[发明专利]基于信任与授权服务的电子政务安全平台系统

说明书

技术领域

本发明涉及电子安全领域，特别涉及一种基于信任与授权服务的电子政务安全平台系统。

背景技术

目前，电子政务系统安全方案多数集中在网络边界防护和病毒预防等基本功能方面，已采用的信息加密技术也因加密技术的差异性显著而缺乏有效而统一的管理，公务员的身份认证也多数通过口令或IC卡等分散方式进行，未能针对一般性的政务业务处理提出全面的信息安全解决方案。

目前的网络边界防护技术主要集中在网络层进行安全过滤，即使是应用代理防火墙也仅根据业务流的模型进行模式匹配监控，虽可提供一定程度的用户身份验证功能，但无法提供对应用操作的授权和详细的安全审计功能，因此仅能作为政务应用系统的辅助安全防护手段，而不能提供政务应用的全面保护。

根据S219工程前期所进行的应用试点单位选择和需求调研工作所获得的信息，基于整个政务平台建设的起点不一，加上国内信息安全问题未受到重视，目前的多数政务信息系统采用打补丁方式来解决安全问题；而国内通过安全评测认证的信息安全产品也主要集中在防火墙、病毒防护以及加密产品等有限的领域，使政务系统的安全防护能力受到限制。

这些现有技术使得电子政务的全面开展遇到很大的阻力，特别是在多系统互联的情况下更是存在互操作和系统运行管理和安全管理方面的诸多问题。为尽快解决政务系统内普遍存在的上述问题，国家专门启动了信息安全应用示范工程。

公钥基础设施PKI和授权管理基础设施PMI技术是构建国家信息安全基础设施的关键技术，目前主要在商务领域内得到应用，这主要是由于利益驱动效应，商务领域市场前景广阔且可获得直接的经济回报。目前国内的PKI技术主要也仅限于商务领域的应用，但由于电子商务总体发展不理想，技术的推广应用受到限制。

信任服务体系主要是为信息网络空间提供一个信任的基准，即在用户的实体和虚拟的网络空间中的用户角色之间建立一种映射关系，以便能将现实的物理世界中的信任关系移植到虚拟的网络空间中。目前建立信任服务体系的关键技术主要是公钥基础设施(PKI，Public Key Infrastructure)技术，该技术通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证，并通过公钥数字证书的方式为每个合法的用户的公钥提供一个合法性的证明，建立了用户公钥到证书ID号之间的唯一映射关系。数字证书中的信息通过数字信封技术和数字签名技术提供了完整性的保护，因此可以通过公开的方式(如LDAP服务)对外发布。

授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。目前建立授权服务体系的关键技术主要是授权管理基础设施(PMI，Privilege Management Infrastructure)技术，该技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。由于数字证书机制提供了对授权信息的安全保护功能，因此作为用户授权信息存放载体的属性证书同样可以通过公开方式对外发布。考虑到授权管理体系与信任服务体系之间的紧密关联，属性证书中应表明与之相关联的用户公钥证书的ID号，以便将特定的用户角色(对应于操作权限)绑定到对应的用户上。

由于政务领域内存在相当复杂的信任关系和权限控制需求(与政务领域内纵向的业务管理关系和横向的行政管理关系相对应)，对信任与授权服务机制的灵活性以及业务流程的审核机制提出了新的要求，因此限制了一般商用的PKI/PMI技术在政务领域内的直接应用。国内更是由于政务信息化建设的相对滞后进一步限制了PKI技术的应用。

发明内容

本发明的目的是通过针对政务应用的具体特点对PKI和PMI关键技术体系进行针对性的改造，为我国电子政务网的建设提供一个全面的信息安全解决方案，同时，也为国家信息安全基础设施体系在电子政务领域内的业务拓展提供技术支持。

本发明中利用公钥基础设施PKI技术在电子政务网中构建完整的信任域，以便能在分布式计算的电子政务网中建立政务应用系统的信任基准。

本发明提出了以自然人、法人和机关社团等基础信任服务体系为主构建政务信任服务体系的方案，从而将信任服务体系与授权服务体系分离开，并可充分适应具有纵向业务管理和横向行政管理的复杂信任关系的政务体系。

本发明在信任服务系统的业务流程上针对电子政务网的具体应用需求进行了相应的调整，重点加强了业务审核的流程，以适应政务系统在信任服务方面的实际应用需求。