王鵬　薛靜

摘? ?要：文章為解決電子政務(wù)網(wǎng)絡(luò)安全通信提供了一種新的安全解決方案。在利用現(xiàn)有互聯(lián)網(wǎng)鏈路的基礎(chǔ)上通過商密產(chǎn)品傳輸?shù)臄?shù)據(jù)進行加密、簽名，既解決了網(wǎng)絡(luò)鏈路費用和速度的問題，又提高了網(wǎng)絡(luò)通信的安全性，并可以徹底保證傳輸信息的機密性、真實性、完整性和不可抵賴性。同時，為解決之前安全公文傳輸類軟件大多為C/S架構(gòu)，客戶端維護壓力大，同時無法適應(yīng)逐漸增多的使用人群，逐漸增加的用戶需求，跨平臺移植性不好的缺點，專門為客戶定制了基于安全瀏覽器的客戶端專用公文傳輸軟件模式，此模式為C/S、B/S混合模式，軟件基本架構(gòu)采用C/S模式，內(nèi)容傳輸與展現(xiàn)采用B/S模式。

關(guān)鍵詞：數(shù)據(jù)分析;軟件開發(fā);大數(shù)據(jù);瀏覽器;國密算法

中圖分類號：TP309.7? ? ? ? ? 文獻標識碼：B

Abstract： This system provides a new security solution for solving e-government network security communication. On the basis of utilizing existing Internet links， encryption and signature of data transmitted through commercial secret products. It not only solves the problem of network link cost and speed， but also improves the security of network communication， and it can thoroughly ensure the confidentiality， authenticity， integrity and non-repudiation of transmission information. Moreover， in order to solve the problem that， most of the security documents transmission software used to be C/S architecture， high pressure of client maintenance， unable to adapt to the increasing number of users and increasing user demand also poor portability across platforms， we specially customize the software mode of client-specific document transmission software based on security browser for customers. This mode is C/S， B/S mixed mode. Software basic structure adopts C/S mode， content transmission and presentation adopts B/S mode.

Key words： the data analysis; software development; big data; browser; domestic cryptographic algorithm

1 引言

近幾年來，隨著我國信息化建設(shè)的快速發(fā)展，各級黨政機關(guān)的辦公網(wǎng)絡(luò)和電子政務(wù)網(wǎng)絡(luò)建設(shè)初具規(guī)模，各類應(yīng)用、管理軟件日趨豐富、完善，通過網(wǎng)絡(luò)處理的各類信息越來越多。在這些信息通過各種專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)傳輸處理過程中，信息的機密性、真實性、完整性、不可抵賴性等就顯得越來越重要。在黨政機關(guān)的辦公網(wǎng)絡(luò)和電子政務(wù)建設(shè)中普遍存在著資金少、人員少、終端節(jié)點分布地域廣等問題。為了實現(xiàn)聯(lián)網(wǎng)，傳統(tǒng)縣和鄉(xiāng)鎮(zhèn)、部門的辦公網(wǎng)絡(luò)大部分情況下采用了速度較慢的電話撥號或費用較高的專線方式，雖然在一定程度上解決了一些網(wǎng)絡(luò)安全問題，但是缺點是顯而易見的不是使用費用高就是網(wǎng)絡(luò)速度低。盡管目前縣、鄉(xiāng)各級黨委、政府和所屬部門單位基本實現(xiàn)了互聯(lián)網(wǎng)絡(luò)的接入，可以用較低的費用提供較高速率的物理鏈路，但是作為辦公網(wǎng)絡(luò)使用則存在著安全的問題。

江西省委公文傳輸系統(tǒng)項目通過增加密鑰管理子系統(tǒng)，利用商用密碼產(chǎn)品提供的數(shù)據(jù)加密、數(shù)字簽名、驗證等功能，并結(jié)合國密算法安全瀏覽器開發(fā)了一套可以利用互聯(lián)網(wǎng)絡(luò)安全傳輸公文的系統(tǒng)。瀏覽器是基礎(chǔ)的核心軟件，是互聯(lián)網(wǎng)系統(tǒng)生態(tài)環(huán)境的重要一環(huán)，也是用戶訪問互聯(lián)網(wǎng)服務(wù)的主要入口，承載著各種網(wǎng)絡(luò)應(yīng)用的主要平臺，也是最常使用的客戶端軟件。

2? 江西省委公文傳輸系統(tǒng)的需求

原有江西省委公文傳輸系統(tǒng)為C/S結(jié)構(gòu)設(shè)計，客戶端維護壓力大，同時無法適應(yīng)逐漸增多的使用人群，逐漸增加的用戶需求，跨平臺移植性不好，專門為客戶定制了基于安全瀏覽器的客戶端專用公文傳輸軟件軟件模式，此模式為C/S、B/S混合模式，軟件基本架構(gòu)采用C/S模式，內(nèi)容傳輸與展現(xiàn)采用B/S模式。

2.1 技術(shù)難點

（1） 國密安全瀏覽器結(jié)合

安全瀏覽器基于SM2、SM3、SM4算法及系列國家密碼標準，實現(xiàn)國產(chǎn)密碼算法SSL安全鏈接功能，其包含密碼模塊和安全協(xié)議模塊兩部分，實現(xiàn)了對國產(chǎn)密碼算法和安全協(xié)議的完整支持。

（2）多平臺兼容

考慮到實際應(yīng)用的部署方式可能比較復雜，需要兼容用戶主機的操作系統(tǒng)環(huán)境，因此本安全瀏覽器設(shè)計成可以在32位和64位的Windows、Linux、Mac等多個操作系統(tǒng)平臺正常運行。

（3）基于PKI技術(shù)的數(shù)字簽名和驗簽的實現(xiàn)

瀏覽器中使用了PKI技術(shù)，用戶的身份用X.509證書表示，認證過程基于數(shù)字簽名和驗簽的實現(xiàn)，并且在算法上使用了國密局發(fā)布的SM2非對稱密鑰算法。

（4）SSL VPN協(xié)議

SSL VPN協(xié)議目前已經(jīng)被廣泛用于瀏覽器網(wǎng)頁通訊，其最大的優(yōu)勢就在于可以很方便地建立安全的HTTPS，在B/S應(yīng)用模式下建立服務(wù)器網(wǎng)關(guān)和瀏覽器之間的安全通信，適合在需要密碼性和完整性的網(wǎng)頁應(yīng)用。由于瀏覽器在應(yīng)用時也需要為業(yè)務(wù)系統(tǒng)服務(wù)、與業(yè)務(wù)系統(tǒng)集成，因此采用SSL模式的通信。對應(yīng)用系統(tǒng)來說，由于SSL工作在網(wǎng)絡(luò)層，對應(yīng)用層是透明的，因而非常容易進行應(yīng)用系統(tǒng)升級，以提升客戶端和服務(wù)器的通信安全性。

（5）安全的密鑰管理方案

基于PKI技術(shù)的密鑰管理方案，通過引入離線運行（物理隔離）的密鑰管理子系統(tǒng)，在密鑰管理中心和安全通信中心采用相對獨立的密碼鑰匙、在客戶端采用了雙密鑰機制的方案，明顯地提高了系統(tǒng)的安全性。

（6）離線處理信息明文

考慮到數(shù)據(jù)安全性和操作方便性，系統(tǒng)提供了自動離線、上線功能。在處理信息明文時，系統(tǒng)自動將客戶端與網(wǎng)絡(luò)邏輯斷開，處理完畢后自動恢復連接。

（7）綜合安全防護體系

通過服務(wù)器端和客戶端配置軟件或硬件的防火墻、防病毒軟件、服務(wù)器存儲加密數(shù)據(jù)、所有客戶端私鑰不可導出智能密碼鑰匙等措施，提供了一個完整的安全通信平臺。

2.2 功能特色

（1）整合國密算法安全瀏覽器

江西省委公文傳輸系統(tǒng)基于海泰方圓紅蓮花安全瀏覽器開發(fā)，支持國產(chǎn)密碼算法，支持我國網(wǎng)絡(luò)自主信任體系，支持我國關(guān)于密碼的相關(guān)規(guī)范?；赟M2、SM3、SM4算法及系列國家密碼標準，實現(xiàn)國產(chǎn)密碼算法SSL鏈接功能;支持國產(chǎn)算法證書，并原生支持國內(nèi)各大CA根證書及相應(yīng)證書鏈; 提供對USB Key等多種形態(tài)身份認證設(shè)備、使用環(huán)境及相關(guān)控件的管理，打造安全省心的業(yè)務(wù)使用環(huán)境，保障重要業(yè)務(wù)系統(tǒng)的安全可靠，提升安全性;提高系統(tǒng)使用率，多平臺支持，提高系統(tǒng)覆蓋率。

（2）實時通信

采用了基于數(shù)據(jù)庫存儲的信息發(fā)送接收方式，具有良好的實時性能，徹底避免了電子郵件系統(tǒng)傳輸?shù)难舆t和誤差。

（3）實時完善的監(jiān)控、統(tǒng)計功能

對于所發(fā)信息可以進行實時監(jiān)控，查看簽收情況;基于數(shù)據(jù)庫系統(tǒng)的統(tǒng)計功能，可以方便統(tǒng)計指定時間內(nèi)的發(fā)送、簽收、簽收延誤時間等數(shù)據(jù)。

（4）網(wǎng)絡(luò)安全存儲

作為擴展功能，可以為每個用戶在服務(wù)器上提供可控容量的安全存儲空間，用戶可以將個人敏感數(shù)據(jù)加密保存在服務(wù)器上。由于服務(wù)器上可以提供完善的Raid、UPS、磁帶備份等硬件冗余技術(shù)，可以明顯地減輕客戶端數(shù)據(jù)備份的負擔。

（5）數(shù)據(jù)統(tǒng)計檢索

由于采用數(shù)據(jù)庫存儲的方式，明顯地提高了數(shù)據(jù)統(tǒng)計和查詢功能，完成高效、準確的數(shù)據(jù)統(tǒng)計、數(shù)據(jù)檢索功能。

（6）嚴密、安全的審計功能

對所有用戶的操作進行詳細登記，可以對用戶操作行為進行查詢和驗證。

（7）業(yè)務(wù)模塊擴展

整個系統(tǒng)設(shè)計采用了開放的結(jié)構(gòu)，可以根據(jù)用戶需求增加新的電子政務(wù)模塊，包括網(wǎng)站架構(gòu)、公文處理、信息處理、督查處理等許多業(yè)務(wù)模塊，也可以方便地和第三方應(yīng)用模塊掛接。

3 江西省委公文傳輸系統(tǒng)的設(shè)計

3.1 架構(gòu)設(shè)計

江西省委公文傳輸系統(tǒng)由保密安全服務(wù)子系統(tǒng)、公文流轉(zhuǎn)系統(tǒng)、消息服務(wù)子系統(tǒng)、移動客戶端四部分組成，如圖1所示。其中，保密安全服務(wù)子系統(tǒng)由安全通信中心和安全通信客戶端組成。系統(tǒng)中服務(wù)器端和客戶端均使用智能密碼鑰匙作為密碼運算設(shè)備。

（1）保密安全服務(wù)子系統(tǒng)

保密安全服務(wù)子系統(tǒng)可以單機或者在獨立的局域網(wǎng)中以C/S方式運行，與安全通信子系統(tǒng)所在網(wǎng)絡(luò)必須物理隔離。密鑰管理子系統(tǒng)負責完成安全通信子系統(tǒng)中服務(wù)器端和客戶端密鑰的生成、分發(fā)、備份、恢復等管理任務(wù)（密鑰載體選用海泰公司的HAIKEY智能密碼鑰匙）。保密安全服務(wù)子系統(tǒng)需要有密鑰管理中心密碼鑰匙才能登錄使用。Key中含有簽名密鑰對，該密鑰對是系統(tǒng)初始化時產(chǎn)生的，需要脫機備份并妥善保管;為了方便起見，其中的公鑰在下文中統(tǒng)稱為簽名公鑰。

（2）公文流轉(zhuǎn)系統(tǒng)和消息服務(wù)子系統(tǒng)

公文流轉(zhuǎn)系統(tǒng)是整個系統(tǒng)的功能子系統(tǒng)，由安全通信中心和安全通信客戶端兩部分組成。具體實現(xiàn)了安全通信功能，包括身份認證、信息加密、簽名、發(fā)送、接收、驗證、解密、統(tǒng)計、查詢、網(wǎng)絡(luò)加密存儲等。該子系統(tǒng)采用了B/S架構(gòu)設(shè)計，客戶端使用微軟IE7.0以上版本瀏覽器。

1） 安全通信中心

安全通信中心在縣級中心運行，邏輯上可分為Web服務(wù)器和數(shù)據(jù)庫服務(wù)器兩部分組成，在實際應(yīng)用中，可以根據(jù)用戶規(guī)模大小和業(yè)務(wù)需求，部署在一個或多個物理服務(wù)器上。Web服務(wù)器上包含有應(yīng)用程序代碼，完成服務(wù)器端代碼的運行，數(shù)據(jù)庫服務(wù)器負責加密數(shù)據(jù)的存儲。

安全通信服務(wù)中心Web服務(wù)器，需要使用服務(wù)器密碼鑰匙才能運行，密碼鑰匙由密鑰管理中心初始化并生成有關(guān)信息，包括服務(wù)器認證密鑰對，該密鑰對中的公鑰簡稱為服務(wù)器認證公鑰。安全通信服務(wù)器是整個系統(tǒng)的功能核心，利用服務(wù)器密碼鑰匙完成安全通信客戶端的身份認證，以及信息發(fā)送、信息請求的驗證等操作。

2） 安全通信客戶端

安全通信客戶端主要由驅(qū)動程序和安全接口控件構(gòu)成，通過專用安全瀏覽器客戶端運行從服務(wù)器下載的代碼網(wǎng)頁模塊，實現(xiàn)客戶端所有的應(yīng)用功能，如圖2所示。在運行過程中，必須使用密碼鑰匙作為身份識別和密碼運算的硬件設(shè)備，客戶端密碼鑰匙中含有客戶身份信息、客戶端簽名和加密密鑰對、簽名公鑰、服務(wù)器認證公鑰等內(nèi)容，同時還包含對上述部分信息的簽名和對全部信息的簽名。這些信息和簽名都是由 KMC 在進行客戶端鑰匙初始化時寫入的。

為了保證數(shù)字簽名的唯一性，系統(tǒng)采用了雙密鑰的方式。安全通信客戶端密碼鑰匙中包含有兩對密鑰對，分別稱作客戶端簽名密鑰對和客戶端加密密鑰對。KMC在初始化客戶端密碼鑰匙時，客戶端簽名密鑰是在密碼鑰匙內(nèi)部產(chǎn)生，私鑰保存在密碼鑰匙內(nèi)，公鑰導給KMC備份;加密密鑰對則由KMC產(chǎn)生后灌入客戶端密碼鑰匙，同時進行了備份，如圖3所示。

3.2 安全通信客戶端設(shè)計原則

3.2.1 自主可控

基于信息安全對國家安全的敏感性和重要性，提供具有完全自主產(chǎn)權(quán)的安全產(chǎn)品是符合國家利益的。為此，江西省委公文傳輸系統(tǒng)安全通信客戶端明確提出必須研制自主可控的產(chǎn)品，在設(shè)計中應(yīng)采用自主安全芯片、自主硬件產(chǎn)品、支持SM2/SM3/SM4算法的設(shè)計原則而研制的。因此，采用開放源代碼瀏覽器框架Chromium作為基礎(chǔ)，安全通道模塊為自行設(shè)計開發(fā)，握手協(xié)議和記錄協(xié)議遵循密碼行業(yè)規(guī)范。

3.2.2 先進性

通過對國外同類技術(shù)的跟蹤和對國內(nèi)具體應(yīng)用的研究，支持SM2/SM3/SM4算法的江西省委公文傳輸系統(tǒng)安全通信客戶端不但在功能上能夠滿足要求，而且通過在安全功能、性能優(yōu)化等方面進行特殊的設(shè)計，該系統(tǒng)在國內(nèi)同類系統(tǒng)中具有一定的先進性。

3.2.3 安全性

在安全性方面，建立安全通道所用的密鑰均位于受保護內(nèi)存中，非安全通道進程無法訪問受保護內(nèi)存，因而提高了安全特性。通過加殼技術(shù)，實現(xiàn)了客戶端的反跟蹤，消解代碼注入攻擊的危險。另外，SSL認證協(xié)議的設(shè)計方面除了全面采用國產(chǎn)算法之外，還充分考慮了認證過程的安全，讓瀏覽器具有證書防篡改、認證過程抗重放等安全特性。

3.2.4 可靠性

為了保證系統(tǒng)可靠運行，江西省委公文傳輸系統(tǒng)安全通信客戶端采用了支持多線程的安全內(nèi)核，將渲染操作的運行置于安全沙箱之中，保證復雜工作或者有意攻擊在渲染過程中發(fā)生的異常都處于瀏覽器的上層線程管理之下，有效地提高了系統(tǒng)的可擴展性和可靠性。

為滿足上述基本原則，江西省委公文傳輸系統(tǒng)安全通信客戶端實現(xiàn)了目標：SM2等密碼運算完全在受保護內(nèi)存中完成，既提高效率，又滿足密鑰安全性要求;認證模塊所用的密鑰均位于密鑰加密密鑰的保護之下;采用成熟的Blink內(nèi)核內(nèi)核架構(gòu)，讓各種渲染和攻擊產(chǎn)生的渲染引擎異常不會導致瀏覽器崩潰，解決過去瀏覽器長期存在的穩(wěn)定性問題。

3.2.5 可擴展性

支持SM2/SM3/SM4算法的江西省委公文傳輸系統(tǒng)安全通信客戶端采用功能列表設(shè)計，在每一個功能類均應(yīng)支持相應(yīng)擴展能力，給出了算法列表、證書列表、網(wǎng)關(guān)協(xié)議列表等內(nèi)置擴展的功能類管理機制。除了內(nèi)置的功能支持之外，系統(tǒng)可以在功能模塊的加載記錄和功能支持列表之間建立綁定關(guān)系，通過模塊加載和列表更新來進行客戶端功能的擴展。

3.3 其他說明

由于采用了B/S、C/S混合結(jié)構(gòu)，所有的應(yīng)用代碼均保存在Web服務(wù)器上，客戶端僅需要安裝必要的密碼鑰匙驅(qū)動和安全接口控件即可，其應(yīng)用功能代碼則是通過瀏覽器實時下載到客戶端瀏覽器內(nèi)運行，明顯地減輕了客戶端的管理、維護、升級的工作量，提高了系統(tǒng)的安全性。

在完成發(fā)送、接收、統(tǒng)計等客戶端操作時，縣級中心客戶端和鄉(xiāng)鎮(zhèn)、部門處于同等的地位，通過相同流程步驟進行信息的發(fā)送和接收操作。

此外，在縣級安全通信中心配有專門的系統(tǒng)管理模塊，該模塊負責安全通信子系統(tǒng)的參數(shù)設(shè)置、客戶端密碼鑰匙登記注冊等功能，只有通過登記注冊的客戶端才能正常使用系統(tǒng)。

3.4 可維護性

系統(tǒng)的構(gòu)成應(yīng)易于維護和維修。應(yīng)用系統(tǒng)采用構(gòu)件化設(shè)計思想，系統(tǒng)框架與業(yè)務(wù)邏輯鋒利，具備開發(fā)的技術(shù)體系架構(gòu)。

應(yīng)用系統(tǒng)支持可視化管理方式，通過統(tǒng)一的圖形化界面進行系統(tǒng)的管理。

應(yīng)用系統(tǒng)支持主要功能模塊的可配置化，用戶在無需代碼或腳本編程的情況下，可實現(xiàn)功能、界面、表單和流程等的客戶化設(shè)計，在需求發(fā)生新增或變更時，能夠?qū)ο到y(tǒng)進行靈活的調(diào)整。

應(yīng)用系統(tǒng)出現(xiàn)異常錯誤報告時，能夠提供詳細的異常信息和明確的錯誤編號，并能在系統(tǒng)的相應(yīng)維護手冊中查到錯誤處理方法與步驟。

當系統(tǒng)負荷加大時，可在不更改整個系統(tǒng)架構(gòu)的前提下，對系統(tǒng)進行線性的擴充。

應(yīng)用系統(tǒng)支持各構(gòu)件的單獨升級，可實現(xiàn)在線升級功能。應(yīng)用系統(tǒng)中的任一模塊更新、加載時，在不改變與上下模塊接口的前提下，能夠不影響正常運轉(zhuǎn)和服務(wù)。

4? 江西省委公文傳輸系統(tǒng)的關(guān)鍵技術(shù)

先進的多層應(yīng)用體系結(jié)構(gòu)應(yīng)用技術(shù)架構(gòu)在增強了系統(tǒng)擴展能力和適應(yīng)能力的基礎(chǔ)上，明顯地降低了終端客戶操作使用和維護的難度，也為系統(tǒng)功能擴展留下巨大空間。

支持面向服務(wù)的應(yīng)用架構(gòu)協(xié)議（SOAP），支持XML方式的數(shù)據(jù)交換、數(shù)據(jù)驗證、元數(shù)據(jù)存儲等功能。

4.1 雙SSL協(xié)議支持

對于重要的信息系統(tǒng)，國家明確要求必須支持國密算法，針對信息系統(tǒng)網(wǎng)絡(luò)安全傳輸制定了國密SSL協(xié)議支持國密算法。江西省委公文傳輸系統(tǒng)安全通信客戶端全面支持國密SSL協(xié)議和國際SSL（SSL3.0、TLS1.0、TLS1.1、TLS1.2）協(xié)議，可以根據(jù)服務(wù)器支持的協(xié)議類型進行自適應(yīng)切換，根據(jù)客戶安全需求及業(yè)務(wù)需要，對國際SSL協(xié)議的支持程度進行定制化配置。

4.2 雙網(wǎng)絡(luò)信任體系支持

基于國際上四大瀏覽器（IE、Firefox、Chrome、Safari）的四大證書庫，形成了目前的國際網(wǎng)絡(luò)信任體系，只有經(jīng)過四大證書庫認可的CA頒發(fā)的證書，瀏覽器才默認為是可信的證書?；趪鴥?nèi)的CA體系，可以構(gòu)建我國自主的網(wǎng)絡(luò)信任體系，支持國產(chǎn)密碼算法證書。

江西省委公文傳輸系統(tǒng)安全通信客戶端同時支持我國自主的網(wǎng)絡(luò)信任體系和國際網(wǎng)絡(luò)信任體系，原生支持國內(nèi)各大CA根證書及相應(yīng)證書鏈。