第三代身份认证体系在电子政务中应用.docVIP

第三代身份认证体系在电子政务中应用 　　【摘 要】2001年3月，全国人大通过《国民经济和社会发展十五计划纲要》，明确提出了“以信息化带动工业化”、“以电子政务带动信息化”的基本策略。2001年，中办下发了《国家信息化领导小组关于我国电子政务建设指导意见》（中办发[2001]17号），全国掀起了电子政务和电子政务建设的浪潮。随着电子政务和电子政务的发展，大规模、分布式的应用系统越来越多，对于用户跨部门、跨地域和跨应用系统的需求越来越旺盛，仅靠单一的密码技术和分散的用户管理已经不能适应形式的发展。安全机制成为制约电子政务和电子政务发展的最大障碍。 　　【关键词】电子政务；电子政务安全；身份认证体系 　　本文的研制目标是研制以注册、鉴权为核心的第三代身份认证体系，实现全程全网的强双因子身份认证，从而为构建全国电子政务网络信任体系奠定基础。第三代身份认证体系是电子政务建设的基础设施，推进第三代身份认证体系研制，具有以下意义。 　　是对传统PKI理论体系的重要发展 　　第三代身份认证体系，在继承传统PKI技术的基础上，充分考虑了身份认证服务的快速部署问题，如何适应下一代网络发展问题，认证服务如何快速部署问题，以及对应用整合问题等。这些问题在传统PKI理论体系中没有涉及，同时这些问题也是目前安全领域研究的热点问题。第三代身份认证体系很好地解决了这些问题，因此是对传统PKI理论体系的重要发展。 　　是建设电子政务建设的基础设施 　　电子政务建设首先要解决信任服务问题，只有在信任服务的基础上才能实现全国各省、部电子政务网可信的互联互通，用户通过信任服务成为可信的用户，应用系统通过信任服务成为可信的应用，因此，第三代身份认证体系就是电子政务建设的基础设施，为全面推进电子政务建设积累经验、奠定基础，意义重大，影响深远。 　　有利于切实保障政务信息系统的健康运行 　　政务信息系统健康运行的保障是信息安全技术，而以密码技术为基础的身份认证是信息安全技术的核心，它能够有效地解决应用信息的机密性、真实性、完整性和不可否认性等安全问题。因此，在电子政务网构建先进的身份认证体系，有利于切实保障政务信息系统的健康运行。 　　有利于加强信任服务的快速部署和对应用的整合 　　由于我国信息化建设经历了20多年，已经在使用很多应用系统，本着继承与发展的原则，第三代身份认证体系充分考虑了身份认证与应用系统的结合问题。对原有应系统作小的改动，即可实现基于数字证书的全程全网的身份认证、访问控制、单点登录等。 　　有利于加快政务信息化建设步伐，全面推进电子政务的发展 　　信息技术是当今世界先进生产力的主要标志。第三代身份认证体系就是利用最先进的信息技术，构建电子政务网络信任体系，以便为各级党委间实现安全可信的互连互通和信息共享打下坚实的基础。在此基础上，促进电子政务业务应用，全面推进电子政务的发展。 　　传统PKI理论体系是利用公钥理论和技术建立的提供安全服务的基础设施，是信息安全技术的核心，它能够有效地解决应用信息的机密性、真实性、完整性和不可否认性等安全问题。但是，实践证明目前的PKI技术无法适应下一代网络的发展需要，并缺少如何快速与应用整合的内容。对称密码技术又叫单密钥技术，就是我们通常说密码技术。对称密码技术的特点是加密密钥和解密密钥是一样的，或实质上是等同的，这种情况下，密钥就经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的des算法。 　　针对对称密钥存在的问题，以解决信息的机密性、完整性、可认证性、不可抵赖性为主要目的非对称密钥技术出现了。非对称密钥技术的最大特点是公共密钥和私有密钥之间不能相互推导出对方。目前非对称密钥技术发展的比较成熟，并且在身份认证领域得到成功应用，最著名的是PKI（Public Key Infrastructure）公钥基础设施，本文将它归纳为第二代身份认证体系。尽管PKI技术在中国发展迅速，但是，总体来讲，PKI技术的应用效果并不理想，主要表现在，我国各个省市基本都有自己的CA认证中心，但是，带来的社会效益有限；各行业都有自己的CA认证中心，但是带来的经济效益有限；各个省市、各个行业认证系统独立，无法实现可信的互连互通。因此，第二代身份认证服务体系存在并需要进一步解决以下问题： 　　（1）第二代身份认证服务体系只能对局部应用提供信任服务，不能提供支持全程全网的信任服务（“全程全网”是电信术语，可以理解为随时随地），即象电信网一样，实现一次注册，全网通行； 　　（2）与应用深度耦合，不利于快速部署，即：PKI技术如何与在对现有应用改造很少的情