容侵PKI在电子政务的应用
胡亨伍,那治广
【摘 要】摘 要:分析了公钥基础设施(PKI)的安全框架,引入改进算法构建更加安全的容侵PKI,并将该改进的安全框架技术引入到电子政务体系中。首先构建电子政务安全模型,再用容侵PKI分层进行数字签证,逐级回溯,通过安全认证建立数据信息通道,使电子政务在保密性、认证性、网络安全、事务处理等方面有所改善。 【期刊名称】计算机时代 【年(卷),期】2016(000)007 【总页数】3
【关键词】电子政务;PK I;容侵CA;安全策略
0 引言
近年来,电子政务飞速发展,正朝着标准化、平台化、联合办公的集群式方向发展[1]。电子政务是政府组织机构根据工作流程和公众的服务需求,利用计算机技术,构建在互联网上,整合政府组织机构信息资源,实现政务电子化、信息数据传递与交换电子化等功能的新型工作模式[2]。
由于电子政务是建立在互联网基础之上的,很容易受到网络安全威胁(比如,窃听攻击、伪造攻击、恶意攻击、否认发送等),如何保障政府组织机构实施电子政务过程中的安全就成为一个不可回避的问题。另外,随着电子政务市场化和社会化的深入,电子政务系统成为一个大规模大数据的系统,系统的开放性和复杂性迅速扩大,其安全性将面临着更加严峻的考验[3-5]。
这里引入算法改进公钥基础设施(PKI),构建带容侵CA功能的PKI安全框架,
将其应用到电子政务安全体系中。首先构建电子政务的容侵PKI安全模型,再用容侵CA进行分层进行数字签证,通过层级安全认证建立数据信息通道,提升电子政务实施过程中的安全性能。
1 容侵PKI
1.1 PKI
PKI(Public Key Infrastructure)即公钥基础设施,其指的是用公钥技术提供安全服务的基础设施[6]。PKI系统包括证书服务CA、数字证书库、注册机构RA等。其中CA是PKI系统的可信机构,是数字证书的颁发机构,在整个体系中具有核心地位。数字证书库系统存储节点所有的合法证书,任意节点都可查询。RA提供用户和CA之间的接口功能,它能获取并认证用户的身份,并向CA提出证书请求服务。
CA一般有两类,分为集中式CA和分层式CA。一般使用树状结构来描述分层式CA,在树状结构中,一个叶子节点表示一个用户,枝节点表示次级CA,树的根节点代表顶级CA(它是系统中的最高证书实体)。如图1所示,低级CA、次级CA和用户,箭头指向表示颁发证书。
一个顶级CA的信任范围是包括它下面的所有节点,即表示用户的叶子节点和次级CA节点。该信任范围中的所有节点都信任顶级CA。表示用户的叶子节点,它们的数字证书由邻近各自的父节点的CA进行签署。顶级CA使用自己的私钥签署数字,然后由高一级的CA给低一级的CA签署数字证书,由此层层下行,其信任范围包括整个系统。
用户进行服务前需要验证数字证书。首先确认服务双方是否有共同的CA,如果是则直接用该CA的公钥验证证书;如果不是,则向更高级的CA追溯,直
到找到一个共同的CA,然后依次验证连接该CA和用户节点的路径上所有节点的证书是否有效。 1.2 容侵PKI
一般,CA处在互联网上自动地提供相应的证书服务,而互联网遭受网络攻击是不可避免的。在这里采用“RSA公钥算法和(T,N)门限密码技术”[7],引入入侵容忍技术改善CA,使PKI系统在遭受攻击时,仍能为用户提供申请的服务,这样就得到了容侵PKI。如图2所示容侵CA。
通过把CA私钥分割成多个份额在服务器集群中进行分配,并结合分阶段签名方案,使得私钥在任何时候都无需重构,最后一步由签名代理通过综合计算得出最终签名。
2 电子政务安全策略
需考虑到电子政务发展迅速,电子政务的信息数据资源庞大,互联网拓扑结构纷繁复杂,网络攻击手段层出不穷等因素。要尽力确保用户同电子政务系统的数据通信不泄漏给非法用户;有效地防止蓄意攻击;保证传输的信息数据的完整而不被篡改;对身份进行数字认证以杜绝否认行为;给用户提供稳定的电子政务服务,避免拒绝服务。我们采用改进的带容侵CA的PKI方式来满足政府电子政务的安全需求。 2.1 解决方案
采用容侵PK实现电子政务的安全,方案内容包括:①采用基于RSA公钥算法和(T,N)门限密码技术的容侵PKI技术实现电子政务服务双方的身份认证和建立对称的通话密钥,还可保证传输数据的完整和不可否认性,通过引入入侵容忍技术,提供可靠的电子政务服务;②通过第三方传输协议,建立可靠稳定