PKI/CA技術(shù)在電子政務(wù)信息安全領(lǐng)域的運用探索

趙 可

濟南奧林匹克體育中心，山東濟南 250102

1 PKI/CA 技術(shù)淺析

1.1 密碼技術(shù)

密碼技術(shù)是用來保證信息安全的一種必要手段，是信息安全的核心。從數(shù)學角度講，加密是一種從“明文”定義域到“密文”值域的函數(shù)，解密是加密的反函數(shù)。

1.2 公開密鑰基礎(chǔ)架構(gòu)體系（PKI）

PKI 是“Public Key Infrastructure”的縮寫，PKI 是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。PKI 由數(shù)字證書、證書頒發(fā)機構(gòu) (CA) 以及核實和驗證通過公鑰加密方法進行電子政務(wù)的每一方的合法性的其他注冊頒發(fā)機構(gòu)所構(gòu)成。迄今為止的所有公鑰密碼體系中，RSA 算法是最著名、使用最廣泛的一種。

1.3 數(shù)字證書

數(shù)字證書又稱為數(shù)字標識（Digital Certificate，Digital ID）。它提供了一種在Internet 上身份驗證的方式，是用來標志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機駕照或日常生活中的身份證相似。

1.4 電子簽名法

《中華人民共和國電子簽名法》于2005 年4 月1 日正式施行。法律規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。《電子簽名法》的施行，標志著我國首部“真正意義上的信息化法律”正式誕生，它將對我國電子政務(wù)的發(fā)展起到至關(guān)重要的促進作用。

2 電子政務(wù)安全支撐平臺

2.1 作用和意義

構(gòu)建以公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)和授權(quán)管理基礎(chǔ)設(shè)施（PMI）技術(shù)為核心的電子政務(wù)安全支撐平臺，旨在滿足電子政務(wù)業(yè)務(wù)信息系統(tǒng)運作流程中遇到的身份識別、權(quán)限控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、抗抵賴等多種安全需求。電子政務(wù)安全支撐平臺主要負責數(shù)字安全證書的申請受理、認證、制作、簽發(fā)和管理，為開展電子政務(wù)提供身份認證、數(shù)字簽名、證書目錄查詢、電子公證、安全電子郵件等服務(wù)，為城市信息化建設(shè)提供安全保障。

2.2 各子系統(tǒng)工作原理

2.2.1 認證系統(tǒng)

證書認證（CA）中心負責用戶注冊、證書/注銷列表生成與簽發(fā)、證書/注銷列表存儲與發(fā)布、證書狀態(tài)查詢、證書管理控制和策略配置、安全審計管理等。密鑰管理（KM）中心提供加密證書密鑰對的管理功能，作為獨立運行的系統(tǒng)，可為一個或多個認證系統(tǒng)提供密鑰管理服務(wù)，實現(xiàn)密鑰的產(chǎn)生、存儲、分發(fā)、更新、撤銷、歸檔、恢復等密鑰管理服務(wù)。

2.2.2 授權(quán)系統(tǒng)

授權(quán)系統(tǒng)對用戶主體進行權(quán)限管理，實現(xiàn)對計算機系統(tǒng)中的受控資源進行訪問許可，受控資源表示系統(tǒng)中需要進行訪問控制的資源，訪問類型是指對于相應(yīng)的受控對象的訪問控制，如：讀取、修改、刪除等等。

2.2.3 數(shù)字時間戳

數(shù)字時間戳（DTS：digital time stamp）是信息安全服務(wù)項目之一，提供電子文件日期和時間信息的安全保護。DTS是一個經(jīng)加密形成的憑證文檔，包括需加DTS 的文件摘要、DTS 收到文件的日期和時間、DTS 的數(shù)字簽名。

2.2.4 PKI 中間件

PKI 中間件是以PKI 為基礎(chǔ)，遵循國際、國內(nèi)安全標準，面向信息安全應(yīng)用，提供數(shù)字證書安全服務(wù)的開放式中間件。通過PKI 中間件與信息系統(tǒng)的集成，可以實現(xiàn)不同層面的系統(tǒng)安全。諸如Java Applet、WWW 服務(wù)器插件和應(yīng)用服務(wù)器端Java Servlets 等都需要數(shù)據(jù)加解密、密鑰生成、數(shù)字簽名等密碼運算和證書管理，應(yīng)根據(jù)具體應(yīng)用環(huán)境選用不同的加密設(shè)備。

2.2.5 PMI 中間件

身份驗證組件用于鑒別用戶身份，應(yīng)用系統(tǒng)根據(jù)自身安全需要選擇使用強/弱身份認證。權(quán)限驗證組件用于審查合法用戶的訪問權(quán)限，對于合法用戶，該組件將從LDAP 服務(wù)器上獲得用戶屬性證書，根據(jù)授權(quán)管理訪問策略，判斷是否授權(quán)用戶訪問。

3 PKI/CA 技術(shù)應(yīng)用

3.1 開機登錄

將加密硬件設(shè)備安裝于電腦主機上，當打開主機時，系統(tǒng)會驗證使用者的身份。這時只有證書的合法持有人將載有證書TTL 電平信號中的一些可能存在的毛刺波形，同時增加信號的驅(qū)動能力，提高了信號在傳輸過程中的抗干擾性。將去擾整形后的TTL 電平信號送至單片機89C2051 的INT0 端。

IRIG-B 時間碼經(jīng)過單片機的處理后，解碼出各種時間信息，通過TXD 引腳送入MAX232 芯片，轉(zhuǎn)為RS232 電平信號后送到串口輸出端子，供給需進行時間同步的各類裝置設(shè)備對時使用。另外，根據(jù)IRIG-B 時間碼的參考幀標志信息，由單片機P1.5 引腳輸入一路秒脈沖對時信息。為提高輸出秒脈沖信息的抗干擾性及增加驅(qū)動能力，將其經(jīng)光耦TLP521 隔離后送至輸出端口。秒脈沖采用靜態(tài)空接點的方式輸出，可通過短接塊完成有源輸出和無源輸出兩種方式之間的切換。

4 軟件程序設(shè)計

幀參考標志、“秒”、“分”、“時”、“天”、“年”的BCD 碼、計日的二進制秒等信息可分別存放在單片機內(nèi)部RAM 中可位尋址的20H～29H 單元中，根據(jù)代表“1”、“0”的碼元寬度對相應(yīng)的位置1 或清0。

關(guān)于脈寬的判斷，本設(shè)計采用單片機內(nèi)部時鐘，為定時器T0 賦計時0.5ms 的初值。當INT0 引腳接收的信號的電平由低變高的時候，打開T0 定時器，則T0 定時器開始計時，當計滿0.5ms 時，進入T0 中斷，T0 中斷程序即對發(fā)生0.5ms 的次數(shù)進行計數(shù)，計數(shù)器加1；當INT0 引腳電平由高變低時，關(guān)閉T0 定時器停止計時，通過讀取T0 中斷中計數(shù)器的值來計算來自INT0 引腳的脈沖寬度，脈沖寬度即等于計數(shù)值乘以0.5ms。當脈沖寬度在1.5-3.5ms 范圍內(nèi)時，認為脈寬為2ms，即為二進制0 碼元；當脈沖寬度在3.5-6.5ms 范圍內(nèi)時，認為脈寬為5ms，即為二進制1 碼元；當脈沖寬度＞6.5ms 時，認為脈寬為8ms，即為位置識別標志碼元。根據(jù)脈沖寬度解碼出IRIG-B 碼中所包含的各種時間信息，并存入單片機的內(nèi)部RAM 單元中。根據(jù)年份，將天數(shù)換算成月份和日期。

除了送出絕對時標信息外，在幀參考標志上升沿出現(xiàn)時，可同時送出另外一種對時方式，即脈寬約為100ms 的秒脈沖信息。在幀參考標志上升沿出現(xiàn)時，將P1.5 置1，由于每個碼元寬度為10ms，因此當計數(shù)到十個碼元時清零P1.5，即形成脈寬為100ms 的秒脈沖。

本程序最終通過串行口中斷程序輸出解碼后的時間信息，并同時自P1.5 腳輸出脈寬為100ms 的秒脈沖信息。為了獲得準確完整的時間信息后再進行輸出，本設(shè)計在主程序開始前先進行通過一個子程序進行一次預對時，以確保時間信息的準確性。而串口中斷程序是用一個循環(huán)語句將連續(xù)單元存放的處理過的時間信息陸續(xù)送出。

本設(shè)計程序的關(guān)鍵在于如何處理當前接收的信息與輸出的信息之間的時間差問題。由于在接收到當前一秒的時間信息時，解出的時間信息已經(jīng)滯后，若不經(jīng)過加一秒處理即送出，則此時間信息剛好比B 碼標準時間滯后一秒。因此，需要將此時的時間信息進行加一秒處理，在下一秒的幀參考標志上升沿出現(xiàn)時將經(jīng)過加一秒處理過的時間信息送出去，這時送出去的時間信息與B 碼標準時間才是同步吻合的。時間信息在經(jīng)過加1 秒處理后除了秒信息發(fā)生變化外，可能還會產(chǎn)生年月日時分及一年中天數(shù)的變化，由于月份又有大月、小月、閏月之分，閏月可通過年除以4 取余的方法判斷是否為閏年，再進行相應(yīng)月份、日期的處理。因此，時間每加一秒，都要考慮到這些信息的變化；又因為時間的不可重復性，因此在編程時要充分考慮到各種可能引起時間信息變化的因素。

4 結(jié)論

本IRIG-B 解碼裝置有電路設(shè)計簡捷、性能穩(wěn)定、抗干擾能力強、體積小等優(yōu)點，而且所用CPU 芯片采用市場上通用ATMEL 公司的89C2051 單片機，具有很高的性價比。近年來，中國、西歐、美國等許多國家生產(chǎn)的電力系統(tǒng)配電設(shè)備、遙測設(shè)備等，與時間系統(tǒng)的接口大都采用IRIG-B 碼格式，因此IRIG-B 格式時間碼的應(yīng)用日趨廣泛。從本IRIG-B 時間解碼裝置中解調(diào)出來的1pps 標準秒脈沖信號，亦可為一些時統(tǒng)設(shè)備提供對時之用，因此本裝置具有較高的應(yīng)用價值。

[1]馬紅皎，胡永輝.GPS&IRIG-B 碼時間系統(tǒng)分析.電子科技，2005(7):21-25.

[2]劉浩，蘇理，丁敏.IRIG-B 碼對時在保護測控裝置中的實現(xiàn).江蘇電機工程，2007(1):48-50.

[3]雷震，魏豐.IRIG-B格式時間碼在GPS同步時鐘卡中的應(yīng)用.現(xiàn)代電子技術(shù)，2004(5):75-79.

[4]朱祖揚，薛兵.基于IRIG-A 碼輸出的超小型GPS時鐘設(shè)計.單片機與嵌入式系統(tǒng)應(yīng)用，2006(12):22-24.

[5]何立民.單片機高級教程-應(yīng)用與設(shè)計（第2版）.北京：北京航空航天大學出版社，2007.