基于电子政务的数字证书安全解决方案
电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是:应用信息技术,提高政府事务处理的信息流效率,改善政府组织和公共管理。
信息技术的飞速发展引发了一场深刻的生产和生活方式变革,极大地推动着经济和社会的发展。作为信息高速公路五个应用领域中的首要应用,电子政府/电子政务在全球范围内受到广泛的重视,可以说政府信息化是经济信息化和社会信息化的前提,电子政务是未来国家核心竞争力的重点要素之一。
根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域:
电子政务是近年业界强烈感受到的市场热点。由于电子政务系统本身的重要性和特殊性,安全性问题便成了人们解析电子政务时的首要话题。
电子政务提供科学决策、监管控制、大众服务的功能,信息安全是其成功的保证。解决好信息共享与保密性、完整性的关系、开放性与保护隐私的关系、互联性与局部隔离的关系,是实现“安全的”电子政务的前提。因此电子政务系统一方面要求考虑政府内部网络的安全,另一方面要求考虑面向公众服务的网络安全。
电子政务行使政府职能的特点导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视(如同恐怖的措手不及)的特点要求引起高度重视。从恶意攻击的特点来看,FBI统计的结果是65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问。
信息网络的可腐败性是电子政务必须考虑的另一问题。信息系统要求有相应的安全环境。应用软件系统的脆弱性、应用系统的漏洞、代码错误、不安全代码的执行模式或不安全设计可能构成安全风险。网络的脆弱性、网络协议的开放性、系统的相互依赖性导致网络存在安全风险。安全设计本身的不完备性可能构成网络新的安全风险。安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
任何应用系统都离不开安全,这也是绝大多数客户在选择和建设应用系统时的一个重要考虑因素。在谈到安全方面,很多人都首先想到防病毒、防黑客、入侵检测、端口扫描等等,这些都是对应用系统之外的操作系统、网络硬件级别的预防措施,而对于应用系统上的假冒、窃取、篡改、否认等攻击手段带来的威胁还没有引起足够的重视。
以下是典型的电子政务系统中的安全级别与安全考虑对照表:
安全级别 |
安全考虑 |
管理级 |
制订相应的规章与制度,从人的角度确保系统与数据安全 |
网络与硬件级 |
从硬件与网络设计上确保安全性 l 网络端口安全设计 l 子网/防火墙隔离设计 |
支撑软件级 |
主要从操作系统的安全性 l 数据库系统的安全性 l GIS系统的安全性等角度考虑。 |
应用级 |
确保各个专业系统之间的业务访问与数据交换安全 l 安全的密码保护机制——密码和密钥存储 l 系统进入的授权控制 l 信息访问的授权控制 l 加密存储及加密传输 l CA认证 |
从上表可以看出,处于系统应用级的CA认证所解决的问题不同于防火墙、防病毒、操作系统补丁等常常为人们所注意的安全问题,它集中于满足在应用系统中各个用户、各种角色的身份验证,以及数据在网络环境下传输交换过程中的机密性与完整性(防盗取,防篡改),和电子文档签名的合法性及不可以抵赖性等系统应用级别中的安全需求。
在电子政务的各系统中,如行政审批,内部OA等系统,对公众服务等,其中数字签名的应用将进一步推动电子政务的进程。2005年4月1日起实施的《电子签名法》确立了电子签名(含数字签名)的法律地位,用CA中心颁发的数字证书进行过数字签名的文件、批示、申请等电子文档具有与手写签名或盖章的纸质文档相等的合法效力。
图表 1电子政务系统安全应用平台结构图
如上图所示:各用户(包括内部办公人员、审批人员、相关领导和系统管理员等)通过已经安装有安全服务中间件的客户端,同时使用数字证书载体进行身份认证,业务系统将用户证书信息传输给安全应用支撑服务器,由安全应用支撑服务器验证用户证书的有效合法性,并根据系统分配给该用户的权限调出相关的业务办理页面。
此安全服务平台还可以解决包括信息的机密性、完整性和不可抵赖性等信息安全问题。安全服务平台需建设的项目有安全应用支撑服务系统、安全服务中间件和数字证书载体等。
在安全服务平台上,首先CA解决的一个首要问题就是系统用户的强身份认证,无论是电子政务系统的日常办公人员(如办公人员、申请及审批人员、文档归档人员等),还是领导及系统管理员,凡需要进入电子政务系统进行日常办公业务处理的人员,都应该持数字证书载体进行强身份认证登录,在应用的源头确保安全合法的人员才能进入系统。登录的验证过程对使用者是透明简单的,只需要插入USB KEY及按照提示输入PIN码即可,而且身份验证占用的系统时间极少。
其次是加解密功能。对一些关键数据(如秘密文件等)进行加密的过程对于使用者也是透明的,和不使用加密传输功能在操作上基本相同,只是要确保USB KEY的正确连接就可以了,其余由系统在后台完成。
最后是签名验签功能。对敏感数据(如领导审批签名等)进行签名的过程是一个对文档进行完整性保护及防抵赖服务的过程,签名时确保USB KEY的正确连接,并按照提示再次输入PIN码(防止有人利用人员暂时离开时,冒用签名),系统后台自动完成签名过程。签名后的签名值和原文审批意见保存在数据库中,以备为将来可能的审计工作保留有效的法律证据。
在内部审批、电子报批及内部OA等电子政务系统中,数字签名及电子印章的应用将进一步推动无纸化办公的进程。2005年4月1日起实施的《电子签名法》确立了电子签名(含数字签名)的法律地位,用CA中心颁发的数字证书进行过数字签名的文件、批示、申请等电子文档具有与手写签名或盖章的纸质文档相等的合法效力。《电子签名法》的推出将极大的促进CA行业的建设快速发展。
同时根据《电子签名法》的规定,具有电子认证服务许可证的第三方CA中心(也就是法律规定的电子认证服务提供者)对于电子签名人及电子签名依赖方使用其提供的电子签名认证服务从事民事活动遭受损失,第三方CA不能证明自己无过错的,承担赔偿责任。从法律的层面上规范了第三方的责权范围。
在网络环境中,身份认证是鉴别资源访问者的合法性的基础手段。
通常采用用户名+口令的方式进行身份认证是目前实现计算机安全的主要手段之一,但是采用用户名+口令的方式,在越来越复杂的网络环境中相对脆弱。首先由于应用系统设计上的缺陷,用户口令可能在网络中以明文传输,另外在口令的存储中甚至也可能是明文的或是经过简单加密措施处理。这些隐患都可能为恶意的攻击提供可能。
利用广东省数字证书认证中心提供的基于数字证书的身份认证服务,可以对每个访问系统的用户进行强身份验证。具体应用在系统的用户的身份认证登录。系统可以根据数字证书中的身份信息,对这些用户的有效身份进行识别,从而达到真正的网络身份认证的作用。基于PKI/CA技术的数字证书是由权威的第三方CA中心签发的,难以伪造,并保存在数字证书载体(以下简称USB KEY)硬件介质中可随身携带,USB KEY本身还有PIN码保护,所以丢失USB KEY但PIN码未泄露,或者PIN码泄露但保护好USB KEY,都能防止身份被盗用。
用户首先打开系统登录页面,将数字证书载体插入到计算机的USB接口,并在登录窗口的PIN码输入框中输入PIN码,当系统验证到PIN码是正确时,系统将通过密码服务器验证用户证书,当确定该证书合法性之后,才允许用户登陆系统。有一点请特别注意:出于保护用户的身份安全,如果连续输错3次PIN码,数字证书载体将被锁死,需交由GDCA或相关下级代理点解锁后方能重新使用。
基于安全的整体规划考虑,数据在网络中传输时要确保机密数据不为第三方窃取。需要在机密数据的传输过程中进行加密处理,只能由接收方进行解密还原成明文,才能保证机密数据即使被第三方窃取也由于没有解密密钥而只能是一些无用的加密文件,这就是“取得到,但看不懂”。
客户端用户和安全应用支撑服务器通过系统登录时交换对方的公钥证书,客户端用对方的公钥证书对提交的敏感数据进行加密,通过应用服务器将数据传送给安全应用支撑服务器,安全应用支撑服务器用自己的私钥对数据解密;然后将解密数据提交到应用服务器对数据进行处理,处理完后将数据传回到业务管理员端进行加密:安全应用支撑服务器使用客户端的公钥对其进行加密,数据传送到客户端后,客户用自己的私钥对数据解密,即可完成一次安全的数据加解密处理过程。
对数据的签名和验签,是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私钥,对数据进行签名运算,并把运算结果作为一个字段存储在数据库中,这样数据就是经过这个用户签名的数据,具有法律效力,不能修改。当需要对数据进行验签时,系统只要再用用户的证书进行一次运算,就可以确定签名的有效性。
提交重要数据签名,客户端可以对关键业务数据用私钥签名。传送到服务端后用此用户公钥证书验签,再将验签数据传送到应用服务器处理;服务端也可以通过公钥证书对提交的敏感数据进行签名,通过应用服务器将数据传输到客户端,客户端用服务端的公钥证书验签。实现了数据的防篡改,防抵赖功能。
PKI 安全服务中间件是基于PKI公钥基础设施,构建安全应用的开发环境与运行支撑环境,遵循国密办《证书认证系统密码及其相关安全技术规范》,兼容 PKCS#11、Windows CSP、JCE 等国际信息安全应用标准。PKI 安全服务中间件采用中间件技术、以及 J2EE、XML、Web Service、CORBA、COM 组件等多种先进技术,能够屏蔽底层安全设备的硬件差异和复杂的密码实现逻辑,使用户只需在特定业务逻辑中嵌入所需安全功能,然后再进行简单的部署和配置,即可实现基于 PKI 的安全应用,可极大程度的降低应用系统的开发成本,提高开发效率。
图表 2 PKI安全服务中间件体系架构
PKI安全中间件中符合各种标准规范的组件功能,下面重点介绍自定义规范的组件功能:
安全应用支撑服务器是PKI安全应用的运行支撑平台,以硬件方式为应用系统提供服务器端数据机密性、数据完整性、身份认证、防抵赖等服务,符合国密办《证书认证系统密码及其相关安全技术规范》,具有稳定、可靠、高效、易管理的特点,其图形化的配置管理工具使用户维护变得简单方便。
安全客户端是通过客户端软硬件向用户提供安全服务的支撑,包括密码服务和信任服务,安全客户端包括数字证书载体和客户端安全中间件等部分。下面详细介绍数字证书载体的功能设计。
为了满足安全应用系统平台在实体可鉴别、可管理方面的需求,信任服务(签名/签名验证)方面的需求,以及证书的存储管理方面的要求,数字证书载体是对使用电子政务安全平台的终端实体(包括用户和终端设备)进行身份识别的便携式硬件设备。