当前位置:首页 >> 信息与通信 >>

国家移动电子政务安全系统


国家移动电子政务安全系统

摘要:本建议书分成三个部分,第一部分介绍国家移动电子政务安全系统的 内涵和重要性; 第二部分介绍唯真标识认证系统在应用层的解决方案:如何在不 颠覆、不破坏现有互联网架构下,在既能充分利用现有网络资源与服务,又能同 时保障统一认证和通信安全的情况下,构建国家移动电子政务安全解决方案;第 三部分介绍国家移动电子政务安全系统的研发内容和建设概算。

优点是实名认证,超大规模,能够互联互通。全面超越奥巴马政府和银行使 用黑莓安全推送系统。 黑莓系统只实现了企业通过专网连接到数据中心, 数据中 心加密文件后再通过公开的移动通信网络发送给黑莓手机, 手机解密后能够进行 阅读。 国家移动电子政务系统采用了比黑莓系统强大的多的自主唯真标识认证安 全体系, 能够实现海量规模高效率安全认证服务的系统,为不同级别的接入终端 和用户服务, 包括高安全级别的专用手机和完全隔离的虚拟专网,能够通过指定 接收方的强加密保护所有通讯内容的安全,通过密文 IP 转发隐藏位置信息,通 过堡垒替代攻击和标识认证使用户免受攻击。

前言:国家移动电子政务安全系统的定义 通过以下典型特征来反映国家移动电子政务安全系统的含义: (1)具有移动系统自主的数字疆界:包括唯一可信的地址、名称和定义, 由国家管理部门界定和统一发放能够自证的数字身份,主权不可侵犯; (2)数字身份不可伪造:包括 IP 地址,主机名称和登录认证; (3)防攻击:具备能够抵抗现有移动互联网攻击的特点,杜绝硬件漏洞和 操作系统漏洞,具有直接路由和自组网的特点; (4)保障国家安全:维护国家网络基础设施不受侵害;保障社会安全:打 击网络和经济犯罪; (5)维护公民隐私和数据安全:使得数据的保密性、完整性、不可抵赖性 和指定接受方授权得到保障,维护公民隐私安全。

从安全技术层面, 通过以下典型特征来反映国家移动电子政务安全系统的安 全基础: (1)能够自证的可信标识:与第三方认证系统不同,提供可直接自证和互 证的可信标识,实现了互联网和物联网任意对象的唯一性自证与相互认证; (2) 超大规模: 能够提供 10 的 77 次方的可信标识规模, 足以支撑包括 IPv6 的各种网络协议所能覆盖的地址范围; (3)跨域认证:能够解决目前互联网沿用美国认证系统导致的安全孤岛和 无法跨域认证问题, 平滑安全升级现有互联网到标识认证与自主可控。支持不同 领域、不同行业、不同发行方的相互直接认证; (4)抗量子攻击:能够抵抗量子攻击对公钥系统的威胁,底层采用最高安 全强度的椭圆曲线密钥和唯真标识认证矩阵体系,能够进行大规模部署; (5) 传输层安全:在底层传输层通过唯真标识认证体系自动过滤无效数据, 杜绝远程激活硬件漏洞和操作系统漏洞, 解决通过操作系统保护和权限级别更低 的应用程序保护无法有效阻挡网络攻击的难题。

第二部分 国家移动电子政务安全系统实现的核心基石--唯真标 识认证系统
安全可信已经是互联网发展的巨大瓶颈, 当今互联网与物联网发展的瓶颈都 是:超大规模网络安全和跨域认证!如何既能充分利用现有网络资源与服务,又 能同时保障统一认证和通信安全的情况下,构建安全的网中网,实现基于目前开 放互联网的国家移动电子政务安全系统是一个更现实的问题。 1、中国自主唯真标识认证安全体系的优越性改变安全现状 基于国密 SM 系列算法的组合公钥实现的唯真标识认证系统是我国自主创 新的信息安全技术, 是目前唯一能抵抗量子攻击的超大规模自证安全系统,在跨 域认证和海量安全认证服务上具有不可替代性, 是构建下一代可信互联网的安全 支撑技术。 可广泛应用于移动互联网和物联网的统一认证与可信协作、云计算安 全接入、RFID 可信传递、数字版权保护、移动办公等领域,在安全云服务行业, 可提高 10 倍以上效率,而成本仅有现有认证系统的十分之一。 目前广泛困扰大家的钓鱼网站、 骚扰电话、 垃圾邮件就是由于缺乏自证功能, 由于系统底层的认证缺失, 导致接入互联网的系统无法有效解决身份伪造和溯源 难题。 我国自主的唯真标识认证系统在云计算、互联网、 移动互联网和物联网领域 的应用具有极为重要的意义, 在抗量子攻击安全性、生命周期和密钥安全管理及 灵活性上均处于世界领先地位。目前国产安全系统、安全手机、加密 SIM 卡、 加密 TF 卡和 IC 卡等核心关键技术与产品正面临新的发展阶段,也得到了国家 政策和发改委专项的积极支持。 以标识认证为核心技术升级现有移动政务业务, 带来以下五方面的系统优越 性: (1)标识认证安全体系的身份认证规模为 10 的 48 次方到 10 的 77 次方, 可信标识规模几乎无限。 (2)标识认证安全系统投资成本甚低,同等认证规模的投资额仅为现有其 它安全认证系统的十分之一,且日常管理维护费用低。 (3)标识认证安全系统认证效率甚高,速度为毫秒级,相比其它安全认证 系统,速度快得多;占用网络资源也小。

(4)标识认证安全系统可实现集实物、时间、管理等多标识于一体的叠加 认证,可在 IC 卡、U 盾、计算机、手机等硬件终端之间转移授权,实现动态标 识认证和跨域认证。 (5)标识认证安全系统能够按事物的社会关系与自然属性分类编制直观的 唯真标识体系, 即可为全球虚拟世界划分严密的系统疆域, 又可跨域与交叉认证。 唯真标识认证系统以先进的动态组合密钥安全技术实现了互联网和物联网 的任意对象的唯一性自证与相互认证。 从根本上解决了不改变现有业务模型就能快速实现安全服务的平滑过渡。 解决了有限网络地址条件下的无限标识扩展与认证。 解决了目前移动办公安全应用中的大规模认证与管理难题, 能够构建跨平台 互通安全认证与授权代理的管理平台。 标识认证系统的开发与应用单位北京虎符科技有限公司正积极与工信部、 金 卡办、 物联网联盟和电信运营商进行合作,已经同中国人民银行金融电子化公司 合作开发了“基于自主标识认证技术的中小金融机构安全综合服务平台” ;与中 国国际商会合作建立“世界贸易电子商务网” ,与华夏银行商讨开发全球电子商 务线上支付系统与电子票据网络交易市场, 与北京华大信安公司合作开发安全芯 片及 IC 卡,与工信部十进制网络工作组进行互联网认证合作。这些项目都基于 唯真标识认证技术,为推进国产化安全系统及应用做出贡献。起到示范作用。

2、唯真标识认证安全体系的技术特点 目前大多安全系统中的安全性主要依赖防火墙和操作系统的防病毒保护。 而 实际上任何 IP 终端的安全性不应该由操作系统保障,尤其是移动终端和专用设 备,IP 终端本身必须首先做可信处理,其关键就是提供可信标识,当机器本身 的可信保障之后,安全问题迎刃而解: 1、首先,本机所有静态存储的数据都能够通过底层加密运算(可以与操作 系统无关, 直接在芯片总线层面或文件系统方面做只有本地能加解密的处理)实 现环境锁定,即使操作系统出现漏洞,数据被窃取,没有任何意义,因为所有数 据只在本机才能识别。 防止刷机或物理拆解等静态破解手段。所以实现主芯片防 篡改的可信标识是基础。

2、动态安全方面,所有的应用采用由本机可信标识为主标识前缀的多标识 分组,进行应用的实时实名认证,由于具备指定接收方才能识别的特点,所有的 业务都可以通过增加标识认证实现安全,并且可以溯源。后台系统也基本无需改 动,增加前置安全转接前置,就可以升级安全系统,与现有应用系统兼容。 3、数据传输层面,采用了接近量子加密效果的虚拟量子加密安全防护,实 现了密文数据随机缺失,由于数据不全,现有经典密码分析学失效,无法破解。 参考已经为国安系统实现的安全加固系统,这样才能够真正有效解决金融、 电信和政府部门所需要的系统安全、应用安全和数据安全。包括如下方面: (1) 内容传输安全 (2) 业务接入安全 (3) 网络接入安全 (4) 用户信息安全 (5) 内容消费安全 (6) 设备及文件安全 (7) 业务溯源 (8) 安全审计 综上所述,直接提升原有业务系统安全性能,实现安全对外扩展: 典型业务通信系统(一般通过静态密钥直接进行安全通信,安全性不够)

常规安全通信系统结构示意图如上图所示。

安全提升后的安全通信系统(动态缺失数据保护 + 标识认证 + 锁定通信环 境 + 定期通信激活 + 真随机数加扰)

加固后安全通信系统结构示意图如上图所示。

安全加固特征一:动态缺失保护

原理: 每次通信的密文都有部分会动态随机缺失,需要加固系统依据特征纠错规则 进行纠错。

优势: 1、密文数据不完整,由于安全信道上传输的数据是不完整的,拿到密文无法 直接进行破解和分析,防止监听,加固了安全通信信道。 2、 当得到某个节点发来的无错的通信数据时, 能够立即发现仿冒, 调整应对。

安全加固特征二:标识认证

原理: 各节点都有唯一的标识,通过标识认证直接认证发送者的身份;同时只有指 定标识的接收者才能通过标识鉴别,进行后续的通信操作。标识认证能够解决标 识的自证和互证。 优势: 1、标识认证是目前认证规模最大,应用方式最灵活的认证系统,先通过标识 认证解决双方身份识别和合法性的问题,再进行原有的安全通信流程。能够提高 安全通信的可靠性和各方独立无关性。 2、特别适合于多机构、多点接入,需要安全认证和保障通信完整性的复杂通 信环境。 3、 标识可以叠代, 通过更新各子节点的子标识, 能够实时激活新的认证方式, 接力式的不断提升安全认证的强度。

安全加固特征三:锁定运行环境

原理: 节点运行时,每次通信的密文都包含有密文保护的当前环境特征码( CPU 的 唯一 ID 和网卡的 MAC 码)和运行状态(是否在有效期范围内,是否有修改过本机 日期),通过解析环境特征码和运行状态,就知道节点的运行情况。

优势: 1、节点的安全通信系统只能运行在锁定的特定环境下(如首次运行自动上报 文件中包含的环境特征码和运行状态),当运行环境或状态发生改变,能够立即 发现。 2、由于给各节点的安全通信数据受标识认证和环境参数保护,因此不在锁定 环境下,无法正确解析安全通信数据。

安全加固特征四:定期通信激活

原理: 节点通过签名的密文配置文件,约定运行有效期,能够在每次通信数据下传 时,附加密文的有效期延长或自销毁(当节点系统超过有效期也会自然销毁)。 优势: 1、一方面根据设定的有效期范围能够控制与节点的通信频率,另一方面通过 每次节点上传数据能够知道节点的环境参数和运行状态,从而决定是否在每次安 全通信后延长有效期,以及延长有效期的范围。 2、由于与各子节点的安全通信认证受标识、环境参数和有效期的保护,能够 保障各子节点的自然静默,到期不通信进行更新状态,自然销毁。

安全加固特征五:真随机加扰保护

原理: 安全通信防护加固中,使用随机数进一步参与到防护加固和安全认证,使得 每次的安全通信模式一次一密,无法通过重复模仿密文数据组合进行攻击。 优势: 1、各节点的安全通信认证受标识、环境参数和有效期的保护。 2、同时为了提高敏感认证数据的安全性,进一步使用真随机数参与加扰进行 保护。

安全加固后系统优势与特点 采用领先的组合公钥架构和唯真标识及动态密钥管理系统, 建立了能够抵抗 量子攻击, 并能够跨终端, 尤其适于移动终端和网络终端混合应用的海量规模认 证安全通信加固系统。实现了针对标识本身的直接认证,不仅适于互联网,也包 括卫星网和无线网,实现了真实还原用户本来身份,并保障标识的认证与自证, 革命性地突破传统通信系统的规模限制和认证流程上的不足, 有效解决电子身份 认证与信息鉴别难题。 本系统使用的自主标识认证技术的创新性还在于, 革命性的改变了传统方式 下用户不主动参与安全认证的缺陷。过去用户的公私钥对由第三方生成,并需要 随时查询第三方确认用户身份(如下图所示的邮件应用示例) ,由第三方决定公 钥代表谁,用户自身没有判断能力,因为密钥基本上是随机数,没有可读性,任 何人也无法读出自己证书的 1024 位二进制数据是什么,是不是自己的,有没有 改变都需要由第三方来判断。中心压力大,认证时间长,且一旦中心出问题(管 理员内部犯罪) ,很容易张冠李戴,用户的主动安全性不强。关键数据是被动接 受第三方保护,是非规模化应用的必需同根的小规模安全系统。

而在本系统中,用户的标识即代表公钥,无需在线查询,中心无压力,认证 时间短,所有关键数据均作为安全标识参与认证运算,安全性极高,不存在第三 方风险。并且是唯一具备百亿级以上规模的海量安全通信系统。

在移动政务系统的具体应用为:安全云服务系统。建立公共的服务平台,包 括核心业务系统,各托管方(各政府机构)通过标识认证和虚拟量子加密系统登 录,数据自主加密,共享数据中心资源,数据相互独立,不干扰,且能够实现互 联互通,公共服务平台每增加一个业务,比如手机签名验证业务,各托管方的客 户就会享受新的服务。能够大大降低政务系统的维护费用,并增加业务范围。是 未来云政府的发展趋势。能够大大节省被托管方的基础建设、资金和人员,并能 拓展服务范围。 在网络安全服务的具体应用:统一认证服务平台。为智慧城市或公务员卡提 供一站式安全服务,单点登录,享受全部可连接的服务。可以和本地的系统集成 企业结合, 进行一站式开发和安全升级。通过统一认证接入和安全云服务平台的 建设,形成广泛集成、无站式、单点登录的统一认证和业务服务平台,为公众提 供方便、优质的网上服务,结合移动手段快速响应需求和反馈,真正实现用户享 受现代化服务和满足用户的个性化需求。一方面实现高安全的标识认证,保障用 户信息安全,同时使得用户通过一次登录就能在所有关联的业务系统进行访问, 如各托管业务系统和电子政务系统,实现安全便捷的公共服务。 采用领先的组合公钥架构和唯真标识及动态密钥管理系统, 建立了能够抵抗 量子攻击, 并能够跨终端, 尤其适于移动终端和网络终端混合应用的海量规模认 证安全通信加固系统。实现了针对标识本身的直接认证,不仅适于互联网,也包 括卫星网和无线网,实现了真实还原用户本来身份,并保障标识的认证与自证, 革命性地突破传统通信系统的规模限制和认证流程上的不足, 有效解决电子身份 认证与信息鉴别难题。 在公钥技术出现以前,如何在大规模的网络环境中进行大规模公钥的分配和 管理一直是一个难题。公钥技术的出现解决了这一难题,但 CA 在实现用户与其公 钥的绑定的同时,CA 本身也带来了新的技术和管理问题。在一般的公钥体制中, 各用户的公钥是直接公布的,有多少用户,就公布多少个公钥,而在组合公钥密 码系统中,各用户的公钥不直接公布,而只公布公钥因子矩阵,各用户的公钥则 通过公钥因子矩阵和相关映射值计算出来。 为了进一步增加安全性和兼容性,组合公钥系统允许用户标识对应的标识公 私钥分别再和 CA 系统或自主安全硬件生成的离散公私钥分别进行复合运算, 生成

更加安全的双因子组合公钥体系。 使用基于公钥的安全认证体系后,通信安全性大大提高,可用于互联网、移 动、电话线等多种网络环境下安全使用。 统一认证平台采用我国自主的唯真标识认证安全体系, 通过组合公钥认证技 术和动态密钥管理系统实现了标识本身即代表自身的公钥,其他人无法仿冒,降 低了需要第三方进行用户名称和公钥验证的风险,具备不受规模限制,有着目前 认证规模最大, 认证最灵活的先进性。同时也是下一代网络保障安全应用的核心 技术。 通过唯真标识认证系统实现的自主可信互联网架构, 能够充分利用现有互联 网基础设施和资源, 不颠覆和破坏互联网结构, 通过引入可信标识实现实名认证, 快速安全路由甚至是直接路由, 实现底层的传输安全和系统安全,彻底杜绝过去 由于系统底层的认证缺失导致的钓鱼网站、骚扰电话、垃圾邮件带来的无法有效 解决身份伪造和溯源难题。 解决目前互联网沿用国外的认证系统导致的第三方他 证小规模安全系统带来的安全孤岛和无法跨域认证问题。 能够平滑安全升级现有 互联网到标识认证与自主可控。从底层实现了点到点 P4PE 高级别安全认证和广 域连接。 唯真标识认证体系使得现有互联网逐步升级到可信的自主安全网,客户端 通过更换或连接新的安全多模网卡,不仅兼容现有互联网,还能够直接使用标识 进行网络连接,也能够兼容 IPV6 和我国自主的 IPv9 及十进制网络。

3、标识认证系统抗共模、抗量子攻击和抗穷举的说明 任何密钥的穷举或破解只有存在一个判别条件时才有意义,否则没有意义。 首先唯真标识认证的公钥种子矩阵中的公钥都是挑选过的高强度公钥,不比 任何一个现有的开放公钥系统的数字证书的安全性更差。 其次只有 CPK 体系能够做到连公钥都保护起来, 只开放标识, 而不开放公钥。 对于标识到公钥的线性关系, 用于共模的问题, 通过增加密钥的非线性关系, 以及与设备秘密公私钥对进行复合运算的双因素公钥组合系统 TF-CPK 于 2008 年 已经被国密认定解决了共模问题,通过了审核,成为国密安全体系。 对于标识认证系统抗穷举的终极方案:

一是公钥和私钥都要保密。当一定密钥长度能够阻止计算机的穷举攻击时, 采用公开公钥的方法是解决密钥分发难题的最简单方法。 但在量子计算面前, 只 要公钥一公开,就为私钥的穷举提供判别条件,无法有效抵抗量子计算的穷举。 例如,在 ECC 公钥体制 aG=A 中,a 是私钥,A 是公钥,G 是椭圆曲线的基点, 基点 G 是已知因素,只要再把公钥 A 公开,那么就可以穷举私钥 a,并能得到唯 一解。反过来,如果将公钥 A 能保密,a 就失去了穷举的判别依据,穷举就失去 意义。在基于标识的公钥体制中,标识代表实体,且具有公认性。标识的公开, 为不公开公钥提供了可能性。 二是将基于计算复杂度的传统的公钥体制,改造成基于线性复杂度的新型公 钥体制。 将公钥的生成与分发相结合起来, 在密钥的生成和分发中设置秘密变量, 将线性复杂度“无限”放大,并增加随机处理的复合运算,使穷举变得不可能。 使各实体具有计算任何依赖方的公钥的能力,却不暴露公钥本身。 三是在签名协议或密钥传递协议中,公钥和私钥必须以不可穷举的和数形态 出现,以简单方程 (a b) mod 13=7 为例, a 和 b 是未知数。一眼可看出方程就有 无穷解,与穷举能力无关。 以上讨论了在 CPK 安全体系抗量子计算攻击的原理, 证明了现有公钥体制只 要构建成基于标识的体制,将具有很强的生命力。

第三部分 应用层解决方案--国家移动电子政务安全系统
1、虎符标识认证移动政务产业化应用 通过可信的唯真标识认证系统, 能够实现安全的云计算接入和各种公共服务 平台, 节省投资, 使得大量通过标识认证接入的企业能够享受到业务托管和现代 化服务的成果。以典型的政务云服务平台为例,介绍安全云服务平台的构成。

1)平台以 SOA 为基础架构,各个服务松散耦合,易于维护,扩展,集成。 2)提供用户自定义系统参数界面,用户可自定义系统,服务参数,数据库 参数,应用参数等。 3)对手机应用、第三方的接口设计保持独立性,方便相关外部系统的对接 和配置。

安全云服务平台可以分为以下功能模块: 1. 2. 3. 4. 用户管理服务器 手机业务前置 安全认证管理服务器 业务服务器 业务管理服务器 标识认证服务器 第三方业务前置 第三方业务服务器

功能结构图如下:

前端

后台

管理前台及业务服务器

用户管理服务器 手机业 务 电子政 务 用户 第三方 接口

用户管理前台

移 动 运 营 商 网 关

业务管理服务器 互 联 网

业务管理前台

手机业务前置

业务服务器

标识认证服务器

第三方业务前置

功能结构图
政府机构 安全认证管理服务 器

第三方业务服务器

安全认证管理前台 CP K管 理 前 台

2、标识认证与现有政务安全认证兼容,平稳推动产业化应用 通过我国自主创新的组合公钥安全体系,建设能够有效降低成本,互联互通 的大规模统一认证服务系统, 尽量兼容和不改变各部门现有系统、扩大数字证书 覆盖面以及完善配套制度标准等系列工作,实现认证系统的统一服务、管理和授 权,在“一证通行”的基础上开发更多基于证书的应用和服务,提高用户和企业 的网上认证覆盖率和使用率,实现认证覆盖与网上办事的相辅相成和同步提升。

移动安全政务统一认证平台升级方案:

政务系统网上服务 系统 安全认证前置服务

安全公共服务系统

安全政务服务系统

安全认证前置服务

安全认证前置服务

互联互通
现有数字认证中心

互联互通
统一认证服务平台

云服务 标识认证和安全云计算 服务系统管理中心 安全接入

升级

现有数字证书用户

低成本数字证书用户

其它行业认证系统

优点:实名认证,超大规模,能够互联互通。 全面超越奥巴马政府和银行使用黑莓安全推送系统。 黑莓系统只实现了企业通过专网连接到数据中心, 数据中心加密文件后再通 过公开的移动通信网络发送给黑莓手机,手机解密后能够进行阅读。 中国国家移动电子政务系统采用了比黑莓系统强大的多的自主唯真标识认 证安全体系, 能够实现海量规模高效率安全认证服务的系统,为不同级别的接入 终端和用户服务, 包括最高安全级别的专用手机和完全隔离的虚拟专网;高级别 的定制手机(定制操作系统、定制浏览器、加密 SIM 卡或加密 TF 卡)与唯真标 识认证高安全服务系统;一般级别的电子钥匙、加密蓝牙耳机与安全转接服务。

3、国家移动电子政务安全系统部署方案 (1)服务对象:国家公务员和重大产业部门相关人员

(2) 服务功能:构建覆盖移动终端和人员的海量可信标识和组合数字签名系 统;构建使用安全芯片的专用安全手机;构建使用安全 SIM 卡或加密 TF 卡 的定制安全操作系统和定制安全浏览器;构建可信的安全软件商店,提供统 一的应用软件安全服务中心和托管中心;构建安全云服务系统,提供对海量

安全接入、安全专网、安全代理、可信安全软件中心、安全托管服务系统和 安全云存储的支撑;构建前置安全服务器,解决现有服务系统无需改变即可 实现安全升级的需要;构建防窜改、自恢复的智能网络服务系统;构建用于 通用手机安全通讯的专用安全蓝牙耳机;构建用于企业网和局域网的可信安 全网关。

(3) 系统框图与工作流程

<1> 系统总框图

安全手机专网系统

安全网关

标识认证安全芯片

安全托管务系统

安全云存储

专用安全手机

安全软件商店

安全云服务系统

安全代理系统

现有数据网络

前置安全服务器

安全 SIM 卡

加密 TF 卡

原业务系统

定制安全手机

防窜改自恢复系统

安全浏览器

安全操作系统

安全蓝牙耳机

安全蓝牙耳机

现有通话网络

普通手机

<2> 专用安全手机工作流程 专用安全手机内置标识认证安全芯片,具备可信标识,保障本地数据安全和 所有业务数据安全,对外所有数据都进行高强度标识认证加密,达到椭圆曲线 256 位加密强度,超过 RSA2048 位的算法安全强度,同时标识认证的硬件加密, 对外只有标识(安全硬件内部采用组合公钥对标识进行运算生成唯一对应的公 钥, 能够适应超大规模和跨域认证, 实现自证和直接认证, 并能够抵抗量子攻击, 是目前现有安全系统中强度最高,认证规模最大,唯一能实现跨域认证的系统) , 没有公钥,无法进行破解。 由于专用安全手机的对外所有数据都进行高强度标识认证加密, 无法和普通 应用系统直接对接, 首先通过运营商网络连接到的系统转接到安全代理系统,安 全代理系统通过端到端的硬件加密认证后, 将安全手机接入到安全网关之后的安 全手机专网。达到内网级别的安全强度。 在公钥技术出现以前,如何在大规模的网络环境中进行大规模公钥的分配和 管理一直是一个难题。公钥技术的出现解决了这一难题,但 CA 在实现用户与其公 钥的绑定的同时,CA 本身也带来了新的技术和管理问题。在一般的公钥体制中, 各用户的公钥是直接公布的,有多少用户,就公布多少个公钥,而在组合公钥密 码系统中,各用户的公钥不直接公布,而只公布公钥因子矩阵,各用户的公钥则 通过公钥因子矩阵和相关映射值计算出来。 为了进一步增加安全性和兼容性,组合公钥系统允许用户标识对应的标识公 私钥分别再和 CA 系统或自主安全硬件生成的离散公私钥分别进行复合运算, 生成 更加安全的双因子组合公钥体系。 使用基于公钥的安全认证体系后,通信安全性大大提高,能够适应互联网、 移动、电话线、物联网等多种网络环境下和不同设备间通讯的安全使用。

<3> 定制安全手机工作流程 通过定制的安全操作系统, 内置安全验证机制,只允许有合法签名的应用程 序运行, 其中安全应用程序的唯一合法来源就是安全软件商店,安全软件商店中 的所有应用软件都是经过安全检查和测试的安全应用。

通过定制的安全浏览器访问网络, 基于云安全内核在 CSS3 解析能力、 DOM 核速、Java script 方面性能,在速度、智能、安全、低能耗、可扩展五项手机浏 览器能力指标上将保持领先, 为用户提供跨设备跨平台的体验, 当用户访问政务、 论坛、微博等网站时,安全浏览会进行智能识别并进入智能安全模式。可从源头 层面阻截木马攻击, 及阻止自动联网造成的流量消耗,基于安全内核的高速处理 能力, 可从引擎解析层面直接堵住木马攻击;或主动识别并关闭互联网页面中的 自动联网行为,避免隐性流量消耗,更深层次的保护了电脑和手机上网的安全。 基于云安全内核,还能够实现更加完美的 PC 浏览效果,同时通过云压缩、 多级页面缓存技术降低手机上网的流量消耗,流量整体可以节省超过 50%。 云安全技术为安全云服务接入保驾护航。 智能安全浏览将是国内首先尝试使用带加密引擎的多核心在线浏览系统。 多核心将使打开网页速度更快,同时带来更好的兼容性支持。除此之外,还包括 真实性鉴别, 自动识别电子钥匙, 安全登录, 加密 COOKIE, 依据搜索历史优化、 云备份、智能填表、智能地址栏、弹窗过滤、在线收藏等智能服务功能。

<4> 专用安全蓝牙耳机工作流程 为保障安全手机和普通手机在外网应用时通话的安全性, 通过集成了标识认 证安全芯片的专用安全蓝牙耳机, 直接加密用户语音并针对移动通讯网络优化并 进行冗余处理,保障加密的语音在失真环境下传输仍然能够保障有效的识别。

<5> 替代攻击与自恢复网络服务系统工作流程 通过自动实时校验网络服务系统的数据,内存和代码运行状况,能够自动恢 复网络系统, 同时通过端口和地址映射进行替代攻击,使得外部攻击的对象始终 是具备严密防护的堡垒系统,而真正的服务系统隐藏在堡垒之后。

<6> 安全软件商店系统工作流程 2012 年,随着手机的智能化及低价化的快速发展,以及公务员智能手机持 有比例的上升, 移动政务在移动互联网的应用使用率已有明显大幅度的提升。该 群体移动互联网应用还将继续深化。

传统的资讯类网站已经不能满足移动互联网的时代发展要求, 更无法满足政 务系统上网所特需的安全指导和快速获得有益资源的诉求, 因此在移动互联网上 需要更有效的手段,整合优质的应用与服务,形成政务上网统一门户,构建移动 政务安全网络,帮助各级政府机构获得更多发展的资源和动力,为创造性思维不 断地输送养料,形成共享资源、互连互通的移动政务格局。通过此统一门户的访 问入口和有粘性的应用持续提升门户流量,各应用相互助力,反复加强。 针对如何提升政务服务的有效引导和服务, 需要对大量的移动应用进行评测 和组合, 优选出更有利于政务服务的应用与服务;流量导入也能够显著带动体验 的内容和服务, 同时准确统计应用需求与热点,使得内容和服务设计更有依据和 针对性,新的内容和服务上线自动关联到相关热点。在平台支持和导向上,能够 引导和鼓励开发商共同开发移动政务网络所需的优质应用。 通过建立搜索与云服务平台解决应用服务问题; 通过开发平台、应用商店与评测建立生态链,解决同步发展问题,并能够面 向整个移动互联网进行服务运营,为移动互联网发展提供示范工程。 在多应用支持方面,安全软件商店具有现有软件商店和浏览器不具备的功 能。未来软件商店是后台云服务的前端呈现,内部集成了公共服务所需的搜索、 应用模块、应用引擎和开放接口,能够显著降低应用的开发周期与难度,兼容性 好, 使得更多开发商能够加入到提供有益应用的设计中。通过安全软件商店这个 统一的应用访问入口, 能够准确统计应用需求与热点。其中首页是专为政务优化 的,实名登录后,用户能够自主增删应用和关联不同应用及数据,并能自动同步 到用户使用的不同设备,构建用户的统一数据中心。 建立移动应用测评中心, 保障在线移动应用的服务质量,从客户端开发一直 到应用平台, 通过一体化设计保证用户最佳体验。所有上线的应用都有可信赖测 评与基本底线控制, 包括安全和内容的审核, 保证对用户负责。 其核心是端到端, 可信赖,规模化。 除应用的安全与功能评测外,在应用程序运行的过程中,安全软件商店能够 进行程序运行跟踪和收集用户反馈,客观对应用程序进行评级,从而可以把热点 应用引入我们的云平台进行推荐,方便选择。

(4)总结 唯真标识认证技术是我国具有自主知识产权的新一代组合公钥架构体系,通 过建立一个以种子公钥为核心的科学架构,既具有结构上的稳定性,又有极强的 灵活性和适应性,解决了规模化标识认证这一世界难题。国家发展和改革委员会、 科学技术部、工业和信息化部、商务部和国家知识产权局在 2011 年 6 月联合发布 《当前优先发展的高技术产业化重点领域指南(2011 年度)》,其中明确组合公 钥(CPK)系统是信息安全产品与系统方面重点支持的领域之一。 基于自主标识认证技术的移动安全电子政务系统是国产安全体系的产业化应 用,填补了移动互联网安全政务领域大规模标识认证应用的空白,将为标识认证 技术在国内安全及其他领域的大规模应用起到重要示范作用,对打破长期以来国 内认证体系被国外技术垄断的局面, 提高我国的信息化安全水平有显著推进作用。


相关文章:
国家移动电子政务安全系统.pdf
国家移动电子政务安全系统 - 国家移动电子政务安全系统 摘要:本建议书分成三个部分,第一部分介绍国家移动电子政务安全系统的 内涵和重要性; 第二部分介绍唯真标识...
移动电子政务应用-moble.pdf
移动电子政务应用-moble - 移动电子政务应用 安全政务系统手册 安全政务本技术标准联盟 主编 2015 年 1 月 北京 移动电子政务应用安全政务系统手册 安全...
移动电子政务的信息安全.pdf
移动电子政务的信息安全 - 移动互联 信息安全 电子政务 信息安全 移动信息安全 大数据技术
北京市移动电子政务管理平台技术规范.doc
本规范规定北京市移动电子政务管理平台(以下简称“管理平台” )的技术 要求,包括系统总体架构、业务管理、用户管理、运营商管理、系统后台管理、 接口要求及安全管理...
电子政务移动办公系统安全技术规范介绍_图文.pdf
2013年10月,信安标委下达信息安全国家标准项目任务 书,委托国家信息中心牵头,负责《电子政务移动办公系统安全技术规范》的研究制定工作 ? 2015年完成标准草案,经过...
电子政务系统安全架构问题探讨.doc
电子政务系统安全架构问题探讨 - 龙源期刊网 http://www.qikan.com.cn 电子政务系统安全架构问题探讨 作者:王里达 来源:《无线互联科技》2013 年第 05 期 摘 ...
国家电子政务外网安全系统建设概述_图文.pdf
国家电子政务外网一期工程 安全系统建设概述国家信息中心 国家电子政务外网工程建设...4)保证部委合法移动用户接入国家电子政务外网 和数据传输的安全的安全 20 网络安全...
北京市移动电子政务安全技术规范.doc
北京市移动电子政务安全技术规范 - 北京市移动电子政务 安全技术规范 (试行)
我国电子政务系统安全与应用研究_图文.pdf
我国电子政务系统安全与应用研究 - 我国电子政务系统安全与应用研究 电子政务是提高政府行政管理和公共服务能力的有效途径, 中国 政府将电子政务的发展作为实现国家...
移动电子政务与信息安全问题研究_图文.pdf
移动电子政务与信息安全问题研究 - 移动 电子政 务 与信 息 安全 问题 研究 刘纬 纬 (东 北石油大学 秦皇岛 分校) 摘要: 虽 然移 动 电子 政务在我尚...
由韩国_智慧政府实施计划_看中国电子政务的发展_王舒月.pdf
一方面,国家在政策层面上要求我国的电子政务向智能化和服务化转变;另一方 面,...建设,为全国无线网络体系的建设做准备;另一方面,需要建设移动通信的安全保障系统...
浅谈移动电子政务.pdf
与此同时, 我 国手机网民的数量已成为互联网用户的新增长点,半年新增手机网民 ...推进全国移动电子政务标准化和安全化工作, 使 所创建的移动电子政务系统能够顺利...
基于智能卡的移动电子政务安全设计与应用_论文.pdf
基于智能卡的移动电子政务安全设计与应用 - doi:lO39694issn100
The e-government system(电子政务分析)_图文.ppt
系统 移动 停车 网络技术广泛被应 用与爱沙尼亚的...爱沙尼亚政府执行了一个非常重要的信息安全“ 无遗产...目前我国有关部门正抓紧制定电子政务绩效评估体系,...
北京市移动电子政务委办局业务系统技术规范_图文.doc
北京市移动电子政务委办局业务系统技术规范 - 北京市移动电子政务 委办局业务系统技术规范 北京市经济和信息化委员会 北京通信信息协会 二一年八月 目录 1 ...
基于无线PKI-PMI实现安全的移动电子政务_论文.pdf
基于无线PKI-PMI实现安全移动电子政务 - 移动电子政务作为电子政务一个新的分支,为电子政务提供了强大的扩展能力和移动能力,针对移动电子政务安全需求...
电子政务平台.doc
1.1 建设目标遵循国家和省电子政务建设的总体要求,...电子政务系统具体建设内容包括移动电子 政务、协同办公...安全为原则,从管理的角度深层次地剖析了办公自动化...
移动应用安全管理系统设计方案.doc
所有购的密码产品都已通过国家安全主管部门的认证,符合有关标准和协 议,满足...《北京市移动电子政务平台总体技术要求》北京市经济和信息化委员会 《移动政务...
国家电子政务网络体系介绍.doc
国家电子政务网络体系介绍_互联网_IT/计算机_专业...为有特殊需要的部门开通了虚拟专网服务和移动接入服 ...安全 防护系统安全管理平台、CA 系统组成的安全...
电子政务的安全现状及安全需求.pdf
电子政务系统安全威胁 、 政务系统安全风险及我国电子政务建设面临的安全问题等...物理手段对政务信息系统的组件 、 结构和信息进行更改 、 移动和销毁等 ,直接...
更多相关标签: