PKI/PMI技术在VPN政务网中的应用研究

摘要：随着信息技术的高速发展，电子政务系统的安全问题显得尤为重要。本文介绍了VPN和PKI/PMI技术的特点和优势并对PKI/PMI技术在VPN政务网中的应用做出了展望。

关键词：PKI/PMI技术 电子政务

随着计算机技术的发展和网络基础设施的改善，各级政府和公共部门的信息交换平台的作用越来越明显。电子政务得到广泛应用的同时，如何构建一个安全的信息交换平台，为电子政务应用提供良好的使用环境成为了重中之重，PKI/PMI技术和VPN网络的应用可以解决目前电子政务网面临的各种安全威胁。

一、VPN技术的特点

VPN（Virtual Private Network，虚拟专用网）是指通过公用骨干网络将在物理上分布于不同区域的网络连接成的逻辑上的虚拟子网，使用户获得等同于专有网络的通信质量。它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护，而且能够安全、及时地交换用户的重要数据,防止通信信息被泄露和篡改。VPN技术具有以下特点：

1.安全可靠。VPN技术利用可靠的隧道技术和数据加密等技术保证信息的安全。

2.建网成本低。VPN技术利用现有公共网络组建虚拟专网，不需要使用专用的线路就能实现数据的安全传输，使成本比其它通信方式(如专线和长途电话)更低廉。

3.扩展性强。当内部网络结点越来越多时，专线连接网络结构复杂，费用昂贵，而采用VPN只需在结点处架设VPN设备，就可以利用Internet建立安全连接，如果有新的内部网络想加入安全连接，只需加一台VPN设备，改变相关配置即可实现。

4.可提供服务质量保证（QoS）。VPN网内的不同用户和业务对服务质量保证的要求差别较大，QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

5.可管理性强。通过VPN，用户能够对分散在各地的分支机构进行安全的统一管理与协调，包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

二、PKI技术概述

PKI(Public Key Infrastructure)即“公钥基础设施”，它遵循标准的公钥加密技术为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分。

PKI可以解决绝大多数网络安全问题，它是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。所以，PKI对于电子政务、电子商务以及国家信息化的整体发展战略等多层面安全问题有着举足轻重的作用。

三、PKI/PMI技术在电子政务网中的应用

进入二十一世纪以来，我国电子政务建设进入以深化应用及信息安全保障为显著特征的发展阶段，信息安全保障是其中的重点。PKI/PMI能为电子政务的安全提供最有效的保障，属于信息安全的核心技术。

1. 证书认证机构CA

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件，可以说是Internet上的安全护照或身份证明。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。

PKI提供的证书服务主要有两个功能，即证实用户身份的功能及保证信息机密性和完整性的功能。它最主要的组件就是CA(Certification Authority)认证中心。其主要职责包括：验证并标识证书申请者的身份；确保CA用于签名证书的非对称密钥的质量和安全性；管理证书信息资料。认证中心是公钥基础设施的核心，有了大家信任的认证中心，用户才能放心方便地享用公钥技术带来的安全服务。

2.PKI和PMI技术的应用

PMI(Privilege Management Infrastructure) 授权管理基础设施，采用基于属性证书(AC)的授权模式，主要提供分布式计算环境中应用系统的访问控制功能，通过将访问控制机制从具体应用系统的开发和管理中分离出来，使访问控制机制与应用系统之间能灵活而方便地结合和使用。

PKI和PMI都是重要的安全基础设施，它们实现的功能是不同的：PKI主要进行身份鉴别，证明用户身份；而PMI主要进行授权管理和访问控制决策。同时PKI和PMI又有着密切的联系，PMI是建立在PKI基础之上的，一方面，对用户的授权是要基于用户的真实身份，即公钥数字证书的；另一方面，访问控制决策是建立在对用户身份认证的基础上的，只有确定了用户的真实身份才能确定用户能做什么。此外，二者还具有相似的层次化结构，相同的证书与信息绑定机制和许多相似的概念。

PKI和PMI技术在电子政务系统中得到了广泛的应用，国家信息安全基础设施（NISI）即由公开密钥基础设施(PKI)和授权管理基础设施(PMI)组成。其中，PKI信息安全平台提供智能化的信任服务，而PMI授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务。

综上所述，PKI/PMI技术和VPN技术都是电子政务安全的技术基石，在这三种关键技术的基础上，综合采用其它安全手段和安全管理措施，才能够为电子政务提供一个高度安全和稳定的业务环境。

参考文献：

[1]徐松泉.PKI, PMI与VPN保护电子政务的三剑客[J].电子政务, 2004,(04)

[2]王庆生等, VPN在政务网中的安全技术分析[J].计算机与现代化，2007,(9)

[3]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社, 2004