shamir Adleman） signature algorithm and SHA （Secure Hash Algorithm） digest algorithm. The simulation verification is carried out in the latest and stable Red Hat Linux 7.4 system. Results show that digital certificate can provide encryption and identity authentication services for both parties of communication. Combined with new network security technologies such as real name system and biometrics， it can effectively ensure the security of self-service e-government business， and can be popularized in practical application， which provides a reference for solving current difficulties of self-service e-government network security.

Keywords： e-government; digital signature; identity verification; biometrics

1? ?引言（Introduction）

政府部門電子業務辦理日趨信息化、自動化，越來越多的政務業務開始逐漸往網絡遷移，網絡安全也開始與每個人息息相關。然而大部分應用的使用者缺乏網絡素養，給網絡應用帶來越來越多的風險。再者，網絡結構的開放性、復雜性，網絡應用的多樣性，網絡終端的虛擬性等特點，使網絡中的信息經常出現“我是誰”“我在哪里”的情況。互聯網技術的飛速發展也伴隨著網絡攻擊途徑、方式、手段和目的的不斷改變和層出不窮。如何做到電子政務網絡服務中的攻防平衡是網絡安全急需解決的問題。

確保安全使用電子政務網絡服務的網絡安全技術有很多，比如實名制、加密卡、U盾、動態口令、生物識別、軟硬件防火墻等，總結起來無外乎是為了實現信息的機密、完整、不可否認三大特性。密碼學技術解決了在不安全的信道中安全傳輸信息的問題，確保數據的機密性;數字簽名技術可以證明信息沒有被篡改，實現了信息的完整性;同樣利用數字證書身份識別技術實現了信息的不可否認性。然而密碼學、數字簽名技術均需要在信息的兩端互相傳輸密鑰，因此，密鑰的管理將是解決網絡攻擊的核心問題之一。為此我們基于PKI[1]在Linux 7中設計了一種OpenSSL方案，為電子政務的網絡應用提供加密和數字簽名等密碼和數字證書服務管理。

2? 密碼學與數字簽名（Cryptography and digital signature）

2.1? ?密碼學

密碼學是研究信息系統安全保密的學科。密碼編碼學主要是指對信息進行編碼，實現對信息的隱蔽。密碼分析學主要是對加密信息進行破譯。在密碼學中包含明文、密文、密鑰、加密算法、解密算法五個重要的元素，構成了密碼學體制[2]，是通信雙方能進行加密通信的協議。所以，不管是編碼學還是分析學都要用到密鑰，它是算法的關鍵。根據加密和解密過程中密鑰是否相同，可以將密碼學分為對稱密碼和非對稱密碼。對稱密碼的加解密鑰相同;非對稱密碼的加解密鑰不相同，而且相互不能推導。一般情況下，保留在加密方手上不能公開傳輸的稱為私鑰;可以在公網上傳輸的稱為公鑰，用來解密。因此，在通信雙方進行通信前，相互獲得共同預定的密鑰是整個過程的關鍵。通常在沒有中間人攻擊的情況下，需要用到雙方都認可的第三方權威機構來進行密鑰的分發，才能確保數據的機密性。

2.2? ?數字簽名

日常生活中，一般涉及合同、約定等類型的協議文件都需要簽名或者按手印來證明文件的完整性，也就是說沒有被偽造或者修改過，簡稱原件。同樣，在網絡應用中數字簽名也有同樣的功能，是手寫簽名的電子對應物。然而，數字簽名中簽名同信息是分開的，需要一種方法將簽名和消息綁定在一起，而在傳統的手寫簽名中，簽名是信息的一部分;數字簽名利用一種公開的方法使得任何人都可以對簽名進行驗證，手寫簽名是由經驗豐富的消息接收者通過以前的簽名進行對比來驗證真偽的;數字簽名可以復制，但其可采用時間戳來防止復制，手寫簽名則不可以復制。

數字簽名包含待簽名信息、哈希函數（摘要算法）、簽名算法、私鑰、驗證算法、公鑰幾個部分[3]。用簽名算法和私鑰對信息進行加密的過程稱為簽名，用公鑰和驗證算法對信息解密的過程稱為驗證，這和非對稱密碼體制使用公鑰加密和私鑰解密剛好相反。

數字簽名包含以下幾個過程：（1）運用消息摘要算法（哈希函數）對全部信息生成固定長度的哈希值，由于它將任意長度的消息變成固定長度的短消息，因此也稱為散列或者雜湊函數。哈希函數是單向的，如果攻擊者能夠輕易構造出兩個不同消息具有相同的摘要，那么這樣的哈希函數是不安全的。常用的哈希函數有：MD5（Message Digest）、SHA（Secure Hash Algorithm）等。（2）對生成的摘要運用簽名算法和私鑰進行簽名。常用的簽名算法有：DSA（Digital Signature Algorithm）、RSA[4]（Ron Rivest、Adi Shamir、Len Adleman發明）。（3）將消息和數字簽名發給接收方。（4）接收方選擇數字簽名中攜帶的哈希函數對消息進行摘要計算，同時使用數字簽名中的公鑰對信息的數字簽名進行驗證，得到發送方計算的摘要，如果兩個摘要相同，說明消息完整，沒有被修改過。

3? ?PKI與數字證書（PKI and digital certificate）

3.1? ?PKI

隨著公鑰、密鑰技術在網絡安全領域的應用，用來在非對稱密碼中加密信息和驗證數字簽名的公鑰都需要在公網中公開傳輸，非常容易被中間人攻擊（如圖1所示），從而順利被中間人竊取和篡改信息。因為這個過程中通信雙方都沒有驗證對方的身份，所以這是網絡安全最重要的一個部分，不僅要獲得對方公鑰，還需要明確公鑰的來源。

公鑰基礎設施PKI能夠完成以上任務，它是一種遵循既定標準的公共密鑰管理平臺，是利用公鑰理論和技術建立的提供安全服務的基礎設施，也是數字證書管理平臺。其關鍵技術是通過數字簽名提供不可否認業務;將公鑰和個人身份建立聯系，并對公鑰進行集中管理。

3.2? ?數字證書

數字證書[5]是互聯網中用來證明自己和識別對方身份的一種權威性電子文檔，也是網絡中的“居民身份證”。它是一種樹狀層次結構，其格式遵循國際電信聯盟制定的數字證書標準X.509[6]，目前為版本4。它包含證書授權中心CA（Certificate Authority），是可信的第三方機構，負責證書的發放、廢除以及查詢;證書注冊機構RA（Registration Authority），是用戶和CA的中間人，負責用戶注冊信息的收集、驗證，密鑰對生成和管理以及作廢的請求管理等。

數字證書的工作流程有以下幾個步驟：（1）用戶利用軟件或者其他途徑生成公私鑰對，其中公鑰交給RA注冊，私鑰由用戶自己保管;（2）用戶在程序生成向導中利用自己的注冊信息包括地理信息及聯系方式等生成證書申請，提交給RA;

（3）RA收到請求后驗證用戶的身份以及與證書請求對應的公私鑰對的正確性，在無誤的情況下將請求提交給CA;（4）CA收到證書申請后，為注冊用戶信息簽名，生成數字證書，并將證書拷貝存放在證書目錄中。

數字證書已經將公鑰和身份信息綁定，驗證了證書的有效性就是認可了對方的身份。除了公鑰，證書里面提供了相關的摘要算法、加密算法、簽名算法。客戶端驗證證書分為兩個步驟：第一，使用證書攜帶的摘要算法對證書的客戶信息進行摘要計算;第二，運用證書攜帶的公鑰對證書中的摘要進行解密，如果與第一步計算的摘要相同，說明證書有效，否則無效。具體通信過程如圖2所示。

數字證書在使用過程中可能會因為私有密鑰的泄露，使用時間、應用范圍變更而被撤銷，證書撤銷列表CRL（Certificate Revocation List）就形成了。

4? ?OpenSSL技術（OpenSSL technology）

OpenSSL是開放源代碼的軟件包，由加拿大人Eric A.? Young和Tim J. Hudson采用C語言編寫而成，目前比較完善，能支持多種平臺，包括密碼算法庫、SSL協議庫和應用程序三大部分。具體有以下重要功能：（1）提供八種對稱加密算法，其中有AES、DES、IDEA、RC2、RC5、CAST、Blowfish等七種分組加密算法，一種流加密算法RC4。（2）提供DH算法、RSA算法、DSA算法和橢圓曲線算法（EC）四種非對稱加密算法。（3）實現了MD2、MD4、MD5、MDC2、SHA等五種信息摘要算法。（4）包含密鑰和證書管理機制。（5）具備OpenSSL透明地使用第三方提供的軟件硬件加密設備進行加密的Engine機制。（6）封裝有內存訪問、文件訪問及Socket等I/O接口機制。

5 方案設計與實現（Scheme design and implementation）

目前電子政務網站、電子郵件安全的威脅主要有兩個方面，一方面是非法的訪問端，主要是攻擊網站服務器，以盜取信息或文件;另一方面是非法的服務器端，主要以盜取客戶賬號和密碼來牟取不合法利益為目的，比如釣魚網站、仿冒網站（仿冒對象以各大銀行、12306、網上商城等尤為突出）。解決以上問題，有經驗的客戶可以通過記住官網網址來實現，但對于絕大部分網絡素養不高的客戶來說，數字證書就是最有效的方式之一了。

以服務器端為例，當客戶端訪問網站時，客戶端鑒定該網站是否合法，即Web服務器需要向可信CA申請服務器證書并安裝綁定到Web站點。客戶端與該可信CA建立信任關系后，客戶端與服務器之間便建立起信任的證書鏈關系，客戶端將認為該Web站點是可信任的。由于CA證書服務器是根據Web服務器的證書請求文件來頒發證書的，因此要首先在Web服務器上產生自己的公私鑰文件，并且根據公私鑰文件來生成證書的請求文件。方案拓撲如圖3所示。

該方案需要一個客戶端和服務器端都認可的第三方可信任機構即CA來負責密鑰和證書的管理。為了達到在客戶端和服務端都能互相信任，需要在客戶端、服務器端安裝可信任機構的根證書，所以接下來的應用部署過程中，需要制作三個證書，分別是根證書、客戶端證書、服務端證書并應用到網站中。

5.1? ?信任機構的部署

證書服務安裝在Red Hat Linux 7.4中，一般情況下系統默認已經安裝。由于安裝過程中有比較多的軟件包且它們之間有依賴關系，我們在配置好安裝源后采用yum安裝OpenSSL相關軟件包：

[root@cadnswgs yum.repos.d]# yum install -y openssl

5.2? ?根證書的申請

配置證書的系統文件內容：

[root@cadnswgs tls]vi /etc/pki/tls/openssl.cnf

文件中有CA_default節點、policy_match節點、req_distinguished_name節點，一般將policy_match節點中的countryName、stateOrProvinceName、organizationName由match改為optional，以備與根證書在不同地區的用戶申請和使用證書。在/etc/pki/CA目錄下面包含certs、crl、newcerts、private四個文件，分別用來指定已經生成的證書的默認目錄、證書撤銷列表的默認目錄、新簽發證書的默認目錄、存放CA證書服務器自身的私鑰和證書文件的目錄。另外還需要自己創建用來保存已經簽發證書的文本數據庫文件和簽發證書時使用的序列號文件。

生成CA自身的私鑰文件：

[root@cadnswgs CA]# openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048

利用私鑰生成CA證書，此證書可以導出到客戶機使用：

[root@cadnswgs CA]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

5.3? ?網絡應用服務證書的申請

電子政務網絡應用可以是Web或者電子郵件等應用，這里以Web服務為例。在此之前需要在服務器中安裝httpd服務，在/etc/httpd目錄中新建一個certs目錄用來存放服務器的私鑰文件、證書申請文件和獲得的證書文件。

Web服務端運用openssl命令利用私鑰生成請求文件并發給CA申請證書：

[root@webwgs certs]# openssl req -new -key httpd.key -out httpd.csr

在CA中利用證書請求文件給Web服務頒發證書：

[root@cadnswgs CA]# openssl ca -in certs/httpd.csr -out certs/httpd.crt

5.4? ?利用證書構建安全的Web站點

Web服務器有了自己的私鑰和證書，接下來利用證書搭建一個安全Web站點訪問。需要將客戶端訪問Web站點的方式由HTTP升級為HTTPS，啟動SSL證書，把服務器證書和安全的Web站點關聯起來。為此，需要用到mod_ssl軟件模塊：

[root@webwgs Packages]# yum install -y mod_ssl

使用yum方式安裝mod ssl，在/etc/httpd/conf.d目錄下自動生成一個SSL配置文件ssl.conf，修改證書和私鑰文件的路徑：

[root@webwgs conf.d]# vi ssl.conf

SSLCertificateFile? ?/etc/httpd/certs/httpd.crt //設置使用的證書

SSLCertificateKeyFile /etc/httpd/certs/httpd.key //設置證書的私鑰

5.5? ?客戶端驗證

基于SSL協議的安全站點已經架設完成，客戶機需要通過瀏覽器進行訪問驗證。由于客戶機訪問時Web服務器的證書是自己搭建的證書服務器，不是受信任機構頒發的安全證書，要正常訪問，需要在客戶機上將CA和Web服務的證書都下載過來并安裝添加到受信任機構中，如圖4和圖5所示。

6? ?結論（Conclusion）

PKI技術是信息安全技術的核心，也是目前電子政務[7]、電子商務以及企業網絡安全的關鍵技術。基于純文本協議的HTTP協議存在明文傳輸容易被竊聽、沒有驗證容易被中間人攻擊進而篡改數據等安全威脅，破壞了網絡安全的機密性、完整性等。數字證書經過CA確認、簽名并頒發，對于全球性的網站服務，增強了網站服務的信譽度。利用SSL協議來提供公鑰和身份綁定的數字證書驗證機制，實現了具有加密通信、身份驗證以及完整性保護功能的HTTPS，使得傳統的Web服務得到了安全保障。隨著軟件自定義網絡、活動目錄、VPN等技術的交錯深入發展，在鑒別身份之后提供對應權限的PMI技術開始緊密地與PKI結合使用起來[8]，為電子政務以及網絡環境中的各種應用提供了統一的授權管理和訪問控制機制，這將是未來網絡安全發展的趨勢之一。

參考文獻（References）

[1] 劉那仁格日樂，王郝日欽.基于PKI技術的用戶身份數據轉發認證算法仿真[J].計算機仿真，2020，37（9）：373-375.

[2] 牛淑芬，楊喜艷，李振彬，等.基于異構密碼系統的混合簽密方案[J].計算機工程與應用，2019，55（3）：61-67.

[3] 彭春燕，杜秀娟，李梅菊，等.基于格的數字多簽名體制[J].微電子學與計算機，2016，33（8）：50-53.

[4] KURYAZOV D M. Development of electronic digital signature algorithms with compound modules and their cryptanalysis[J]. Journal of Discrete Mathematical Sciences and Cryptography， 2021， 24（4）：1085-1099.

[5] 韓水玲，馬敏，王濤，等.數字證書應用系統的設計與實現[J].信息網絡安全，2012（9）：43-45.

[6] 王開軒，滕亞均，王瓊霄，等.隱式證書的國密算法應用研究[J].信息網絡安全，2021（5）：74-81.

[7] 張一梅.電子政務網絡安全威脅及應對措施研究[J].網絡安全技術與應用，2021（8）：112-113.

[8] 任興元，王佳慧，馬利民，等.基于PKI與PMI的海洋政務服務系統安全解決方案的設計與實現[J].計算機應用與軟件，2020，37（12）：68-75.

作者簡介：

劉邦桂（1983-），男，碩士，講師.研究領域：服務器技術，網絡安全技術.

曾思財（1993-），男，本科，工程師.研究領域：電子政務，智能信息處理研究.