您所在的位置:首页 > 客户服务 > 白皮书 > 正文

ekey在电子政务系统的应用

更新时间:2014-04-11 09:54:20点击次数:112字号:T|T

一、电子政务概述
1.1 概述
   早在二、三十年之前,西方许多发达国家的各级政府便已采用计算机技术进行政务自动化处理;随着中国社会信息化发展和计算机技术的全面应用,原有各级政府的办公自动化系统已难以适应网络时代对政府办公的高标准要求, "无笔办公"、"无纸办公"、"电子政府"等需求正在不断升级,电子政务系统就是在这种背景下应运而生的。
   电子政务系统是面向社会的网上政府办公系统,它包含了计算机技术、网络技术、通讯技术、数据库技术等尖端IT技术,是非常庞大的综合应用系统。该工程的实施,将在社会上树立良好的政府形象,提高政府工作的透明度,降低办公费用,提高办公效率;有利于勤政、廉政建设;同时对于推进社会信息化进程具有十分重大而深远的意义。
1.2 电子政务实施范畴
   电子政务是在网络的基础上,利用相应的电子工具来实现政府政务活动和信息交换的过程,通常包括以下几个方面:
· 用于政务公开
   国家各级政府广泛利用功能强大的政府网站向社会公开大量政务信息。这些信息包括:政府领导人的重要活动,政府工作的最新动态,与政府工作相关的支持机构的有关信息等等。可以说,大部分与民众相关的政府事务,都能及时通过政府网站获得详尽的信息。例如,登录到政府网站,就可以查阅到近期政府重要的项目招标、招商信息详细情况,其中包括资格审查条件、如何申请办理,时间安排等内容,很好地体现了政务公开化的办事原则。
· 提供网上服务
   利用国内许多政府网站,都可以为民众在线提供各种查询、申请、交费、注册等服务。例如,登录到社会保险信息查询网站,即可以随时查阅参保人员每个月社保缴费情况,社保消费记录及帐户余额等信息。由于这些服务充分发挥了网络的优势,体现了网上虚拟政府的发展方向,因此极大地方便了民众。
· 实现资源共享
   各级政府通过政府网站,向大众提供政府所拥有的公用资料库信息资源,从而实现公共信息资源的充分利用。例如,可以将各种社会经济统计指标、地区经济发展状况、旅游资源状况、网上图书馆、网上地图等资源共享功能纳入各地市政府网站所提供的服务之列。
· 内部办公电子化(身份认证、安全电子邮件)
   国家各级政府内部经常会有一些强制性的政府文件需层层下发,目前,传统的书面文件、手工签名方式仍然在政府部门事务处理中使用。电子政务系统的启用将使得政府机关内部的办公事务主要依靠电子化处理和传递成为可能;诸如文件签署、会议通知、信息传达、政策宣传、法规颁布等,都可以电子邮件方式处理和发布,加快了信息的流通进程。
   政府机关的工作性质决定了其内部使用的办公电子化系统一定是在网络安全认证基础上的。有了它,您再也不用担心您的信息来源的真实性,在传送过程中被别人偷看,或发到不相识的人的手里,你可以放心地进行电子公文的处理事宜。
1.3 电子政务建设现状
   总体来看,电子政务系统在中国政府部门中的应用仍处于起步阶段,可以说,其“电子政务”的硬件平能已经初具形态,但在电子政务系统的建设过程中还存在不少问题,例如,各级政府之间、各省市之间的办公网还没有做到网网相联,网络平台、安全技术方面没有统一标准,电子政务所需的基本网络应用功能还不完善,领导人的应用水平仍是制约电子化办公的瓶颈因素。

二、电子政务系统的安全体系
2.1信息安全问题
   随着NTERNET高速发展,人们使用和依赖网络作为信息交流已变得越来越普及。网络的信息安全问题越来越引起人们的关注,尤其在涉及到国家政府机密文件和敏感数据传输的电子政务应用系统中,必须解决以下几方面问题:
· 网络的身份认证—确认网络客户的真实身份
· 信息和数据的保密性—个人和系统机密信息和数据保护
· 信息和数据完整性—防止不合法的数据修改
· 数字签名—网络环境下行为的不可抵赖性

对于数字信息的安全需求,通过如下手段加以解决:
· 数据保密性----加密
· 数据的完整性----数字签名
· 身份鉴别----数字证书与数字签名
· 不可否认性----数字签名
为了保证网上信息传输双方的身份验证和信息传输安全,目前采用数字证书技术来实现,从而实现对传输信息的机密性、真实性、完整性和不可否认性。
2.2 PKI(Public Key Infrastructure)公钥基础设施平台
   众所周知,PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。电子政务系统的安全保证应是建立在PKI基础框架之上。
2.3 PKI技术概念
   基于PKI体系的电子政务的安全性是通过使用加密手段来达到的,非对称密钥加密技术(公开密钥加密技术)和对称密钥加密技术是电子政务系统中采用的两种加密技术。公开密钥加密技术主要用于数字签名、会话密钥的保护和分发(数字信封)。对称密钥加密技术主要用于敏感数据的加密保护,防止国家机密信息的泄露或恶意功击。
· 数字证书
   数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来数字证书来证明自己的身份。
· 访问需要客户验证的安全INTERNET站点;
· 用对方的数字证书向对方发送加密的邮件;
· 给对方发送带自己签名的邮件。
· 数字签名
   数字签名是指发送方使用自已的私钥对通信数据进行加密处理,生成一段数字信息,并附在原文上一起发送。数字签名信息类似现实中的签名或印章。接收方使用发送方的公钥对数字签名进行验证,判断原文真伪。
· 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;(身份认证,不可抵赖性)
· 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。(数据完整性)
· 会话密钥
   会话密钥用于对称加密算法。在电子政务进行过程中,发送方每次通信时都会产生一个临时通信密钥即会话密钥,目的是用来对通信数据(国家机密信息)进行加密保护。通信结束后,会话密钥即销毁。
公开密钥算法不会代替对称算法。通常公开密钥不用来加密数据,而用来加密密钥:
· 对称加密算法比公开密钥算法速度快(高效);
· 公开密钥算法对选择明文攻击是脆弱的(抗攻击性)。
· 数字信封
   为了解决每次密钥更换和分发困难的问题, 结合对称加密技术和公开密钥技术的优点,引入数字信封概念。数字信封是信息发送方用接收方的公钥,将一个临时会话密钥加密后,传送后接收方。只有指定的接收方才能打开信封(只有接收方才有解密的私钥),取得会话密钥(SK),用它来解开加密信息。
· 即使加密信息被他人非法截获,因无法得到发送方的会话密钥,故不可能对获取原文。(数据机密性)
· 一次一密,安全性提高。


发送方数字信封示图

接收方数字信封示图

三、eKEY在电子政务的应用
3.1 信息安全产品eKEY
   明华公司自主开发的eKEY产品(或SmartCOS-PK卡+USB读卡器)是基于USB接口的信息安全产品。内置智能加密芯片,支持PKI体系的公开密钥加密算法和对称密钥加密算法;其安全文件系统,可以存储X.509数字证书、密钥和其他机密信息,满足电子政务系统对客户端信息安全产品的需要。
3.2 eKEY功能
· 存储功能
   可以存储RSA/ECC数字证书、加密密钥、个人密码、个人信息及进行安全控管;
· PIN码保护
   内置PIN码保护功能,多次误操作即锁定eKEY;
· RSA/ECC数字签名
   支持1024位RSA和192位ECC公开密钥加密算法;数字签名/签名认证,数据加密/解密功能 ;
· 敏感数据的加密/解密
   支持DES、3DES对称加密算法和128位国密分组加密算法;可实现数据加密/解密;
· RSA/ECC数字信封
   支持1024位RSA和192位ECC数字信封功能,实现对128位国密分组对称密钥的密文导出/导入,确保对称密钥的安全传输;
· SDK软件特点
  ——支持全部Windows平台;
  ——支持Linux Red HatV7.1(内核2.42)
  ——提供ActiveX部件API
  ——提供C语言调用的API
3.3 电子政务应用(eKEY为例)
EKEY在电子政务中应用过程说明如下:
1.申请eKEY
· 初始化ekey
   根据电子政务的应用情况,在ekey内建立相应的用户文件结构,同时创建每个用户的个人PIN。Ekey的初始化可以由指定的发卡方完成,亦可以先安装客户端驱动程序软件和电子政务用户工具软件后,由客户自已通过INTERNET申请完成ekey的初始化。
·申请证书
   登陆到指定电子政务网站,填写申请表提交能够证明自己身份的资料,接受CA中心的审查。审查通过后,进入“CA中心发卡管理系统”,完成如下操作:
· PIN口令校验;
· 生成RSA/ECC密钥对(受PIN保护,只能使用,不能不读取);
· 公钥发送给CA中心证书颁发系统,将申请者个人信息与公钥捆绑,并用CA私钥签字,形成数字证书(RSA/ECC);
· 证书生成完毕后下载到eKEY内;同时在CA中心的证书库内保存。
2.应用
   用户拿到具有自已的私钥和证书的ekey后,即可以上网进行电子政务活动,包括安全登陆、安全电子邮件、文件审批数字签名、敏感数据加密传输等。
一个完整的数据加解密、身份认证流程如下:
· 验证用户PIN口令,从而允许登录到电子政务相关网站;
· 信息发送者A使用一单向散列函数对信息生成信息摘要AHash(M)。
· 信息发送者A使用自己的签名私钥签名信息摘要。
· 信息发送者A生成一个对称密钥(会话密钥),用该对称密钥加密原始信息,签名及自己的证书(证书中有自己的签名公钥信息),生成加密信息。
· 信息发送者A从信息接收者B的证书中得到B的key加密公钥,然后用其加密对称密钥(会话密钥),生成数字信封。
· A将加密信息和数字信封发送给B。
· B用key加密私钥解密数字信封,得到对称密钥(会话密钥)
· B用对称密钥解密加密信息,得到A的证书,原始信息,A对信息摘要的签名。
· B从A的证书中得到A的签名公钥,然后用其对A的信息摘要的签名进行解密,得到信息摘要。
· B使用一单向散列函数对原始信息生成信息摘要BHash(M)。
· 比较 Ahash(M)与Bhash(M)的信息摘要是否一致,若是,则A发送信息,B接收信息的整个过程完成。该过程保证了数据传输的安全性,数据的完整性及不可篡改性。
3.4 中国南海电子政务启动情况
l 基于PKI安全体系结构
 中间件采用PKCS#11标准
· 双证书
  自然人、设备和服务器均存储1024位RSA和192位ECC双证书。
· 加密算法
  公开密钥加密算法采用RSA和ECC;
  对称密钥加密算法采用3DES和国密分组加密算法。
· 二种形式的客户端安全产品
  eKEY(其它eKEY)
  SmartCOS—PK和读卡器结合
· 服务器端安全产品
  硬件加密机(具有国密分组算法)




合作伙伴 | Major customers & Partners

香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码