第三代身份認(rèn)證體系在電子政務(wù)中的應(yīng)用

周小遨

【摘 要】2001年3月，全國人大通過《國民經(jīng)濟(jì)和社會發(fā)展十五計(jì)劃綱要》，明確提出了“以信息化帶動工業(yè)化”、“以電子政務(wù)帶動信息化”的基本策略。2001年，中辦下發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[2001]17號），全國掀起了電子政務(wù)和電子政務(wù)建設(shè)的浪潮。隨著電子政務(wù)和電子政務(wù)的發(fā)展，大規(guī)模、分布式的應(yīng)用系統(tǒng)越來越多，對于用戶跨部門、跨地域和跨應(yīng)用系統(tǒng)的需求越來越旺盛，僅靠單一的密碼技術(shù)和分散的用戶管理已經(jīng)不能適應(yīng)形式的發(fā)展。安全機(jī)制成為制約電子政務(wù)和電子政務(wù)發(fā)展的最大障礙。

【關(guān)鍵詞】電子政務(wù)；電子政務(wù)安全；身份認(rèn)證體系

本文的研制目標(biāo)是研制以注冊、鑒權(quán)為核心的第三代身份認(rèn)證體系，實(shí)現(xiàn)全程全網(wǎng)的強(qiáng)雙因子身份認(rèn)證，從而為構(gòu)建全國電子政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)。第三代身份認(rèn)證體系是電子政務(wù)建設(shè)的基礎(chǔ)設(shè)施，推進(jìn)第三代身份認(rèn)證體系研制，具有以下意義。

是對傳統(tǒng)PKI理論體系的重要發(fā)展

第三代身份認(rèn)證體系，在繼承傳統(tǒng)PKI技術(shù)的基礎(chǔ)上，充分考慮了身份認(rèn)證服務(wù)的快速部署問題，如何適應(yīng)下一代網(wǎng)絡(luò)發(fā)展問題，認(rèn)證服務(wù)如何快速部署問題，以及對應(yīng)用整合問題等。這些問題在傳統(tǒng)PKI理論體系中沒有涉及，同時這些問題也是目前安全領(lǐng)域研究的熱點(diǎn)問題。第三代身份認(rèn)證體系很好地解決了這些問題，因此是對傳統(tǒng)PKI理論體系的重要發(fā)展。

是建設(shè)電子政務(wù)建設(shè)的基礎(chǔ)設(shè)施

電子政務(wù)建設(shè)首先要解決信任服務(wù)問題，只有在信任服務(wù)的基礎(chǔ)上才能實(shí)現(xiàn)全國各省、部電子政務(wù)網(wǎng)可信的互聯(lián)互通，用戶通過信任服務(wù)成為可信的用戶，應(yīng)用系統(tǒng)通過信任服務(wù)成為可信的應(yīng)用，因此，第三代身份認(rèn)證體系就是電子政務(wù)建設(shè)的基礎(chǔ)設(shè)施，為全面推進(jìn)電子政務(wù)建設(shè)積累經(jīng)驗(yàn)、奠定基礎(chǔ)，意義重大，影響深遠(yuǎn)。

有利于切實(shí)保障政務(wù)信息系統(tǒng)的健康運(yùn)行

政務(wù)信息系統(tǒng)健康運(yùn)行的保障是信息安全技術(shù)，而以密碼技術(shù)為基礎(chǔ)的身份認(rèn)證是信息安全技術(shù)的核心，它能夠有效地解決應(yīng)用信息的機(jī)密性、真實(shí)性、完整性和不可否認(rèn)性等安全問題。因此，在電子政務(wù)網(wǎng)構(gòu)建先進(jìn)的身份認(rèn)證體系，有利于切實(shí)保障政務(wù)信息系統(tǒng)的健康運(yùn)行。

有利于加強(qiáng)信任服務(wù)的快速部署和對應(yīng)用的整合

由于我國信息化建設(shè)經(jīng)歷了20多年，已經(jīng)在使用很多應(yīng)用系統(tǒng)，本著繼承與發(fā)展的原則，第三代身份認(rèn)證體系充分考慮了身份認(rèn)證與應(yīng)用系統(tǒng)的結(jié)合問題。對原有應(yīng)系統(tǒng)作小的改動，即可實(shí)現(xiàn)基于數(shù)字證書的全程全網(wǎng)的身份認(rèn)證、訪問控制、單點(diǎn)登錄等。

有利于加快政務(wù)信息化建設(shè)步伐，全面推進(jìn)電子政務(wù)的發(fā)展

信息技術(shù)是當(dāng)今世界先進(jìn)生產(chǎn)力的主要標(biāo)志。第三代身份認(rèn)證體系就是利用最先進(jìn)的信息技術(shù)，構(gòu)建電子政務(wù)網(wǎng)絡(luò)信任體系，以便為各級黨委間實(shí)現(xiàn)安全可信的互連互通和信息共享打下堅(jiān)實(shí)的基礎(chǔ)。在此基礎(chǔ)上，促進(jìn)電子政務(wù)業(yè)務(wù)應(yīng)用，全面推進(jìn)電子政務(wù)的發(fā)展。

傳統(tǒng)PKI理論體系是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，是信息安全技術(shù)的核心，它能夠有效地解決應(yīng)用信息的機(jī)密性、真實(shí)性、完整性和不可否認(rèn)性等安全問題。但是，實(shí)踐證明目前的PKI技術(shù)無法適應(yīng)下一代網(wǎng)絡(luò)的發(fā)展需要，并缺少如何快速與應(yīng)用整合的內(nèi)容。對稱密碼技術(shù)又叫單密鑰技術(shù)，就是我們通常說密碼技術(shù)。對稱密碼技術(shù)的特點(diǎn)是加密密鑰和解密密鑰是一樣的，或?qū)嵸|(zhì)上是等同的，這種情況下，密鑰就經(jīng)過安全的密鑰信道由發(fā)方傳給收方。單鑰密碼的特點(diǎn)是無論加密還是解密都使用同一個密鑰，因此，此密碼體制的安全性就是密鑰的安全。如果密鑰泄露，則此密碼系統(tǒng)便被攻破。最有影響的單鑰密碼是1977年美國國家標(biāo)準(zhǔn)局頒布的des算法。

針對對稱密鑰存在的問題，以解決信息的機(jī)密性、完整性、可認(rèn)證性、不可抵賴性為主要目的非對稱密鑰技術(shù)出現(xiàn)了。非對稱密鑰技術(shù)的最大特點(diǎn)是公共密鑰和私有密鑰之間不能相互推導(dǎo)出對方。目前非對稱密鑰技術(shù)發(fā)展的比較成熟，并且在身份認(rèn)證領(lǐng)域得到成功應(yīng)用，最著名的是PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施，本文將它歸納為第二代身份認(rèn)證體系。盡管PKI技術(shù)在中國發(fā)展迅速，但是，總體來講，PKI技術(shù)的應(yīng)用效果并不理想，主要表現(xiàn)在，我國各個省市基本都有自己的CA認(rèn)證中心，但是，帶來的社會效益有限；各行業(yè)都有自己的CA認(rèn)證中心，但是帶來的經(jīng)濟(jì)效益有限；各個省市、各個行業(yè)認(rèn)證系統(tǒng)獨(dú)立，無法實(shí)現(xiàn)可信的互連互通。因此，第二代身份認(rèn)證服務(wù)體系存在并需要進(jìn)一步解決以下問題：

（1）第二代身份認(rèn)證服務(wù)體系只能對局部應(yīng)用提供信任服務(wù)，不能提供支持全程全網(wǎng)的信任服務(wù)（“全程全網(wǎng)”是電信術(shù)語，可以理解為隨時隨地），即象電信網(wǎng)一樣，實(shí)現(xiàn)一次注冊，全網(wǎng)通行；

（2）與應(yīng)用深度耦合，不利于快速部署，即：PKI技術(shù)如何與在對現(xiàn)有應(yīng)用改造很少的情況下，與現(xiàn)有應(yīng)用系統(tǒng)很好地結(jié)合方面，實(shí)現(xiàn)身份認(rèn)證服務(wù)的快速部署；

（3）不能有效控制網(wǎng)絡(luò)設(shè)備和服務(wù)器的可信接入，無法構(gòu)建可信的網(wǎng)絡(luò)；

（4）信任鏈的源頭是數(shù)字證書而非人。

以注冊鑒權(quán)為核心的第三代身份認(rèn)證體系是本文研究的主要內(nèi)容，也是本文的主要創(chuàng)新點(diǎn)。它很好地繼承了第一代信任服務(wù)體系和第二代信任服務(wù)體系的相關(guān)技術(shù)，結(jié)合電子政務(wù)建設(shè)的特點(diǎn)，面向下一代網(wǎng)絡(luò)（NGN），使用NGN中的呼叫控制技術(shù)結(jié)合傳統(tǒng)PKI技術(shù)，實(shí)現(xiàn)全程全網(wǎng)的身份認(rèn)證。

第三代身份認(rèn)證體系有以下特點(diǎn)：

（1）要支持全程全網(wǎng)全業(yè)務(wù)

解決“信任服務(wù)體系的統(tǒng)一”的問題；

解決“一次認(rèn)證，全網(wǎng)通行”的問題；

解決“可信私有網(wǎng)絡(luò)互聯(lián)”的問題，實(shí)現(xiàn)端到端的互聯(lián)互通；

具有獨(dú)立于應(yīng)用提供信任服務(wù)的能力。

（2）要支持繼承與發(fā)展

面向應(yīng)用的繼承與發(fā)展

面向網(wǎng)絡(luò)的繼承與發(fā)展

面向第一、二代信任服務(wù)的繼承與發(fā)展

（3）支持快速部署

快速部署就是在應(yīng)用系統(tǒng)少改動，甚至不改動的前提下，能為用戶提供身份認(rèn)證、實(shí)體鑒權(quán)、訪問控制等信任服務(wù)，需要支持以下幾點(diǎn)：

支持身份認(rèn)證的快速部署

支持訪問控制的快速部署

支持網(wǎng)絡(luò)可信互聯(lián)的快速部署

第三代身份認(rèn)證體系在繼承第二代身份認(rèn)證體系優(yōu)勢成果的基礎(chǔ)上，結(jié)合下一代網(wǎng)絡(luò)/下一代服務(wù)的關(guān)鍵技術(shù)，融合第一代和第二代身份認(rèn)證體系的功能和服務(wù)，構(gòu)建可信的網(wǎng)絡(luò)和可信的服務(wù)，實(shí)現(xiàn)用戶和應(yīng)用的統(tǒng)一注冊、鑒權(quán)，實(shí)現(xiàn)對應(yīng)用系統(tǒng)的快速整合，信任服務(wù)的快速部署。為將整個網(wǎng)絡(luò)成為一個可信、可控、安全的、支持全程全網(wǎng)全業(yè)務(wù)的網(wǎng)絡(luò)提供支撐。

第三代身份認(rèn)證體系由公鑰基礎(chǔ)設(shè)施、注冊服務(wù)系統(tǒng)、鑒權(quán)服務(wù)系統(tǒng)、狀態(tài)管理系統(tǒng)、資源整合服務(wù)系統(tǒng)組成，三代身份認(rèn)證體系提供的服務(wù)：

繼承第二代身份認(rèn)證體系的可信服務(wù)

第三代信任服務(wù)體系充分繼承第二代信任服務(wù)體系的優(yōu)勢技術(shù)，提供證書生產(chǎn)、加解密服務(wù)、簽名/簽名驗(yàn)證服務(wù)、證書查詢驗(yàn)證服務(wù)等。

可信的注冊和鑒權(quán)服務(wù)

> 實(shí)體注冊和鑒權(quán)，服務(wù)注冊和鑒權(quán)；

> 在可信的網(wǎng)絡(luò)層實(shí)現(xiàn)了“注冊才能上網(wǎng)、鑒權(quán)才能通行”的全新的網(wǎng)絡(luò)信任模式；

> 可信網(wǎng)絡(luò)注冊和鑒權(quán)服務(wù)技術(shù)突破了傳統(tǒng)認(rèn)證模式下由各個應(yīng)用對用戶進(jìn)行頻繁身份認(rèn)證和有限范圍權(quán)限管理的思路，實(shí)現(xiàn)面向全網(wǎng)的單點(diǎn)登錄；

> 解決原有信任服務(wù)與業(yè)務(wù)邏輯深度耦合的問題；

> 為實(shí)現(xiàn)全程全網(wǎng)全業(yè)務(wù)奠定基礎(chǔ)。

可信的私有網(wǎng)互聯(lián)服務(wù)

> 統(tǒng)一的身份認(rèn)證體系建立跨域私有網(wǎng)絡(luò)的信任關(guān)系；

> 可信網(wǎng)絡(luò)設(shè)備為私有網(wǎng)絡(luò)互聯(lián)提供基礎(chǔ)環(huán)境；

> 統(tǒng)一的注冊提供穿透私有網(wǎng)絡(luò)的必要條件；

> 統(tǒng)一的鑒權(quán)使用戶只能訪問其被授權(quán)訪問的資源。

【參考文獻(xiàn)】

[1]《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》。中辦發(fā)[2001]17號

[2]中辦信息中心：《電子政務(wù)試點(diǎn)示范工程可信電子政務(wù)平臺可行性研究報(bào)告》。2004年9月

[3]“中共中央辦公廳國務(wù)院辦公廳 轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的通知”。中辦發(fā)[2003]27號；

[4]周宏仁、唐鐵漢，《電子政務(wù)的理論與實(shí)踐》。北京：國家行政學(xué)院出版社，2002

[5]汪玉凱：電子政務(wù)應(yīng)用示范工程回顧及政策建議。信息化建設(shè)，2005（7）

[6]汪玉凱：2006年中國電子政務(wù)發(fā)展展望。信息化建設(shè)，2005（Z1）

[7]（美） Andrew Nash ，William Duane ，Celia Joseph ，Derek Brink. 公鑰基礎(chǔ)設(shè)施（ PKI） ：實(shí)現(xiàn)和管理電子安全。北京：華大學(xué)出版社，2002. 12.

[8]（美）Peter T. Davis：計(jì)算機(jī)安全保密指南。電子工業(yè)出版社，1997