本文介紹了USB安全鑰及其技術,針對電子政務信息安全問題,提出將USB安全鑰應用于電子政務系統,描述了電子政務系統USB安全鑰的體系結構,講解了利用USB安全鑰構建電子政務系統安全,最后對USB安全鑰應用于電子政務系統進行了實例分析。

  一、電子政務系統

  隨著計算機技術和通信技術的飛速發展,利用網絡為政府部門提供更優質的服務成為當今社會的共識,電子政務(e-government)就是指政府機構在其管理和服務職能中運用現代信息技術,實現政府組織機構和工作流程的重組優化,超越時空和部門領域中的信息處理,是對電子政務業務所涉及的政務處理過程的通稱,電子政務已成為當代信息化最重要的領域之一,電子政務建設也是我國今后一個時期信息化工作的重點。

  電子政務作為信息網絡的一個特殊應用領域,運行著大量需要保護的數據和信息,有其自身特殊性,如果系統的安全性被破壞,造成敏感信息暴露或丟失,或網絡被攻擊等安全事件,可能導致嚴重的后果,電子政務系統也必然成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰攻擊的目標。因此,構建電子政務信息安全保障體系,將變得尤為重要。

  目前電子政務系統安全措施最常用的就是使用用戶名加口令的方式,但這也是最原始、最不安全的身份確認方式,非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造等,電子政務系統必須解決雙方身份認證問題以及身份認證后數據安全傳輸問題。解決第一個問題時我們可以使用數字簽名技術,而解決第二個問題時可以使用加/解密技術,在這兩項技術中的關鍵點就是簽名和加密所用的私鑰,基于USB的隨身攜帶,熱插拔、傳輸速度快以及硬件等優勢,將私鑰存儲于USB硬件中,結合加密算法,可以比較好地解決電子政務系統中身份認證以及數據加密傳輸問題。

  二、USB安全鑰及其技術介紹

  USB,是通用串行總線(Universal Serial Bus)的簡稱,它已成為計算機與外設之間進行數據交換的主流總線協議。USB安全鑰是以現代密碼學的先進密碼體制為基礎,利用USB硬件優勢集加密、認證及數字簽名等技術于一體,具有高安全性、高處理速度的秘密數據存儲設備,它具有以下特點:

  (1)帶有安全存儲空間

  USB安全鑰具有比較大的安全數據存儲空間,可以存儲數字證書、用戶密鑰等秘密數據,對該存儲空間的讀寫操作必須通過程序實現,用戶無法直接讀取,其中用戶私鑰是不可導出的,杜絕了復制用戶數字證書或身份信息的可能性。

  (2)具有硬件PIN碼保護

  每一個USB安全鑰都具有硬件PIN碼保護,PIN碼和硬件構成了用戶使用USB安全鑰的兩個必要因素,即所謂“雙因子認證”。用戶只有同時取得了USB 安全鑰和用戶PIN碼,才可以登錄電子政務系統。即使用戶的PIN碼被泄漏,只要用戶持有的USB安全鑰不被盜取,合法用戶的身份就不會被仿冒;如果用戶的USB安全鑰遺失,拾到者由于不知道用戶PIN碼,也無法仿冒合法用戶的身份。

  (3)硬件實現加密算法

  USB安全鑰內置CPU或智能卡芯片,可以實現PKI體系中使用的數據摘要、數據加解密和簽名的各種算法,加解密運算在USB安全鑰內進行,保證了用戶密鑰不會出現在計算機內存中,從而杜絕了用戶密鑰被黑客截取的可能性。

  (4)兼容性好

  由于設備本身符合USB各項協議定義,在不同的計算機平臺(PC、MAC等)和操作系統(WINDOWS、UNIX等)中均能使用,具有很好的兼容性。

  三、電子政務系統USB安全鑰的體系結構

  USB安全鑰在電子政務系統中扮演著“安全衛士”的作用,其體系結構如圖1所示。

  

  圖1 USB電子政務USB安全鑰體系結構

  四、使用USB安全鑰構建電子政務系統安全

  使用USB安全鑰構建電子政務系統的身份識別、數據傳輸應用的安全,身份安全可以采用PKI認證,應用安全可采用CA認證。

  (1)基于公開密鑰體系(PKI)的認證

  PKI 就是 Public Key Infrastructure 的縮寫,也就是所謂“公開密鑰體系”,它是一種利用現代密碼學的公鑰密碼技術在公開的網絡環境中提供數據加密以及數字簽名服務的技術框架。PKI通過延伸到用戶本地的接口,為各種應用提供安全的服務,如身份識別、認證、數字簽名、加密等來解決網絡安全問題。使用公開的密鑰算法(也稱非對稱加密算法)的用戶同時擁有匹配的公鑰和私鑰。私鑰由用戶保存,且不能泄露,公鑰則要廣泛公開的發布。私鑰無法通過公鑰計算獲得。公開密鑰體系的作用不僅可用于安全密鑰交換,還可用于鑒別用戶的身份,下面將就如何鑒別用戶身份進行簡要描述。

  當服務器端需要驗證客戶端的身份時,服務器端產生一個隨機數R,發送給客戶端,客戶端通過USB接口,把隨機數R傳送入USB安全鑰中,使用自己的私鑰對隨機數進行加密,并把加密結果傳給服務器端,服務器端通過使用客戶的公鑰對接收到的加密數據進行解密,對比解密后的數是否和隨機數R一致,一致就通過驗證。

  (2)基于CA機構的認證

  為保證電子政務系統用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構。CA (Certificate Authority)機構,又稱為證書授證中心,它是以數字證書為核心的加密技術,負責發放和管理數字證書,承擔公鑰體系中公鑰的合法性檢驗的責任。CA認證可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及電子政務發送、接收實體身份的真實性,簽名信息的不可否認性,從而保障電子政務系統應用的安全性。

  數字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當電子政務發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由于沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程,即只有用私鑰才能解密。

  五、USB安全鑰在電子政務中的應用實例

  為了進一步說明USB安全鑰在電子政務中起到的重要作用,現就電子政務系統身份認證的一個應用實例作以說明,如圖2所示。

  

  圖2 USB 安全鑰在電子政務中的應用

  首先用戶將USB安全鑰插入電子政務系統PC,PC讀出安全鑰的ID號;然后用戶輸入自己的用戶名和密碼,PC將其和安全鑰的ID一起通過網絡發往服務器并請求服務器對用戶進行身份認證;服務器從PC得到安全鑰的ID、用戶名和密碼后從數據庫中提取相應的用戶信息,同時生成一個隨機數R并發往PC,PC 再將收到的隨機數R傳遞給USB 安全鑰;USB 安全鑰使用內部存儲的密鑰和算法與該隨機數進行運算得到一個結果作為認證證據,加密后發回PC,PC 再將加密結果傳遞給服務器,服務器解密PC 發來的加密數據得到一個需驗證的密鑰;與此同時服務器也使用從數據庫提取的信息與該隨機數R進行運算獲得正確的密鑰,如果兩個密鑰相符就認為用戶的身份合法,否則不合法;最后服務器將用戶身份的認證結果發往PC,電子政務系統根據認證結果提供或是拒絕服務。

  USB安全鑰應用于電子政務系統中,可以較好地解決電子政務系統中身份認證以及數據加密傳輸問題,保障了政務的安全傳送和處理,為各級政府部門及時掌握和處理信息提供一個先進、可靠、實用、安全保密的系統,達到借助電子政務系統的建設,提高政府工作效率、政府工作透明化,充分做到執政為民的目的。USB安全鑰技術在不斷發展、成熟,研制自主知識產權產品并應用于各重要安全領域必將成為電子政務建設的重要保障。