第三代身份认证体系在电子政务中的应用

　　【摘要】2001年3月，全国人大通过《国民经济和社会发展十五计划纲要》，明确提出了以信息化带动工业化、以电子政务带动信息化的基本策略。2001年，中办下发了《国家信息化领导小组关于我国电子政务建设指导意见》（中办发〔2001〕17号），全国掀起了电子政务和电子政务建设的浪潮。随着电子政务和电子政务的发展，大规模、分布式的应用系统越来越多，对于用户跨部门、跨地域和跨应用系统的需求越来越旺盛，仅靠单一的密码技术和分散的用户管理已经不能适应形式的发展。安全机制成为制约电子政务和电子政务发展的最大障碍。
　　【关键词】电子政务；电子政务安全；身份认证体系
　　本文的研制目标是研制以注册、鉴权为核心的第三代身份认证体系，实现全程全网的强双因子身份认证，从而为构建全国电子政务网络信任体系奠定基础。第三代身份认证体系是电子政务建设的基础设施，推进第三代身份认证体系研制，具有以下意义。
　　是对传统PKI理论体系的重要发展
　　第三代身份认证体系，在继承传统PKI技术的基础上，充分考虑了身份认证服务的快速部署问题，如何适应下一代网络发展问题，认证服务如何快速部署问题，以及对应用整合问题等。这些问题在传统PKI理论体系中没有涉及，同时这些问题也是目前安全领域研究的热点问题。第三代身份认证体系很好地解决了这些问题，因此是对传统PKI理论体系的重要发展。
　　是建设电子政务建设的基础设施
　　电子政务建设首先要解决信任服务问题，只有在信任服务的基础上才能实现全国各省、部电子政务网可信的互联互通，用户通过信任服务成为可信的用户，应用系统通过信任服务成为可信的应用，因此，第三代身份认证体系就是电子政务建设的基础设施，为全面推进电子政务建设积累经验、奠定基础，意义重大，影响深远。
　　有利于切实保障政务信息系统的健康运行
　　政务信息系统健康运行的保障是信息安全技术，而以密码技术为基础的身份认证是信息安全技术的核心，它能够有效地解决应用信息的机密性、真实性、完整性和不可否认性等安全问题。因此，在电子政务网构建先进的身份认证体系，有利于切实保障政务信息系统的健康运行。
　　有利于加强信任服务的快速部署和对应用的整合
　　由于我国信息化建设经历了20多年，已经在使用很多应用系统，本着继承与发展的原则，第三代身份认证体系充分考虑了身份认证与应用系统的结合问题。对原有应系统作小的改动，即可实现基于数字证书的全程全网的身份认证、访问控制、单点登录等。
　　有利于加快政务信息化建设步伐，全面推进电子政务的发展
　　信息技术是当今世界先进生产力的主要标志。第三代身份认证体系就是利用最先进的信息技术，构建电子政务网络信任体系，以便为各级党委间实现安全可信的互连互通和信息共享打下坚实的基础。在此基础上，促进电子政务业务应用，全面推进电子政务的发展。
　　传统PKI理论体系是利用公钥理论和技术建立的提供安全服务的基础设施，是信息安全技术的核心，它能够有效地解决应用信息的机密性、真实性、完整性和不可否认性等安全问题。但是，实践证明目前的PKI技术无法适应下一代网络的发展需要，并缺少如何快速与应用整合的内容。对称密码技术又叫单密钥技术，就是我们通常说密码技术。对称密码技术的特点是加密密钥和解密密钥是一样的，或实质上是等同的，这种情况下，密钥就经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是1977年美国国家标准局颁布的des算法。
　　针对对称密钥存在的问题，以解决信息的机密性、完整性、可认证性、不可抵赖性为主要目的非对称密钥技术出现了。非对称密钥技术的最大特点是公共密钥和私有密钥之间不能相互推导出对方。目前非对称密钥技术发展的比较成熟，并且在身份认证领域得到成功应用，最著名的是PKI（PublicKeyInfrastructure）公钥基础设施，本文将它归纳为第二代身份认证体系。尽管PKI技术在中国发展迅速，但是，总体来讲，PKI技术的应用效果并不理想，主要表现在，我国各个省市基本都有自己的CA认证中心，但是，带来的社会效益有限；各行业都有自己的CA认证中心，但是带来的经济效益有限；各个省市、各个行业认证系统独立，无法实现可信的互连互通。因此，第二代身份认证服务体系存在并需要进一步解决以下问题：
　　（1）第二代身份认证服务体系只能对局部应用提供信任服务，不能提供支持全程全网的信任服务（全程全网是电信术语，可以理解为随时随地），即象电信网一样，实现一次注册，全网通行；
　　（2）与应用深度耦合，不利于快速部署，即：PKI技术如何与在对现有应用改造很少的情况下，与现有应用系统很好地结合方面，实现身份认证服务的快速部署；
　　（3）不能有效控制网络设备和服务器的可信接入，无法构建可信的网络；
　　（4）信任链的源头是数字证书而非人。
　　以注册鉴权为核心的第三代身份认证体系是本文研究的主要内容，也是本文的主要创新点。它很好地继承了第一代信任服务体系和第二代信任服务体系的相关技术，结合电子政务建设的特点，面向下一代网络（NGN），使用NGN中的呼叫控制技术结合传统PKI技术，实现全程全网的身份认证。
　　第三代身份认证体系有以下特点：
　　（1）要支持全程全网全业务
　　解决信任服务体系的统一的问题；
　　解决一次认证，全网通行的问题；
　　解决可信私有网络互联的问题，实现端到端的互联互通；
　　具有独立于应用提供信任服务的能力。
　　（2）要支持继承与发展
　　面向应用的继承与发展
　　面向网络的继承与发展
　　面向第一、二代信任服务的继承与发展
　　（3）支持快速部署
　　快速部署就是在应用系统少改动，甚至不改动的前提下，能为用户提供身份认证、实体鉴权、访问控制等信任服务，需要支持以下几点：
　　支持身份认证的快速部署
　　支持访问控制的快速部署
　　支持网络可信互联的快速部署
　　第三代身份认证体系在继承第二代身份认证体系优势成果的基础上，结合下一代网络下一代服务的关键技术，融合第一代和第二代身份认证体系的功能和服务，构建可信的网络和可信的服务，实现用户和应用的统一注册、鉴权，实现对应用系统的快速整合，信任服务的快速部署。为将整个网络成为一个可信、可控、安全的、支持全程全网全业务的网络提供支撑。
　　第三代身份认证体系由公钥基础设施、注册服务系统、鉴权服务系统、状态管理系统、资源整合服务系统组成，三代身份认证体系提供的服务：
　　继承第二代身份认证体系的可信服务
　　第三代信任服务体系充分继承第二代信任服务体系的优势技术，提供证书生产、加解密服务、签名签名验证服务、证书查询验证服务等。
　　可信的注册和鉴权服务
　　实体注册和鉴权，服务注册和鉴权；
　　在可信的网络层实现了注册才能上网、鉴权才能通行的全新的网络信任模式；
　　可信网络注册和鉴权服务技术突破了传统认证模式下由各个应用对用户进行频繁身份认证和有限范围权限管理的思路，实现面向全网的单点登录；
　　解决原有信任服务与业务逻辑深度耦合的问题；
　　为实现全程全网全业务奠定基础。
　　可信的私有网互联服务
　　统一的身份认证体系建立跨域私有网络的信任关系；
　　可信网络设备为私有网络互联提供基础环境；
　　统一的注册提供穿透私有网络的必要条件；
　　统一的鉴权使用户只能访问其被授权访问的资源。
　　【参考文献】
　　〔1〕《国家信息化领导小组关于我国电子政务建设指导意见》。中办发〔2001〕17号
　　〔2〕中办信息中心：《电子政务试点示范工程可信电子政务平台可行性研究报告》。2004年9月
　　〔3〕中共中央办公厅国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知。中办发〔2003〕27号；
　　〔4〕周宏仁、唐铁汉，《电子政务的理论与实践》。北京：国家行政学院出版社，2002
　　〔5〕汪玉凯：电子政务应用示范工程回顾及政策建议。信息化建设，2005（7）
　　〔6〕汪玉凯：2006年中国电子政务发展展望。信息化建设，2005（Z1）
　　〔7〕（美）AndrewNash，WilliamDuane，CeliaJoseph，DerekBrink。公钥基础设施（PKI）：实现和管理电子安全。北京：华大学出版社，2002。12。
　　〔8〕（美）PeterT。Davis：计算机安全保密指南。电子工业出版社，1997