pki體系認證模式的usbkey在電子政務中的應用

1、責任編輯：姚翌通信論壇PKI體系認證模式的USBKey在電子政務中的應用蔣世強(河北省保密局石家莊050052)【摘要】建立穩(wěn)定可靠的信任和授權機制是電子政務建設中亟待解決的課題。USBKey是一種新型身份認證產(chǎn)品。分析了PIG技術的特點，提出了利用基于PIG體系認證模式的USBKey解決信息傳輸中身份認證問題的方法?！娟P鍵詞】電子政務PIGUSBKey1引言電子政務是社會信息化的基礎，其中最為重要的內容是如何運用信息和通訊技術來打破傳

2、統(tǒng)的行政體制和組織界限，政府機關之間以及政府機關和社會之間通過電子政務的信息化渠道進行溝通。并可以根據(jù)人們的需求，以不同的形式、不同的時間、地點選擇不同的服務內容，從而推動政府機關之間、政府和社會之間以電子化的信息交換方式進行通訊和信息交換處理。當前，越來越多政務信息以數(shù)據(jù)的形式在計算機及網(wǎng)絡系統(tǒng)中存儲、傳輸和使用，這就對電子政務過程中的信息安全保密提出了更高的要求。除了需要網(wǎng)絡安全可靠外，還要建立以身份認證為核心的信任與授權服務系統(tǒng)，

3、來保障應用層的安全?；赑KI技術的身份認證方案，是目前較為實用的方案。本文簡要講述了基于PIG體系認證模式的USBKey在電子政務中的應用。2當前計算機及網(wǎng)絡中身份認證的方式身份認證是計算機信息系統(tǒng)確認操作者身份的過程，主要是防止非授權用戶使用或訪問系統(tǒng)資源。當前，計算機及網(wǎng)絡中通常有四種方式驗證主體身份：用戶名／密碼方式、智能卡方式、生理特征方式及基于PKI體系的USBKey認證。表1是幾種身份認證方式的比較：3PKI技術的主要特點

4、PIG(PublicKeyInfrastructure，公鑰基礎設施)是通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。系統(tǒng)通過使用由CA(Certification定稿日期：2005—10—23表1身份認證方式的E較認證方式技術特點應用水平適用范圍用戶名／傳統(tǒng)的鑒別方式，容易被破解，保護密級不密碼方式便于實現(xiàn)安全性較差高的系統(tǒng)智能卡結合了擁有物品和技術成熟可靠，保護密級不方式知曉內容兩種機制在一

5、定范圍內高的系統(tǒng)有應用生理特征運用用戶具有的獨方式一無二的特征或能技術難度大，成保護密級較力，如指紋、聲音、本高，較難實高的系統(tǒng)現(xiàn)應用較少視網(wǎng)膜等進行鑒別可用于保護USBK吖運用PIG機制，容技術成熟可靠，敏感信息，成本低廉。便于但目前在涉方式易實現(xiàn)一次一密密系統(tǒng)的應擴展和部署用尚無國家標準Authority，認證機構)頒發(fā)的數(shù)字證書，結合對應的私鑰，完成對實體的單向或雙向身份認證，大大提高了身份認證的安全水平。運用一組有數(shù)學聯(lián)系的密鑰

6、對敏感信息進行加密和解密，通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)不會被第三者篡改，可保證數(shù)據(jù)的完整性；通過數(shù)字證書的雙向驗證建立的安全數(shù)據(jù)通道，保證了事務處理細節(jié)的保密性；利用PIG技術實現(xiàn)數(shù)字簽名，確保了傳輸結果的抗抵賴性。以上特點滿足了電子政務中對信息保密、完整、可控、可用和抗抵賴的要求，因此具有廣闊的應用前景。4基于PKI體系認證模式的USBKey基于PIG體系認證模式的UXBKey是最近幾年發(fā)展起來的一種方便、安全、經(jīng)濟的個人身份數(shù)字驗證工具。它采

7、用軟硬件相結合的一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，其內置維普資訊通信論壇責任編輯：姚翌的單片機或智能存儲芯片可以存儲用戶的密鑰或數(shù)字證書，可用于Intemet上任何需要驗證登陸者身份的地方。USBKey中具有內置的文件系統(tǒng)以及單向散列算法MD5。41實現(xiàn)認證的原理每個KEY中具有唯一的序列號SN，使用前，將KEY在認證服務器端注冊，注冊時由認證服務器產(chǎn)生一個與該序列

8、號對應的關鍵數(shù)字KN，形成服務器端的用戶數(shù)據(jù)庫(記錄SN與KN的對應關系)，同時將關鍵數(shù)字寫到KEY中。這樣客戶端的KEY就有了一個與該用戶對應的唯一一個關鍵數(shù)字，該關鍵數(shù)字在KEY中文件管理的支持下只能寫入不能讀出。用戶端(包括B／S結構中的瀏覽器Browser和C／S結構中的客房端Client)向認證服務器(Server)發(fā)出登錄請求，將序列號SN傳送到服務器端，當認證服務器收到客戶端的登錄請求后，便向客戶端發(fā)出一個隨機數(shù)RN(Ra

9、ndomnumber)，同時根據(jù)客戶端傳送的序列號從用戶數(shù)據(jù)庫中找到對應的關鍵數(shù)字，結合該隨機數(shù)R_N和關鍵數(shù)字進行MD5運算，得到結果A；客戶端收到隨機數(shù)RN后，將其提供給KEY，KEY結合其中的關鍵數(shù)字進行MD5運算，得到認證數(shù)據(jù)B；客戶端將B送到服務器端進行比較，如果A=B則驗證通過。另外，在進行驗證需要使用到KEY時，還需要提交“PIN碼”，利用PIN碼進行驗證。認證過程中，在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)只有隨機數(shù)RN和認證數(shù)據(jù)B。用戶密鑰

10、既不在網(wǎng)絡上傳輸也不在客戶端電腦閃存中出現(xiàn)，網(wǎng)絡上的黑客和客戶端電腦中的木馬程序都無法得到用戶的密鑰。由于MD5算法是一種不可逆的算法，不被信任的第三者即使截取到該信息也無法破譯出原文，隨機數(shù)對第三者而言是毫無意義的。由于KEY中的操作系統(tǒng)定義了KEY中關鍵數(shù)字無法讀出，所以一旦KEY中寫入了關鍵數(shù)字，他將沒有任何必要和機會從KEY中讀出，因為所有與該數(shù)字相關的運算均在KEY內完成。42技術優(yōu)點(1)節(jié)省費用，簡便易行。該技術為所有的應

11、用程序和設備提供了可靠的、一致的解決方案。這種一致性的解決方案在一個系統(tǒng)內更易于安裝、管理、維護和擴展，降低了管理成本，這是該技術的一個重要優(yōu)勢。(2)對終端用戶的透明性：USBKey提供的是一個“黑盒子”級的服務：所有的安全操作對用戶透明，用戶無需具備專業(yè)知識，無需額外的干預，無需注意密鑰和算法，不會因為用戶的錯誤操作對安全造成危害。(3)全面的安全性：在整個應用環(huán)境中，使用單一可信的安全技術——公鑰技術，保證了數(shù)目不受限制的應用程序

12、、設備和服務器無縫地協(xié)調工作，安全地傳輸、存儲和檢索數(shù)據(jù)，安全地進行事務處理，安全地訪問服務器等。電子郵件應用、Web訪問、防火墻、遠程訪問設備、應用服務器、文件服務器、數(shù)據(jù)庫或更多的其562005年第22期他設備，能夠用一種統(tǒng)一的方式理解和使用安全服務基礎設施。在這種環(huán)境中，不僅極大地簡化了終端用戶使用各種設備和應用程序的方式，而且簡化了設備和應用系統(tǒng)的管理工作，保證執(zhí)行相同等級的安全策略。43功能的延伸USBKey作為一種安全數(shù)據(jù)的

13、存儲介質，不但可以存儲數(shù)字證書和用戶密鑰，還可以存儲各種需要保護的與個人身份相關的數(shù)據(jù)。可以根據(jù)電子政務系統(tǒng)的不同業(yè)務需要開發(fā)出不同的應用。例如文件加密和電子印章應用。文件加密是指使用USBKey內置的加密算法和用戶密鑰對硬盤和移動存儲設備上存儲的重要文件進行加密，這些文件經(jīng)加密后在沒有USBKey的情況下無法打開。而電子印章則是通過將印章圖像與數(shù)字證書綁定后存儲在USBKey中可。印章的合法持有人一旦加蓋了電子印章，電子印章將在文件上

14、顯示并可打印。加蓋過電子印章的文件被非法修改后，電子印章就會失效，無法顯示和打印，保證了文件的完整性和準確性。5結束語基于PKI可以構建安全可靠的安全電子政務應用和系統(tǒng)。但不論是PKI還是電子政務，都面臨著很多的問題。如：缺乏行業(yè)管理部門，沒有形成集管理、法規(guī)、標準、技術、應用于一體的PKI體系，應用水平較低；基于PKI的軟硬件體系的建設，需要各軟硬件廠商的協(xié)作和制定相關的行業(yè)標準；對證書認證機構的責任、義務、業(yè)務流程及相關資質沒有明確

15、規(guī)定等等。對于PKI技術在我國電子政務中的應用，應當結合實際情況，認真研究。在政務內網(wǎng)進行PKI試點工作的過程中，不能照搬國外模式，應結合我國的管理方式，要有我國自主知識產(chǎn)權，達到可信、可控的目標，并積累經(jīng)驗、注重標準化，增強互操作性，同時加強測評，以符合安全保密要求。華碩WL550gE領航無線網(wǎng)絡新時空記者近日獲悉，華碩電腦網(wǎng)絡通信部門最新發(fā)布了一款型號為WL一550gE無線路由器。該產(chǎn)品集成最新寬帶路由技術，將8021lg標準數(shù)據(jù)傳

16、輸率增加了35％，把無線網(wǎng)絡信號覆蓋范圍提升到上述標準的300％，并且能夠確保為更大的覆蓋范圍提供輸出功率。業(yè)內專家稱，該產(chǎn)品的上市滿足了用戶對高速無線網(wǎng)絡主流選擇和追求，加速了行業(yè)技術升級。國內知名網(wǎng)絡廠商華碩網(wǎng)通部于日前推出的華碩WL一550gE采用業(yè)內最先進的“Afterburner”技術，能夠提供比傳統(tǒng)8021lg設備的數(shù)據(jù)率高35％的傳輸性能，這也意味著，用戶要傳輸100MB的文件需要不到17秒的時間，這樣的速度已經(jīng)更加接近有