電子政務(wù)中身份認證技術(shù)的研究與實現(xiàn)

劉邦桂　曾思財

摘? 要：針對電子政務(wù)應(yīng)用中網(wǎng)絡(luò)自助業(yè)務(wù)不斷增多，用戶網(wǎng)絡(luò)安全意識普遍不高，容易受仿冒服務(wù)端發(fā)起的網(wǎng)絡(luò)攻擊，導(dǎo)致信息泄露、財產(chǎn)損失等安全問題，以業(yè)務(wù)中通信數(shù)據(jù)的完整性、機密性、不可否認性為研究對象，深入研究分析了密碼學(xué)、數(shù)字簽名、PKI（Public Key Infrastructure， 公共基礎(chǔ)設(shè)施）、CA（Certificate Authority， 證書授權(quán)機構(gòu)）以及證書的工作機制，提出了基于PKI的電子身份認證技術(shù)在自助電子政務(wù)中的運用方案。利用開源OpenSSL軟件包，選用RSA（Rivest Shamir Adleman）簽名算法、SHA（Secure Hash Algorithm， 安全散列）摘要算法，在目前最新且被市場穩(wěn)定使用的Red Hat Linux 7.4系統(tǒng)中進行了仿真驗證。結(jié)果表明，數(shù)字證書能夠為通信雙方提供加密和身份認證服務(wù)，結(jié)合實名制、生物識別等新網(wǎng)絡(luò)安全技術(shù)，能有效保證自助電子政務(wù)業(yè)務(wù)的安全性，可在實際應(yīng)用中推廣，為解決目前自助電子政務(wù)安全難點提供了參考。

關(guān)鍵詞：電子政務(wù);數(shù)字簽名;身份驗證;生物識別

中圖分類號：TP393.2? ? ?文獻標識碼：A

Research and Implementation of Identity Authentication

Technology in E-government

LIU Banggui1， ZENG Sicai2

（1.School of Artificial Intelligence， the Open University of Guangdong， Guangzhou 510091， China;

2.Guangdong? Yunzheng Data Technology Co.， Ltd.， Zhongshan 528400， China）

liubanggui@qq.com; gdyztech@163.com

Abstract： With the increasing network self-service business in e-government applications， network users generally have low awareness of network security and they are vulnerable to network attacks from counterfeit servers， which leads to security issues such as information leakage and property loss. Taking the integrity， confidentiality and non repudiation of communication data in business as the research objects， this paper is based on in-depth research and analysis of cryptography， digital signatures， PKI （Public Key Infrastructure）， CA （Certificate Authority） and working mechanism of certificates. This paper then proposes an application scheme of electronic identity authentication technology based on PKI in self-service e-government， using open source OpenSSL software package， and selecting RSA （Rivest Shamir Adleman） signature algorithm and SHA （Secure Hash Algorithm） digest algorithm. The simulation verification is carried out in the latest and stable Red Hat Linux 7.4 system. Results show that digital certificate can provide encryption and identity authentication services for both parties of communication. Combined with new network security technologies such as real name system and biometrics， it can effectively ensure the security of self-service e-government business， and can be popularized in practical application， which provides a reference for solving current difficulties of self-service e-government network security.

Keywords： e-government; digital signature; identity verification; biometrics

1? ?引言（Introduction）

政府部門電子業(yè)務(wù)辦理日趨信息化、自動化，越來越多的政務(wù)業(yè)務(wù)開始逐漸往網(wǎng)絡(luò)遷移，網(wǎng)絡(luò)安全也開始與每個人息息相關(guān)。然而大部分應(yīng)用的使用者缺乏網(wǎng)絡(luò)素養(yǎng)，給網(wǎng)絡(luò)應(yīng)用帶來越來越多的風(fēng)險。再者，網(wǎng)絡(luò)結(jié)構(gòu)的開放性、復(fù)雜性，網(wǎng)絡(luò)應(yīng)用的多樣性，網(wǎng)絡(luò)終端的虛擬性等特點，使網(wǎng)絡(luò)中的信息經(jīng)常出現(xiàn)“我是誰”“我在哪里”的情況。互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展也伴隨著網(wǎng)絡(luò)攻擊途徑、方式、手段和目的的不斷改變和層出不窮。如何做到電子政務(wù)網(wǎng)絡(luò)服務(wù)中的攻防平衡是網(wǎng)絡(luò)安全急需解決的問題。

確保安全使用電子政務(wù)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)安全技術(shù)有很多，比如實名制、加密卡、U盾、動態(tài)口令、生物識別、軟硬件防火墻等，總結(jié)起來無外乎是為了實現(xiàn)信息的機密、完整、不可否認三大特性。密碼學(xué)技術(shù)解決了在不安全的信道中安全傳輸信息的問題，確保數(shù)據(jù)的機密性;數(shù)字簽名技術(shù)可以證明信息沒有被篡改，實現(xiàn)了信息的完整性;同樣利用數(shù)字證書身份識別技術(shù)實現(xiàn)了信息的不可否認性。然而密碼學(xué)、數(shù)字簽名技術(shù)均需要在信息的兩端互相傳輸密鑰，因此，密鑰的管理將是解決網(wǎng)絡(luò)攻擊的核心問題之一。為此我們基于PKI[1]在Linux 7中設(shè)計了一種OpenSSL方案，為電子政務(wù)的網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼和數(shù)字證書服務(wù)管理。

2? 密碼學(xué)與數(shù)字簽名（Cryptography and digital signature）

2.1? ?密碼學(xué)

密碼學(xué)是研究信息系統(tǒng)安全保密的學(xué)科。密碼編碼學(xué)主要是指對信息進行編碼，實現(xiàn)對信息的隱蔽。密碼分析學(xué)主要是對加密信息進行破譯。在密碼學(xué)中包含明文、密文、密鑰、加密算法、解密算法五個重要的元素，構(gòu)成了密碼學(xué)體制[2]，是通信雙方能進行加密通信的協(xié)議。所以，不管是編碼學(xué)還是分析學(xué)都要用到密鑰，它是算法的關(guān)鍵。根據(jù)加密和解密過程中密鑰是否相同，可以將密碼學(xué)分為對稱密碼和非對稱密碼。對稱密碼的加解密鑰相同;非對稱密碼的加解密鑰不相同，而且相互不能推導(dǎo)。一般情況下，保留在加密方手上不能公開傳輸?shù)姆Q為私鑰;可以在公網(wǎng)上傳輸?shù)姆Q為公鑰，用來解密。因此，在通信雙方進行通信前，相互獲得共同預(yù)定的密鑰是整個過程的關(guān)鍵。通常在沒有中間人攻擊的情況下，需要用到雙方都認可的第三方權(quán)威機構(gòu)來進行密鑰的分發(fā)，才能確保數(shù)據(jù)的機密性。

2.2? ?數(shù)字簽名

日常生活中，一般涉及合同、約定等類型的協(xié)議文件都需要簽名或者按手印來證明文件的完整性，也就是說沒有被偽造或者修改過，簡稱原件。同樣，在網(wǎng)絡(luò)應(yīng)用中數(shù)字簽名也有同樣的功能，是手寫簽名的電子對應(yīng)物。然而，數(shù)字簽名中簽名同信息是分開的，需要一種方法將簽名和消息綁定在一起，而在傳統(tǒng)的手寫簽名中，簽名是信息的一部分;數(shù)字簽名利用一種公開的方法使得任何人都可以對簽名進行驗證，手寫簽名是由經(jīng)驗豐富的消息接收者通過以前的簽名進行對比來驗證真?zhèn)蔚?數(shù)字簽名可以復(fù)制，但其可采用時間戳來防止復(fù)制，手寫簽名則不可以復(fù)制。

數(shù)字簽名包含待簽名信息、哈希函數(shù)（摘要算法）、簽名算法、私鑰、驗證算法、公鑰幾個部分[3]。用簽名算法和私鑰對信息進行加密的過程稱為簽名，用公鑰和驗證算法對信息解密的過程稱為驗證，這和非對稱密碼體制使用公鑰加密和私鑰解密剛好相反。

數(shù)字簽名包含以下幾個過程：（1）運用消息摘要算法（哈希函數(shù)）對全部信息生成固定長度的哈希值，由于它將任意長度的消息變成固定長度的短消息，因此也稱為散列或者雜湊函數(shù)。哈希函數(shù)是單向的，如果攻擊者能夠輕易構(gòu)造出兩個不同消息具有相同的摘要，那么這樣的哈希函數(shù)是不安全的。常用的哈希函數(shù)有：MD5（Message Digest）、SHA（Secure Hash Algorithm）等。（2）對生成的摘要運用簽名算法和私鑰進行簽名。常用的簽名算法有：DSA（Digital Signature Algorithm）、RSA[4]（Ron Rivest、Adi Shamir、Len Adleman發(fā)明）。（3）將消息和數(shù)字簽名發(fā)給接收方。（4）接收方選擇數(shù)字簽名中攜帶的哈希函數(shù)對消息進行摘要計算，同時使用數(shù)字簽名中的公鑰對信息的數(shù)字簽名進行驗證，得到發(fā)送方計算的摘要，如果兩個摘要相同，說明消息完整，沒有被修改過。

3? ?PKI與數(shù)字證書（PKI and digital certificate）

3.1? ?PKI

隨著公鑰、密鑰技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，用來在非對稱密碼中加密信息和驗證數(shù)字簽名的公鑰都需要在公網(wǎng)中公開傳輸，非常容易被中間人攻擊（如圖1所示），從而順利被中間人竊取和篡改信息。因為這個過程中通信雙方都沒有驗證對方的身份，所以這是網(wǎng)絡(luò)安全最重要的一個部分，不僅要獲得對方公鑰，還需要明確公鑰的來源。

公鑰基礎(chǔ)設(shè)施PKI能夠完成以上任務(wù)，它是一種遵循既定標準的公共密鑰管理平臺，是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，也是數(shù)字證書管理平臺。其關(guān)鍵技術(shù)是通過數(shù)字簽名提供不可否認業(yè)務(wù);將公鑰和個人身份建立聯(lián)系，并對公鑰進行集中管理。

3.2? ?數(shù)字證書

數(shù)字證書[5]是互聯(lián)網(wǎng)中用來證明自己和識別對方身份的一種權(quán)威性電子文檔，也是網(wǎng)絡(luò)中的“居民身份證”。它是一種樹狀層次結(jié)構(gòu)，其格式遵循國際電信聯(lián)盟制定的數(shù)字證書標準X.509[6]，目前為版本4。它包含證書授權(quán)中心CA（Certificate Authority），是可信的第三方機構(gòu)，負責(zé)證書的發(fā)放、廢除以及查詢;證書注冊機構(gòu)RA（Registration Authority），是用戶和CA的中間人，負責(zé)用戶注冊信息的收集、驗證，密鑰對生成和管理以及作廢的請求管理等。

數(shù)字證書的工作流程有以下幾個步驟：（1）用戶利用軟件或者其他途徑生成公私鑰對，其中公鑰交給RA注冊，私鑰由用戶自己保管;（2）用戶在程序生成向?qū)е欣米约旱淖孕畔ǖ乩硇畔⒓奥?lián)系方式等生成證書申請，提交給RA;

（3）RA收到請求后驗證用戶的身份以及與證書請求對應(yīng)的公私鑰對的正確性，在無誤的情況下將請求提交給CA;（4）CA收到證書申請后，為注冊用戶信息簽名，生成數(shù)字證書，并將證書拷貝存放在證書目錄中。

數(shù)字證書已經(jīng)將公鑰和身份信息綁定，驗證了證書的有效性就是認可了對方的身份。除了公鑰，證書里面提供了相關(guān)的摘要算法、加密算法、簽名算法?？蛻舳蓑炞C證書分為兩個步驟：第一，使用證書攜帶的摘要算法對證書的客戶信息進行摘要計算;第二，運用證書攜帶的公鑰對證書中的摘要進行解密，如果與第一步計算的摘要相同，說明證書有效，否則無效。具體通信過程如圖2所示。

數(shù)字證書在使用過程中可能會因為私有密鑰的泄露，使用時間、應(yīng)用范圍變更而被撤銷，證書撤銷列表CRL（Certificate Revocation List）就形成了。

4? ?OpenSSL技術(shù)（OpenSSL technology）

OpenSSL是開放源代碼的軟件包，由加拿大人Eric A.? Young和Tim J. Hudson采用C語言編寫而成，目前比較完善，能支持多種平臺，包括密碼算法庫、SSL協(xié)議庫和應(yīng)用程序三大部分。具體有以下重要功能：（1）提供八種對稱加密算法，其中有AES、DES、IDEA、RC2、RC5、CAST、Blowfish等七種分組加密算法，一種流加密算法RC4。（2）提供DH算法、RSA算法、DSA算法和橢圓曲線算法（EC）四種非對稱加密算法。（3）實現(xiàn)了MD2、MD4、MD5、MDC2、SHA等五種信息摘要算法。（4）包含密鑰和證書管理機制。（5）具備OpenSSL透明地使用第三方提供的軟件硬件加密設(shè)備進行加密的Engine機制。（6）封裝有內(nèi)存訪問、文件訪問及Socket等I/O接口機制。

5 方案設(shè)計與實現(xiàn)（Scheme design and implementation）

目前電子政務(wù)網(wǎng)站、電子郵件安全的威脅主要有兩個方面，一方面是非法的訪問端，主要是攻擊網(wǎng)站服務(wù)器，以盜取信息或文件;另一方面是非法的服務(wù)器端，主要以盜取客戶賬號和密碼來牟取不合法利益為目的，比如釣魚網(wǎng)站、仿冒網(wǎng)站（仿冒對象以各大銀行、12306、網(wǎng)上商城等尤為突出）。解決以上問題，有經(jīng)驗的客戶可以通過記住官網(wǎng)網(wǎng)址來實現(xiàn)，但對于絕大部分網(wǎng)絡(luò)素養(yǎng)不高的客戶來說，數(shù)字證書就是最有效的方式之一了。

以服務(wù)器端為例，當客戶端訪問網(wǎng)站時，客戶端鑒定該網(wǎng)站是否合法，即Web服務(wù)器需要向可信CA申請服務(wù)器證書并安裝綁定到Web站點?？蛻舳伺c該可信CA建立信任關(guān)系后，客戶端與服務(wù)器之間便建立起信任的證書鏈關(guān)系，客戶端將認為該Web站點是可信任的。由于CA證書服務(wù)器是根據(jù)Web服務(wù)器的證書請求文件來頒發(fā)證書的，因此要首先在Web服務(wù)器上產(chǎn)生自己的公私鑰文件，并且根據(jù)公私鑰文件來生成證書的請求文件。方案拓撲如圖3所示。

該方案需要一個客戶端和服務(wù)器端都認可的第三方可信任機構(gòu)即CA來負責(zé)密鑰和證書的管理。為了達到在客戶端和服務(wù)端都能互相信任，需要在客戶端、服務(wù)器端安裝可信任機構(gòu)的根證書，所以接下來的應(yīng)用部署過程中，需要制作三個證書，分別是根證書、客戶端證書、服務(wù)端證書并應(yīng)用到網(wǎng)站中。

5.1? ?信任機構(gòu)的部署

證書服務(wù)安裝在Red Hat Linux 7.4中，一般情況下系統(tǒng)默認已經(jīng)安裝。由于安裝過程中有比較多的軟件包且它們之間有依賴關(guān)系，我們在配置好安裝源后采用yum安裝OpenSSL相關(guān)軟件包：

[root@cadnswgs yum.repos.d]# yum install -y openssl

5.2? ?根證書的申請

配置證書的系統(tǒng)文件內(nèi)容：

[root@cadnswgs tls]vi /etc/pki/tls/openssl.cnf

文件中有CA_default節(jié)點、policy_match節(jié)點、req_distinguished_name節(jié)點，一般將policy_match節(jié)點中的countryName、stateOrProvinceName、organizationName由match改為optional，以備與根證書在不同地區(qū)的用戶申請和使用證書。在/etc/pki/CA目錄下面包含certs、crl、newcerts、private四個文件，分別用來指定已經(jīng)生成的證書的默認目錄、證書撤銷列表的默認目錄、新簽發(fā)證書的默認目錄、存放CA證書服務(wù)器自身的私鑰和證書文件的目錄。另外還需要自己創(chuàng)建用來保存已經(jīng)簽發(fā)證書的文本數(shù)據(jù)庫文件和簽發(fā)證書時使用的序列號文件。

生成CA自身的私鑰文件：

[root@cadnswgs CA]# openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048

利用私鑰生成CA證書，此證書可以導(dǎo)出到客戶機使用：

[root@cadnswgs CA]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

5.3? ?網(wǎng)絡(luò)應(yīng)用服務(wù)證書的申請

電子政務(wù)網(wǎng)絡(luò)應(yīng)用可以是Web或者電子郵件等應(yīng)用，這里以Web服務(wù)為例。在此之前需要在服務(wù)器中安裝httpd服務(wù)，在/etc/httpd目錄中新建一個certs目錄用來存放服務(wù)器的私鑰文件、證書申請文件和獲得的證書文件。

Web服務(wù)端運用openssl命令利用私鑰生成請求文件并發(fā)給CA申請證書：

[root@webwgs certs]# openssl req -new -key httpd.key -out httpd.csr

在CA中利用證書請求文件給Web服務(wù)頒發(fā)證書：

[root@cadnswgs CA]# openssl ca -in certs/httpd.csr -out certs/httpd.crt

5.4? ?利用證書構(gòu)建安全的Web站點

Web服務(wù)器有了自己的私鑰和證書，接下來利用證書搭建一個安全Web站點訪問。需要將客戶端訪問Web站點的方式由HTTP升級為HTTPS，啟動SSL證書，把服務(wù)器證書和安全的Web站點關(guān)聯(lián)起來。為此，需要用到mod_ssl軟件模塊：

[root@webwgs Packages]# yum install -y mod_ssl

使用yum方式安裝mod ssl，在/etc/httpd/conf.d目錄下自動生成一個SSL配置文件ssl.conf，修改證書和私鑰文件的路徑：

[root@webwgs conf.d]# vi ssl.conf

SSLCertificateFile? ?/etc/httpd/certs/httpd.crt //設(shè)置使用的證書

SSLCertificateKeyFile /etc/httpd/certs/httpd.key //設(shè)置證書的私鑰

5.5? ?客戶端驗證

基于SSL協(xié)議的安全站點已經(jīng)架設(shè)完成，客戶機需要通過瀏覽器進行訪問驗證。由于客戶機訪問時Web服務(wù)器的證書是自己搭建的證書服務(wù)器，不是受信任機構(gòu)頒發(fā)的安全證書，要正常訪問，需要在客戶機上將CA和Web服務(wù)的證書都下載過來并安裝添加到受信任機構(gòu)中，如圖4和圖5所示。

6? ?結(jié)論（Conclusion）

PKI技術(shù)是信息安全技術(shù)的核心，也是目前電子政務(wù)[7]、電子商務(wù)以及企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)?；诩兾谋緟f(xié)議的HTTP協(xié)議存在明文傳輸容易被竊聽、沒有驗證容易被中間人攻擊進而篡改數(shù)據(jù)等安全威脅，破壞了網(wǎng)絡(luò)安全的機密性、完整性等。數(shù)字證書經(jīng)過CA確認、簽名并頒發(fā)，對于全球性的網(wǎng)站服務(wù)，增強了網(wǎng)站服務(wù)的信譽度。利用SSL協(xié)議來提供公鑰和身份綁定的數(shù)字證書驗證機制，實現(xiàn)了具有加密通信、身份驗證以及完整性保護功能的HTTPS，使得傳統(tǒng)的Web服務(wù)得到了安全保障。隨著軟件自定義網(wǎng)絡(luò)、活動目錄、VPN等技術(shù)的交錯深入發(fā)展，在鑒別身份之后提供對應(yīng)權(quán)限的PMI技術(shù)開始緊密地與PKI結(jié)合使用起來[8]，為電子政務(wù)以及網(wǎng)絡(luò)環(huán)境中的各種應(yīng)用提供了統(tǒng)一的授權(quán)管理和訪問控制機制，這將是未來網(wǎng)絡(luò)安全發(fā)展的趨勢之一。

參考文獻（References）

[1] 劉那仁格日樂，王郝日欽.基于PKI技術(shù)的用戶身份數(shù)據(jù)轉(zhuǎn)發(fā)認證算法仿真[J].計算機仿真，2020，37（9）：373-375.

[2] 牛淑芬，楊喜艷，李振彬，等.基于異構(gòu)密碼系統(tǒng)的混合簽密方案[J].計算機工程與應(yīng)用，2019，55（3）：61-67.

[3] 彭春燕，杜秀娟，李梅菊，等.基于格的數(shù)字多簽名體制[J].微電子學(xué)與計算機，2016，33（8）：50-53.

[4] KURYAZOV D M. Development of electronic digital signature algorithms with compound modules and their cryptanalysis[J]. Journal of Discrete Mathematical Sciences and Cryptography， 2021， 24（4）：1085-1099.

[5] 韓水玲，馬敏，王濤，等.數(shù)字證書應(yīng)用系統(tǒng)的設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012（9）：43-45.

[6] 王開軒，滕亞均，王瓊霄，等.隱式證書的國密算法應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2021（5）：74-81.

[7] 張一梅.電子政務(wù)網(wǎng)絡(luò)安全威脅及應(yīng)對措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（8）：112-113.

[8] 任興元，王佳慧，馬利民，等.基于PKI與PMI的海洋政務(wù)服務(wù)系統(tǒng)安全解決方案的設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件，2020，37（12）：68-75.

作者簡介：

劉邦桂（1983-），男，碩士，講師.研究領(lǐng)域：服務(wù)器技術(shù)，網(wǎng)絡(luò)安全技術(shù).

曾思財（1993-），男，本科，工程師.研究領(lǐng)域：電子政務(wù)，智能信息處理研究.