基于PKI密码体系的可信行政审批系统的设计和实现

摘要:文章提出了基于PKI密码体系的可信行政审批系统的框架,以PKI体系中的数字签名为主要技术手段,结合了业界先进的SOA架构体系,使政府机关以行政审批项目办理为主要业务的行政审批系统在安全性上得到大幅提高,从人员可信、授权可信、信源可信等多方面构建起了应用系统的安全体系,降低了基于互联网的行政项目申报-审批过程中的数据不安全性,提高了政府的办公效率,并结合某县级行政审批中心实例,验证了系统在县-乡镇-村三级行政服务业务过程中的有效性。

关键词:PKI;可信计算;行政审批系统;行政审批;电子政务

一、引言

行政审批系统是辅助各级政府的行政审批中心实现网上服务和网上办公,增强公众服务的主动推送力度、提高内部办证人员办理证件的效率,并对各办事窗口进行全面监督管理的综合信息化系统。它通过网络与公众、办证窗口、监察人员等相连接,实现审批中心办证服务办公自动化,提高中心的信息传递效率,大幅降低管理成本。

但是,大部分行政审批系统都有网上审批部分,也就是说,大部分行政审批系统会建设在互联网中。而互联网中的不安全性,使得行政审批系统在申报、审批、结果公示等各个环节下产生的结果不具有可信度,从而极大地影响了基于互联网的行政审批系统的发展。如何解决好基于互联网的行政审批系统中的数据安全,是一个亟待解决的问题。

本文提出的基于PKI密码体系的可信行政审批系统,是在现有行政审批业务系统的基础上,结合了公钥密码基础设施(PKI)的支持,将密码学中的加密、解密、签名、验证签名行为充分应用在了行政审批业务的申报->审批两端,极大地加强了行政审批业务数据的机密性、真实性、完整性及不可抵赖性,最终保障了政府数据安全。

二、公钥密码基础设施简介

PKI是PublicKeyInfrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究的基础设施。这个概念不仅仅叙述PKI能提供的安全服务,更强调PKI必须支持公开密钥的管理。也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。总体来说,PKI是用公钥概念和技术实施的,支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分:

认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征。

数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥。

密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但需注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

证书作废系统:证书作废处理系统是PKI一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

PKI作为一种安全技术,已深入网络的各个层面。这从一个侧面反映了PKI强大的生命力和无与伦比的技术优势。PKI的灵魂来源于公钥密码技术,这种技术使得“知其然不知其所以然”成为一种可以证明的状态,使得网络上的数字签名有了理论上的安全保障。围绕着如何用好这种非对称密码技术,数字证书破壳而出,并成为PKI中最为核心的元素。

PKI的优势主要表现在:

第一,采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。支持公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。

第二,由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密,同时也可以为陌生的用户之间的通信提供保密支持。

第三,由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。PKI采用数字证书方式进行服务,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去安全验证服务必须在线的限制。

第四,PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种安全环境下都可以让用户更加放心。另外,因为有撤销技术,不论是永远不变的身份、还是经常变换的角色,都可以得到PKI的服务而不用担心被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误”或“后悔”的途径是良好工程设计中必须的一环。

第五,PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。

三、可信行政审批系统中的安全需求

随着1999年开始启动的政府上网工程,全国绝大多数城市都纷纷建立了政务门户网站,为了真正做到便民、利民,实现政府工作透明化和提高行政执行效率,各级政府部门纷纷建立网上业务受理系统。2004年7月1日颁布的《中华人民共和国行政许可法》中明确规定了申报项目必须在网上审批,这极大地推动了政府网上审批系统的建设,各地政府开始纷纷构建网上行政审批系统。

由于行政审批系统是构建在开放的、虚拟的互联网中,且系统中传输和存储着大量机密和敏感的数据,使得网络信任体系建设成为一项非常重要的工作。近年来,盗用账号、越权访问、非法信息、数据篡改等问题在各级政府部门都时有发生,并呈逐年上升趋势,这给系统的信息安全建设提出了非常迫切的需求,这些问题主要集中体现在以下几个方面:

第一,身份认证:系统中的用户采用简单的“用户名+口令”登录方式,数据以明文方式在开放的互联网中传输,很容易被非法用户窃取,非法用户可伪造、假冒用户的身份,业务系统无法证明访问的用户是否是真正的合法用户本身,用户也无法知道他们所登录的系统是否为真实、可信的业务系统。因此,有必要明确网络用户双方的真实身份,以维护系统的可靠运行。

第二,数据机密性:行政审批业务系统中双方操作的交互数据都是通过开放的互联网络进行传输,若这些数据以明文方式或以简单的加密技术进行处理,很容易被非法用户截取、破解并加以利用,可能会给数据操作的双方带来严重的损失。因此,需要保证数据传输的机密性。

第三,数据完整性:敏感数据在开放的网络中传输,很可能遭到非法用户的恶意篡改,使得数据不完整或不真实。因此,需要保证传输数据的完整性。

第四,数据不可抵赖性:行政审批系统的运行往往关系到政府的信用度和执政形象,若没有一定的监测机制,申报者有可能否认自己的申报数据及申报行为,审批者也可以否认自己的审批意见及审批行为,甚至出现假冒他人进行申报或审批的行为。因此,需要实现信息交互双方对于操作事实的不可否认性,同时对涉及信息安全的事件,系统能够提供事后追踪、审核及统计等功能。

四、基于PKI密码体系的可信行政审批系统的设计

系统的总体架构由四大部分组成,即申报模块、审批模块、管理模块和安全模块。整个系统采用面向对象的方法实现。

(一)审批流程

行政审批系统的申请审批流程,如图1所示:

在该流程中,涉及到密码的部分有:所有环节操作者在操作之前都必须验证用户身份;“提交申报材料”环节,涉及到对电子申报材料的安全保护,包括加密保证其机密性、签名保证其真实性、有效性和不可抵赖性;“相关部门审批”环节,涉及到对审批环节的安全保护;“反馈审批结果”环节,涉及到对审批结果的安全保护;所有环节都涉及到对操作者的权限控制。

(二)部署结构

系统的整体部署结构,如图2所示:

系统部署结构,如图2所示。图2中,应用服务器:系统运行所需要的应用服务器,主要的系统业务程序运行于此;数据库服务器:系统运行的业务数据、用户数据和文件附件都加密签名后存储于此;证书服务器:即PKI体系的核心部分――CA的服务器,包括证书的管理、密钥的管理功能都运行于此;LDAP服务器:根据PKI体系的要求,的数字证书存储于LDAP中;行政服务申报点:负责行政审批业务中的项目申报工作;通过插入的KEY进行身份认证、数据加密、签名行为;行政审批点:行政服务中心负责审批工作的工作终端,通过插入的KEY进行身份认证、数据加密、签名行为;管理员:管理员通过纯WEB方式进行系统的数据配置和权限管理,通过KEY进行管理员的身份认证。

(三)逻辑结构

系统的逻辑结构,如图3所示。

图3中,系统主要分为系统环境、软件支持、密码支持、后台管理、业务管理(包括申报管理和审批管理)几个层次,下层给上层提供业务支持。

第一,系统环境层:主要是指操作系统的支持,包括服务器操作系统和客户端操作系统两部分,通常情况下,服务器操作系统使用LINUX,客户端操作系统兼容主流WINDOWS。

第二,软件支持层:主要是数据库软件,系统中使用的是MYSQLFORLINUX,另外,还有网页系统必须的WEB服务器支持,本系统用的是JDK1.6+JBOSS4.2。

第三,密码支持层:主要包括密码设备和密码接口,提供加密、解密、签名、验证签名、证书管理和权限控制等安全功能。

第四,后台管理:主要有用户、组织架构、角色、权限、申报项目、日志审计等内容,为前台业务运行提供必要的初始化数据和控制因素。

第五,业务管理:主要包括申报和审批,围绕着行政审批的业务进行编写的对应功能。

五、基于PKI密码体系的可信行政审批系统实现及应用

本系统在某县行政服务中心得到应用,在全县范围内构建了“县行政服务中心->乡镇行政服务分中心->村行政申报点”三级联动的可信行政审批服务体系,旨在通过信息化手段解决农村公共服务业务中“路途远、周期长、结果迟”的不足,更好地为农村群众服务。

该系统基于互联网,因此,在各环节根据设计保证数据安全是本系统必须确保的目标。系统应用过程中使用国家商用密码设备来构建这一PKI安全体系。具体如下:

第一,“用户登录”环节。在用户登录环节,系统目前惯用但不够安全的“用户名+密码”方式加强为“智能密码钥匙+密码”方式。用户必须持USB智能密码钥匙以及输入对应密码才能进入系统。用户插入KEY后,自动会读出用户名,如用户没有插入KEY,则系统会弹出出错提示。

第二,“文件上传”环节。文件上传前进行数据加密、签名,并将文件的密码信息在文件头部生成电子文件安全标签,然后将包含标签和密文的安全电子文件实体上传至服务器。

第三,“提交申报材料”环节。提交申报材料环节中,将要提交的表单以及表单中包含的已加密签名的安全电子文件上传至服务器。

第四,“审批”环节。审批环节主要关注的是审批意见和审批后材料的安全性,会对审批意见和审批后材料进行加密签名、然后将安全的结果数据保存在数据库中。

另外,对数据库中每一条审批记录都做了防篡改校验,即将数据库中的每一条审批记录内容进行摘要计算,然后将摘要记录在记录中的某一个字段内。如果审批记录被修改,系统会立即检查出并报错,以达到保证结果不被篡改的目的。

第五,权限管理。所有用户在系统中都有指定权限,任何用户的权限都将由系统管理员在后台设置,设置后系统将按业务规则控制申请、审批用户的操作权限,杜绝未授权的不安全操作行为。

系统经过各个环节全方位的安全加固以后,以由一个普通的行政审批系统上升成为安全的可信行政审批系统,并在用户处得到广泛应用,用户评价很好。

整体来看,通过PKI密码基础设施,可以有效地提高行政审批系统的安全性,使得信息化为行政服务中心及广大群众服务的同时,也保护了政府信息的安全。

六、结束语

本文提出的基于PKI密码体系的可信行政审批系统,成功实施后,对行政审批中心信息化工作有着较大的推进作用,典型的实施效果如下:

第一,为政府部门及时完成工作任务实现公文无纸化传输等应用提供强有力的安全保护。

第二,有效地保证系统用户与应用系统之间信息传递的安全性,为职能部门的决策提供及时、准确、全面、安全和不可抵赖的信息服务。

第三,为政府外网的安全、稳定运行提供有效的保障:保证政府通过外网获得的大量决策信息和参考信息的真实性、可靠性;同时为推动政务公开、职能转变、网上互动、增加透明,树立政府“公开、廉政、高效”的良好形象提供安全可靠的网络基础。

第四,防止公文数据泄漏,防止越权操作,提高电子政务的工作效率,满足各办公单位进行高效、快捷的的需求。

第五,提高政务工作的透明度,提高政府部门的形象;为整个电子政务信息化建设提供安全的应用环境。

同时,由于PKI密码体系是业务无关的,因此这种设计思路不仅可以应用于行政审批系统,也可以应用于其他与文件安全、数据安全有关的应用系统,从而可以使本设计思路的应用范围更广泛,应用效果更好。

参考文献:

1、关振胜.公钥基础设施PKI及其应用[M].电子工业出版社,2008.

2、荆继锵.PKI技术[M].科学出版社,2008.

3、王群.计算机网络安全技术[M].清华大学出版社,2008.

(作者单位:上海理工大学管理学院)