2021-4-9 | 電子政務(wù)論文
公鑰基礎(chǔ)設(shè)施技術(shù)
PKI是利用公鑰理論和技術(shù)(密碼技術(shù)、數(shù)字信封、數(shù)字簽名技術(shù)等)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施,是國際標(biāo)準(zhǔn)的安全管理平臺(tái),即信息安全基礎(chǔ)中的核心[2-5].PKI的理論基礎(chǔ)是研究信息安全保密的密碼學(xué),它分為密碼編碼學(xué)和密碼分析學(xué),PKI是解決加密和信任問題的基本解決方案[5].一個(gè)典型的PKI組成系統(tǒng)(如圖1),主要包括以下部分[2,6]:a.?dāng)?shù)字證書認(rèn)證中心(CA):數(shù)字證書認(rèn)證中心CA是PKI的核心,CA主要負(fù)責(zé)對本系統(tǒng)內(nèi)證書生命周期的管理:如證書的申請、更新、撤銷、發(fā)布、備份、恢復(fù)和歸檔等[2,4].b.密鑰管理中心(KMC):密鑰管理中心(KeyManagementCenter,以下簡稱:KMC)向CA服務(wù)提供相關(guān)密鑰服務(wù),它是整個(gè)信任體系的核心安全部分,主要負(fù)責(zé)密鑰的管理(如密鑰的生成、密鑰的分發(fā)、密鑰的存儲(chǔ)、密鑰的備份和更新以及密鑰的撤銷和恢復(fù)等[4-5,7-8])和安全.c.注冊中心(RA):注冊中心(RegistrationAuthority,以下簡稱:RA)是CA認(rèn)證中心的延伸,主要負(fù)責(zé)對證書申請用戶信息的錄入、審核及制證、發(fā)證等;RA是數(shù)字證書的審核、申請和注冊中心,RA注冊中心由CA認(rèn)證中心授權(quán)管理[9-10].d.證書庫與證書發(fā)布系統(tǒng):CA簽發(fā)證書的存儲(chǔ)和證書吊銷列表,便于用戶方便地取得證書和證書吊銷列表信息;還提供輕量目錄訪問協(xié)議(LDAP)服務(wù)和注冊服務(wù)[2,6,8].e.PKI應(yīng)用:主要是在web服務(wù)器之間的通訊、電子數(shù)據(jù)交換(EDI)、電子郵件、信用卡交易和虛擬私人網(wǎng)絡(luò)(VPN)等客戶端應(yīng)用軟件[2].?dāng)?shù)字證書認(rèn)證中心CA、密鑰管理中心KMC、注冊中心RA、證書庫是PKI的關(guān)鍵組件;PKI通過密碼加密技術(shù)、數(shù)字證書、數(shù)字簽名等技術(shù)保證網(wǎng)絡(luò)上數(shù)據(jù)的保密性、有效性、完整性、不可否認(rèn)性以及身份的合法性,它為電子政務(wù)的發(fā)展提供了一套安全的基礎(chǔ)平臺(tái)、技術(shù)規(guī)范和一個(gè)安全的電子政務(wù)環(huán)境[2,4,9-10].
基于PKI的高校電子政務(wù)的安全構(gòu)建
目前高校電子政務(wù)信息安全的解決方案主要集中在物理安全、系統(tǒng)安全和網(wǎng)絡(luò)安全層面(如防火墻、入侵檢測、防病毒等),還沒有應(yīng)用層面的信息安全平臺(tái)和全網(wǎng)統(tǒng)一的安全方案;PKI技術(shù)對解決高校電子政務(wù)中存在的應(yīng)用層面安全問題是一個(gè)比較好的選擇(如身份驗(yàn)證、數(shù)據(jù)加密和數(shù)據(jù)完整性等).圖2所示的高校電子政務(wù)PKI的構(gòu)架模型是對文獻(xiàn)[8]模型的修改,其中包括有端實(shí)體(即個(gè)人用戶和應(yīng)用系統(tǒng))、目錄服務(wù)、CA認(rèn)證管理、RA管理器、用戶管理器等,每個(gè)校園網(wǎng)PKI系統(tǒng)有一個(gè)根CA,分校區(qū)設(shè)立一個(gè)下級CA,分校校區(qū)都有一個(gè)RA與之相連,證書庫位于不同的目錄服務(wù),當(dāng)用戶需要查詢證書時(shí),先向CA提出申請,然后由子CA從證書庫中提取證書信息,CA之間是交叉認(rèn)證.對于高校電子政務(wù)安全體系而言,一個(gè)高效率的CA中心、一個(gè)安全的角色訪問控制和一個(gè)穩(wěn)定的證書庫對教育電子政務(wù)應(yīng)用平臺(tái)是必要的,筆者的研究是建立在高校PKI系統(tǒng)框架模型基礎(chǔ)上(圖2),從CA認(rèn)證、證書庫、訪問控制等方面進(jìn)行高校電子政務(wù)PKI安全體系的分析和構(gòu)建.
橋CA認(rèn)證結(jié)構(gòu)CA服務(wù)器是整個(gè)高校PKI電子政務(wù)證書機(jī)構(gòu)的核心[2,11],根據(jù)CA間的關(guān)系,PKI的體系結(jié)構(gòu)有三種情況:單個(gè)CA,分級(層次)結(jié)構(gòu)的CA(從屬關(guān)系)和網(wǎng)狀結(jié)構(gòu)的CA(對等關(guān)系).三種情況各有優(yōu)點(diǎn)且用在不同的條件下,但單個(gè)CA的結(jié)構(gòu)不易擴(kuò)展到支持大量的不同的群體的用戶;分級結(jié)構(gòu)的CA的缺點(diǎn)是它依賴于根CA,若根CA安全性削弱,將導(dǎo)致整個(gè)PKI系統(tǒng)安全性削弱;分級結(jié)構(gòu)的CA是所有的信任都集中在根CA,而一旦該可信任點(diǎn)出現(xiàn)故障,后果是災(zāi)難性的.高校PKI電子政務(wù)一般采用的是分級CA,由于各種原因,現(xiàn)在很多高校都有兩個(gè)甚至多個(gè)校區(qū),校區(qū)之間的物理距離也很遠(yuǎn),再加上各院系和部門之間功能相對獨(dú)立,有必要使用多個(gè)CA(如圖2),而且所有CA的公鑰驗(yàn)證用戶的證書都必須是可信的.對于高校電子政務(wù)來說,由于高校各部門、院系之間不是從屬關(guān)系,因此不能簡單使用分級的CA結(jié)構(gòu);但在一個(gè)院系或部門內(nèi)部,從屬關(guān)系還是存在的,因此也不能簡單地使用網(wǎng)狀結(jié)構(gòu)的CA.結(jié)合高校特點(diǎn),在高校電子政務(wù)體系中構(gòu)建橋CA認(rèn)證體系(如圖3):在各部門內(nèi)部使用分級的CA認(rèn)證,各部門之間通過學(xué)校的中心CA進(jìn)行橋接CA認(rèn)證,并且可以根據(jù)學(xué)校規(guī)模的大小設(shè)立相應(yīng)的CA認(rèn)證中心的數(shù)量,進(jìn)行交叉認(rèn)證,從而建立高校PKI的信任模型。橋CA分別與CA1、CA2、CA3建立對等信任關(guān)系,那么CA1、CA2、CA3就是各自PKI體系中的主CA.用戶U1和U6可以通過他們各自的可信任點(diǎn)CA2和CA3,經(jīng)橋CA的連接建立起信任關(guān)系,進(jìn)行安全通信.
LDAP的高校PKI證書庫LDAP是輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol),目錄是一個(gè)以“樹型”為數(shù)據(jù)組織結(jié)構(gòu)的特殊數(shù)據(jù)庫,存放信息的載體,比關(guān)系型數(shù)據(jù)庫具有更高的查詢速度[12].證書庫用于發(fā)布通過認(rèn)證中心CA認(rèn)可的數(shù)字證書,是高校PKI電子政務(wù)系統(tǒng)的數(shù)據(jù)存儲(chǔ)中心和發(fā)布中心;證書庫發(fā)布的數(shù)字證書包含了證書持有者的個(gè)人詳細(xì)信息、CA的數(shù)字簽名和公鑰等,為了保證證書內(nèi)容的可靠性,一般通過證書上CA的簽名驗(yàn)證,就可以確認(rèn)每個(gè)持有者的公鑰的真實(shí)性和身份的合法性[12-14].由于高校電子政務(wù)系統(tǒng)中用戶對證書的查詢請求非常頻繁,構(gòu)建LDAP的證書庫(如圖4虛線所示)尤為重要[2],可以大大優(yōu)化證書的匹配、查詢、維護(hù)等功能,避免在使用中不同數(shù)據(jù)庫之間復(fù)雜的協(xié)議轉(zhuǎn)換,保證對合法使用者的身份有效認(rèn)證、提高查詢響應(yīng)頻率.虛線部分有主庫(主LDAP目錄)和從庫(從LDAP目錄)組成,證書庫的內(nèi)容包括:證書和CRL、證書庫版本號、證書目錄樹下的修改操作日志.管理實(shí)體負(fù)責(zé)主庫中的各種數(shù)據(jù)維護(hù)(如x.509證書和CRL),RA負(fù)責(zé)向CA提交請求和用戶證書申請,CA負(fù)責(zé)證書的簽發(fā)以及維護(hù)主LDAP目錄(主證書庫)中的證書狀態(tài);目錄復(fù)制功能(Replica)是將CA對主庫的修改操作通過主LDP目錄(主庫)實(shí)時(shí)地反映到從LDP目錄(從庫)中,LDAPS的功能是維護(hù)、定期檢測從庫的數(shù)據(jù)、日志或證書庫的版本號是否和主庫的一致,若主庫和從庫有一方發(fā)生故障,Replica能保持證書庫的正常服務(wù)和數(shù)據(jù)的穩(wěn)定性.