电子政务系统若干安全问题的研究

详细信息    本馆镜像全文|  推荐本文 |  |   获取CNKI官网全文

英文题名：A Study on E-Government's Safe Matters 作者：宋福英 论文级别：硕士 学科专业名称：计算机软件与理论 中文关键词：电子政务 ; PKI ; PMI ; 基于身份的数字签名 ; 用户信任度 英文关键词：E-government ; PKI/PMI ; Identity-based digital signature ; User trust degree 学位年度：2007 导师：王彩芬 学科代码：081202 学位授予单位：西北师范大学 论文提交日期：2007-11-01 答辩委员会主席：党建武

摘要

近年来,电子政务成为许多国家和地区政府追求的目标和关注的焦点。我国电子政务建设同样得到政府的高度重视,并成为国家信息化建设的中心环节。政府上网,安全第一。经过这几年的不断完善,电子政务在安全方面也取得了不少成熟的技术和经验。
     电子政务内、外网在安全需求上各有侧重,有很大区别。内网应注重完善数字签名,外网应重点加强身份认证和权限管理。但是,统观电子政务的安全体系,存在一个明显的问题,那就是在探索、研究安全体系时没有将电子政务内外网区别对待。笼而统之用一种安全技术是不能满足各自安全需求的。应该内外有别、分而治之、各个击破。
     针对这一问题,在电子政务外网中提出了带有用户信任度的PKI/PMI安全机制。PKI解决了“你是谁?”的问题,PMI解决了“你能干什么?”的问题,而用户信任度理论则负责甄别“你提供给我的这些信息可靠吗?”,当主体的可信度下降到某个值之后,采用一次性口令认证方法对主体进行重新认证。只有经过这三道安全关卡,用户才可以登录到外网上,才可以与政府在网上互动。该安全机制能有效提高访问控制模型对冒充用户访问的监测及控制能力。保证访问控制模型在用户身份不确定情况下的安全性,仍然具有较高的安全控制能力。该机制满足了外网的三大安全需求:外部用户身份认证;对终端用户的权限控制;对终端用户所提供的数据的可信度控制。
     内网的工作大部分在OA(Office Automation办公自动化)上进行。数字签名是OA的文件传输过程中确定文件来源与完整性,真实性与不可抵赖性认证的有力保证。与传统的签名方案和公钥加密方案相比,基于身份的数字签名不存在传统CA颁发证书所带来的存储和管理开销问题,也不必使用在线的第三方,所以在内网的OA系统中引入了基于政府职员E-mail地址的数字签名。该方案中的公钥由职员的E—mail地址直接计算而得,在身份认证过程中不需要通过CA将公钥与职员的个人身份做绑定,实现了快速、简捷和安全。该方案满足内网OA的公文流转中更安全的数字签名的需求。
These years, E-government has caused great attention in many countries and areas. The construction of E-government in our country has also got much recognition and become the centre of national informationization. For governmental webs, safety is the first. Through several years' incessant perfection, many mellow skills and experiences have been achieved in safety of E-government.
     However, through the safety system of E-government, there is an obvious problem-that is, the inner web and outer one are not treated differently when studying the safety system. In fact, the inner web and outer one have different focuses on safety, hence, have great differences. The inner web should focus on digital signature, while the outer web on identity recognition and popedom management. It won't work well with only one safety system. So they should be treated differently.
     To solve this problem, it is necessary to introduce a resolvent which suggests that a safety system of PKI/PMI with user trust be introduced into the inner web. PKI solves "Who are you?", PMI solves "What can you do?", and the policy of user trust degree in charge of "Is the information you supply credibles? ". When the credibility of the main dropped to a certain value, using one-time password authentication methods on the main re-certification.
     Through the three safety entrances, users can get on the outer web to communicate with the government. The security mechanisms can improve access control model to impersonate the user access monitoring and control capabilities. Guarantee access control model in the user's identity uncertain security situation remains a high security control. The mechanism of the network to meet the three security needs: external user authentication; Authority control of the end-user; The information provided by the end user the credibility of control.
     Most work on the inner web is done on OA. Digital signature makes sure file source and its integrality and authenticity in the process of file transmission. Compared with the traditional signature and the encryption of public key scheme, identity based digital signature does not have any problem of cost on storage and management from CA issuing certificate, and we have no need to use third-party on line. That is why it is introduced into OA system of inner web in the thesis, presenting a digital signature based on government clerks' E-mail. The program meets with the OA network in the circulation of the documents more secure digital signature requirements.

引文

铩颷1]谭敏、顾跃举.电子政务安全体系的构建[J].网络安全技术的应用.2007.4:46-47
    [2]王锐.基于PKI技术的电子政务[D]:[硕士学位论文].哈尔滨:佳木斯大学.2006年.
    [3]什么是电子政务[EB/OL].http://www.inze.com/e_govement/.
    [4]马朝斌.大力加强电子政务内网的安全保密建设和管理[J].信息安全与通信保密.2003.12:49-50.
    [5]谭晓、聂承启.简论“三网”环境下电子政务系统得安全性[J].计算机与现代化.2002.11:35-36.
    [6]陈洪波.电子政务网络安全事件预警与应急响应[J].计算机安全,2002(2)39-41.
    [7]李鸣凤.中国电子政务发展状况探析-以欧美各国现状为参照[J].理论与实践.理论月刊.2006年第9期:69-71.
    [8]晁育峰、张勇.我国电子政务发展中存在的问题及对策研究[J].山西财经大学学报.2006.02第28卷第1期:33-38.
    [9]中国电子政务发展水平测评报告(2006)http://www.jiaozuo.gov.cn/wbcz/2006cpbg.pdf.2006-12-7.
    [10]中共中央办公厅17号文件:国家信息化领导小组关于我国电子政务建设指导意见http://www.shidz.com/gongshangju/show.jsp?id=20040324131280:2004.3.24.
    [11]孙靖.电子政务需要怎样的安全方案?[J].信息安全与通信保密.2005年第07期.
    [12]陈彦玲.对公钥基础设施(pki)在电子政务安全上的研究与实现[J].辽宁经济职业技术学院学报.2006(2):57-58.
    [13]谢先江.电子政务外网安全平台建设基本问题初步探讨[J].《电子政务》2005.08.
    [14]张志明.硬盘加密 为数据上一把“安全锁”.http://www.51cto.com/art/200611/35249.htm:2006.11.
    [15]陈箫枫、潘保昌.新安全:防患须“安内”[J].《软件世界》.2006.08.
    [16]黄碧政.pki技术在电子政务应用中存在问题分析与探讨[J].福建电脑.2005(10):109-110.
    [17]蔡宜、沈昌祥.pki技术在电子政务中的应用[J].计算机应用研究.2002.10.
    [18]永江.pki保电子政务安全[J].软件世界.2005(12):90-91.
    [19]许长枫、刘爱江.基于属性证书的PMI及其在电子政务安全建设中的应用[J].计算机应用研究.2004(1):119-122.
    铩颷20]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.4 25第一版.
    [21]RSA Laboratories,Understand Public Key Infrastructure.1999.
    [22]RFC2459,Internet X.509 Public Key Infrastructure Certificate and CRLProf'ile January 1999.
    [23]RFC3280,internet x.509 public key infrastructure certificate and certificaterevocation list(CRL)profile.April 2002.
    [24]RSA Laboratories,PKCS #7:Cryptographic Message Syntax Standard.1993.
    [25]RSA Laboratories,PKCS #11:Cryptographic 'Token Interface Standard.1997.
    [26]RSA Laboratories,PKCS #12:Personal Information Exchange SyntaxStandard.1997.
    [27]FC2527,Internet X..509 Public Key Infrastructure Certificate Policy andCertification Practices Framework.March 1999.
    [25]RFC2247,Using Domains in LDAP/X.500 Distinguished Names.January 1998.
    [29]RFC2560,X.509 Internet Public Key infrastructure Online Certificate StatusProtocol-OCSP.Tune 1999.
    [30]Babak Sadighi Firozabadi and Marek Sergot.Revocation in the privilegecalculus,http:/www.sics.se/isl/pbrlpapers/fast03,pdf.
    [31]张福宾.基于PKI的安全电子政务的应用研究[D]:[硕士学位论文]青岛.中国海洋大学.6-19.
    [32][美]Andrew Nash,William Duane,Celia Joseph,Derek Brink著.张玉清 陈建奇 杨波 薛伟等译.PKI Implementing and Managing E-Security公钥基础设施(PKI)实现和管理电子安全[M].北京.清华大学出版社.2002.12第一版392-407.
    [33]RFC3281,An Internet Attribute Certificate Profile for Authorization.April2002.
    [34]黄旭波.一种PKI/PMI系统的实现模型[D]:[硕士学位论文].成都.四川大学.
    [35]Carlisle Adams Stevelloyd著.冯登国等译.公开密钥基础设施-概念、标准和实施[M]北京:人民邮电出版社,2001第一版.
    [36]谢冬青、冷健.PKI原理与技术[M].北京.清华大学出版社.2004.1第一版:121-122.
    [37]白保存、李中学.一种新的PKI信任度模型算法设计.计算机测量与设计[J]2005年第8期:843-845.
    [38]唐龙业、张萍.用户信任度的评估方法研究[J].计算机应用研究.2004年第三 期:233-234
    铩颷39]中国信息安全产品测评认证中心编著.信息安全理论与技术[M].北京:人民邮电出版社.2003第一版.
    [40]钟诚、赵跃华.信息安全概论[M].武汉:武汉理工大学出版社.2003-08.
    [41]邵力军、张景、魏长华.人工智能基础[M].北京.科学出版社.2000-03.
    [42]曹剑平、郭东辉.一种基于可信度计算的集成身份认证与访问控制的安全机制[J].计算机工程.2005年第24期第31卷:30-32.
    [43]陆汝铃.人工智能[M].北京科学出版社.2002-02.
    [44]李裕奇.随机过程[J].北京国防工业出版社.2003-08,第一版.
    [45]黄兆亚.访问控制在公文流转系统中的应用[D]:[硕士学位论文].淮安市.河海大学.
    [46]刘宏.整合RBAC和TBAC的访问控制模型的研究及其在电子政务系统中的应用[J].宜宾学院学报.2005第六期:39-42.
    [47]樊冰.电子政务中公文流转系统的安全性分析设计[D]:[硕士学位论文].武汉.武汉理工大学.
    [48]李波.电子政务和商务中应用的字签名研究[D]:[硕士学位论文].成都.西南交通大学.[49]刘颖.基于身份的数字签名的研究[D]:[硕士学位论文].西安.西安电子科技大学.
    [50]黄茹芬.数字签名技术在电子政务中的应用[J].湖州师范学院学报.2005年第27卷第1期:68-71.
    [51]肖蕾、杨世平.在电子政务系统中用Java实现数字签名[J]:计算机安全.2005年第01期.
    [52]郭红微、裴树军.数字签名技术在电子政务系统中的应用与实现[J].哈尔滨理工大学学报,2006年第11卷第1期:78-81.
    [53]黄磊、陈海.数字签名技术在政府公文处理系统中的应用[J].计算机与现代化2003年第07期:52-54.
    [54]林朝韩、孙勇.一种基于身份的数字签名方法设计[J].鹭江职业大学学报.2005年第13卷第1期:40-44.
    [55]郑建德.一种适合于C/S和B/S应用的经济型实体鉴别公钥密码器[J].厦门大学学报(自然科学版).vol 43 No.2 Mar 2004:141-143.
    [56]廖玉、周宗和、张森.基于PKI/PMI的电子政务体系安全模型研究[J].计算机时代.2005年第11期.60-61.
    [57]董雪峰.基于PKI技术的安全电子政务系统的设计与实现[D]:[硕士学位论文].哈尔滨理工大学.
    铩颷58]邹战波.数字签名技术的研究及在电子政务中的应用[D]:[硕士学位论文].大连理工大学
    [59]董亮.基于身份的密码体制及其应用研究[D]:[硕士学位论文].西安电子科技大学
    [60]刘远航、崔维利.电子政务信息安全和PKI/PMI体系[J].网络安全技术与应用2002.7
    [61]杨刚、曾广周.一个基于快表的PMI/PKI访问控制框架[J].计算机工程.2005年8月第31卷第16期144-146
    [62]黄旭波.一种PKI/PMI系统的实现模型[D]:[硕士学位论文].四川.四川大学
    [63]徐海堂.属性证书及应用研究[D]:[硕士学位论文]郑州.解放军信息工程大学19-33