第二讲电子政务基础设施篇

1第二讲基础设施篇北京大学信息科学技术学院张宁nzhang@pku.edu.cn20132主要内容第五章网络基础设施电子政务网络的体系结构电子政务的网络基础设施设计电子政务的网络接口设计原则第六章网络信任域基础设施网络信任域技术电子政务网络信任域的构建3主要内容第七章公钥基础设施公钥密码技术公钥基础设施PKI技术数字证书认证中心CA的系统设计密钥管理中心KM的系统设计数字证书审核注册中心RA的系统设计密钥和证书管理第八章授权管理基础设施授权管理基础设施PMI技术授权管理服务系统授权管理中心AA的系统设计通用业务流程4第五章网络基础设施本章主要内容电子政务网络的体系结构电子政务的网络基础设施设计电子政务的网络接口设计原则55.1电子政务网络的体系结构电子政务网络的体系结构包括外网Internet内网公众服务业务网负责提供与统一的安全电子政务平台中的电子政务服务业务系统相对应的数据服务支持功能非涉密政府办公网负责提供对部分业务数据的审批等处理涉密政府办公网（专网）负责提供政府内部办公业务数据的流转6电子政务网络的体系结构统一的安全电子政务平台负责承载各类具体的电子政务业务系统并围绕一站式电子政务服务框架将电子政务业务系统连接成一个有机的整体其上提供统一的接入平台统一的Web门户平台统一的Web服务平台统一的信息交换平台7电子政务网络的体系结构建设内容统一的安全电子政务平台自身建设与外部的Internet、电信公网（PSTN）、短信服务网络、以及无线接入网络的互联政务内网对每个政府部门分别进行公众服务业务网络、非涉密政府办公网络、涉密政府办公网络系统政务专网在政务内网中的非涉密政府办公网络之间建立互联的非涉密政务专网，而在内部涉密政府办公网络之间则建立互联的涉密政务专网网络信任域网络信任域网络信任域网络信任域电信公网Internet金融机构金融机构金融机构金融机构统一接入平台统一接入平台统一接入平台统一接入平台GSMGSMGSMGSMGSMGSM涉密交换平台涉密交换平台涉密交换平台涉密交换平台电子政务网络系统基础设施总体结构9金融服务系统统一的安全电子政务平台统一的信息交换平台可信的政务一站式服务统一的Web门户平台统一的接入平台金融机构公共服务网内部办公网社保公共服务网内部办公网工商公共服务网内部办公网税务...涉密系统涉密系统涉密系统PKI/PMI国务院办公厅涉密网涉密交换平台VPN安全岛网络信任域电子政务网络系统基础设施总体结构中的网络信任域结构电信公网Internet10统一的接入平台统一的Web门户平台统一的Web服务平台统一的数据交换平台PKI/PMI可信SOAP可信SOAP业务处理其他系统办公处理其他系统公众服务业务系统非涉密办公网Data可信SOAP业务处理其他系统办公处理其他系统公众服务业务系统非涉密办公网Data可信SOAP业务处理其他系统办公处理其他系统公众服务业务系统非涉密办公网Data逻辑隔离逻辑隔离逻辑隔离工商系统税务系统社保系统非涉密政务专网政务内网的总体结构涉密办公网涉密办公网涉密办公网涉密政务专网115.2电子政务的网络基础设施设计统一的安全电子政务平台是整个电子政务建设的基础（枢纽）工程统一接入平台、统一的Web门户平台、统一的Web服务平台、统一的信息交换平台之间通过具有第三层交换功能的（全双工的冗余链路互联的）交换机设备进行互联，形成单点无破损的结构提供对多种接入终端的支持对Internet和电信公网采用两种接入方式直接接入：负责普通用户访问电子政务服务虚拟专用网（VPN）接入：负责移动办公和有待安全需求的用户的安全接入12电子政务的网络基础设施设计公众服务业务网络提供各类具体的公众政务服务资源可以通过可信SOAP负责与统一的信息交换平台相连接，作为统一的信息交换平台的数据源而工作非涉密政府办公网络运行政府部门内部非涉密的办公系统，完成日常的办公业务处理对从统一的安全电子政务平台上运行的公众政务服务业务系统中所获得的业务服务请求进行处理对可能涉及到的敏感信息部分，可以采用与公众服务业务网络物理隔离措施（网闸等）13电子政务的网络基础设施设计涉密政务办公网络（即政务内网）根据国家保密局的要求必须将其与非涉密网络进行物理隔离（完全的物理隔离，不可采用网闸等时断时开措施）网络安全结构设计对整个系统内部的安全区域清晰地划分，即与接入平台以及Web服务门户系统直接相连的网络系统为非安全的网络，除此之外，其余的内部网络系统均可以视为安全的网络系统145.3电子政务的网络接口设计原则四类接口统一的安全电子政务平台的对外服务接口面向社会提供对电子政务业务服务的访问接入功能提供对GSM、Internet、电信公网、CDMA四种典型的接入方式公众服务业务网络与非涉密政府办公网络的接口非涉密政府办公网络不可直接与公众服务业务网直接连接，需要采用网络逻辑隔离措施提供网络接入控制和配套的安全保护措施非涉密政府办公网络与涉密政府办公网络的接口两网之间必须采用物理隔离（国密办要求）15电子政务的网络接口设计原则四类接口统一的安全电子政务平台与公众服务业务网络的接口是对整个电子政务平台所承载的具体电子政务应用系统提供安全性保障的业务数据交换接口对应用层的数据交换提供两个层次的安全功能网络层的安全功能通过PKI网关提供信息传输的安全保护，确保传输过程中的机密性、完整性应用层的安全功能通过可信SOAP服务器完成，重点在应用层结合安全SOAP的访问控制技术和cegXML所提供的元素级安全功能提供对交换数据的安全保护16第六章网络信任域基础设施本章主要内容网络信任域的体系结构网络信任域技术电子政务网络信任域的构建176.1网络信任域及其体系结构网络信任域是构建电子政务网络基础设施的关键技术之一区别传统的Internet对等的、无中心的、无管理的网络信任域可管理的、有中心的通过下面三个层面的安全措施确保数据的机密性、完整性、身份认证、不可抵赖性、授权服务终端设备的安全可信接入采用接入认证交换机网络设备的安全可信管理采用PKI网关（此为构建网络信任域的关键机制）数据信息的安全可信传输采用信任域管理服务平台PKI网关网络信任域管理服务平台网络信任域1安全可信接入接入认证交换机终端设备终端设备终端设备终端设备网络信任域管理服务平台网络信任域2安全可信接入接入认证交换机终端设备终端设备终端设备终端设备PKI网关…………安全可信通信更高一级的网络信任域网络信任域管理服务平台网络信任域的组织示意图196.2构建网络信任域的核心技术1.基于PKI（PublicKeyInfrastructure）的身份认证为网络信任域中的所有用户和设备颁发PKC（PublicKeyCertificate）网络信任域可以采用基于PKI的双密钥对机制，采用符合ITU-TX.509V4规范的证书格式结合IPSec协议，以加密密文的形式进行信息传输“一人一证，一机一证”解决网络中“你是谁”的问题20构建网络信任域的核心技术2.基于PMI（PrivilegeManagementInfrastructure）的授权服务向用户和应用程序提供授权管理服务提供用户身份到应用授权的映射功能可以采用基于PMI的属性证书机制，对用户、设备的身份及其权限和许可信息进行绑定解决网络中“你能做什么”的问题21构建网络信任域的核心技术3.基于硬件形式的证书存储将用户、设备的数字证书存储在客户端的实体鉴别密码器中，因此提高了系统的安全级别此外还提供密钥的生成和管理、实体鉴别、数字签名的生成和验证、以及证书管理和密码运算等功能4.基于PKI和IEEE802.1X标准的可信接入实现“基于端口的网络接入控制”，对以端对端方式连接到网络端口的设备进行认证和核准，以阻止非法用户接入该端口22构建网络信任域的核心技术5.基于PKI的可信传输网络信任域提供了构建VPN的设备（PKI网关），其认证和加密都基于PKI技术系统通过采用PKI身份证书来实现对PKI网关的运行、管理、配置以及VPN虚拟专网的动态构建通过PKI身份证书的认证机制来实现对终端用户的身份鉴别，基于PKI的VPN也能够提供对用户数据的保护功能因此，基于PKI技术就可以在两个PKI网关之间构建一个端对端的加密安全通道23构建网络信任域的核心技术6.基于PKI的信任域综合管理系统是网络信任域的管理操作平台，负责对网络信任域内的用户和网元进行设置和信息提取，并负责对整个网络信任域环境的安全运行进行检测和管理，使网络信任域得以实现的支撑管理系统采用基于SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）协议的操作接口，能够实现网络信任域中的设备管理配置，以及监控数据和业务数据的采集采用基于PKI技术实现信任域管理功能对环境内的所有设备进行基于PKI身份证书的验证和管理，确保网络元素的可信接入通过PKI技术，为环境中的所有信息提供安全通道24构建网络信任域的核心技术6.基于PKI的信任域综合管理系统(续)网络信任域管理的核心思想基于统一的PKI机制，建立分布式的、逐级可信的信任域管理。采用策略一致的PKI证书发布及认证机制，协调管理员可以根据网络的规模的网络的分布状况，为整个系统建立多级信任域管理的分层模型，并为每个信任域架构服务于本信任域的信任域综合管理系统位于系统上层的信任域可以接收下层信任域采集的业务数据，负责对下层的信任域提供系统管理和信任服务，通过分层管理可以构建范围更广的网络信任域25接入认证交换机为了实现网络信任域的可信接入，首先应对接入认证交换机和认证服务器进行身份认证。接入认证交换机和认证服务器采用内置PKI证书方式进行唯一的身份标识，在接入认证交换机后端的认证服务器进行信息交互时必须进行交互身份认证，从而确保双方身份的真实性。为接入认证交换机对接入设备的认证通过了可信的基础，同时通过交互式身份验证，为交换机与认证服务器之间的信息及交互提供了加密的通道（采用UDP协议），确保了认证信息的安全传输26接入终端设备网络信任域的可信接入是终端设备/用户的可信接入。基于802.1x标准，接入交换机的每个端口为接入设备提供了一个物理网络端口上的两个逻辑端口：带接入控制开关的受控端口，该端口与后端的业务资源系统相连不带控制开关的非受控端口，该端口与交换机内部负责执行802.1x协议的认证端口接入模块（PortAccessEntity,PAE）相连。非受控端口接入单元将作为接入设备的认证代理，负责与后端的认证服务器进行交互，共同完成对接入设备的认证过程，并根据认证的结果控制受控端口的接入控制开关，确保只有合法的设备和用户才可以接入网络的业务资源，而非法用户或未通过认证的用户将从链路层上与网络隔离，从而极大地保证了网络环境的安全型和可控制性基于端口的网络接入控制的实现机制结构框图硬件证书接入终端客户端PAE受控端口非受控端口认证方PAE端口接入控制开关认证控制认证服务器网络业务资源核心交换平台认证服务系统内含身份证书的接入认证交换机端口访问实体：（PAE，PortAccessingEntity）网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。28网络信任域小结基于先进的PKI及PMI技术以PKI身份认证为基础，以基于网元的设备认证为手段，以“可信接入、可信传输”为具体实现，以网络信任域综合管理系统为核心，构建全网一致可信的网络信任环境，为网络提供“可管理、可控制”的安全网络环境支撑296.3电子政务网络信任域的构建构建网络信