基于PKI的CA安全認(rèn)證系統(tǒng)在電子政務(wù)中的研究與應(yīng)用.pdf

1、在當(dāng)今世界上，Internet互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展日益迅速，沖擊著傳統(tǒng)行業(yè)的方方面面。全方位的改變了我們的工作與生活。目前，越來(lái)越多的政府機(jī)構(gòu)要實(shí)現(xiàn)無(wú)紙辦公，需要利用網(wǎng)絡(luò)來(lái)進(jìn)行辦公和公眾服務(wù)，同時(shí)也要和在各地的分支機(jī)構(gòu)相連實(shí)現(xiàn)信息的交互。作為政府信息資源有些是要求高安全和高保密性的，信息的丟失和盜取等非法活動(dòng)將會(huì)對(duì)政府的工作帶來(lái)很嚴(yán)重的后果和不可估計(jì)的損失，因此他們需要采用最有效的安全手段以保護(hù)政府資源?，F(xiàn)在，以網(wǎng)絡(luò)為載體的電子政務(wù)以

2、其快捷、方便、高效率的特性己對(duì)傳統(tǒng)的政府辦公方式形成巨大沖擊，并一天天進(jìn)入我們的日常生活，它對(duì)于電子政務(wù)網(wǎng)中的信息的安全要求也達(dá)到一個(gè)前所未有的高度。 基于公鑰體制的PKI(PublicKeyInfrastructure即公共密鑰基礎(chǔ))技術(shù)可以為網(wǎng)絡(luò)上的各種應(yīng)用提供身份認(rèn)證、數(shù)字簽名認(rèn)證、數(shù)字加密傳輸?shù)鹊陌踩Ｕ?。CA認(rèn)證中心是PKI系統(tǒng)中的重要組成部分。完成了PKI的基礎(chǔ)的功能。 本文闡述了PKI系統(tǒng)的模型、功能和應(yīng)用

3、，重點(diǎn)討論了CA認(rèn)證中心的證書發(fā)布、層次結(jié)構(gòu)、作廢證書的發(fā)布機(jī)制和電子政務(wù)相關(guān)的安全技術(shù)等問(wèn)題。最后詳細(xì)闡述了在電子政務(wù)中CA安全系統(tǒng)實(shí)現(xiàn)身份認(rèn)證、加密簽名、單點(diǎn)登陸等的設(shè)計(jì)思想和方法。主要工作與創(chuàng)新如下： 1.PKCS規(guī)范在PKI中的應(yīng)用。PKCS規(guī)范是RSA公司開發(fā)并形成標(biāo)準(zhǔn)的底層編程接口，通過(guò)PKCS＃11規(guī)范接口可以直接對(duì)E-KEY硬件操作。在數(shù)字證書應(yīng)用中PKCS的規(guī)范都得到了廣泛的應(yīng)用。 2.數(shù)字證書中的信息

4、存儲(chǔ)到E-KEY硬件載體中。應(yīng)用PKCS＃11接口，實(shí)現(xiàn)在E-KEY中保存多個(gè)證書信息，例如：加密證書和簽名證書等。 3.在不同操作系統(tǒng)客戶終端調(diào)用E-KEY。目前E-KEY證書大多應(yīng)用在WINDOWS平臺(tái)中，如何在雙平臺(tái)中實(shí)現(xiàn)調(diào)用E-KEY的接口，將成為研究的內(nèi)容。 4.利用JNI技術(shù)實(shí)現(xiàn)E-KEY的跨平臺(tái)調(diào)用。JNI技術(shù)是JAVA中本地化調(diào)用技術(shù)，它利用JAVA語(yǔ)言調(diào)用C語(yǔ)言程序。從而實(shí)現(xiàn)了C語(yǔ)言程序的跨平臺(tái)應(yīng)用。

5、 5.在客戶端實(shí)現(xiàn)數(shù)字簽名。將E-KEY接口的動(dòng)態(tài)鏈接庫(kù)置于操作系統(tǒng)SYSTEM32下，利用APPLET實(shí)現(xiàn)PIN的輸入，調(diào)用加密簽名接口，同時(shí)讀取E-KEY中的數(shù)字證書信息，實(shí)現(xiàn)在客戶端的數(shù)字簽名。 6.利用JAVA語(yǔ)言提供的安全類庫(kù)包和證書類庫(kù)包實(shí)現(xiàn)證書認(rèn)證服務(wù)器。在客戶端讀取用戶的數(shù)字證書，同時(shí)利用它加密、簽名信息，發(fā)送到服務(wù)器端進(jìn)行數(shù)字證書的有效性驗(yàn)證和加密信息的解密以及簽名信息的驗(yàn)證等操作。 7.設(shè)計(jì)實(shí)現(xiàn)

6、OCSP在LOCAL的實(shí)時(shí)性。OCSP是在線狀態(tài)查詢協(xié)議，它能實(shí)時(shí)的獲得數(shù)字證書的狀態(tài)等信息。LOCALOCSP將實(shí)現(xiàn)本地系統(tǒng)的OCSP實(shí)時(shí)查詢。LOCALOCSP將通過(guò)INTERNET鏈接到CA中心的OCSP服務(wù)器中來(lái)獲得數(shù)字證書的狀態(tài)。在CA中心的OCSP服務(wù)器中的數(shù)據(jù)更新將實(shí)時(shí)的推送到位于本地的LOCALOCSP服務(wù)器中，實(shí)現(xiàn)同步更新。確保信息的無(wú)差錯(cuò)性。 8.利用數(shù)字證書建立SSL通道。SSL通道是建立在客戶端與服務(wù)器端

7、之間。用來(lái)驗(yàn)證服務(wù)器和客戶端的。將服務(wù)器證書和用戶證書配置到應(yīng)用服務(wù)器中和客戶端中來(lái)實(shí)現(xiàn)SSL。如何生成和配置將是研究的對(duì)象。 9.實(shí)現(xiàn)E-KEY讀取的動(dòng)態(tài)鏈接庫(kù)模塊。完成數(shù)字證書信息的讀取。 10.實(shí)現(xiàn)數(shù)字簽名和簽名認(rèn)證的服務(wù)器模塊。在客戶端的數(shù)字簽名用APPLET，在服務(wù)器端用JAVABEAN的認(rèn)證模塊來(lái)認(rèn)證簽名。 11.實(shí)現(xiàn)數(shù)字證書的在線實(shí)時(shí)查詢模塊。設(shè)計(jì)LOCALOCSPSERVER,實(shí)現(xiàn)證書的實(shí)時(shí)查詢。