基于區塊鏈的數字證書系統在電子政務外網中的應用探究

王新文

(四川省大數據中心 成都 610041)

(2486115361@qq.com)

隨著信息技術的飛速發展，信息化辦公在各行業的普及程度進一步提高，政府機關及企事業單位的電子政務水平也在飛速發展.政府部門的應用系統目前主要由互聯網、電子政務內網、電子政務外網和行業專網4種網絡承載，其中電子政務外網在政府部門電子政務中發揮著越來越重要的作用，由于電子政務外網系統中有許多敏感但不涉密的數據和文件，因此非授權訪問等系統安全問題尤為突出，這就對電子政務外網系統的安全保障特別是身份認證提出了更高的要求[1].國家信息化領導小組提出要建設以電子認證為主的身份認證體系，完善網絡信任體系建設.

1 電子政務外網概述

電子政務外網是服務于各政務部門的重要公共基礎設施，實現了橫向30多個部委、縱向32個省市地區和2 251個區縣的互聯，是目前我國覆蓋面最廣、連接政府部門最多的政務網絡平臺，為跨地區、跨部門的資源整合、數據共享和業務協同奠定了基礎[2].電子政務外網作為業務承載模型，承載了如網上辦公、公文交換、視頻會議、郵件服務、移動辦公等業務，既提升了行政辦事的效率，又節約了政府開支，促進服務型政府的建設.

電子政務外網全面推行安全等級保護建設，與互聯網之間建設了安全監測和防護系統，實現了有效的邏輯隔離，加強電子認證體系建設，整合的業務系統達到200多項，對政務外網的業務應用安全起到了重要作用.按照目前逐步減少專網建設，大力發展電子政務內外網的發展趨勢，電子政務外網在政府網絡體系中的重要性越來越突出，其安全性備受關注.

電子政務外網的安全管理措施主要從系統管理、信任體系管理和人員管理3個方面實施.系統方面實行定期安全檢查、風險評估、全天24 h的安全監控等措施.信任體系方面實行身份認證和授權管理，通過互聯網接入電子政務外網的用戶必須使用數字證書方式認證；直接接入電子政務外網的用戶，應當使用數字證書方式認證.人員管理方面實行定期培訓、年度審查、權責清晰等制度進行保障.

2 常見的身份認證方式分析

身份認證是通過驗證操作者的身份，確定操作者訪問和使用系統的權限，防止非授權訪問，保證系統和數據安全的過程.在網絡信息安全防護中，身份認證是非授權訪問的第1道障礙，具有非常重要的作用.電子政務系統目前常用的身份認證方式主要有用戶名密碼、動態口令、生物識別、數字證書等，但是都存在一定的安全性或局限性等問題.

2) 動態口令認證方式通過運算因子的不斷變化，每次產生不同的動態口令，這種一次一密的方法安全性較高[3].但是如果服務器與客戶端的同步出現問題，用戶將長期無法登錄.且用戶每次輸錯動態口令都要重新獲取，操作不便.

3) 生物識別認證方式主要是指通過識別指紋、虹膜、臉部等生物特征進行身份認證的一種方式.該技術具有很好的安全性，但是存在開發成本高且識別過程中容易出錯等問題.

4) 數字證書認證方式是基于公開密鑰(public key infrastructure, PKI)，即利用1對密鑰實施加密和解密來實現信息傳輸的完整性和安全性.相比前面幾種身份認證方式，數字證書認證方式安全便捷，是目前電子政務外網系統身份認證的主要方式，但是這種方式也存在批量任務效率低、單點失效等問題.

5) 區塊鏈技術是運用塊鏈式數據結構存儲數據、運用共識機制更新數據、運用智能合約操作數據的一種分布式系統架構，區塊鏈具有去中心化和不可篡改等特點.分布式存儲就是利用多個獨立節點記錄操作信息并監督操作的合法性，同時利用共識機制來保證數據存儲的完整性和一致性，有效避免傳統存儲方式造成的數據被篡改和丟失等情況；共識機制就是所有節點對數據處理的一致性和完整性等方面之間達成共識的一種手段，是區塊鏈技術的核心.基于區塊鏈的數字證書認證系統，能夠有效利用目前的傳統數字證書認證體系，同時使用區塊鏈的分布式存儲和共識機制等技術[4]，使電子政務外網身份認證方面的安全性、可靠性和高效性方面得到很大提升.

3 傳統數字證書系統

傳統數字證書體系中數字證書是由CA(certification authority)電子認證服務機構簽發的包含密鑰和身份信息的電子文檔，是用戶在一定有效期內在系統上的身份證明[5].數字證書身份認證的工作原理是信息發送方利用信息接收方的公鑰進行加密并傳輸，信息接收方利用自己的私鑰對信息進行解密，目前電子政務外網數字證書密鑰采用國密算法即橢圓曲線加密算法進行加密，安全性較高.

3.1 傳統數字證書體系結構

傳統數字證書系統體系結構基本可以分為CA和RA(register authority)證書注冊審批機構，CA與RA的體系結構如圖1所示.CA是數字證書認證體系結構的核心，是簽發、驗證和管理數字證書的機構[5].RA是分散在各地直接面向用戶辦理具體數字證書業務的機構，RA接收和審核用戶申請,審核通過后將申請發送給CA中心，下載和發放證書.

圖1 傳統數字證書體系結構

3.2 傳統數字證書系統的流程

數字證書系統在某個特定的范圍內為有限的群體發放數字證書，數字證書系統的流程主要包括證書的申請、更新、發放和撤銷等[6].

1) 證書的申請和更新

用戶按照數字證書管理機構的要求提供相關的資料到RA中心，RA中心操作員錄入用戶信息，管理員審核通過后由系統提交到CA中心服務器.CA中心服務器產生密鑰對并生成證書后返回給RA中心，再由RA中心將證書發給用戶.

2) 證書的發放

RA中心將CA中心所簽發的證書發布到LDAP(lightweight directory access protocol)輕量級目錄訪問協議目錄服務器上，LDAP目錄服務器為用戶提供目錄瀏覽，方便用戶進行查詢和下載.RA中心提供面對面以及網絡在線發放證書2種方式.用戶按照國家密碼局等安全部門的相關要求，利用IC卡、USB卡等方式存儲證書.

3) 證書的撤銷

由于數字證書信息泄露、口令丟失、有效期到期以及用戶信息需要變更等原因，造成數字證書需要被撤銷的情況出現[7].RA中心接收用戶提交的證書撤銷申請并進行審核，審核通過后提交給CA服務器，CA中心同意請求并更新CRL(certificate revocation list)證書吊銷列表反饋給RA中心公布.

4 基于區塊鏈的數字證書系統

基于區塊鏈的數字證書系統是在傳統數字證書體系的基礎上去掉CA中心，同時在電子政務外網上構建區塊鏈PKI體系，由各地的RA機構接收用戶申請，驗證證書的合法性，產生、發布和存儲新的區塊.

4.1 基于區塊鏈的數字證書體系結構

基于區塊鏈的數字證書系統體系結構主要由RA和區塊鏈PKI系統組成，如圖2所示.RA接收和審核用戶申請,審核通過后生成、發布和存儲新區塊.區塊鏈PKI系統將共識機制、分布式存儲等區塊鏈技術與傳統數字證書服務結合，具有高安全性、去中心化、不可篡改等特點[8].

圖2 基于區塊鏈的數字證書體系結構

4.2 基于區塊鏈數字證書系統的應用

基于區塊鏈的數字證書系統的應用從系統流程和管理措施方面進行探究.

4.2.1 基于區塊鏈數字證書系統的流程

基于區塊鏈的數字證書系統的流程與傳統數字證書系統的流程基本一致，也包括證書的申請、更新、發放和撤銷等流程，但在證書的發布、管理和使用等方面有所不同.

1) 證書的發布

區別于傳統數字證書由唯一的權威CA簽發的機制，區塊鏈數字證書系統由區塊鏈中的RA節點進行簽發，RA接收用戶申請，對申請信息進行驗證，利用區塊鏈共識機制生成新區塊，同時發布到區塊鏈中，其他RA節點驗證該區塊的合法性，并保存到本地區塊鏈中.這種方式下用戶可以在不同地方不同的網絡環境下運用VPN接入電子政務外網發起申請，區塊鏈的分布式存儲和計算技術還能夠批量生成和配置證書，提高工作效率.上述區塊鏈是由多個區塊根據產生時間依次鏈接而成，每個區塊包括產生時間、當前區塊的哈希值、前一區塊的哈希值以及1條或多條數字證書管理記錄.

2) 證書的管理

傳統數字證書系統出于安全性考慮，一般由唯一的CA進行數字證書的管理，一旦CA發生故障，整個數字證書系統包括各地的RA將陷入癱瘓.而區塊鏈數字證書系統應用區塊鏈分布式管理機制，由區塊鏈中多個RA節點進行管理和維護，RA節點記錄數字證書的操作和請求，由區塊鏈PKI系統中超過半數的RA節點應用共識機制進行審核，審核通過系統才能進行操作和響應[9].這種去中心化的審核和管理機制，有效解決了傳統PKI的單點失效問題.

3) 證書的使用

傳統數字證書系統由唯一的權威CA進行證書的驗證和管理，區塊鏈數字證書系統中應用的安全管理系統接收到用戶使用申請，會向區塊鏈網絡發起證書驗證，區塊鏈數字證書系統對證書狀態、有效期和證書內存儲的信息等進行驗證，驗證通過后用戶才能進行進一步操作[10].對于直接接入電子政務外網的應用，可以許可存儲當前區塊鏈信息，以提高性能.

4.2.2 管理措施

在管理措施方面，基于區塊鏈的數字證書系統與傳統數字證書系統一樣，也需要建立包括對數字證書的相關資料、存儲載體以及密碼和證書信息等方面的管理措施并不斷完善.

1) 數字證書的申請、注銷等相關資料需要RA節點進行嚴格審核和規范存檔，資料不合格同樣不能辦理數字證書相關業務，資料收集起來要存放到專用的專人管理的密碼柜.

2) RA節點數字證書系統的管理同樣要建立三權分立的管理原則，管理員、安全員和審計員之間要權責清晰，不能越權處理業務.

3) RA節點在數字證書發放過程中同樣要核對和登記領取信息，用戶領取數字證書后要及時修改初始密碼，遇到丟失、損壞以及冒用等情況，要及時聯系RA節點工作人員處理.

5 結 語

互聯網技術的日新月異，電子政務外網的快速發展，使電子政務的安全防護更加至關重要.電子政務外網系統是一個集網絡和應用于一體的復雜體系，系統的安全性首先就要從身份認證方面進行保障.當前電子政務外網系統中常見的幾種身份認證方式存在安全性低、成本高、操作復雜或效率低等各種問題，區塊鏈數字證書系統去中心化、分布式存儲的特點使電子政務外網的身份認證過程更加安全和高效.

大數據時代的來臨給信息安全提出了更多更高的要求，信息安全問題往往需要從技術和管理2個方面雙管齊下，建立和完善數字證書在應用和管理方面的標準規范，推動電子政務外網安全建設標準化、規范化發展，是今后電子政務信息化發展需要探究的方向.