论文部分内容阅读
公开密钥基础设施 (Public Key Infrastructure,PKI),是一种遵循既定标准的密钥管理平台,也是一个提供强大开放的数据加密和支持加密服务的典型方法。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施,PKI技术是信息安全技术的核心,也是电子政务系统的关键基础技术。
电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对电子政务系统的正常运行构成威胁。为保证电子政务的信息安全,有必要对其信息和网络系统进行专门的安全设计。
电子政务的信息安全目标
信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。
为此,电子政务系统必须实现可用性、完整性、保密性、可记账性和保障性等信息安全目标:
◎可用性目标:是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
◎完整性目标:包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。
◎保密性目标:是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。
◎可记账性目标:是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
◎保障性目标:保障性是电子政务系统信息安全的信任基础。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
基于PKI的安全电子政务层次架构模型
在电子政务系统建设中,为全面实现可用性、完整性、保密性、记账性和保障性等信息安全目标,需要研究设计建立安全的电子政务系统架构模型。根据电子政务系统架构层次化特点,提出了图1所示的基于PKI的安全电子政务层次架构模型,主要从核心层、网络层、数据存储层、应用层、接口层以及物理和管理层等方面改进优化系统信息安全指标。
图1. 基于PKI的安全电子政务层次架构模型
1.核心层:是指基于PKI技术建立的整个电子政务应用的安全核心,该层次是电子政务安全的基础;
2.网络层:是指在网络接入的层面上建立整个系统的信任网络接入和网络管理,以及数据传输层的网络安全等;
3.数据存储层:是指整个应用的数据存储的可信任机制。
4.应用层:是指电子政务应用的安全、认证的应用接入、应用层的身份/权限以及授权服务、单点登录(SSO)以及应用的机密性和不可抵赖性等;
5.接口层:是指数据的交换和应用的交互的安全性的控制;
6.物理和管理层:是指整个安全体系的涉密设备和介质以及安全等级和规范的管理。其中包括人员的培训和涉密系统的管理,健全相应的管理措施,管理机构依据管理制度和管理流程对日常操作、运行维护、审计监督、文档管理进行统一管理等等。
核心层安全
图2. 核心层的PKI/CA的结构
核心层采用图2所示的PKI/CA结构实现。PKI是电子政务信息安全基础设施的重要组成部分,授权管理基础建设、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台的构建都离不开它的支持。PKI主要分布在分布式计算环境中提供数据机密性、完整性、身份认证和行为的不可抵赖性等安全功能。
图3. PKI的实体模型
PKI信任服务体系主要由注册中心(RA)、认证中心(CA)、密钥管理中心(KM)、证书在线状态查询服务、证书目录服务、时间戳服务等组成,其中注册中心(RA)和认证中心(CA)又包含相应的模块,如图2所示。
具有完整的体系结构的PKI实现的可以包括以下功能模块:实体鉴别服务模块,包括智能卡接口等个人安全环境的API;核基于PKI技术的安全电子政务系统的设计心算法服务模块,包括基本密码算法如公钥算法、散列函数实现;高层密码服务模块,包括证书申请、签名、验证等函数实现;证书管理服务模块,向数据仓库增加或者撤消证书、密钥等函数实现;PKI访问服务模块,利用LDAP访问PKI完成证书查询等功能的函数实现。安全协议模块,提供安全访问通道的协议实现,包括IPSec、S/MIME等;安全策略服务模块,包括信息注册、访问控制、审计等功能实现:支持服务模块,LDAP目录访问API等相关功能实现,如图3所示。
核心算法服务是底层的密码安全模块,包括随机数产生、公钥对产生(RSA)、散列算法(SHA、MDS)、对称密钥加密算法(DES、AES等),该模块可以用软件实现,也可以根据安全等级要求用硬件实现。
网络层安全
内部网络进行虚拟子网络隔离,边界接入网络采用物理隔离实现。包括对电子政务关键主机物理安全保障和机房安全建设。采用的操作系统、数据库系统及其他软件系统,建立一个可信的安全操作环境。
网络安全建设主要通过基于网络协议和服务的安全配置、网络安全防护网、基于PKI技术的安全电子政务系统的设计络实时监控等措施实现,所以尽量保证网络中采用的协议和提供的服务进行安全评估并根据具体网络应用重新配置,减少协议与服务本身存在的风险。可以采用安全网关或者防火墙系统实现网络隔离与防护,一些重要的子网络间采用基于密码设备的防护。对于关键网络或者边界网络采用网络实时监测与预警系统,监控网络流量并进行综合分析,根据安全规则对攻击行为、非正常或者可能的入侵行为进行告警、切断网络等响应。
数据存储层安全
在电子政务应用中,数据存储有两种不同的类型:一种是使用过程的运转数据;另一种是运转结束后的历史数据。即正在运行和流转的数据和历史档案数据及查询数据。根据不同的安全等级,数据的存储就相应的有两种方式:非密存储、加密存储。在系统中正在流转的数据,可以根据相应的密级进行加密或者不加密。而历史数据和档案要根据具体分析是否进行加密存放。可以将所有必要的数据进行加密存储,这样做就可以保证数据存储的安全和保密,但是加密存储数据会带来一些相应的问题和不便。
查询和全文检索的问题。历史数据之所以要保存,是因为这些数据的利用价值,没有价值的数据的保存是没有意义的。在电子政务系统中,数据的利用价值就是查询和参考,如果所有的数据都进行加密的存储,那么查询就会打折扣,很多加密的内容将不容易被查询,全文检索更难以实现,因为所有加密的数据直接检索几乎是不可能的。
加密存放时间问题。加密保存的历史数据具有比较长的时间存放时效,一般的公文都要保存几十年,但不论是基于什么加密体系的密钥的有效期都远低于这些数据的保存期限,这就带来加密存放的时间问题。
密钥问题。随着数据保存的时间的延长,以及单位人事的变动,加密的密钥管理也会带来相关的问题。目前的PKI体系主要采用双证书管理,但是档案的存放时间远远大于安全体系的有效期。
可以采用非密存储、存储服务器认证、加密存储和解密代理等方法解决上述提到的问题。可以采用加密/解密代理的方法解决密钥的问题,但是这种方式的查询还很困难,全文检索几乎不可能。但是电子政务应用的大量信息还不能脱离查询和全文检索。可以利用PKI的认证和权限的控制,进行存储服务的认证控制。系统的数据存取不加密,将存储的服务器置于一个逻辑的隔离区(其他的服务和用户不能直接访问),用户或服务提交的存取或查询的请求都必须提交给存取/权限控制机构,而存取/控制机构根据身份认证和控制策略的判定结果与存储服务进行加密交互,最后将结果返回提交请求者。这些问题的解决方法还不是确定的,仍值得进一步讨论。
应用层安全
电子政务系统应用层的安全可以通过建设应用安全服务平台来实现,通过安全平台向各项应用提供统一的安全服务如数据加密/解密、数字签名/验证、数据完整性校验、密钥管理等功能。这个服务平台可以基于统一的身份鉴别和统一授权管理实现。这些安全服务主要包括身份认证、应用接入认证、数字签名、加密、权限控制/授权、单点登录和目录服务等。
身份认证、身份鉴别主要解决通信双方的身份问题,即“who are you”的问题,身份认证和身份鉴别时电子政务系统的重要核心内容之一。在应用接入认证中,主要解决应用和用户、应用和应用之间的认证问题。对于应用的接入认证,可以采用C/S和WEB方式。双向认证过程可以采用“三次握手协议”,该认证过程如图4所示。
数字签名技术是实现交易安全的核心技术之一,它的实现基础就是公开密钥加密技术。加密在电子政务的应用中解决的是数据的“机密性”的问题。访问控制机制包括自主访问控制和强制访问控制模式,一般有访问控制列表(ACL)、能力列表(CL)和权限关系表(AR)等。单点登录,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的授权,从而,管理员无需修改或者干涉用户登录就能方便的实施希望得到的安全控制。
图4.“三次握手”认证过程
接口层安全
电子政务安全的接口层是指数据的交换和应用的交互的安全性的控制。在电子政务的应用中,存在大量的数据交换,并且存在许多跨部门的数据交换。电子政务应用的接口层的安全对整个电子政务的安全具有深远的影响。
电子政务的接口层是与接口层需要的具体技术相关的,安全的Web Services技术是在Web Services基础上发展而来的。安全的Web Services通过安全的SOAP技术保证。消息的机密性、完整性和不可抵赖性,通过安全的WSDL描述可信服务组件,通过安全的UDDI发布可信服务组件。
政府信息的敏感性以及网络的虚拟性和开放性,决定了电子政务系统需要有强有力的身份认证手段和数据加密手段来保证电子政务系统的安全。从国外电子政务建设项目采用的主流身份认证技术分析,当前基于PKI体系进行身份认证是一种先进和通行的身份认证手段,而且PKI体系除了能实现身份认证功能之外还能提供数据加密、数字签名等多种功能。本文提出了一种基于PKI的安全电子政务层次架构模型,详细分析了保证核心层、网络层、数据存储层、应用层、接口层等各个层次应用安全的各种技术和可行性。
(作者单位:林凤海,浙江省丽水市景宁畲族自治县政府信息中心主任;吴吉义,杭州市电子商务与信息安全重点实验室常务副主任)
电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对电子政务系统的正常运行构成威胁。为保证电子政务的信息安全,有必要对其信息和网络系统进行专门的安全设计。
电子政务的信息安全目标
信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。
为此,电子政务系统必须实现可用性、完整性、保密性、可记账性和保障性等信息安全目标:
◎可用性目标:是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。
◎完整性目标:包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。
◎保密性目标:是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。
◎可记账性目标:是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。
◎保障性目标:保障性是电子政务系统信息安全的信任基础。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。
基于PKI的安全电子政务层次架构模型
在电子政务系统建设中,为全面实现可用性、完整性、保密性、记账性和保障性等信息安全目标,需要研究设计建立安全的电子政务系统架构模型。根据电子政务系统架构层次化特点,提出了图1所示的基于PKI的安全电子政务层次架构模型,主要从核心层、网络层、数据存储层、应用层、接口层以及物理和管理层等方面改进优化系统信息安全指标。
图1. 基于PKI的安全电子政务层次架构模型
1.核心层:是指基于PKI技术建立的整个电子政务应用的安全核心,该层次是电子政务安全的基础;
2.网络层:是指在网络接入的层面上建立整个系统的信任网络接入和网络管理,以及数据传输层的网络安全等;
3.数据存储层:是指整个应用的数据存储的可信任机制。
4.应用层:是指电子政务应用的安全、认证的应用接入、应用层的身份/权限以及授权服务、单点登录(SSO)以及应用的机密性和不可抵赖性等;
5.接口层:是指数据的交换和应用的交互的安全性的控制;
6.物理和管理层:是指整个安全体系的涉密设备和介质以及安全等级和规范的管理。其中包括人员的培训和涉密系统的管理,健全相应的管理措施,管理机构依据管理制度和管理流程对日常操作、运行维护、审计监督、文档管理进行统一管理等等。
核心层安全
图2. 核心层的PKI/CA的结构
核心层采用图2所示的PKI/CA结构实现。PKI是电子政务信息安全基础设施的重要组成部分,授权管理基础建设、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台的构建都离不开它的支持。PKI主要分布在分布式计算环境中提供数据机密性、完整性、身份认证和行为的不可抵赖性等安全功能。
图3. PKI的实体模型
PKI信任服务体系主要由注册中心(RA)、认证中心(CA)、密钥管理中心(KM)、证书在线状态查询服务、证书目录服务、时间戳服务等组成,其中注册中心(RA)和认证中心(CA)又包含相应的模块,如图2所示。
具有完整的体系结构的PKI实现的可以包括以下功能模块:实体鉴别服务模块,包括智能卡接口等个人安全环境的API;核基于PKI技术的安全电子政务系统的设计心算法服务模块,包括基本密码算法如公钥算法、散列函数实现;高层密码服务模块,包括证书申请、签名、验证等函数实现;证书管理服务模块,向数据仓库增加或者撤消证书、密钥等函数实现;PKI访问服务模块,利用LDAP访问PKI完成证书查询等功能的函数实现。安全协议模块,提供安全访问通道的协议实现,包括IPSec、S/MIME等;安全策略服务模块,包括信息注册、访问控制、审计等功能实现:支持服务模块,LDAP目录访问API等相关功能实现,如图3所示。
核心算法服务是底层的密码安全模块,包括随机数产生、公钥对产生(RSA)、散列算法(SHA、MDS)、对称密钥加密算法(DES、AES等),该模块可以用软件实现,也可以根据安全等级要求用硬件实现。
网络层安全
内部网络进行虚拟子网络隔离,边界接入网络采用物理隔离实现。包括对电子政务关键主机物理安全保障和机房安全建设。采用的操作系统、数据库系统及其他软件系统,建立一个可信的安全操作环境。
网络安全建设主要通过基于网络协议和服务的安全配置、网络安全防护网、基于PKI技术的安全电子政务系统的设计络实时监控等措施实现,所以尽量保证网络中采用的协议和提供的服务进行安全评估并根据具体网络应用重新配置,减少协议与服务本身存在的风险。可以采用安全网关或者防火墙系统实现网络隔离与防护,一些重要的子网络间采用基于密码设备的防护。对于关键网络或者边界网络采用网络实时监测与预警系统,监控网络流量并进行综合分析,根据安全规则对攻击行为、非正常或者可能的入侵行为进行告警、切断网络等响应。
数据存储层安全
在电子政务应用中,数据存储有两种不同的类型:一种是使用过程的运转数据;另一种是运转结束后的历史数据。即正在运行和流转的数据和历史档案数据及查询数据。根据不同的安全等级,数据的存储就相应的有两种方式:非密存储、加密存储。在系统中正在流转的数据,可以根据相应的密级进行加密或者不加密。而历史数据和档案要根据具体分析是否进行加密存放。可以将所有必要的数据进行加密存储,这样做就可以保证数据存储的安全和保密,但是加密存储数据会带来一些相应的问题和不便。
查询和全文检索的问题。历史数据之所以要保存,是因为这些数据的利用价值,没有价值的数据的保存是没有意义的。在电子政务系统中,数据的利用价值就是查询和参考,如果所有的数据都进行加密的存储,那么查询就会打折扣,很多加密的内容将不容易被查询,全文检索更难以实现,因为所有加密的数据直接检索几乎是不可能的。
加密存放时间问题。加密保存的历史数据具有比较长的时间存放时效,一般的公文都要保存几十年,但不论是基于什么加密体系的密钥的有效期都远低于这些数据的保存期限,这就带来加密存放的时间问题。
密钥问题。随着数据保存的时间的延长,以及单位人事的变动,加密的密钥管理也会带来相关的问题。目前的PKI体系主要采用双证书管理,但是档案的存放时间远远大于安全体系的有效期。
可以采用非密存储、存储服务器认证、加密存储和解密代理等方法解决上述提到的问题。可以采用加密/解密代理的方法解决密钥的问题,但是这种方式的查询还很困难,全文检索几乎不可能。但是电子政务应用的大量信息还不能脱离查询和全文检索。可以利用PKI的认证和权限的控制,进行存储服务的认证控制。系统的数据存取不加密,将存储的服务器置于一个逻辑的隔离区(其他的服务和用户不能直接访问),用户或服务提交的存取或查询的请求都必须提交给存取/权限控制机构,而存取/控制机构根据身份认证和控制策略的判定结果与存储服务进行加密交互,最后将结果返回提交请求者。这些问题的解决方法还不是确定的,仍值得进一步讨论。
应用层安全
电子政务系统应用层的安全可以通过建设应用安全服务平台来实现,通过安全平台向各项应用提供统一的安全服务如数据加密/解密、数字签名/验证、数据完整性校验、密钥管理等功能。这个服务平台可以基于统一的身份鉴别和统一授权管理实现。这些安全服务主要包括身份认证、应用接入认证、数字签名、加密、权限控制/授权、单点登录和目录服务等。
身份认证、身份鉴别主要解决通信双方的身份问题,即“who are you”的问题,身份认证和身份鉴别时电子政务系统的重要核心内容之一。在应用接入认证中,主要解决应用和用户、应用和应用之间的认证问题。对于应用的接入认证,可以采用C/S和WEB方式。双向认证过程可以采用“三次握手协议”,该认证过程如图4所示。
数字签名技术是实现交易安全的核心技术之一,它的实现基础就是公开密钥加密技术。加密在电子政务的应用中解决的是数据的“机密性”的问题。访问控制机制包括自主访问控制和强制访问控制模式,一般有访问控制列表(ACL)、能力列表(CL)和权限关系表(AR)等。单点登录,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的授权,从而,管理员无需修改或者干涉用户登录就能方便的实施希望得到的安全控制。
图4.“三次握手”认证过程
接口层安全
电子政务安全的接口层是指数据的交换和应用的交互的安全性的控制。在电子政务的应用中,存在大量的数据交换,并且存在许多跨部门的数据交换。电子政务应用的接口层的安全对整个电子政务的安全具有深远的影响。
电子政务的接口层是与接口层需要的具体技术相关的,安全的Web Services技术是在Web Services基础上发展而来的。安全的Web Services通过安全的SOAP技术保证。消息的机密性、完整性和不可抵赖性,通过安全的WSDL描述可信服务组件,通过安全的UDDI发布可信服务组件。
政府信息的敏感性以及网络的虚拟性和开放性,决定了电子政务系统需要有强有力的身份认证手段和数据加密手段来保证电子政务系统的安全。从国外电子政务建设项目采用的主流身份认证技术分析,当前基于PKI体系进行身份认证是一种先进和通行的身份认证手段,而且PKI体系除了能实现身份认证功能之外还能提供数据加密、数字签名等多种功能。本文提出了一种基于PKI的安全电子政务层次架构模型,详细分析了保证核心层、网络层、数据存储层、应用层、接口层等各个层次应用安全的各种技术和可行性。
(作者单位:林凤海,浙江省丽水市景宁畲族自治县政府信息中心主任;吴吉义,杭州市电子商务与信息安全重点实验室常务副主任)