1、电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。 根据政府机构的业务形态来看,通常电子政务主要包括三根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域。其业务模型可以用图个应用领域。其业务模型可以用图9.1表示。表示。 图9.1电子政务业务模型在电子政务系统中主要存在三种信息流,如图9.2所示。 图9.2 电子政务信息流模型构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图9.3所示。政府公共信息服务Web网站信息安全交换系统政府内部办公网络信息平台政府网络通信平台、社会公众 企业工作人员电子
2、政务技术规范电子政务安全规范图9.3电子政务平台系统结构一个成熟的电子政务系统,不但能够利用信息技术,实现信息流的高效率运转,还应具备如下特点:(1)安全性。)安全性。(2)整合性。)整合性。(3)可扩展性。)可扩展性。 (4)示范性。)示范性。图图9.4 市市政政府府网网络络拓拓扑扑结结构构图图图9.5 政务外网体系结构图图9.6 内、外网物理隔离结构图图9.7 电子政务系统功能结构图 面向公共管理服务政务外网业务系统主要包括:为公众用户提供接入和工作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能。如:网上报表管理、登记申报及审批业务办理、网上人才招聘管理、招商管理、网上税务、
3、网上劳保等应用系统。 政务内网应用系统强调的是政府内部在各类政务工作中,运用先进的信息技术和管理思想,大幅度提高办事效率,提高政务工作的质量。而在政府内部,电子政务的许多目标是要通过办公自动化来实现的。离开了办公自动化,政府内部的电子政务也就失去了基础。面向办公业务的OA系统功能包括:公文管理、督查管理、档案管理、政务信息、内部事务、值班管理、会议管理、辅助决策、公用信息等。 政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层,如图9.8所示。网上调研系统短信通知系统信息搜索系统视频直播系统网站访问行为分析网上接待咨询用户统一登记管理信息发布模板文件电子申报系统文档管理 | 流程管
4、理 | 用户管理 | 邮件管理 | 短信管理 | 报表处理()身份认证 CA |资源权限管理|工作流引擎|全文检索引擎|数据交换引擎()电子政务数据格式规范 XML 数据库文件库数据网关应用层数据层功能层组件层图9.8电子政务处理逻辑结构uPKI是信息安全技术的核心,也是电子政务的关键和基础技术。电子政务在选择PKI解决方案时,可以向第三方证书认证(CA,Certificate Authority)提供商外购PKI;或部署自己的政府级PKI,或部署混合模式PKI体系。由第三方CA提供根CA,将CA颁发限定于政府内部范围。 1. PKI的组成的组成PKI是一种以公开密钥技术为基础,以数据的机密性
5、、完整性和不可抵赖性为安全目的,构建的认证、授权和加密等硬件、软件的综合设施。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口(API)等基本构件和系统。 2. PKI的功能的功能 (1)认证机构(CA)(2)数字证书库(3)密钥备份及恢复系统(4)证书作废系统(5)应用接口(API) 3. PKI的安全机制的安全机制 PKI安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题;授权服务主要是解决
6、在网络中“每个实体能干什么”的问题。u通常来说,CA是证书的签发机构,它是PKI的核心。 u公钥体制的密钥管理主要是针对公钥的管理问题。目前较好的解决方案是数字证书机制。u在实际应用中,CA除了服务器硬件(可选用PC服务器),还要选择合适的CA软件。在选择CA产品时,要重点考虑所支持的相关PKI标准、易管理性、伸缩能力以及成本费用。 1. 根根CA与从属与从属CA u根据层次结构,CA可划分为根CA和从属CA。(1)根CA是公钥体系中第一个证书颁发机构,它是所有信任的起源。根CA可以为其他CA创建证书,也可以为其他计算机、用户和服务创建证书。根CA最重要的角色是作为信任的根,是整个政府(企业)
7、认证体系的中心,需要最根本的保护。对大多数基于证书的应用程序来说,使用的证书认证都可以跟踪到根。(2)从属CA必须从根CA或者从一个已由根CA授权,可颁发从属CA证书的从属CA处获得证书。从属CA可直接颁发证书。在建立CA时,从属CA要通过上级CA获得自己的CA证书,而根CA则是创建自签名的证书。 2企业企业CA与独立与独立CA (1)企业CA具有下列特点。企业CA需要活动目录(Active Directory)。安装企业根CA时,对于域中的所有用户和计算机,它都会自动添加到受信任的根证书颁发机构的证书存储区中。企业CA根据申请证书的类型设置策略和安全权限,立即颁发证书或立即拒绝请求。可以为使
8、用智能卡登录到Windows2000域颁发证书。企业退出模块向活动目录(Active Directory)发布用户证书和证书吊销列表。企业CA使用基于证书模板的证书类型。 2企业企业CA与独立与独立CA (2)独立CA具有下列特点。独立CA不需要使用活动目录(Active Directory)。向独立CA提交证书申请时,证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。(向企业CA提交证书申请时无需提供这些信息,因为企业用户的信息已经在Active Directory中,并且证书类型由证书模板说明。)默认情况下,发送到独立CA的所有证书申请都被设置为特定状态,
9、由管理员审查颁发,也可根据需要改为自动颁发证书。不使用验证模板。使用智能卡不能颁发用来登录到Windows 2000域的证书,但可以颁发其他类型的证书并存储在智能卡上。管理员必须向域用户的信任根存储区明确分配独立CA的证书,或者必须让用户自己执行该任务。 3微软的微软的4种种CA(1)企业根CA。证书层次结构中的最高级证书颁发机构,需要Active Directory,自行签发自己的CA证书,并将该证书发布至域中所有Windows 2000服务器和工作站上。这种CA安装在域控制器或者域成员计算机上。(2)企业从属CA。必须从另一证书颁发机构获得自己的CA证书。如果使用Active Direct
10、ory、证书模板和智能卡登录到Windows 2000计算机时,应选用这种类型。(3)独立根CA。也是证书层次结构中的最高级证书颁发机构,它不需要Active Directory支持,适于作为独立的证书颁发机构,向外部发放证书。独立CA安装在独立的服务器上。(4)独立从属CA。必须从另一证书颁发机构获得自己的CA证书,用于建立多层次的独立证书颁发体系。 4规划证书层次结构规划证书层次结构通过根通过根CA和从属和从属CA可建立证书层次结构,如图可建立证书层次结构,如图9.9所示。所示。 丛属CA跟CA丛属CA授权授权Windows XP颁发证书颁发证书Windows 2000Windows 20
11、00Windows XPWindows 98Windows 98Windows 2000Windows 98图9.9 证书颁发层次体系安装企业安装企业CA需要需要Active Directory环境,证书服务器必须是环境,证书服务器必须是域控制器或域成员服务器。本例是在域控制器上安装企业域控制器或域成员服务器。本例是在域控制器上安装企业根根CA,用于为政府内部提供证书服务。,用于为政府内部提供证书服务。 (1)鼠标左键双击“控制面板”中的“添加/删除程序”,选择“添加/删除Windows组件”,然后从“组件”列表中选取“证书服务”。(2)鼠标左键单击“下一步”按钮,打开“Microsoft证书
12、服务”对话框,系统提示安装证书服务后,不能更改计算机名,也不能将计算机加入到域或从域中删除,鼠标左键单击“是”按钮。(3)选择证书颁发机构(CA)类型,如图9.10所示的对话框,。共有4种类型,这里选择默认的“企业根CA”,然后鼠标左键单击“下一步”按钮。 图9.10 选择证书颁发机构类型(4)如果选择“高级选项”复选框,将打开如图9.11所示的对话框,设置加密服务提供程序、密钥长度和散列算法,否则直接进入下一操作步骤。一般来说,密钥越长越安全,不过应注意的是较长的密钥,需要花更长的时间才能生成。图9.11 设置证书类型的高级选项(5)设置证书颁发机构标识信息,如图9.12所示。“CA名称”就
13、是证书颁发机构的命名,对于Active Directory体系,它也是一个公用名称。对于根证书颁发机构,“有效期”应当长一些,以减少频繁续订根证书的要求。 图9.12 设置证书颁发机构标识信息(6)设置证书服务数据库的存储位置,如图9.13所示的对话框。证书服务对数据库、配置数据、备份数据和记录数据使用本地存储设备。“证书数据库”和“证书数据库日志”分别指定证书数据库和日志记录的存储位置,使用默认值即可。 图9.13 设置证书数据库存储位置(7)鼠标左键单击“下一步”按钮,如果计算机上正在运行IIS,系统就提示立即停止IIS服务,鼠标左键单击“确定”按钮,开始安装证书服务相关的组件和程序,直至
14、完成。安装完毕,证书服务将自动启动,这样也就建成了一个基本的证书颁发机构。安装有证书服务的计算机即为证书服务器。 选择“开始”“程序”“管理工具”“证书颁发机构”,即可打开如图9.14所示的“证书颁发机构”管理单元,通过该管理单元对证书颁发机构进行管理和配置。 图9.14 “证书颁发机构”管理单元(1)从“证书颁发机构”管理单元中选择相应的证书服务,单击鼠标右键,从快捷菜单中选择“属性”,打开属性设置对话框,切换到“策略模块”选项卡,鼠标左键单击“配置”按钮,打开如图9.15所示的对话框。对于企业CA来说,“始终颁发证书”是惟一的选择,根据用户申请自动颁发证书。图9.15 设置颁发证书的默认操
15、作(2)切换到如图9.16所示的“X.509扩展”选项卡,可以添加或删除用户获取证书吊销列表和证书的URL地址。企业CA的证书服务提供基于Web和LDAP的访问,这些URL地址可以是HTTP、LDAP或文件地址。其中“%SERVER DNS NAME%”表示证书名称。 图9.16 设置获取证书吊销列表和证书的位置(3)回到证书服务属性设置对话框,切换到“退出模块”,鼠标左键单击“配置”按钮,打开如图9.17所示的对话框,选中“允许在Active Directory中发行征书”复选框。 图9.17 设置证书发行 u备份和还原操作的目的是保护证书颁发机构及其可操作数据,以免因硬件或存储媒体出现故障
16、而导致数据丢失。通过使用证书颁发机构管理单元可以备份和还原:公钥、私钥和CA证书,证书数据库,公钥和私钥使用PKCS 12的PFX格式备份或还原等类的信息。u证书颁发机构提供了备份向导和还原向导。管理单元选择相应的证书服务,单击鼠标右键,从快捷菜单中选择“所有任务”“备份CA”或“还原CA”,即可启动向导程序。 u由证书颁发机构所颁发的每一份证书都具有有效期限。uCA的生存时间包括其所有CA证书的过去和现在的有效期。 u证书服务强行实施的规则是,CA永远不会颁发在超出自己证书的到期时间后有效的证书。因此,当CA自身的证书达到它的有效期时,它颁发的所有证书也将到期。这样,如果CA因为某种目的没有
17、续订,并且CA的生存时间已到,则管理员确认当前到期的CA发出的所有证书不再作有效的安全凭据。 u默认情况下,提供的证书模板有限,可根据需要添加,操作步骤如下。u(1)以管理员身份登录到系统,打开“证书颁发机构”管理单元。鼠标左键单击控制台左侧列表中的“策略设置”,右侧窗格中显示已有的证书模板列表。如图9.18所示。 图9.18 查看现有证书模板u(2)在“操作”菜单上选择“新建”“要颁发的证书”,打开如图9.19所示的对话框。从列表中选择要使用的新证书模板,并单击“确定”按钮。 图9.19 选择证书模板u证书注册是请求、接收和安装证书的过程。无论是用户、计算机还是服务,要想利用证书,必须首先从
18、证书服务器获得有效的证书。可以通过:组策略自动请求证书,使用证书申请向导,浏览器获得证书等3种方式获取证书。 u在活动目录域环境中,通过使用公钥策略中的自动证书设置,活动目录域或组织单位的计算机成员可以向Windows 2000企业证书服务器自动请求证书,这样就不用为每台计算机注册与计算机相关的证书。只有运行Windows 2000或Windows XP的域成员计算机能够自动请求证书。 u配置自动证书注册的关键是在组策略创建自动证书请求。 符合下列条件才能使用证书申请向导。(1)Active Directory环境。(2)客户端计算机运行Windows 2000或Windows XP,并且加入
19、到域作为域成员。(3)证书颁发机构必须是Windows 2000企业CA。证书申请向导使用基于MMC(管理控制台)的证书管理单元,能够直接从企业CA获取证书。在使用证书管理单元之前,必须将其添加到MMC控制台。 使用Web浏览器申请证书是一种更通用,自定义功能更强的方法。遇到以下情况之一时,一般采用这种方法。 受理申请的证书颁发机构为Windows 2000独立CA,或者是通过Internet提供证书服务的第三方证书服务器。 客户端计算机运行Windows操作系统,如Macintosh(Apple机)、Linux等。 客户端计算机运行Windows 98/Me/NT。 客户端计算机运行Wind
20、ows 2000/XP,但不是域成员,或不能访问域控制器。 客户端计算机需要通过NAT服务器来访问证书服务器。 下面以使用IE浏览器申请证书Windows 2000企业CA为例,说明操作过程。 (1)打开IE浏览器,在地址栏中输入证书颁发机构的URL地址。对于集成到IIS的证书服务,其地址为“http:/servername/certsrv”。默认情况下,将出现“输入网络密码”对话框,要求使用Web浏览器的证书申请者提供用户名和密码。验证通过后,将出现如图9.20所示的对话框。图9.20 基于Web的证书申请页面(2)选择“申请证书”。鼠标左键单击“下一步”按钮,出现“选择申请类型”界面,这里
21、选择“高级申请”单选钮。如图9.21所示。 图9.21 选择证书申请类型(3)选择高级证书申请方式。鼠标左键单击“下一步”按钮,出现“高级证书申请”界面,如图9.22所示。共有3个选项,这里选择第1个选项,以表格形式提交申请。 图9.22 高级证书申请方式(4)填写申请表单。鼠标左键单击“下一步”按钮,出现“填写申请表单”界面,如图9.23所示。在“证书模板”下拉列表中选择所需的证书类型。其他要注意的选项填写如下。 “CSP”(加密服务提供程序)。Microsoft Base Cryptographic Provider v1.0“密钥用法”。签名或者两者。“密钥大小”。512。如果CSP选择
22、“Microsoft Enhanced Cryptographic Provider”,则可以选择较大的密钥值。但是,注册申请可能会失败,因为Windows2000的版本可能没有安装Strong Cryptography Pack(加固密码系统组件)。“创建新密钥对”。选中该选项。“使用本地机器保存”。对于计算机身份验证应选中该复选框。 (5)安装此证书。鼠标左键单击“提交”(由于企业证书服务器自动颁发证书,因此用户会立即收到证书已发布的通知信息)如图9.24所示。鼠标左键单击“安装此证书”,即开始安装,证书已经成功安装提示,如图9.25所示。 图9.24 安装证书图9.25安装证书成功(6)
23、完成证书安装后,关闭IE浏览器。要进一步查看获得的证书,可通过“客户端证书管理”进行。在企业证书服务器上打开Internet信息服务管理器,用鼠标右键单击“默认Web站点”的CertSrv目录。再鼠标左键单击“属性”,在“目录安全性”选项卡单击“匿名访问和身份验证控制”下的“编辑”,打开“验证方法”对话框,只选择“集成Windows验证”复选框,如图9.26所示。 图9.26设置证书颁发机构的Web目录安全性u客户端的证书管理主要包括申请和安装证书,从证书存储区查找、查看、导入和导出证书。导入和导出证书也是常用的客户证书还原和备份手段。u对于Window 98计算机来说,一般使用支持安全功能的
24、浏览器(如IE)来进行管理。Windows 2000/XP 计算机则提供了基于MMC的证书管理单元,功能更强大。使用Windows 2000证书管理单元可管理用户、计算机或服务的证书。 u可以查看现有证书的细节。如图9.27所示,展开MMC控制台树;鼠标左键双击要查看的证书,打开如图9.28所示的对话框,查看基本信息。 图9.27 展开MMC控制台树图9.28查看证书基本信息u切换到“详细信息”选项卡,如图9.29示,查看详细信息,显示该证书的每个字段和扩展字段。切换“证书路径”选项卡,查看证书的发行关系和证书颁发信任路径,如图9.30示。 图9.29 查看证书详细信息图9.30 查看证书路径
25、信息u检查受信任的根证书颁发机构。在MMC控制台中展开“受信任的根证收颁发机构”,然后鼠标左击“证书”文件夹,如图9.31示。 图9.31查找根证书颁发机构证书u查找带有颁发者证书颁发机构(这里为myCA)的名称的证书,然后查看该证书是否有效,如图9.32示。 图9.32 查找根证书颁发机构证书常规选项u打开证书管理单元,选择菜单“查看”“选项”,选择证书模式。这里选择“证书目的”,鼠标左键单击“确定”按钮,将切换到如图9.33所示的界面,按证书用途来显示排列证书。 图9.33 “证书目的”视图模式uSSL是一种安全性很高的认证方式,是通过SSL安全机制使用的数字证书。SSL位于HTTP层和T
26、CP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。u使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端。客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器;而会话密钥只有在服务器端用私人密钥才能解密。这样,客户端和服务器端就建立了一个惟一的安全通道。 1. VPN技术:要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网,VPN采用了一种称之为隧道的技术
27、。如图9.34所示。 图9.34 基于隧道的VPN网络 表9.2 VPN 的主要协议标准OSI模型安全技术安全协议应用层表示层应用代理 会话层传输层会话层代理SOCKSv5/SSL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TP SCM主要用于网络边界处,可以提供边界与边界之间,边界与客户端之间传输的加密和认证,支持SCM统一管理。 图9.35 基于VPN政务网络互连拓扑图(1)端到端的隧道通信。)端到端的隧道通信。(2)网络到网络的隧道通信。)网络到网络的隧道通信。(3)端到网络的隧道通信。)端到网络的隧道通信。 在图9.35中,端用户VPN远程客户端软件、VPN网关都将安装SCM代理软件,通过该代理软件可以向SCM进行在线注册。通过注册,VPN设备将向SCM发送隧道建立请求。SCM根据隧道政策,指定隧道建立的策略给请求的VPN设备。VPN设备按照政策与指定的对方VPN设备进行协商。当隧道建立后,SCM将实时监控隧道的工作状态。当VPN设备(尤其是远程VRC)下线后,SCM将记录所有与该设备有关的运行日志,并保存起来。SCM可以跟踪当前网络中存在的、活动的VPN设备,并通过对这些设备远程实时的监控,SCM可以向管理员在线显示这些VPN设备的工作状态;而管理员亦可以通过SCM对这些VPN设备进行远程管理。