基于PKI技术的安全电子政务系统的设计
摘要
随着电子政务应用的不断深入,使得政府部门的工作方式发生了巨大的变化。电子政务给政府工作带来方便和高效率的同时,也带来许多安全问题。如何保障在信息安全的前提下提高政府部门的办事效率成为当前研究的热点问题。电子政务应用中涉及到许多的机密数据,如何保证这些数据的真实性、完整性和不可否认性是电子政务中的重要问题。而PKI技术可以很好的解决当前电子政务系统所面临的上述安全问题。
本文首先对电子政务这个概念进行了阐述,并对当前国内外电子政务系统的发展现状进行了分析,并提出了当前电子政务系统中亟待解决的问题:当前的体系缺乏身份认证体系和信息的传输中的加密问题。然后对PKI技术作了详细的论述,PKI可以利用公钥技术和基于X.509证书所提供的安全服务,可建立安全域,并在其中发布密钥和证书,可以解决身份认证和信息传输中的加密问题。并分析了当前PKI系统使用的常用模型和常用的认证体系,对各种模型和体系的优缺点进行了分析和讨论。
最后构建了一个安全的电子政务系统的模型并设计初步实现了电子政务系统中一个重要组成部分数字证书系统。在这一部分中详细设计了安全的电子政务体系应具备的各个层次,并讨论了各个层次在应用的可行性。包括核心层PKI/CA的建设,网络层的认证接入,和应用层的身份认证、加密传输、数字签名,接口层可信数据/服艮务的发布,及采用加密代理的方式来保证数据的存储的安全性。文章的最后设计并初步实现了一个数字证书系统,包括数字证书的申请、签发和撤销及查询,从而保证数据的安全传输。本文旨在构建一个安全的电子政务系统,在保证安全的基础上为提高政府的办事效率做出探索和努力。
With the deep development of E-government application, the modes of government workings change largely. But E-government brings security problem along with the high efficiency. How to improve the government's working efficiency through ensuring information security is a hot question. E-government application involves some confidential data. How to ensure the authenticity and the integrality of the data is an important problem. The technique of PKI can well solve the above problem.
In this paper, we expatiate the conception of E-government the first, then analyze the development actualities of current national and international E-government system: the lack of identity authentication and the encryption in the transmission of information. Then we dissertate minutely the technique of PKI .PKI can utilize the technique of public key and security services which the certificate based on X.509 provided, and found security zone which can release the key and certificate, accordingly solve the problem of identity authentication and the encryption. Then we analyze the universal model and authentication system, then analyze and discuss the advantage and disadvantage of current model and system.
Lastly we design a model of secure E-government and implement elementarily a digital certificate system, which is an important part in E-government system. In this part we design minutely the necessary part of secure system and analyze the feasibility of every part which includes the construction of PKI/CA, the authentication of network layer, the identity authentication and the encryption in the transmission and digital signature of application layer, the release of authentic data/services of interface layer, the way of encryption agent to ensure the security of data storage. In the last we design and implement elementarily a digital certificate system which includes the application, the signature, the cancellation and the query of the certificate. In this paper we purpose to construct a secure E-government, to improve the working efficiency of government under the precondition of security.
本文首先对电子政务这个概念进行了阐述,并对当前国内外电子政务系统的发展现状进行了分析,并提出了当前电子政务系统中亟待解决的问题:当前的体系缺乏身份认证体系和信息的传输中的加密问题。然后对PKI技术作了详细的论述,PKI可以利用公钥技术和基于X.509证书所提供的安全服务,可建立安全域,并在其中发布密钥和证书,可以解决身份认证和信息传输中的加密问题。并分析了当前PKI系统使用的常用模型和常用的认证体系,对各种模型和体系的优缺点进行了分析和讨论。
最后构建了一个安全的电子政务系统的模型并设计初步实现了电子政务系统中一个重要组成部分数字证书系统。在这一部分中详细设计了安全的电子政务体系应具备的各个层次,并讨论了各个层次在应用的可行性。包括核心层PKI/CA的建设,网络层的认证接入,和应用层的身份认证、加密传输、数字签名,接口层可信数据/服艮务的发布,及采用加密代理的方式来保证数据的存储的安全性。文章的最后设计并初步实现了一个数字证书系统,包括数字证书的申请、签发和撤销及查询,从而保证数据的安全传输。本文旨在构建一个安全的电子政务系统,在保证安全的基础上为提高政府的办事效率做出探索和努力。
With the deep development of E-government application, the modes of government workings change largely. But E-government brings security problem along with the high efficiency. How to improve the government's working efficiency through ensuring information security is a hot question. E-government application involves some confidential data. How to ensure the authenticity and the integrality of the data is an important problem. The technique of PKI can well solve the above problem.
In this paper, we expatiate the conception of E-government the first, then analyze the development actualities of current national and international E-government system: the lack of identity authentication and the encryption in the transmission of information. Then we dissertate minutely the technique of PKI .PKI can utilize the technique of public key and security services which the certificate based on X.509 provided, and found security zone which can release the key and certificate, accordingly solve the problem of identity authentication and the encryption. Then we analyze the universal model and authentication system, then analyze and discuss the advantage and disadvantage of current model and system.
Lastly we design a model of secure E-government and implement elementarily a digital certificate system, which is an important part in E-government system. In this part we design minutely the necessary part of secure system and analyze the feasibility of every part which includes the construction of PKI/CA, the authentication of network layer, the identity authentication and the encryption in the transmission and digital signature of application layer, the release of authentic data/services of interface layer, the way of encryption agent to ensure the security of data storage. In the last we design and implement elementarily a digital certificate system which includes the application, the signature, the cancellation and the query of the certificate. In this paper we purpose to construct a secure E-government, to improve the working efficiency of government under the precondition of security.
引文
[1] 周越.我国电子政务发展现状及问题分析[J].辽宁工学院学报.2006-6:22-24.
[2] 刘秋平,宋国梁.我国电子政务的现状分析[J].中国管理信息化.2006-2:68-69.
[3] 毛太田,邹凯.国內外电子政务建设现状分析[J].科技情报开发与经济.2004-14:244-245.
[4] 姚云鸿.中外电子政务建设现状及比较研究[J].科技管理研究.2005-10:139-142.
[5] 谢明.我国电子政务建设申的存在的问题及其分析[J].档案学通讯.2003-3:14-17.
[6] 朱隆海,吴坚,陈波.浅谈PKI技术[J].现代电子技术.2003-21:55-57.
[7] 冯登国.PKI技术及其发展现状[J].计算机安全.2001-11.
[8] 孟洋,徐向阳.PKI/CA交叉认证体系[J].湖南文理学院学报.2005.3:50-52.
[9] 张仕斌,何大可,代群.PKI安全认证体系的研究[J].计算机应用研究 2005-07:217-130
[10] W.E.Burr.Public Key Infrastructure(PKI) TechnicalSpecification[EB/OL]. http://csrc.nist.gov/pki/twg/baseline/pkicon20b.pdf.1998.
[11] 蒋辉柏,蔡震,容晓峰.PKI中几种信任模型的分析研究[J].计算机测量与控制.2003-11:201-204.
[12] 白贞武.基于PKI/CA的交叉认证研究[J].中国科技信息.2005-16.
[13] 史伟奇.基于PKI信任模型的研究[J].电脑开发与应用.2005-3:36-38.
[14] R Fomo W Feinb loom.PKI A Question of Trust and Value[J].Communication of ACM.2004-44.
[15] Federal Bridge Certification Authority Initiative and Demonstration Report Draft[R].USA:Electron Messaging Association.2000
[16] 卢正添,刘绣峰,李涛等.一种安全电子政务系统的设计与实现[J].信息安全与通信保密.2006-3:58-60.
[17] 钱敏.PILI技术在电子政务中的应用研究[D].贵州:贵州工业大学2004:34-50.
[18] 张峰.基于B_S的电子政务系统及其安全性研究[D].武汉:武汉理工大学.2005:24-52.
[19] 程晓雷.PKI技术在社保电子政务中的应用[J].信息安全与通信保密.2005-6:18-40.
[20] 彭宁.基于PKI的CA安全认证系统在电子政务中的应用研究[D].贵阳:贵州大学.2006:21-40.
[21] 苏刚.电子政务安全技术—数字签名与身份认证[J].沈阳干部学院.2005-6:43-45.
[22] 冀峰,基于PKI体系的电子政务应用层安全的研究[J].计算机技术与发展,2006-10:30-41.
[23] 方正.电子政务系统安全解决方案研究与实现[D].成都:四川大学.2005:25-48.
[24] 余智勇,郑有才.一个简单PKI证书系统的实现[J].计算机安全,2005-10:34-37.
[25] Carlisle Adams,Steve Lloyd.公开密钥基础设施—概念标准和实施[M].人民邮电出版社.2001:52-79.
[26] 谭粤飞,邓飞其.基于X.509的PKI体系的一个CA认证系统[J].通信论坛.2002-4:52-54.
[27] Peter Norton,Mike Stockman等编著.数字签名[M].清华大学出版社.2003:56-89.
[28] 王创,李增智.JAVA安全认证在电子政务系统中的应用研究[J].微电子学与计算机.2004-5:82-84.
[29] 丁惠春,谷建华.基于PKI的电子政务安全支撑系统设计[J].微电子与计算机.2004-10:68-73.
[30] Housley R.,and P. Hoffman,Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP, RFC 2585,1999.
[31] 陈严学.信息安全理论与实务[M].铁道出版社.2000:57-69.
[32] 程桯.PKI技术在电子政务中的应用研究[D].重庆:重庆大学.2004-4:32-50
[33] 杨尔明.数字证书技术的进展[J],计算机安全,2004-9:50-52.
[34] 成孝禹.公开密钥基础设施(PKI)及电子证书系统的设计与实现[D].北京:中国科学院.2001.5:40-52.
[35] 郑佳露.基于J2EE的电子政务应用系统整合平台的设计与实现[D].辽宁:大连理工大学,2005.3:25-36.
[36] 张志坤.基于J2EE的Web电子政务应用系统[D].云南:昆明理工大学硕..2006-3:45-50.
[37] 孔庆元,殷肖川等.数字证书实现身份认证在电子政务中的应用[J].信息技术.2001-12:50-55.
[38] Andrew Nash William Duane Celia Joseph Derek Brink著.张玉清,陈建奇,杨波等编著.共钥基础设施(PKI):实现和管理电子安全[M].北京:清华大学出版社.2002:67-76.
[39] 周斌,尹方平.基于PKI的数字认证系统的设计与实现[J].电脑知识与技术.2005-12:45-51.
[40] 牛思先.济源市电子政务工程设计与实现[D].重庆:重庆大学.2006-3:37-45
[2] 刘秋平,宋国梁.我国电子政务的现状分析[J].中国管理信息化.2006-2:68-69.
[3] 毛太田,邹凯.国內外电子政务建设现状分析[J].科技情报开发与经济.2004-14:244-245.
[4] 姚云鸿.中外电子政务建设现状及比较研究[J].科技管理研究.2005-10:139-142.
[5] 谢明.我国电子政务建设申的存在的问题及其分析[J].档案学通讯.2003-3:14-17.
[6] 朱隆海,吴坚,陈波.浅谈PKI技术[J].现代电子技术.2003-21:55-57.
[7] 冯登国.PKI技术及其发展现状[J].计算机安全.2001-11.
[8] 孟洋,徐向阳.PKI/CA交叉认证体系[J].湖南文理学院学报.2005.3:50-52.
[9] 张仕斌,何大可,代群.PKI安全认证体系的研究[J].计算机应用研究 2005-07:217-130
[10] W.E.Burr.Public Key Infrastructure(PKI) TechnicalSpecification[EB/OL]. http://csrc.nist.gov/pki/twg/baseline/pkicon20b.pdf.1998.
[11] 蒋辉柏,蔡震,容晓峰.PKI中几种信任模型的分析研究[J].计算机测量与控制.2003-11:201-204.
[12] 白贞武.基于PKI/CA的交叉认证研究[J].中国科技信息.2005-16.
[13] 史伟奇.基于PKI信任模型的研究[J].电脑开发与应用.2005-3:36-38.
[14] R Fomo W Feinb loom.PKI A Question of Trust and Value[J].Communication of ACM.2004-44.
[15] Federal Bridge Certification Authority Initiative and Demonstration Report Draft[R].USA:Electron Messaging Association.2000
[16] 卢正添,刘绣峰,李涛等.一种安全电子政务系统的设计与实现[J].信息安全与通信保密.2006-3:58-60.
[17] 钱敏.PILI技术在电子政务中的应用研究[D].贵州:贵州工业大学2004:34-50.
[18] 张峰.基于B_S的电子政务系统及其安全性研究[D].武汉:武汉理工大学.2005:24-52.
[19] 程晓雷.PKI技术在社保电子政务中的应用[J].信息安全与通信保密.2005-6:18-40.
[20] 彭宁.基于PKI的CA安全认证系统在电子政务中的应用研究[D].贵阳:贵州大学.2006:21-40.
[21] 苏刚.电子政务安全技术—数字签名与身份认证[J].沈阳干部学院.2005-6:43-45.
[22] 冀峰,基于PKI体系的电子政务应用层安全的研究[J].计算机技术与发展,2006-10:30-41.
[23] 方正.电子政务系统安全解决方案研究与实现[D].成都:四川大学.2005:25-48.
[24] 余智勇,郑有才.一个简单PKI证书系统的实现[J].计算机安全,2005-10:34-37.
[25] Carlisle Adams,Steve Lloyd.公开密钥基础设施—概念标准和实施[M].人民邮电出版社.2001:52-79.
[26] 谭粤飞,邓飞其.基于X.509的PKI体系的一个CA认证系统[J].通信论坛.2002-4:52-54.
[27] Peter Norton,Mike Stockman等编著.数字签名[M].清华大学出版社.2003:56-89.
[28] 王创,李增智.JAVA安全认证在电子政务系统中的应用研究[J].微电子学与计算机.2004-5:82-84.
[29] 丁惠春,谷建华.基于PKI的电子政务安全支撑系统设计[J].微电子与计算机.2004-10:68-73.
[30] Housley R.,and P. Hoffman,Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP, RFC 2585,1999.
[31] 陈严学.信息安全理论与实务[M].铁道出版社.2000:57-69.
[32] 程桯.PKI技术在电子政务中的应用研究[D].重庆:重庆大学.2004-4:32-50
[33] 杨尔明.数字证书技术的进展[J],计算机安全,2004-9:50-52.
[34] 成孝禹.公开密钥基础设施(PKI)及电子证书系统的设计与实现[D].北京:中国科学院.2001.5:40-52.
[35] 郑佳露.基于J2EE的电子政务应用系统整合平台的设计与实现[D].辽宁:大连理工大学,2005.3:25-36.
[36] 张志坤.基于J2EE的Web电子政务应用系统[D].云南:昆明理工大学硕..2006-3:45-50.
[37] 孔庆元,殷肖川等.数字证书实现身份认证在电子政务中的应用[J].信息技术.2001-12:50-55.
[38] Andrew Nash William Duane Celia Joseph Derek Brink著.张玉清,陈建奇,杨波等编著.共钥基础设施(PKI):实现和管理电子安全[M].北京:清华大学出版社.2002:67-76.
[39] 周斌,尹方平.基于PKI的数字认证系统的设计与实现[J].电脑知识与技术.2005-12:45-51.
[40] 牛思先.济源市电子政务工程设计与实现[D].重庆:重庆大学.2006-3:37-45