PKI体系在电子政务中的应用.docVIP

PKI体系在电子政务中的应用 　　摘 要：基于PKI的电子政务系统，近几年得到了迅速的发展，其安全信息技术和PKI建模技术也在不断的完善，我国的电子政务也在得到不断的发展。本文从公开密钥基础设施PKI、基于PKI的公钥技术、PKI体系的应用三个方面，进行了系统的分析和论证，并对其应用技术进行了深入的探讨。为建立科学合理的电子政务PKI体系提供了重要的依据和方法。 　　关键词：公开密钥基础设施PKI，公钥技术，电子政务 　　0 引言 　　在最近几年中，关于政府服务和活动的重要信息已经逐渐地可以从因特网上获得。随着电子政务的迅速发展，将使政府机构的运作方式有所变化。正在寻求电子政务如何去促进公众以及商业活动与政府之间的交互，并通过对IT资源的应用来提高政府的办事效率和效力。然而，电子政务被期望能够包括更多的服务，而不仅是信息的电子发布，它还应包括政府部门所提供服务的在线应用，如文件的归档和应用、税务的征收以及商品的采购等。 　　但是要改善由电子政务提供的服务，同时也必须面临某些威胁、风险和不利条件，许多这样的服务涉及将敏感的个人信息通过网络进行电子交换。敏感的信息和事务处理可能会需要更大的安全保证，信息安全已成为电子政务中的焦点问题之一。 　　由此可见，电子政务系统迫切需要建立能够解决信息资源安全的可行性方案，为政务活动建立安全平台。目前，唯一能够全面解决信息资源安全问题的可行性方案是公开密钥基础设施PKI技术。 　　1 公开密钥基础设施PKI 　　（1）PKI基本原理 　　PKI即公开密钥体系，是一种遵循既定标准的密钥管理平台。它能够为所有网络应用提供加密和数字、签名等密码服务及所必需的密钥和证书管理体系。 　　原有的单密钥加密技术采用对称型加密算法，采用此算法的加密方法如果用于网络传输中的数据加密，不可避免地出现安全漏洞。而PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。PKI体制克服了网络信息系统密匙管理的困难，同时解决了数字签名问题，并可用于身份认证，可以较好地解决电子政务信息的安全传输问题。 　　（2）PKI的基本构成 　　PKI由认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废处理系统、应用接口系统等五大成分组成。 　　认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征。 　　数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。 　　密钥备份及恢复系统：如果用户丢失了用于脱密数据的密钥，则密文数据将无法被脱密，造成数据丢失。为避免这种情况的出现，PKI提供备份与恢复脱密密钥的机制。密钥的备份与恢复应该由可信的机构来完成，CA可以充当这一角色。 　　证书作废处理系统：是PKI的一个重要组件。同日常生活中的各种证件一样，证书在CA为其签署的有效期内也可能需要作废，终止证书的生命期。为实现这一点，PKI提供作废证书的一系列机制。 　　应用接口系统：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。 　　电子政务安全中涉及到的数字证书认证中心CA、审核注册中心RA、密钥管理中心KM都是组成PKI的关键组件，PKI通过管理密钥和证书，为用户建立了一个安全的网络运行环境。 　　2 基于PKI的公钥技术 　　利用公钥技术对政务信息在存储环节和网间传输环节进行加密，使之以密文存储和传输，可以有效抵卸对信息的恶意攻击。基于PKI的公钥技术主要用公钥加密和数字签名对信息进行加密。 　　（1）公钥加密 　　公钥加密使用两个密钥：一个公钥和一个私钥，这两个密钥在数学上是相关的。为了与对称密钥加密相对照，公钥加密有时也叫做不对称密钥加密。在公钥加密中，公钥可在通信双方之间公开传递，或在公用储备库中发布，但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据。使用私钥加密的数据只能用公钥解密。将公钥加密与其它加密形式（如对称密钥加密）结合使用，可以优化性能。PKI还提供了密钥备份系统及恢复系统，防止用户私钥丢失而丢失数据，而当用户身份变更或怀疑私钥泄密， PKI则及时公布证书废除消息，构建了完整的密钥管理体系。 　　（2）数字签名 　　数字签名是公共密钥技术的另一个用途，是指使用密码算法对待发的数据（报文、票证等）进行加密处理，生成一段信息，附着在原文上一起发送，这段信息类似现实中的签名或印章，接收方对其进行验证，判断原文真伪。数字签名可以分为发送方的签名和接收方的签名。前者用来验证接收者