目前,在全国各地的政府部门都在积极地推进政府专网的建设及其应用,但是有一点需要强调,只有解决了征订专网应用的安全保密问题,才能确保政府专网应用的万无一失,目前,各级政府已经越来越深刻地认识到,安全保密是征订专网应用的生命线,有关安全保密的要求已被列入到政府专网建设部门的议事日程中,为此我们通过介绍政府专网的安全保密要求及其网络结构,给大家介绍一下加密技术在政府专网中的应用。

一、政府专网的安全保密及其网络结构

1、政府专网的安全保密要求

我们今天提到的政府专网是经过困家保密部门的审查认定后,属于机密级的国家电子政务内网。对于此类政府专网,国家保密部门有着很严格的要求。按照《涉及国家秘密的计算机信息系统保密技术要求》(BM21-2000)的有关规定,政府专网的建设及应用必须符合以下16个方面的技术要求t物理安全防护措施、备份与恢复、计算机病毒防治、电磁兼容、身份鉴别、访问控制、信息加密、电磁泄露发射防护(TEMPEST)、信息完整性校验、抗抵赖、安全审计、安全保密性能检测、入侵检测、操作系统安全、数据库安全和安全保密管理。按照上述规定,政府专网的安全保密示意图如图1所示。

加密技术在政府专网中的应用

2、政府专网的网络结构

本文所提到的政府专网是指与因特网物理隔离,通过租用电信部门的光纤专线连接而成的“专网”。它由一个中心节点和多个二级节点组成,采用集中式的系统形态,其网络中心设在中心节点,负责集中部署专网安全保密、业务应用所需的服务器设备和应用系统软件,为各二级节点提供安全认证、访问控制和信息交换等接入服务及应用服务。中心节点配置了碑密码机、硬件防火墙、Web网站服务器、DNS域名解析服务器、邮件服务器,Wcb网站恢复系统,入侵检测系统、安全审计系统、网络版防病毒系统、密钥管理中心等专用设备,以此保证专网各项应用的稳定运行;各二级节点均配置了与中心节点相同型号的IP密码机,用来实现数据传输过程中的加密与解密。

在线路连接上,中心节点配置了一台国产高端路由器作为专网的核心路由器,各二级节点则配置了相应型号的国产路由器,二级节点路由器通过同步数字系列网( SynchronousDi8ital Hicrarchy,SDH)连接中心节点的核心路由器,作为通信主干线路;同时各二级节点还通过综合业务数字网(lntegrated Service Digital Network, ISDN)线路与中心节点相连接,作为主干备份线路,这样可以保证专网在线路连接上的安全可靠,专网的网络结构如图2所示。

加密技术在政府专网中的应用

二、加密技术任专网中的应用

按照安全保密的要求,专网的建设及应用采取了基于公钥基础设施(Public KcyInfrastructurc,PKI)的安全策略:利用IP协议密码机对数据的传输进行加密解密,同时采用了数字证书认证中心(简称CA中心)和基于安全套接字协议层(Secure Sockct Layer,SSL)的USB KEY对用户的身份进行认证,确保了数据在传输过程中的完整性,为政府专网的安全运行提供了有力保障。

1、 IP协议密码机

要保护数据在传输的过程中不被泄露和篡改,就必须对其数据文件加密,经过加密后的数据文件是以密文形式传输的,密文到达接收方后经过解密才可获得发送方所发送的明文。即使密文在传输过程中存在被入侵者截获的可能,所截获的密文也无法被读懂,现行加密算法的密钥大都在128位以上,破解并不是一件容易的事情。在实际应用过程中,政府专网的中心节点和各二级节点均采用了相同型号的IP协议密码机对数据文件的传输进行加密和解密。通过加密机进行加密传输的模型如图3所示。

加密技术在政府专网中的应用

2、数字证书认证中心

CA中心作为电子商务和电子政务进行信息交换过程中受信任和具有权威性的第三方,承担着公钥体系中公钥合法性检验的责任。它为每个使用公开密钥的用户发放数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中所列出的公开密钥,CA机构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,是安全电子信息交换的核心。CA中心以密码技术为基础,以X.509数字证书为依托,能完整解决专网中用户身份的真实性,网上信息的保密性、完整性以及用户行为的不可抵赖性等安全问题,并为电子商务和电子政务的应用提供可靠的安全平台,它还能够为用户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务,它将用户的公钥与用户的名称及其属性关联起来,为用户之闯的电子身份进行认证。可以说,CA中心是电子商务和电子政务能够安全稳定发展的基础,它在密码管理方面的作用如下。

(1)自身密钥的产生、存储、备份,恢复、归档和销毁。

(2)为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务。

(3)确定客户密钥生存周期,实施密钥吊销和更新管理。

(4)提供密钥生成和分发服务。

(5)提供密钥托管和恢复服务。

(6)其他密钥的生成和管理以及密码运算功能。

3、基于SSL的USB KEY身份认证

SSL是Nerscapc公司于1996年推出的安全协议,它位于传输层和应用层之间。由SSL记录协议( SSL rccord protocol)、SSL握手协议(SSL handshake protocol)和SSL警报协议( SSL alter protocol)组成。其中,SSL握手协议被用来在用户与服务器真正传输应用层数据之前建立安全机制,当用户与服务器第1次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,最后用户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数;SSL记录协议根据SSL握手协议协商的参数对应用层送来的数据进行加密、压缩并计算消息鉴别码(Message Authcntication Code,MAC),然后经网络传输层发送给对方;SSL警报协议则用来在用户和服务器之间传递SSL出错信息;SSL是解决Web应用安全最通用的技术手段,是网络中的安全标准m.常用的Web应用系统,如IIS、Apachc、Wcblogic等都支持SSL。

在政府专网中采用基于SSL的USB KEY身份认证系统,当终端用户想要登录专网进行信息交换时,首先需要插入USB KEY进行身份认证,只有通过认证才可登录专网中相应的Wcb网站进行数据交换。

USB KEY与远端服务器之间采用多种高强度的加密算法(包括标准算法或数据密码卡专用加密算法),用户可以从系统提供的高强度加密算法列表中自行选择。而且,每一次的SSL连接都采用新的密钥,这将大大提高传输数据时的安全性,USB KEY还支持多个证书的信任链,并强制中断对证书链有问题的服务器的访问,以提高本地主机的安全性。

在加密算法管理中所列加密算法的对称加密和解密密钥均为128位以上(包含128位),用户可以选择需要的加密算法或屏蔽不需要的加密算法,加密算法可以多选,由服务器决定在已选的加密算法中最终
采用哪种加密算法,如果服务器端没有相对应的加密算法,当客户端向服务器端发起SSL连接请求时,请求将被拒绝,这种采用CA中心与基于SSL的USB KEY身份认证系统可以很好地解决政府专网在安全保密方面的实际要求,政府专网的安全方案如图4所示。

加密技术在政府专网中的应用

本文所提到的政府专网从建成使用至今已有两年多的时间,在实际应用过程中网络运行稳定、信息交换安全可靠.实践证明,加密技术的应用在政府专网中起到了非常重要的作用。目前还有其他多种加密技术在电子政务及电子商务中被应用,如指纹识别技术、视网膜识别技术,声音识别技术、智能IC卡技术和正处于研究阶段的量子加密技术等。在实际的工作实践过程中,利用加密机进行加密传输,同时采用CA中心和USB KEY相结合的方法可以很好地解决政府专网的安全保密问题。另外,在技术手段相对成熟的同时,更为重要的一点是要提高网络用户的安全保密意识,加强安全保密的制度建设,这样才能真
正确保政府专网在实际应用过程中安全稳定地运行。

小知识之TEMPEST

TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology)技术是电磁环境安全防护(电磁安防)的一部分,是包括了对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原以及防护的一系列技术,TEMPEST是一系列的构成信息安全保密领域的总称。