pki體系認(rèn)證模式的usbkey在電子政務(wù)中的應(yīng)用

1、責(zé)任編輯：姚翌通信論壇PKI體系認(rèn)證模式的USBKey在電子政務(wù)中的應(yīng)用蔣世強(qiáng)(河北省保密局石家莊050052)【摘要】建立穩(wěn)定可靠的信任和授權(quán)機(jī)制是電子政務(wù)建設(shè)中亟待解決的課題。USBKey是一種新型身份認(rèn)證產(chǎn)品。分析了PIG技術(shù)的特點(diǎn)，提出了利用基于PIG體系認(rèn)證模式的USBKey解決信息傳輸中身份認(rèn)證問(wèn)題的方法。【關(guān)鍵詞】電子政務(wù)PIGUSBKey1引言電子政務(wù)是社會(huì)信息化的基礎(chǔ)，其中最為重要的內(nèi)容是如何運(yùn)用信息和通訊技術(shù)來(lái)打破傳

2、統(tǒng)的行政體制和組織界限，政府機(jī)關(guān)之間以及政府機(jī)關(guān)和社會(huì)之間通過(guò)電子政務(wù)的信息化渠道進(jìn)行溝通。并可以根據(jù)人們的需求，以不同的形式、不同的時(shí)間、地點(diǎn)選擇不同的服務(wù)內(nèi)容，從而推動(dòng)政府機(jī)關(guān)之間、政府和社會(huì)之間以電子化的信息交換方式進(jìn)行通訊和信息交換處理。當(dāng)前，越來(lái)越多政務(wù)信息以數(shù)據(jù)的形式在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和使用，這就對(duì)電子政務(wù)過(guò)程中的信息安全保密提出了更高的要求。除了需要網(wǎng)絡(luò)安全可靠外，還要建立以身份認(rèn)證為核心的信任與授權(quán)服務(wù)系統(tǒng)，

3、來(lái)保障應(yīng)用層的安全?；赑KI技術(shù)的身份認(rèn)證方案，是目前較為實(shí)用的方案。本文簡(jiǎn)要講述了基于PIG體系認(rèn)證模式的USBKey在電子政務(wù)中的應(yīng)用。2當(dāng)前計(jì)算機(jī)及網(wǎng)絡(luò)中身份認(rèn)證的方式身份認(rèn)證是計(jì)算機(jī)信息系統(tǒng)確認(rèn)操作者身份的過(guò)程，主要是防止非授權(quán)用戶(hù)使用或訪問(wèn)系統(tǒng)資源。當(dāng)前，計(jì)算機(jī)及網(wǎng)絡(luò)中通常有四種方式驗(yàn)證主體身份：用戶(hù)名／密碼方式、智能卡方式、生理特征方式及基于PKI體系的USBKey認(rèn)證。表1是幾種身份認(rèn)證方式的比較：3PKI技術(shù)的主要特點(diǎn)

4、PIG(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。系統(tǒng)通過(guò)使用由CA(Certification定稿日期：2005—10—23表1身份認(rèn)證方式的E較認(rèn)證方式技術(shù)特點(diǎn)應(yīng)用水平適用范圍用戶(hù)名／傳統(tǒng)的鑒別方式，容易被破解，保護(hù)密級(jí)不密碼方式便于實(shí)現(xiàn)安全性較差高的系統(tǒng)智能卡結(jié)合了擁有物品和技術(shù)成熟可靠，保護(hù)密級(jí)不方式知曉?xún)?nèi)容兩種機(jī)制在一

5、定范圍內(nèi)高的系統(tǒng)有應(yīng)用生理特征運(yùn)用用戶(hù)具有的獨(dú)方式一無(wú)二的特征或能技術(shù)難度大，成保護(hù)密級(jí)較力，如指紋、聲音、本高，較難實(shí)高的系統(tǒng)現(xiàn)應(yīng)用較少視網(wǎng)膜等進(jìn)行鑒別可用于保護(hù)USBK吖運(yùn)用PIG機(jī)制，容技術(shù)成熟可靠，敏感信息，成本低廉。便于但目前在涉方式易實(shí)現(xiàn)一次一密密系統(tǒng)的應(yīng)擴(kuò)展和部署用尚無(wú)國(guó)家標(biāo)準(zhǔn)Authority，認(rèn)證機(jī)構(gòu))頒發(fā)的數(shù)字證書(shū)，結(jié)合對(duì)應(yīng)的私鑰，完成對(duì)實(shí)體的單向或雙向身份認(rèn)證，大大提高了身份認(rèn)證的安全水平。運(yùn)用一組有數(shù)學(xué)聯(lián)系的密鑰

6、對(duì)敏感信息進(jìn)行加密和解密，通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)不會(huì)被第三者篡改，可保證數(shù)據(jù)的完整性；通過(guò)數(shù)字證書(shū)的雙向驗(yàn)證建立的安全數(shù)據(jù)通道，保證了事務(wù)處理細(xì)節(jié)的保密性；利用PIG技術(shù)實(shí)現(xiàn)數(shù)字簽名，確保了傳輸結(jié)果的抗抵賴(lài)性。以上特點(diǎn)滿(mǎn)足了電子政務(wù)中對(duì)信息保密、完整、可控、可用和抗抵賴(lài)的要求，因此具有廣闊的應(yīng)用前景。4基于PKI體系認(rèn)證模式的USBKey基于PIG體系認(rèn)證模式的UXBKey是最近幾年發(fā)展起來(lái)的一種方便、安全、經(jīng)濟(jì)的個(gè)人身份數(shù)字驗(yàn)證工具。它采

7、用軟硬件相結(jié)合的一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，其內(nèi)置維普資訊通信論壇責(zé)任編輯：姚翌的單片機(jī)或智能存儲(chǔ)芯片可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，可用于Intemet上任何需要驗(yàn)證登陸者身份的地方。USBKey中具有內(nèi)置的文件系統(tǒng)以及單向散列算法MD5。41實(shí)現(xiàn)認(rèn)證的原理每個(gè)KEY中具有唯一的序列號(hào)SN，使用前，將KEY在認(rèn)證服務(wù)器端注冊(cè)，注冊(cè)時(shí)由認(rèn)證服務(wù)器產(chǎn)生一個(gè)與該序列

8、號(hào)對(duì)應(yīng)的關(guān)鍵數(shù)字KN，形成服務(wù)器端的用戶(hù)數(shù)據(jù)庫(kù)(記錄SN與KN的對(duì)應(yīng)關(guān)系)，同時(shí)將關(guān)鍵數(shù)字寫(xiě)到KEY中。這樣客戶(hù)端的KEY就有了一個(gè)與該用戶(hù)對(duì)應(yīng)的唯一一個(gè)關(guān)鍵數(shù)字，該關(guān)鍵數(shù)字在KEY中文件管理的支持下只能寫(xiě)入不能讀出。用戶(hù)端(包括B／S結(jié)構(gòu)中的瀏覽器Browser和C／S結(jié)構(gòu)中的客房端Client)向認(rèn)證服務(wù)器(Server)發(fā)出登錄請(qǐng)求，將序列號(hào)SN傳送到服務(wù)器端，當(dāng)認(rèn)證服務(wù)器收到客戶(hù)端的登錄請(qǐng)求后，便向客戶(hù)端發(fā)出一個(gè)隨機(jī)數(shù)RN(Ra

9、ndomnumber)，同時(shí)根據(jù)客戶(hù)端傳送的序列號(hào)從用戶(hù)數(shù)據(jù)庫(kù)中找到對(duì)應(yīng)的關(guān)鍵數(shù)字，結(jié)合該隨機(jī)數(shù)R_N和關(guān)鍵數(shù)字進(jìn)行MD5運(yùn)算，得到結(jié)果A；客戶(hù)端收到隨機(jī)數(shù)RN后，將其提供給KEY，KEY結(jié)合其中的關(guān)鍵數(shù)字進(jìn)行MD5運(yùn)算，得到認(rèn)證數(shù)據(jù)B；客戶(hù)端將B送到服務(wù)器端進(jìn)行比較，如果A=B則驗(yàn)證通過(guò)。另外，在進(jìn)行驗(yàn)證需要使用到KEY時(shí)，還需要提交“PIN碼”，利用PIN碼進(jìn)行驗(yàn)證。認(rèn)證過(guò)程中，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)只有隨機(jī)數(shù)RN和認(rèn)證數(shù)據(jù)B。用戶(hù)密鑰

10、既不在網(wǎng)絡(luò)上傳輸也不在客戶(hù)端電腦閃存中出現(xiàn)，網(wǎng)絡(luò)上的黑客和客戶(hù)端電腦中的木馬程序都無(wú)法得到用戶(hù)的密鑰。由于MD5算法是一種不可逆的算法，不被信任的第三者即使截取到該信息也無(wú)法破譯出原文，隨機(jī)數(shù)對(duì)第三者而言是毫無(wú)意義的。由于KEY中的操作系統(tǒng)定義了KEY中關(guān)鍵數(shù)字無(wú)法讀出，所以一旦KEY中寫(xiě)入了關(guān)鍵數(shù)字，他將沒(méi)有任何必要和機(jī)會(huì)從KEY中讀出，因?yàn)樗信c該數(shù)字相關(guān)的運(yùn)算均在KEY內(nèi)完成。42技術(shù)優(yōu)點(diǎn)(1)節(jié)省費(fèi)用，簡(jiǎn)便易行。該技術(shù)為所有的應(yīng)

11、用程序和設(shè)備提供了可靠的、一致的解決方案。這種一致性的解決方案在一個(gè)系統(tǒng)內(nèi)更易于安裝、管理、維護(hù)和擴(kuò)展，降低了管理成本，這是該技術(shù)的一個(gè)重要優(yōu)勢(shì)。(2)對(duì)終端用戶(hù)的透明性：USBKey提供的是一個(gè)“黑盒子”級(jí)的服務(wù)：所有的安全操作對(duì)用戶(hù)透明，用戶(hù)無(wú)需具備專(zhuān)業(yè)知識(shí)，無(wú)需額外的干預(yù)，無(wú)需注意密鑰和算法，不會(huì)因?yàn)橛脩?hù)的錯(cuò)誤操作對(duì)安全造成危害。(3)全面的安全性：在整個(gè)應(yīng)用環(huán)境中，使用單一可信的安全技術(shù)——公鑰技術(shù)，保證了數(shù)目不受限制的應(yīng)用程序

12、、設(shè)備和服務(wù)器無(wú)縫地協(xié)調(diào)工作，安全地傳輸、存儲(chǔ)和檢索數(shù)據(jù)，安全地進(jìn)行事務(wù)處理，安全地訪問(wèn)服務(wù)器等。電子郵件應(yīng)用、Web訪問(wèn)、防火墻、遠(yuǎn)程訪問(wèn)設(shè)備、應(yīng)用服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫(kù)或更多的其562005年第22期他設(shè)備，能夠用一種統(tǒng)一的方式理解和使用安全服務(wù)基礎(chǔ)設(shè)施。在這種環(huán)境中，不僅極大地簡(jiǎn)化了終端用戶(hù)使用各種設(shè)備和應(yīng)用程序的方式，而且簡(jiǎn)化了設(shè)備和應(yīng)用系統(tǒng)的管理工作，保證執(zhí)行相同等級(jí)的安全策略。43功能的延伸USBKey作為一種安全數(shù)據(jù)的

13、存儲(chǔ)介質(zhì)，不但可以存儲(chǔ)數(shù)字證書(shū)和用戶(hù)密鑰，還可以存儲(chǔ)各種需要保護(hù)的與個(gè)人身份相關(guān)的數(shù)據(jù)?？梢愿鶕?jù)電子政務(wù)系統(tǒng)的不同業(yè)務(wù)需要開(kāi)發(fā)出不同的應(yīng)用。例如文件加密和電子印章應(yīng)用。文件加密是指使用USBKey內(nèi)置的加密算法和用戶(hù)密鑰對(duì)硬盤(pán)和移動(dòng)存儲(chǔ)設(shè)備上存儲(chǔ)的重要文件進(jìn)行加密，這些文件經(jīng)加密后在沒(méi)有USBKey的情況下無(wú)法打開(kāi)。而電子印章則是通過(guò)將印章圖像與數(shù)字證書(shū)綁定后存儲(chǔ)在USBKey中可。印章的合法持有人一旦加蓋了電子印章，電子印章將在文件上

14、顯示并可打印。加蓋過(guò)電子印章的文件被非法修改后，電子印章就會(huì)失效，無(wú)法顯示和打印，保證了文件的完整性和準(zhǔn)確性。5結(jié)束語(yǔ)基于PKI可以構(gòu)建安全可靠的安全電子政務(wù)應(yīng)用和系統(tǒng)。但不論是PKI還是電子政務(wù)，都面臨著很多的問(wèn)題。如：缺乏行業(yè)管理部門(mén)，沒(méi)有形成集管理、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、應(yīng)用于一體的PKI體系，應(yīng)用水平較低；基于PKI的軟硬件體系的建設(shè)，需要各軟硬件廠商的協(xié)作和制定相關(guān)的行業(yè)標(biāo)準(zhǔn)；對(duì)證書(shū)認(rèn)證機(jī)構(gòu)的責(zé)任、義務(wù)、業(yè)務(wù)流程及相關(guān)資質(zhì)沒(méi)有明確

15、規(guī)定等等。對(duì)于PKI技術(shù)在我國(guó)電子政務(wù)中的應(yīng)用，應(yīng)當(dāng)結(jié)合實(shí)際情況，認(rèn)真研究。在政務(wù)內(nèi)網(wǎng)進(jìn)行PKI試點(diǎn)工作的過(guò)程中，不能照搬國(guó)外模式，應(yīng)結(jié)合我國(guó)的管理方式，要有我國(guó)自主知識(shí)產(chǎn)權(quán)，達(dá)到可信、可控的目標(biāo)，并積累經(jīng)驗(yàn)、注重標(biāo)準(zhǔn)化，增強(qiáng)互操作性，同時(shí)加強(qiáng)測(cè)評(píng)，以符合安全保密要求。華碩WL550gE領(lǐng)航無(wú)線網(wǎng)絡(luò)新時(shí)空記者近日獲悉，華碩電腦網(wǎng)絡(luò)通信部門(mén)最新發(fā)布了一款型號(hào)為WL一550gE無(wú)線路由器。該產(chǎn)品集成最新寬帶路由技術(shù)，將8021lg標(biāo)準(zhǔn)數(shù)據(jù)傳

16、輸率增加了35％，把無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋范圍提升到上述標(biāo)準(zhǔn)的300％，并且能夠確保為更大的覆蓋范圍提供輸出功率。業(yè)內(nèi)專(zhuān)家稱(chēng)，該產(chǎn)品的上市滿(mǎn)足了用戶(hù)對(duì)高速無(wú)線網(wǎng)絡(luò)主流選擇和追求，加速了行業(yè)技術(shù)升級(jí)。國(guó)內(nèi)知名網(wǎng)絡(luò)廠商華碩網(wǎng)通部于日前推出的華碩WL一550gE采用業(yè)內(nèi)最先進(jìn)的“Afterburner”技術(shù)，能夠提供比傳統(tǒng)8021lg設(shè)備的數(shù)據(jù)率高35％的傳輸性能，這也意味著，用戶(hù)要傳輸100MB的文件需要不到17秒的時(shí)間，這樣的速度已經(jīng)更加接近有