pki體系認(rèn)證模式的usbkey在電子政務(wù)中的應(yīng)用

1、責(zé)任編輯：姚翌通信論壇PKI體系認(rèn)證模式的USBKey在電子政務(wù)中的應(yīng)用蔣世強(qiáng)(河北省保密局石家莊050052)【摘要】建立穩(wěn)定可靠的信任和授權(quán)機(jī)制是電子政務(wù)建設(shè)中亟待解決的課題。USBKey是一種新型身份認(rèn)證產(chǎn)品。分析了PIG技術(shù)的特點(diǎn)，提出了利用基于PIG體系認(rèn)證模式的USBKey解決信息傳輸中身份認(rèn)證問題的方法?！娟P(guān)鍵詞】電子政務(wù)PIGUSBKey1引言電子政務(wù)是社會(huì)信息化的基礎(chǔ)，其中最為重要的內(nèi)容是如何運(yùn)用信息和通訊技術(shù)來打破傳

2、統(tǒng)的行政體制和組織界限，政府機(jī)關(guān)之間以及政府機(jī)關(guān)和社會(huì)之間通過電子政務(wù)的信息化渠道進(jìn)行溝通。并可以根據(jù)人們的需求，以不同的形式、不同的時(shí)間、地點(diǎn)選擇不同的服務(wù)內(nèi)容，從而推動(dòng)政府機(jī)關(guān)之間、政府和社會(huì)之間以電子化的信息交換方式進(jìn)行通訊和信息交換處理。當(dāng)前，越來越多政務(wù)信息以數(shù)據(jù)的形式在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和使用，這就對電子政務(wù)過程中的信息安全保密提出了更高的要求。除了需要網(wǎng)絡(luò)安全可靠外，還要建立以身份認(rèn)證為核心的信任與授權(quán)服務(wù)系統(tǒng)，

3、來保障應(yīng)用層的安全。基于PKI技術(shù)的身份認(rèn)證方案，是目前較為實(shí)用的方案。本文簡要講述了基于PIG體系認(rèn)證模式的USBKey在電子政務(wù)中的應(yīng)用。2當(dāng)前計(jì)算機(jī)及網(wǎng)絡(luò)中身份認(rèn)證的方式身份認(rèn)證是計(jì)算機(jī)信息系統(tǒng)確認(rèn)操作者身份的過程，主要是防止非授權(quán)用戶使用或訪問系統(tǒng)資源。當(dāng)前，計(jì)算機(jī)及網(wǎng)絡(luò)中通常有四種方式驗(yàn)證主體身份：用戶名／密碼方式、智能卡方式、生理特征方式及基于PKI體系的USBKey認(rèn)證。表1是幾種身份認(rèn)證方式的比較：3PKI技術(shù)的主要特點(diǎn)

4、PIG(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。系統(tǒng)通過使用由CA(Certification定稿日期：2005—10—23表1身份認(rèn)證方式的E較認(rèn)證方式技術(shù)特點(diǎn)應(yīng)用水平適用范圍用戶名／傳統(tǒng)的鑒別方式，容易被破解，保護(hù)密級不密碼方式便于實(shí)現(xiàn)安全性較差高的系統(tǒng)智能卡結(jié)合了擁有物品和技術(shù)成熟可靠，保護(hù)密級不方式知曉內(nèi)容兩種機(jī)制在一

5、定范圍內(nèi)高的系統(tǒng)有應(yīng)用生理特征運(yùn)用用戶具有的獨(dú)方式一無二的特征或能技術(shù)難度大，成保護(hù)密級較力，如指紋、聲音、本高，較難實(shí)高的系統(tǒng)現(xiàn)應(yīng)用較少視網(wǎng)膜等進(jìn)行鑒別可用于保護(hù)USBK吖運(yùn)用PIG機(jī)制，容技術(shù)成熟可靠，敏感信息，成本低廉。便于但目前在涉方式易實(shí)現(xiàn)一次一密密系統(tǒng)的應(yīng)擴(kuò)展和部署用尚無國家標(biāo)準(zhǔn)Authority，認(rèn)證機(jī)構(gòu))頒發(fā)的數(shù)字證書，結(jié)合對應(yīng)的私鑰，完成對實(shí)體的單向或雙向身份認(rèn)證，大大提高了身份認(rèn)證的安全水平。運(yùn)用一組有數(shù)學(xué)聯(lián)系的密鑰

6、對敏感信息進(jìn)行加密和解密，通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)不會(huì)被第三者篡改，可保證數(shù)據(jù)的完整性；通過數(shù)字證書的雙向驗(yàn)證建立的安全數(shù)據(jù)通道，保證了事務(wù)處理細(xì)節(jié)的保密性；利用PIG技術(shù)實(shí)現(xiàn)數(shù)字簽名，確保了傳輸結(jié)果的抗抵賴性。以上特點(diǎn)滿足了電子政務(wù)中對信息保密、完整、可控、可用和抗抵賴的要求，因此具有廣闊的應(yīng)用前景。4基于PKI體系認(rèn)證模式的USBKey基于PIG體系認(rèn)證模式的UXBKey是最近幾年發(fā)展起來的一種方便、安全、經(jīng)濟(jì)的個(gè)人身份數(shù)字驗(yàn)證工具。它采

7、用軟硬件相結(jié)合的一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，其內(nèi)置維普資訊通信論壇責(zé)任編輯：姚翌的單片機(jī)或智能存儲(chǔ)芯片可以存儲(chǔ)用戶的密鑰或數(shù)字證書，可用于Intemet上任何需要驗(yàn)證登陸者身份的地方。USBKey中具有內(nèi)置的文件系統(tǒng)以及單向散列算法MD5。41實(shí)現(xiàn)認(rèn)證的原理每個(gè)KEY中具有唯一的序列號SN，使用前，將KEY在認(rèn)證服務(wù)器端注冊，注冊時(shí)由認(rèn)證服務(wù)器產(chǎn)生一個(gè)與該序列

8、號對應(yīng)的關(guān)鍵數(shù)字KN，形成服務(wù)器端的用戶數(shù)據(jù)庫(記錄SN與KN的對應(yīng)關(guān)系)，同時(shí)將關(guān)鍵數(shù)字寫到KEY中。這樣客戶端的KEY就有了一個(gè)與該用戶對應(yīng)的唯一一個(gè)關(guān)鍵數(shù)字，該關(guān)鍵數(shù)字在KEY中文件管理的支持下只能寫入不能讀出。用戶端(包括B／S結(jié)構(gòu)中的瀏覽器Browser和C／S結(jié)構(gòu)中的客房端Client)向認(rèn)證服務(wù)器(Server)發(fā)出登錄請求，將序列號SN傳送到服務(wù)器端，當(dāng)認(rèn)證服務(wù)器收到客戶端的登錄請求后，便向客戶端發(fā)出一個(gè)隨機(jī)數(shù)RN(Ra

9、ndomnumber)，同時(shí)根據(jù)客戶端傳送的序列號從用戶數(shù)據(jù)庫中找到對應(yīng)的關(guān)鍵數(shù)字，結(jié)合該隨機(jī)數(shù)R_N和關(guān)鍵數(shù)字進(jìn)行MD5運(yùn)算，得到結(jié)果A；客戶端收到隨機(jī)數(shù)RN后，將其提供給KEY，KEY結(jié)合其中的關(guān)鍵數(shù)字進(jìn)行MD5運(yùn)算，得到認(rèn)證數(shù)據(jù)B；客戶端將B送到服務(wù)器端進(jìn)行比較，如果A=B則驗(yàn)證通過。另外，在進(jìn)行驗(yàn)證需要使用到KEY時(shí)，還需要提交“PIN碼”，利用PIN碼進(jìn)行驗(yàn)證。認(rèn)證過程中，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)只有隨機(jī)數(shù)RN和認(rèn)證數(shù)據(jù)B。用戶密鑰

10、既不在網(wǎng)絡(luò)上傳輸也不在客戶端電腦閃存中出現(xiàn)，網(wǎng)絡(luò)上的黑客和客戶端電腦中的木馬程序都無法得到用戶的密鑰。由于MD5算法是一種不可逆的算法，不被信任的第三者即使截取到該信息也無法破譯出原文，隨機(jī)數(shù)對第三者而言是毫無意義的。由于KEY中的操作系統(tǒng)定義了KEY中關(guān)鍵數(shù)字無法讀出，所以一旦KEY中寫入了關(guān)鍵數(shù)字，他將沒有任何必要和機(jī)會(huì)從KEY中讀出，因?yàn)樗信c該數(shù)字相關(guān)的運(yùn)算均在KEY內(nèi)完成。42技術(shù)優(yōu)點(diǎn)(1)節(jié)省費(fèi)用，簡便易行。該技術(shù)為所有的應(yīng)

11、用程序和設(shè)備提供了可靠的、一致的解決方案。這種一致性的解決方案在一個(gè)系統(tǒng)內(nèi)更易于安裝、管理、維護(hù)和擴(kuò)展，降低了管理成本，這是該技術(shù)的一個(gè)重要優(yōu)勢。(2)對終端用戶的透明性：USBKey提供的是一個(gè)“黑盒子”級的服務(wù)：所有的安全操作對用戶透明，用戶無需具備專業(yè)知識，無需額外的干預(yù)，無需注意密鑰和算法，不會(huì)因?yàn)橛脩舻腻e(cuò)誤操作對安全造成危害。(3)全面的安全性：在整個(gè)應(yīng)用環(huán)境中，使用單一可信的安全技術(shù)——公鑰技術(shù)，保證了數(shù)目不受限制的應(yīng)用程序

12、、設(shè)備和服務(wù)器無縫地協(xié)調(diào)工作，安全地傳輸、存儲(chǔ)和檢索數(shù)據(jù)，安全地進(jìn)行事務(wù)處理，安全地訪問服務(wù)器等。電子郵件應(yīng)用、Web訪問、防火墻、遠(yuǎn)程訪問設(shè)備、應(yīng)用服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫或更多的其562005年第22期他設(shè)備，能夠用一種統(tǒng)一的方式理解和使用安全服務(wù)基礎(chǔ)設(shè)施。在這種環(huán)境中，不僅極大地簡化了終端用戶使用各種設(shè)備和應(yīng)用程序的方式，而且簡化了設(shè)備和應(yīng)用系統(tǒng)的管理工作，保證執(zhí)行相同等級的安全策略。43功能的延伸USBKey作為一種安全數(shù)據(jù)的

13、存儲(chǔ)介質(zhì)，不但可以存儲(chǔ)數(shù)字證書和用戶密鑰，還可以存儲(chǔ)各種需要保護(hù)的與個(gè)人身份相關(guān)的數(shù)據(jù)?？梢愿鶕?jù)電子政務(wù)系統(tǒng)的不同業(yè)務(wù)需要開發(fā)出不同的應(yīng)用。例如文件加密和電子印章應(yīng)用。文件加密是指使用USBKey內(nèi)置的加密算法和用戶密鑰對硬盤和移動(dòng)存儲(chǔ)設(shè)備上存儲(chǔ)的重要文件進(jìn)行加密，這些文件經(jīng)加密后在沒有USBKey的情況下無法打開。而電子印章則是通過將印章圖像與數(shù)字證書綁定后存儲(chǔ)在USBKey中可。印章的合法持有人一旦加蓋了電子印章，電子印章將在文件上

14、顯示并可打印。加蓋過電子印章的文件被非法修改后，電子印章就會(huì)失效，無法顯示和打印，保證了文件的完整性和準(zhǔn)確性。5結(jié)束語基于PKI可以構(gòu)建安全可靠的安全電子政務(wù)應(yīng)用和系統(tǒng)。但不論是PKI還是電子政務(wù)，都面臨著很多的問題。如：缺乏行業(yè)管理部門，沒有形成集管理、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、應(yīng)用于一體的PKI體系，應(yīng)用水平較低；基于PKI的軟硬件體系的建設(shè)，需要各軟硬件廠商的協(xié)作和制定相關(guān)的行業(yè)標(biāo)準(zhǔn)；對證書認(rèn)證機(jī)構(gòu)的責(zé)任、義務(wù)、業(yè)務(wù)流程及相關(guān)資質(zhì)沒有明確

15、規(guī)定等等。對于PKI技術(shù)在我國電子政務(wù)中的應(yīng)用，應(yīng)當(dāng)結(jié)合實(shí)際情況，認(rèn)真研究。在政務(wù)內(nèi)網(wǎng)進(jìn)行PKI試點(diǎn)工作的過程中，不能照搬國外模式，應(yīng)結(jié)合我國的管理方式，要有我國自主知識產(chǎn)權(quán)，達(dá)到可信、可控的目標(biāo)，并積累經(jīng)驗(yàn)、注重標(biāo)準(zhǔn)化，增強(qiáng)互操作性，同時(shí)加強(qiáng)測評，以符合安全保密要求。華碩WL550gE領(lǐng)航無線網(wǎng)絡(luò)新時(shí)空記者近日獲悉，華碩電腦網(wǎng)絡(luò)通信部門最新發(fā)布了一款型號為WL一550gE無線路由器。該產(chǎn)品集成最新寬帶路由技術(shù)，將8021lg標(biāo)準(zhǔn)數(shù)據(jù)傳

16、輸率增加了35％，把無線網(wǎng)絡(luò)信號覆蓋范圍提升到上述標(biāo)準(zhǔn)的300％，并且能夠確保為更大的覆蓋范圍提供輸出功率。業(yè)內(nèi)專家稱，該產(chǎn)品的上市滿足了用戶對高速無線網(wǎng)絡(luò)主流選擇和追求，加速了行業(yè)技術(shù)升級。國內(nèi)知名網(wǎng)絡(luò)廠商華碩網(wǎng)通部于日前推出的華碩WL一550gE采用業(yè)內(nèi)最先進(jìn)的“Afterburner”技術(shù)，能夠提供比傳統(tǒng)8021lg設(shè)備的數(shù)據(jù)率高35％的傳輸性能，這也意味著，用戶要傳輸100MB的文件需要不到17秒的時(shí)間，這樣的速度已經(jīng)更加接近有