劉邦桂　曾思財(cái)

摘? 要：針對(duì)電子政務(wù)應(yīng)用中網(wǎng)絡(luò)自助業(yè)務(wù)不斷增多，用戶(hù)網(wǎng)絡(luò)安全意識(shí)普遍不高，容易受仿冒服務(wù)端發(fā)起的網(wǎng)絡(luò)攻擊，導(dǎo)致信息泄露、財(cái)產(chǎn)損失等安全問(wèn)題，以業(yè)務(wù)中通信數(shù)據(jù)的完整性、機(jī)密性、不可否認(rèn)性為研究對(duì)象，深入研究分析了密碼學(xué)、數(shù)字簽名、PKI（Public Key Infrastructure， 公共基礎(chǔ)設(shè)施）、CA（Certificate Authority， 證書(shū)授權(quán)機(jī)構(gòu)）以及證書(shū)的工作機(jī)制，提出了基于PKI的電子身份認(rèn)證技術(shù)在自助電子政務(wù)中的運(yùn)用方案。利用開(kāi)源OpenSSL軟件包，選用RSA（Rivest Shamir Adleman）簽名算法、SHA（Secure Hash Algorithm， 安全散列）摘要算法，在目前最新且被市場(chǎng)穩(wěn)定使用的Red Hat Linux 7.4系統(tǒng)中進(jìn)行了仿真驗(yàn)證。結(jié)果表明，數(shù)字證書(shū)能夠?yàn)橥ㄐ烹p方提供加密和身份認(rèn)證服務(wù)，結(jié)合實(shí)名制、生物識(shí)別等新網(wǎng)絡(luò)安全技術(shù)，能有效保證自助電子政務(wù)業(yè)務(wù)的安全性，可在實(shí)際應(yīng)用中推廣，為解決目前自助電子政務(wù)安全難點(diǎn)提供了參考。

關(guān)鍵詞：電子政務(wù);數(shù)字簽名;身份驗(yàn)證;生物識(shí)別

中圖分類(lèi)號(hào)：TP393.2? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Research and Implementation of Identity Authentication

Technology in E-government

LIU Banggui1， ZENG Sicai2

（1.School of Artificial Intelligence， the Open University of Guangdong， Guangzhou 510091， China;

2.Guangdong? Yunzheng Data Technology Co.， Ltd.， Zhongshan 528400， China）

liubanggui@qq.com; gdyztech@163.com

Abstract： With the increasing network self-service business in e-government applications， network users generally have low awareness of network security and they are vulnerable to network attacks from counterfeit servers， which leads to security issues such as information leakage and property loss. Taking the integrity， confidentiality and non repudiation of communication data in business as the research objects， this paper is based on in-depth research and analysis of cryptography， digital signatures， PKI （Public Key Infrastructure）， CA （Certificate Authority） and working mechanism of certificates. This paper then proposes an application scheme of electronic identity authentication technology based on PKI in self-service e-government， using open source OpenSSL software package， and selecting RSA （Rivest Shamir Adleman） signature algorithm and SHA （Secure Hash Algorithm） digest algorithm. The simulation verification is carried out in the latest and stable Red Hat Linux 7.4 system. Results show that digital certificate can provide encryption and identity authentication services for both parties of communication. Combined with new network security technologies such as real name system and biometrics， it can effectively ensure the security of self-service e-government business， and can be popularized in practical application， which provides a reference for solving current difficulties of self-service e-government network security.

Keywords： e-government; digital signature; identity verification; biometrics

1? ?引言（Introduction）

政府部門(mén)電子業(yè)務(wù)辦理日趨信息化、自動(dòng)化，越來(lái)越多的政務(wù)業(yè)務(wù)開(kāi)始逐漸往網(wǎng)絡(luò)遷移，網(wǎng)絡(luò)安全也開(kāi)始與每個(gè)人息息相關(guān)。然而大部分應(yīng)用的使用者缺乏網(wǎng)絡(luò)素養(yǎng)，給網(wǎng)絡(luò)應(yīng)用帶來(lái)越來(lái)越多的風(fēng)險(xiǎn)。再者，網(wǎng)絡(luò)結(jié)構(gòu)的開(kāi)放性、復(fù)雜性，網(wǎng)絡(luò)應(yīng)用的多樣性，網(wǎng)絡(luò)終端的虛擬性等特點(diǎn)，使網(wǎng)絡(luò)中的信息經(jīng)常出現(xiàn)“我是誰(shuí)”“我在哪里”的情況?；ヂ?lián)網(wǎng)技術(shù)的飛速發(fā)展也伴隨著網(wǎng)絡(luò)攻擊途徑、方式、手段和目的的不斷改變和層出不窮。如何做到電子政務(wù)網(wǎng)絡(luò)服務(wù)中的攻防平衡是網(wǎng)絡(luò)安全急需解決的問(wèn)題。

確保安全使用電子政務(wù)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)安全技術(shù)有很多，比如實(shí)名制、加密卡、U盾、動(dòng)態(tài)口令、生物識(shí)別、軟硬件防火墻等，總結(jié)起來(lái)無(wú)外乎是為了實(shí)現(xiàn)信息的機(jī)密、完整、不可否認(rèn)三大特性。密碼學(xué)技術(shù)解決了在不安全的信道中安全傳輸信息的問(wèn)題，確保數(shù)據(jù)的機(jī)密性;數(shù)字簽名技術(shù)可以證明信息沒(méi)有被篡改，實(shí)現(xiàn)了信息的完整性;同樣利用數(shù)字證書(shū)身份識(shí)別技術(shù)實(shí)現(xiàn)了信息的不可否認(rèn)性。然而密碼學(xué)、數(shù)字簽名技術(shù)均需要在信息的兩端互相傳輸密鑰，因此，密鑰的管理將是解決網(wǎng)絡(luò)攻擊的核心問(wèn)題之一。為此我們基于PKI[1]在Linux 7中設(shè)計(jì)了一種OpenSSL方案，為電子政務(wù)的網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼和數(shù)字證書(shū)服務(wù)管理。

2? 密碼學(xué)與數(shù)字簽名（Cryptography and digital signature）

2.1? ?密碼學(xué)

密碼學(xué)是研究信息系統(tǒng)安全保密的學(xué)科。密碼編碼學(xué)主要是指對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)對(duì)信息的隱蔽。密碼分析學(xué)主要是對(duì)加密信息進(jìn)行破譯。在密碼學(xué)中包含明文、密文、密鑰、加密算法、解密算法五個(gè)重要的元素，構(gòu)成了密碼學(xué)體制[2]，是通信雙方能進(jìn)行加密通信的協(xié)議。所以，不管是編碼學(xué)還是分析學(xué)都要用到密鑰，它是算法的關(guān)鍵。根據(jù)加密和解密過(guò)程中密鑰是否相同，可以將密碼學(xué)分為對(duì)稱(chēng)密碼和非對(duì)稱(chēng)密碼。對(duì)稱(chēng)密碼的加解密鑰相同;非對(duì)稱(chēng)密碼的加解密鑰不相同，而且相互不能推導(dǎo)。一般情況下，保留在加密方手上不能公開(kāi)傳輸?shù)姆Q(chēng)為私鑰;可以在公網(wǎng)上傳輸?shù)姆Q(chēng)為公鑰，用來(lái)解密。因此，在通信雙方進(jìn)行通信前，相互獲得共同預(yù)定的密鑰是整個(gè)過(guò)程的關(guān)鍵。通常在沒(méi)有中間人攻擊的情況下，需要用到雙方都認(rèn)可的第三方權(quán)威機(jī)構(gòu)來(lái)進(jìn)行密鑰的分發(fā)，才能確保數(shù)據(jù)的機(jī)密性。

2.2? ?數(shù)字簽名

日常生活中，一般涉及合同、約定等類(lèi)型的協(xié)議文件都需要簽名或者按手印來(lái)證明文件的完整性，也就是說(shuō)沒(méi)有被偽造或者修改過(guò)，簡(jiǎn)稱(chēng)原件。同樣，在網(wǎng)絡(luò)應(yīng)用中數(shù)字簽名也有同樣的功能，是手寫(xiě)簽名的電子對(duì)應(yīng)物。然而，數(shù)字簽名中簽名同信息是分開(kāi)的，需要一種方法將簽名和消息綁定在一起，而在傳統(tǒng)的手寫(xiě)簽名中，簽名是信息的一部分;數(shù)字簽名利用一種公開(kāi)的方法使得任何人都可以對(duì)簽名進(jìn)行驗(yàn)證，手寫(xiě)簽名是由經(jīng)驗(yàn)豐富的消息接收者通過(guò)以前的簽名進(jìn)行對(duì)比來(lái)驗(yàn)證真?zhèn)蔚?數(shù)字簽名可以復(fù)制，但其可采用時(shí)間戳來(lái)防止復(fù)制，手寫(xiě)簽名則不可以復(fù)制。

數(shù)字簽名包含待簽名信息、哈希函數(shù)（摘要算法）、簽名算法、私鑰、驗(yàn)證算法、公鑰幾個(gè)部分[3]。用簽名算法和私鑰對(duì)信息進(jìn)行加密的過(guò)程稱(chēng)為簽名，用公鑰和驗(yàn)證算法對(duì)信息解密的過(guò)程稱(chēng)為驗(yàn)證，這和非對(duì)稱(chēng)密碼體制使用公鑰加密和私鑰解密剛好相反。

數(shù)字簽名包含以下幾個(gè)過(guò)程：（1）運(yùn)用消息摘要算法（哈希函數(shù)）對(duì)全部信息生成固定長(zhǎng)度的哈希值，由于它將任意長(zhǎng)度的消息變成固定長(zhǎng)度的短消息，因此也稱(chēng)為散列或者雜湊函數(shù)。哈希函數(shù)是單向的，如果攻擊者能夠輕易構(gòu)造出兩個(gè)不同消息具有相同的摘要，那么這樣的哈希函數(shù)是不安全的。常用的哈希函數(shù)有：MD5（Message Digest）、SHA（Secure Hash Algorithm）等。（2）對(duì)生成的摘要運(yùn)用簽名算法和私鑰進(jìn)行簽名。常用的簽名算法有：DSA（Digital Signature Algorithm）、RSA[4]（Ron Rivest、Adi Shamir、Len Adleman發(fā)明）。（3）將消息和數(shù)字簽名發(fā)給接收方。（4）接收方選擇數(shù)字簽名中攜帶的哈希函數(shù)對(duì)消息進(jìn)行摘要計(jì)算，同時(shí)使用數(shù)字簽名中的公鑰對(duì)信息的數(shù)字簽名進(jìn)行驗(yàn)證，得到發(fā)送方計(jì)算的摘要，如果兩個(gè)摘要相同，說(shuō)明消息完整，沒(méi)有被修改過(guò)。

3? ?PKI與數(shù)字證書(shū)（PKI and digital certificate）

3.1? ?PKI

隨著公鑰、密鑰技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，用來(lái)在非對(duì)稱(chēng)密碼中加密信息和驗(yàn)證數(shù)字簽名的公鑰都需要在公網(wǎng)中公開(kāi)傳輸，非常容易被中間人攻擊（如圖1所示），從而順利被中間人竊取和篡改信息。因?yàn)檫@個(gè)過(guò)程中通信雙方都沒(méi)有驗(yàn)證對(duì)方的身份，所以這是網(wǎng)絡(luò)安全最重要的一個(gè)部分，不僅要獲得對(duì)方公鑰，還需要明確公鑰的來(lái)源。

公鑰基礎(chǔ)設(shè)施PKI能夠完成以上任務(wù)，它是一種遵循既定標(biāo)準(zhǔn)的公共密鑰管理平臺(tái)，是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，也是數(shù)字證書(shū)管理平臺(tái)。其關(guān)鍵技術(shù)是通過(guò)數(shù)字簽名提供不可否認(rèn)業(yè)務(wù);將公鑰和個(gè)人身份建立聯(lián)系，并對(duì)公鑰進(jìn)行集中管理。

3.2? ?數(shù)字證書(shū)

數(shù)字證書(shū)[5]是互聯(lián)網(wǎng)中用來(lái)證明自己和識(shí)別對(duì)方身份的一種權(quán)威性電子文檔，也是網(wǎng)絡(luò)中的“居民身份證”。它是一種樹(shù)狀層次結(jié)構(gòu)，其格式遵循國(guó)際電信聯(lián)盟制定的數(shù)字證書(shū)標(biāo)準(zhǔn)X.509[6]，目前為版本4。它包含證書(shū)授權(quán)中心CA（Certificate Authority），是可信的第三方機(jī)構(gòu)，負(fù)責(zé)證書(shū)的發(fā)放、廢除以及查詢(xún);證書(shū)注冊(cè)機(jī)構(gòu)RA（Registration Authority），是用戶(hù)和CA的中間人，負(fù)責(zé)用戶(hù)注冊(cè)信息的收集、驗(yàn)證，密鑰對(duì)生成和管理以及作廢的請(qǐng)求管理等。

數(shù)字證書(shū)的工作流程有以下幾個(gè)步驟：（1）用戶(hù)利用軟件或者其他途徑生成公私鑰對(duì)，其中公鑰交給RA注冊(cè)，私鑰由用戶(hù)自己保管;（2）用戶(hù)在程序生成向?qū)е欣米约旱淖?cè)信息包括地理信息及聯(lián)系方式等生成證書(shū)申請(qǐng)，提交給RA;

（3）RA收到請(qǐng)求后驗(yàn)證用戶(hù)的身份以及與證書(shū)請(qǐng)求對(duì)應(yīng)的公私鑰對(duì)的正確性，在無(wú)誤的情況下將請(qǐng)求提交給CA;（4）CA收到證書(shū)申請(qǐng)后，為注冊(cè)用戶(hù)信息簽名，生成數(shù)字證書(shū)，并將證書(shū)拷貝存放在證書(shū)目錄中。

數(shù)字證書(shū)已經(jīng)將公鑰和身份信息綁定，驗(yàn)證了證書(shū)的有效性就是認(rèn)可了對(duì)方的身份。除了公鑰，證書(shū)里面提供了相關(guān)的摘要算法、加密算法、簽名算法。客戶(hù)端驗(yàn)證證書(shū)分為兩個(gè)步驟：第一，使用證書(shū)攜帶的摘要算法對(duì)證書(shū)的客戶(hù)信息進(jìn)行摘要計(jì)算;第二，運(yùn)用證書(shū)攜帶的公鑰對(duì)證書(shū)中的摘要進(jìn)行解密，如果與第一步計(jì)算的摘要相同，說(shuō)明證書(shū)有效，否則無(wú)效。具體通信過(guò)程如圖2所示。

數(shù)字證書(shū)在使用過(guò)程中可能會(huì)因?yàn)樗接忻荑€的泄露，使用時(shí)間、應(yīng)用范圍變更而被撤銷(xiāo)，證書(shū)撤銷(xiāo)列表CRL（Certificate Revocation List）就形成了。

4? ?OpenSSL技術(shù)（OpenSSL technology）

OpenSSL是開(kāi)放源代碼的軟件包，由加拿大人Eric A.? Young和Tim J. Hudson采用C語(yǔ)言編寫(xiě)而成，目前比較完善，能支持多種平臺(tái)，包括密碼算法庫(kù)、SSL協(xié)議庫(kù)和應(yīng)用程序三大部分。具體有以下重要功能：（1）提供八種對(duì)稱(chēng)加密算法，其中有AES、DES、IDEA、RC2、RC5、CAST、Blowfish等七種分組加密算法，一種流加密算法RC4。（2）提供DH算法、RSA算法、DSA算法和橢圓曲線(xiàn)算法（EC）四種非對(duì)稱(chēng)加密算法。（3）實(shí)現(xiàn)了MD2、MD4、MD5、MDC2、SHA等五種信息摘要算法。（4）包含密鑰和證書(shū)管理機(jī)制。（5）具備OpenSSL透明地使用第三方提供的軟件硬件加密設(shè)備進(jìn)行加密的Engine機(jī)制。（6）封裝有內(nèi)存訪(fǎng)問(wèn)、文件訪(fǎng)問(wèn)及Socket等I/O接口機(jī)制。

5 方案設(shè)計(jì)與實(shí)現(xiàn)（Scheme design and implementation）

目前電子政務(wù)網(wǎng)站、電子郵件安全的威脅主要有兩個(gè)方面，一方面是非法的訪(fǎng)問(wèn)端，主要是攻擊網(wǎng)站服務(wù)器，以盜取信息或文件;另一方面是非法的服務(wù)器端，主要以盜取客戶(hù)賬號(hào)和密碼來(lái)牟取不合法利益為目的，比如釣魚(yú)網(wǎng)站、仿冒網(wǎng)站（仿冒對(duì)象以各大銀行、12306、網(wǎng)上商城等尤為突出）。解決以上問(wèn)題，有經(jīng)驗(yàn)的客戶(hù)可以通過(guò)記住官網(wǎng)網(wǎng)址來(lái)實(shí)現(xiàn)，但對(duì)于絕大部分網(wǎng)絡(luò)素養(yǎng)不高的客戶(hù)來(lái)說(shuō)，數(shù)字證書(shū)就是最有效的方式之一了。

以服務(wù)器端為例，當(dāng)客戶(hù)端訪(fǎng)問(wèn)網(wǎng)站時(shí)，客戶(hù)端鑒定該網(wǎng)站是否合法，即Web服務(wù)器需要向可信CA申請(qǐng)服務(wù)器證書(shū)并安裝綁定到Web站點(diǎn)?？蛻?hù)端與該可信CA建立信任關(guān)系后，客戶(hù)端與服務(wù)器之間便建立起信任的證書(shū)鏈關(guān)系，客戶(hù)端將認(rèn)為該Web站點(diǎn)是可信任的。由于CA證書(shū)服務(wù)器是根據(jù)Web服務(wù)器的證書(shū)請(qǐng)求文件來(lái)頒發(fā)證書(shū)的，因此要首先在Web服務(wù)器上產(chǎn)生自己的公私鑰文件，并且根據(jù)公私鑰文件來(lái)生成證書(shū)的請(qǐng)求文件。方案拓?fù)淙鐖D3所示。

該方案需要一個(gè)客戶(hù)端和服務(wù)器端都認(rèn)可的第三方可信任機(jī)構(gòu)即CA來(lái)負(fù)責(zé)密鑰和證書(shū)的管理。為了達(dá)到在客戶(hù)端和服務(wù)端都能互相信任，需要在客戶(hù)端、服務(wù)器端安裝可信任機(jī)構(gòu)的根證書(shū)，所以接下來(lái)的應(yīng)用部署過(guò)程中，需要制作三個(gè)證書(shū)，分別是根證書(shū)、客戶(hù)端證書(shū)、服務(wù)端證書(shū)并應(yīng)用到網(wǎng)站中。

5.1? ?信任機(jī)構(gòu)的部署

證書(shū)服務(wù)安裝在Red Hat Linux 7.4中，一般情況下系統(tǒng)默認(rèn)已經(jīng)安裝。由于安裝過(guò)程中有比較多的軟件包且它們之間有依賴(lài)關(guān)系，我們?cè)谂渲煤冒惭b源后采用yum安裝OpenSSL相關(guān)軟件包：

[root@cadnswgs yum.repos.d]# yum install -y openssl

5.2? ?根證書(shū)的申請(qǐng)

配置證書(shū)的系統(tǒng)文件內(nèi)容：

[root@cadnswgs tls]vi /etc/pki/tls/openssl.cnf

文件中有CA_default節(jié)點(diǎn)、policy_match節(jié)點(diǎn)、req_distinguished_name節(jié)點(diǎn)，一般將policy_match節(jié)點(diǎn)中的countryName、stateOrProvinceName、organizationName由match改為optional，以備與根證書(shū)在不同地區(qū)的用戶(hù)申請(qǐng)和使用證書(shū)。在/etc/pki/CA目錄下面包含certs、crl、newcerts、private四個(gè)文件，分別用來(lái)指定已經(jīng)生成的證書(shū)的默認(rèn)目錄、證書(shū)撤銷(xiāo)列表的默認(rèn)目錄、新簽發(fā)證書(shū)的默認(rèn)目錄、存放CA證書(shū)服務(wù)器自身的私鑰和證書(shū)文件的目錄。另外還需要自己創(chuàng)建用來(lái)保存已經(jīng)簽發(fā)證書(shū)的文本數(shù)據(jù)庫(kù)文件和簽發(fā)證書(shū)時(shí)使用的序列號(hào)文件。

生成CA自身的私鑰文件：

[root@cadnswgs CA]# openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048

利用私鑰生成CA證書(shū)，此證書(shū)可以導(dǎo)出到客戶(hù)機(jī)使用：

[root@cadnswgs CA]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

5.3? ?網(wǎng)絡(luò)應(yīng)用服務(wù)證書(shū)的申請(qǐng)

電子政務(wù)網(wǎng)絡(luò)應(yīng)用可以是Web或者電子郵件等應(yīng)用，這里以Web服務(wù)為例。在此之前需要在服務(wù)器中安裝httpd服務(wù)，在/etc/httpd目錄中新建一個(gè)certs目錄用來(lái)存放服務(wù)器的私鑰文件、證書(shū)申請(qǐng)文件和獲得的證書(shū)文件。

Web服務(wù)端運(yùn)用openssl命令利用私鑰生成請(qǐng)求文件并發(fā)給CA申請(qǐng)證書(shū)：

[root@webwgs certs]# openssl req -new -key httpd.key -out httpd.csr

在CA中利用證書(shū)請(qǐng)求文件給Web服務(wù)頒發(fā)證書(shū)：

[root@cadnswgs CA]# openssl ca -in certs/httpd.csr -out certs/httpd.crt

5.4? ?利用證書(shū)構(gòu)建安全的Web站點(diǎn)

Web服務(wù)器有了自己的私鑰和證書(shū)，接下來(lái)利用證書(shū)搭建一個(gè)安全Web站點(diǎn)訪(fǎng)問(wèn)。需要將客戶(hù)端訪(fǎng)問(wèn)Web站點(diǎn)的方式由HTTP升級(jí)為HTTPS，啟動(dòng)SSL證書(shū)，把服務(wù)器證書(shū)和安全的Web站點(diǎn)關(guān)聯(lián)起來(lái)。為此，需要用到mod_ssl軟件模塊：

[root@webwgs Packages]# yum install -y mod_ssl

使用yum方式安裝mod ssl，在/etc/httpd/conf.d目錄下自動(dòng)生成一個(gè)SSL配置文件ssl.conf，修改證書(shū)和私鑰文件的路徑：

[root@webwgs conf.d]# vi ssl.conf

SSLCertificateFile? ?/etc/httpd/certs/httpd.crt //設(shè)置使用的證書(shū)

SSLCertificateKeyFile /etc/httpd/certs/httpd.key //設(shè)置證書(shū)的私鑰

5.5? ?客戶(hù)端驗(yàn)證

基于SSL協(xié)議的安全站點(diǎn)已經(jīng)架設(shè)完成，客戶(hù)機(jī)需要通過(guò)瀏覽器進(jìn)行訪(fǎng)問(wèn)驗(yàn)證。由于客戶(hù)機(jī)訪(fǎng)問(wèn)時(shí)Web服務(wù)器的證書(shū)是自己搭建的證書(shū)服務(wù)器，不是受信任機(jī)構(gòu)頒發(fā)的安全證書(shū)，要正常訪(fǎng)問(wèn)，需要在客戶(hù)機(jī)上將CA和Web服務(wù)的證書(shū)都下載過(guò)來(lái)并安裝添加到受信任機(jī)構(gòu)中，如圖4和圖5所示。

6? ?結(jié)論（Conclusion）

PKI技術(shù)是信息安全技術(shù)的核心，也是目前電子政務(wù)[7]、電子商務(wù)以及企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。基于純文本協(xié)議的HTTP協(xié)議存在明文傳輸容易被竊聽(tīng)、沒(méi)有驗(yàn)證容易被中間人攻擊進(jìn)而篡改數(shù)據(jù)等安全威脅，破壞了網(wǎng)絡(luò)安全的機(jī)密性、完整性等。數(shù)字證書(shū)經(jīng)過(guò)CA確認(rèn)、簽名并頒發(fā)，對(duì)于全球性的網(wǎng)站服務(wù)，增強(qiáng)了網(wǎng)站服務(wù)的信譽(yù)度。利用SSL協(xié)議來(lái)提供公鑰和身份綁定的數(shù)字證書(shū)驗(yàn)證機(jī)制，實(shí)現(xiàn)了具有加密通信、身份驗(yàn)證以及完整性保護(hù)功能的HTTPS，使得傳統(tǒng)的Web服務(wù)得到了安全保障。隨著軟件自定義網(wǎng)絡(luò)、活動(dòng)目錄、VPN等技術(shù)的交錯(cuò)深入發(fā)展，在鑒別身份之后提供對(duì)應(yīng)權(quán)限的PMI技術(shù)開(kāi)始緊密地與PKI結(jié)合使用起來(lái)[8]，為電子政務(wù)以及網(wǎng)絡(luò)環(huán)境中的各種應(yīng)用提供了統(tǒng)一的授權(quán)管理和訪(fǎng)問(wèn)控制機(jī)制，這將是未來(lái)網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)之一。

參考文獻(xiàn)（References）

[1] 劉那仁格日樂(lè)，王郝日欽.基于PKI技術(shù)的用戶(hù)身份數(shù)據(jù)轉(zhuǎn)發(fā)認(rèn)證算法仿真[J].計(jì)算機(jī)仿真，2020，37（9）：373-375.

[2] 牛淑芬，楊喜艷，李振彬，等.基于異構(gòu)密碼系統(tǒng)的混合簽密方案[J].計(jì)算機(jī)工程與應(yīng)用，2019，55（3）：61-67.

[3] 彭春燕，杜秀娟，李梅菊，等.基于格的數(shù)字多簽名體制[J].微電子學(xué)與計(jì)算機(jī)，2016，33（8）：50-53.

[4] KURYAZOV D M. Development of electronic digital signature algorithms with compound modules and their cryptanalysis[J]. Journal of Discrete Mathematical Sciences and Cryptography， 2021， 24（4）：1085-1099.

[5] 韓水玲，馬敏，王濤，等.數(shù)字證書(shū)應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012（9）：43-45.

[6] 王開(kāi)軒，滕亞均，王瓊霄，等.隱式證書(shū)的國(guó)密算法應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2021（5）：74-81.

[7] 張一梅.電子政務(wù)網(wǎng)絡(luò)安全威脅及應(yīng)對(duì)措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（8）：112-113.

[8] 任興元，王佳慧，馬利民，等.基于PKI與PMI的海洋政務(wù)服務(wù)系統(tǒng)安全解決方案的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2020，37（12）：68-75.

作者簡(jiǎn)介：

劉邦桂（1983-），男，碩士，講師.研究領(lǐng)域：服務(wù)器技術(shù)，網(wǎng)絡(luò)安全技術(shù).

曾思財(cái)（1993-），男，本科，工程師.研究領(lǐng)域：電子政務(wù)，智能信息處理研究.