導(dǎo)語：如何才能寫好一篇簡(jiǎn)述電子政務(wù)的特點(diǎn)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

2010年初，縣委、縣政府提出了加快電子政務(wù)建設(shè)，建立新型行政管理體制的目標(biāo)?？h里成立了以縣長(zhǎng)為組長(zhǎng)的信息化領(lǐng)導(dǎo)小組，組建了信息化辦公室。2010年9月，建成了協(xié)同辦公平臺(tái)；2011年9月建成縣、鄉(xiāng)互聯(lián)互控的視頻會(huì)議系統(tǒng)；2012年6月建成網(wǎng)上行政審批與電子監(jiān)察系統(tǒng)，全縣電子政務(wù)辦公平臺(tái)應(yīng)用正向全方位、多領(lǐng)域推進(jìn)，初步形成了網(wǎng)絡(luò)環(huán)境下的“一體化政府”，并為公眾提供“一站式服務(wù)”。電子政務(wù)建設(shè)主要具有以下幾個(gè)特點(diǎn)：

1、政府投入較少。在主干網(wǎng)建設(shè)上，實(shí)行分級(jí)負(fù)責(zé)、分級(jí)建設(shè)，承建方、中標(biāo)商、終端用戶三方利益捆綁方式，運(yùn)用此模式不僅高標(biāo)準(zhǔn)建成了主干網(wǎng)和各單位局域網(wǎng)絡(luò)，而且規(guī)避了財(cái)政投入大但建設(shè)“熱”、服務(wù)“差”、使用“冷”的常規(guī)結(jié)果。幾年來，在縣級(jí)財(cái)政投入較少的情況下，調(diào)動(dòng)電信運(yùn)營(yíng)商及各單位共投入1000多萬參加全縣信息化建設(shè)。

2、網(wǎng)絡(luò)架設(shè)質(zhì)量高。覆蓋全縣120多個(gè)單位和10個(gè)鄉(xiāng)鎮(zhèn)的電子政務(wù)主干網(wǎng)實(shí)行物理隔離的全光纖架設(shè)，統(tǒng)一出口接入互聯(lián)網(wǎng)，在出口處架設(shè)高羰路由器和防火墻。在單位接入口布設(shè)三層智能交換機(jī)，架設(shè)成一個(gè)可控、可管的高安全、智能化的高質(zhì)量網(wǎng)絡(luò)。

3、總體架構(gòu)符合全國電子政務(wù)建設(shè)要求。電子政務(wù)網(wǎng)建設(shè)注重了三個(gè)結(jié)合：即長(zhǎng)遠(yuǎn)規(guī)劃與短期建設(shè)相結(jié)合，局部與整體建設(shè)結(jié)合，協(xié)調(diào)操作性與指導(dǎo)性結(jié)合?？傮w架構(gòu)上實(shí)行“六統(tǒng)一”（統(tǒng)一一張網(wǎng)、統(tǒng)一網(wǎng)管平臺(tái)、統(tǒng)一辦公軟件、統(tǒng)一共享資源庫、統(tǒng)一公眾服務(wù)平臺(tái)、統(tǒng)一安全支撐平臺(tái)），并可與全國電子政務(wù)網(wǎng)接軌。

4、門戶網(wǎng)站集新聞宣傳及政務(wù)服務(wù)合一。在門戶網(wǎng)站建設(shè)上，將原新聞網(wǎng)站和政府門戶網(wǎng)站合并，全縣形成一張網(wǎng)，打破了常規(guī)的新聞網(wǎng)與政務(wù)網(wǎng)分離運(yùn)行的模式；在功能版塊劃分上，突出新聞宣傳，注重政務(wù)服務(wù)，形成了以新聞、政務(wù)、生活、互動(dòng)為主體框架的整體架構(gòu)。開通政務(wù)公開頻道，設(shè)置了縣委文件、政府文件、領(lǐng)導(dǎo)講話、人事任免、領(lǐng)導(dǎo)信箱、督查通報(bào)、為民辦事、招商引資、政府采購、行政審批、政務(wù)辦公、部門導(dǎo)航等欄目，初步建立起既為公眾服務(wù)、又為公務(wù)人員服務(wù)的兩套服務(wù)體系；打造“信息公開”、“政民互動(dòng)”、“在線訪談”等與公眾直接對(duì)話欄目，并成為門戶網(wǎng)站的品牌欄目。

二、應(yīng)用情況簡(jiǎn)述

縣始終以應(yīng)用為核心，以用戶需求為導(dǎo)向推進(jìn)全縣電子政務(wù)建設(shè)。目前，全縣所轄10個(gè)鄉(xiāng)鎮(zhèn)及120個(gè)縣直單位全部接入，平臺(tái)用戶達(dá)2018多個(gè)并全部配備電子鑰匙，每天登錄辦公。推廣應(yīng)用中，我們綜合利用了培訓(xùn)、宣傳、軟件本地化修改、考核督查等多種手段，確保電子政務(wù)在全縣各單位得到廣泛應(yīng)用。

在培訓(xùn)上，組織單位網(wǎng)管員、主要負(fù)責(zé)人、系統(tǒng)管理員、信息員培訓(xùn)，請(qǐng)電子政務(wù)專家授課，組織縣“四大家”文秘人員進(jìn)行實(shí)戰(zhàn)演練，組織技術(shù)員分赴各單位進(jìn)行技術(shù)指導(dǎo)等，確定專門培訓(xùn)機(jī)構(gòu)對(duì)各單位網(wǎng)上辦公人員進(jìn)行政務(wù)平臺(tái)操作培訓(xùn)等。同時(shí)，還利用電子政務(wù)QQ群進(jìn)行技術(shù)交流。

在宣傳上，充分利用《網(wǎng)》、《新聞周刊》開設(shè)電子政務(wù)專欄，有針對(duì)性介紹操作要點(diǎn)、平臺(tái)常用功能介紹專欄，擴(kuò)大推廣應(yīng)用范圍。

在技術(shù)服務(wù)上，組織專人搜集各單位在應(yīng)用過程中提出的意見和建議，并督促軟件公司對(duì)部分細(xì)節(jié)進(jìn)行修改，使軟件功能本地化，同時(shí)，開通了移動(dòng)辦公平臺(tái)和短信通知功能，盡可能為用戶提供全方位服務(wù)。

在考核督查上。縣里每年都要舉行一次縣委、政府主要領(lǐng)導(dǎo)參加的、規(guī)模較大的信息化建設(shè)會(huì)議，同時(shí)將信息化建設(shè)納入各單位綜合目標(biāo)考核，并與單位個(gè)人的經(jīng)濟(jì)利益直接掛鉤?？h信息化領(lǐng)導(dǎo)小組還定期組織專班對(duì)各單位建設(shè)應(yīng)用情況進(jìn)行逐一督查。從今年上半年督查的情況來看，全縣網(wǎng)上協(xié)同辦公和行政審批及電子監(jiān)察系統(tǒng)用戶已達(dá)2000多人，各單位辦公人員每天均進(jìn)行網(wǎng)上辦公。

三、應(yīng)用效果評(píng)價(jià)

篇2

本文通過構(gòu)建合理的電子商務(wù)系統(tǒng)編制評(píng)價(jià)體系，對(duì)溫州市18個(gè)單位39個(gè)信息化項(xiàng)目進(jìn)行實(shí)地調(diào)研，建立結(jié)構(gòu)方程模型，得出各個(gè)指標(biāo)的相對(duì)權(quán)重，計(jì)算出電子商務(wù)系統(tǒng)編制產(chǎn)出的理論值、實(shí)際值以及綜合評(píng)價(jià)值，為落實(shí)向信息技術(shù)要編制提供了數(shù)據(jù)支撐，同時(shí)提出全過程監(jiān)管的投入產(chǎn)出體系、加強(qiáng)適應(yīng)信息化發(fā)展的編制管理機(jī)制等建議與對(duì)策，并對(duì)下一步的工作提出思路。

【關(guān)鍵詞】政府信息化 編制 產(chǎn)出 評(píng)價(jià)體系結(jié)構(gòu) 方程模型

隨著政府信息化工作的穩(wěn)步推進(jìn)，電子政務(wù)建設(shè)取得了長(zhǎng)足進(jìn)展和一定的成效，特別是在工作效率和服務(wù)滿意度上得到大幅度的提升，但在行政編制總量控制上卻沒有因此受益，政府行政成本反而在不斷增加。2012年底全國公務(wù)員總數(shù)比4年前的2008年增加了49.2萬人，截止2014年全國事業(yè)編制人員更是達(dá)到3153萬之多。面對(duì)這一情況，新一屆中央編委明確提出 “向信息技術(shù)要編制”的要求，但如何客觀合理評(píng)估電子政務(wù)系統(tǒng)的效能績(jī)效、如何推進(jìn)信息技術(shù)與編制管理工作的融合，如何最大化的實(shí)現(xiàn)編制紅利，這在國內(nèi)都是空白無從借鑒。本文立足溫州市政府信息化建設(shè)工作，建立結(jié)構(gòu)方程模型對(duì)上述問題展開闡述，拋磚引玉，期望取得一定突破。

1 政府信息化績(jī)效評(píng)價(jià)體系的建模和分析

向信息化要編制的首要工作是建立客觀科學(xué)的信息化績(jī)效評(píng)價(jià)體系，信息建設(shè)和運(yùn)行過程中哪些要素和效率息息相關(guān)，相關(guān)度如何，這些都是評(píng)價(jià)體系需要確認(rèn)的問題，在此本文調(diào)研了溫州地區(qū)承擔(dān)公共服務(wù)職責(zé)，并且在2010年-2015年實(shí)施且已完成的18個(gè)單位39個(gè)信息化項(xiàng)目，采用方程結(jié)構(gòu)分析模型分析了業(yè)務(wù)人員特征、系統(tǒng)優(yōu)化進(jìn)程、系統(tǒng)應(yīng)用體驗(yàn)、技術(shù)支持運(yùn)維保障四個(gè)維度與績(jī)效產(chǎn)出的關(guān)聯(lián)度情況，并按照建立的績(jī)效評(píng)價(jià)體系將39個(gè)信息化項(xiàng)目細(xì)分成公共服務(wù)類、審批類、執(zhí)法類和其他類進(jìn)行評(píng)價(jià)，結(jié)果證明理論值和實(shí)際值曲線基本吻合，下面簡(jiǎn)述建模分析過程。

評(píng)價(jià)體系指標(biāo)權(quán)重分析：

1.1 潛在變量選取

如表1所示。

1.2 評(píng)價(jià)模型建立

設(shè)5個(gè)潛在變量的權(quán)重分別為r1、r2、r3、r4、r5，20個(gè)可測(cè)變量的權(quán)重分別為w1，w2，…，w20，20個(gè)可測(cè)變量的評(píng)價(jià)值分別為l1，l2，…，l20。

… …

理值：U理=r1A+r2B+r3C+r4D，

其中：

實(shí)際值：

綜合評(píng)價(jià)：

1.3 權(quán)重的計(jì)算

我們將效益產(chǎn)出的影響因素建立結(jié)構(gòu)方程模型，用Amos20.軟件計(jì)算路徑系數(shù)，計(jì)算結(jié)果如圖1所示，將路徑系數(shù)標(biāo)準(zhǔn)化就作為相應(yīng)指標(biāo)的權(quán)重，得到如表2所示。

由表2得出，系統(tǒng)優(yōu)化進(jìn)程與效益產(chǎn)出的相關(guān)度是最高的，達(dá)59.5%，其中尤其以信息共享模式的優(yōu)化作用最為突出，占比系數(shù)為0，377，這與我們的專家經(jīng)驗(yàn)和用戶體驗(yàn)不謀而合，從理論上驗(yàn)證了信息共享對(duì)于信息化工作效益提升的重要性。同時(shí)也很驚訝地發(fā)現(xiàn)，與學(xué)歷相比工作經(jīng)驗(yàn)反而權(quán)重更高，可見要想提高工作效益，縮減編制，要從業(yè)務(wù)人員隊(duì)伍的穩(wěn)定性方面著手。

1.4 綜合評(píng)價(jià)

考慮到不同部門信息化系統(tǒng)的業(yè)務(wù)特點(diǎn)，為了更為客觀反應(yīng)績(jī)效評(píng)價(jià)結(jié)果，課題組進(jìn)一步按照公共服務(wù)類、審批類、執(zhí)法類和其他業(yè)務(wù)類進(jìn)行分組評(píng)定，根據(jù)（1.2）中的評(píng)價(jià)公式，計(jì)算相應(yīng)的實(shí)際得分值，理論評(píng)分值，綜合評(píng)價(jià)值，從評(píng)價(jià)結(jié)果可以看出，每組的實(shí)際值和理論值的吻合度非常接近，誤差值僅為0.074如下，但若細(xì)化到每組內(nèi)部的具體單位，誤差值會(huì)浮動(dòng)專家，這個(gè)結(jié)果一方面驗(yàn)證了評(píng)價(jià)體系的科學(xué)性，另一方面也說明評(píng)價(jià)體系有一定的局限性，更加適應(yīng)于樣本量大、分布均勻的大類評(píng)價(jià)。

2 對(duì)策和建議

2.1 加強(qiáng)評(píng)價(jià)體系建設(shè)，促進(jìn)建管并重

進(jìn)一步完善政府投資信息化建設(shè)項(xiàng)目管理辦法，要在制度上建立起從投入產(chǎn)出評(píng)價(jià)體系，從立項(xiàng)、建設(shè)、驗(yàn)收到運(yùn)營(yíng)進(jìn)行全過程監(jiān)管。細(xì)化、落實(shí)項(xiàng)目監(jiān)管部門、業(yè)主單位、監(jiān)理單位全程參與項(xiàng)目建設(shè)各個(gè)環(huán)節(jié)的責(zé)任。強(qiáng)化項(xiàng)目業(yè)主的主體責(zé)任，確保項(xiàng)目建設(shè)過程中管理到位、項(xiàng)目竣工后的效益產(chǎn)出有保障，讓立項(xiàng)之初的減編目標(biāo)得以實(shí)現(xiàn)。

2.2 強(qiáng)化機(jī)制建設(shè)，促進(jìn)信息共享

在智慧城市頂層規(guī)劃的指導(dǎo)下，加快市級(jí)層面數(shù)據(jù)共享的頂層設(shè)計(jì)，制訂并出臺(tái)數(shù)據(jù)交換共享相關(guān)政策，完善數(shù)據(jù)共享機(jī)制，大力推進(jìn)數(shù)據(jù)交換共享平臺(tái)應(yīng)用，促進(jìn)信息資源逐步集中化管理，為智慧城市建設(shè)的長(zhǎng)遠(yuǎn)發(fā)展打下基礎(chǔ)。各部門要強(qiáng)化數(shù)據(jù)共享意識(shí)，以“信息共享為常態(tài)，不共享為例外”為原則，破除數(shù)據(jù)共享壁壘，積極參與信息交換，為部門、社會(huì)提供信息共享和深度信息應(yīng)用，提升信息化效益，釋放編制紅利。

2.3 加強(qiáng)適應(yīng)信息化發(fā)展的編制管理機(jī)制

機(jī)構(gòu)編制管理是運(yùn)用科學(xué)的原理、原則和方法進(jìn)行人員編制配備等管理活動(dòng)。在電子政務(wù)時(shí)代和大數(shù)據(jù)時(shí)代，編制管理更應(yīng)該借助信息化手段精確掌握各單位的職能變動(dòng)歷史情況、機(jī)構(gòu)設(shè)置變遷、人員編制的變動(dòng)，特別是每項(xiàng)職能業(yè)務(wù)的范圍擴(kuò)展情況、業(yè)務(wù)處理量的變化情況、實(shí)際業(yè)務(wù)人員數(shù)量變化等等，只有在這些基礎(chǔ)數(shù)據(jù)的積累上，才能更好地應(yīng)用科學(xué)的方法按照單位職能范圍進(jìn)行精細(xì)化管理，進(jìn)行標(biāo)準(zhǔn)核定，夯實(shí)向信息化要編制的工作基礎(chǔ)。

3 下一步工作思路

信息化系統(tǒng)種類繁多，即使按照公共服務(wù)類、執(zhí)法類、審批類等方式進(jìn)行分類，情況依然有所不同，有些系統(tǒng)應(yīng)用信息化手段后主要體現(xiàn)在業(yè)務(wù)處理量的提升上，而有些系統(tǒng)則體現(xiàn)在信息完整度和積累上，有的系統(tǒng)投入偏向于業(yè)務(wù)處理方式的改變，有的系統(tǒng)投入可能是功能的擴(kuò)展和社會(huì)效益，如交警部門，投入硬件占比大，主要在卡口設(shè)施和視頻監(jiān)控上，產(chǎn)出的效益更多的是體現(xiàn)在交通擁堵管理和安全管理上，甚至體現(xiàn)在提供車輛軌跡用于案件偵破上。因此如果真正落實(shí)人員效益測(cè)算，必須細(xì)化評(píng)估覆蓋面，一種思路在相同業(yè)務(wù)類型的部門開展精細(xì)化評(píng)估，另一思路是專門針對(duì)信息化替換人工業(yè)務(wù)處理的系統(tǒng)上進(jìn)行精細(xì)化評(píng)估和標(biāo)準(zhǔn)制定。同時(shí)開展持續(xù)性效益評(píng)價(jià)工作，在信息化項(xiàng)目立項(xiàng)之初通過類似系統(tǒng)的評(píng)價(jià)情況進(jìn)行效益估算，驗(yàn)收運(yùn)行后不間斷采集相關(guān)數(shù)據(jù)對(duì)評(píng)價(jià)體系進(jìn)行優(yōu)化和補(bǔ)充，逐步完善評(píng)價(jià)體系標(biāo)準(zhǔn)。

參考文獻(xiàn)

[1]常浩.基于結(jié)構(gòu)方程模型的快遞行業(yè)物流服務(wù)質(zhì)量評(píng)價(jià)研究[J].中國物價(jià)，2014（06）：69-72.

[2]楊浩雄.基于結(jié)構(gòu)方程的快遞企業(yè)服務(wù)滿意度評(píng)價(jià)指標(biāo)體系研究[J].物流技術(shù)，2014，33（01）：112-115.

[3]陳琦，結(jié)構(gòu)方程模型及其應(yīng)用[M].經(jīng)濟(jì)科學(xué)出版社，2004，21（02）：70-74.

篇3

2.錦州市國土資源局，遼寧錦州121000

摘要 本文簡(jiǎn)述了應(yīng)用信息化手段規(guī)范建設(shè)用地預(yù)審和規(guī)劃局部調(diào)整工作的重要性，以及系統(tǒng)建設(shè)的主要目的和功能。

關(guān)鍵詞 建設(shè)用地預(yù)審；規(guī)劃局部調(diào)整；信息系統(tǒng)

中圖分類號(hào)U412 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）61-0067-02

1系統(tǒng)建設(shè)背景

為進(jìn)一步加強(qiáng)土地管理和調(diào)控，把最嚴(yán)格的土地管理制度落到實(shí)處，包括擴(kuò)大預(yù)審覆蓋面、強(qiáng)化預(yù)審前置、加強(qiáng)實(shí)質(zhì)性審查等，加強(qiáng)對(duì)項(xiàng)目選址、占地規(guī)模、補(bǔ)充耕地、占用基本農(nóng)田等前期工作的審查，應(yīng)用信息技術(shù)，形成覆蓋省、市兩級(jí)的建設(shè)用地預(yù)審和規(guī)劃局部調(diào)整系統(tǒng)，成了擺在國土資源管理部門面前的迫切任務(wù)。

2系統(tǒng)建設(shè)的主要目的和任務(wù)

根據(jù)我省建設(shè)用地預(yù)審、規(guī)劃局部調(diào)整的業(yè)務(wù)特點(diǎn)和實(shí)際操作規(guī)程，遵照國土資源部已有的數(shù)據(jù)庫和系統(tǒng)建設(shè)標(biāo)準(zhǔn)以及我省正在編制的規(guī)劃修編數(shù)據(jù)庫規(guī)范，以提高行政辦效率、優(yōu)化審查模式、實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理為目標(biāo)，在我省國土資源電子政務(wù)平臺(tái)和網(wǎng)絡(luò)平臺(tái)的基礎(chǔ)上，結(jié)合GIS數(shù)據(jù)庫管理和空間分析等技術(shù)，構(gòu)建集網(wǎng)絡(luò)審查審批、數(shù)據(jù)備案、圖形輔助審查、決策分析為一體的用地預(yù)審和規(guī)劃局部調(diào)整系統(tǒng)，具體任務(wù)如下：

1）用地預(yù)審、規(guī)劃局部調(diào)整網(wǎng)絡(luò)審批（審查）和備案系統(tǒng)。分別建立符合用地預(yù)審和規(guī)劃修改業(yè)務(wù)，具備材料錄入、處室收件、部門會(huì)審、領(lǐng)導(dǎo)審核等功能的審批流程，實(shí)現(xiàn)部、省級(jí)審批的建設(shè)用地預(yù)審項(xiàng)目在省、市、縣三級(jí)國土資源部門間網(wǎng)絡(luò)化審查審批；建立具備數(shù)據(jù)錄入、數(shù)據(jù)驗(yàn)證等功能的數(shù)據(jù)備案功能，實(shí)現(xiàn)市、縣級(jí)（市級(jí)）審批建設(shè)用地預(yù)審項(xiàng)目和規(guī)劃修改方案數(shù)據(jù)向省廳實(shí)時(shí)的備案；2）建立圖形輔助審查系統(tǒng)，實(shí)現(xiàn)基于掃描圖件和矢量圖庫兩種方式的圖形輔助審查，提供對(duì)預(yù)審項(xiàng)目的規(guī)劃審查以及對(duì)規(guī)劃修改方案審查等功能；3）查詢統(tǒng)計(jì)分析，實(shí)現(xiàn)對(duì)申請(qǐng)、審查、審批的建設(shè)用地預(yù)審項(xiàng)目、規(guī)劃修改方案的查詢匯總分析，同時(shí)能結(jié)合規(guī)劃指標(biāo)和年度計(jì)劃指標(biāo)，對(duì)規(guī)劃的實(shí)施情況進(jìn)行實(shí)時(shí)查詢和在線分析，為各級(jí)國土資源部門提供數(shù)據(jù)服務(wù)。

3系統(tǒng)建設(shè)的主要功能

3.1市、縣審批的用地預(yù)審審批備案

屬市縣審批的項(xiàng)目，通過系統(tǒng)提供的項(xiàng)目用地預(yù)審備案管理功能，由市縣國土資源局將批后結(jié)果及時(shí)錄入到系統(tǒng)中，并將數(shù)據(jù)實(shí)時(shí)同步備案到省廳，實(shí)現(xiàn)全省建設(shè)用地預(yù)審數(shù)據(jù)的共享利用及無縫管理。

3.2省部級(jí)審批的用地預(yù)審審批

屬部、省級(jí)審批的項(xiàng)目，通過系統(tǒng)提供的項(xiàng)目用地預(yù)審流程管理功能，由市縣國土資源局組織材料，逐級(jí)上報(bào)到省國土資源廳，由省廳在網(wǎng)絡(luò)上會(huì)審、簽批或轉(zhuǎn)報(bào)國土資源部審批，實(shí)現(xiàn)我廳內(nèi)部建設(shè)項(xiàng)目用地預(yù)審流轉(zhuǎn)的無紙化辦公，提高省廳建設(shè)項(xiàng)目用地預(yù)審的工作效率。

3.3省部級(jí)審批的用地預(yù)審審批（線性工程）

等同省部級(jí)審批的用地預(yù)審審批，主要是適用于線型工程。

3.4市級(jí)批準(zhǔn)的規(guī)劃局部修改審查備案

規(guī)劃局部調(diào)整方案?jìng)浒腹芾碇赣墒屑?jí)人民政府負(fù)責(zé)審批的規(guī)劃調(diào)整方案，在市級(jí)審查審批通過后，由市縣級(jí)國土資源部門將規(guī)劃局部調(diào)整方案上報(bào)省級(jí)數(shù)據(jù)中心的備案管理。系統(tǒng)提供規(guī)劃調(diào)整結(jié)果數(shù)據(jù)的錄入、編輯、上報(bào)備案、維護(hù)等功能，實(shí)現(xiàn)規(guī)劃調(diào)整結(jié)果數(shù)據(jù)的在線備案功能，系統(tǒng)支持的規(guī)劃調(diào)整備案數(shù)據(jù)可參閱規(guī)劃局部調(diào)整管理。按屬地化管理的原則，數(shù)據(jù)由市縣國土資源部門負(fù)責(zé)錄入，系統(tǒng)權(quán)限管理方式參照項(xiàng)目用地預(yù)審備案管理系統(tǒng)進(jìn)行組織。

3.5省級(jí)批準(zhǔn)的規(guī)劃局部修改審查

省級(jí)批準(zhǔn)的規(guī)劃局部修改審查流程管理主要實(shí)現(xiàn)建設(shè)項(xiàng)目的規(guī)劃調(diào)整審查流程化管理和網(wǎng)絡(luò)審查功能。系統(tǒng)提供規(guī)劃調(diào)整材料的錄入檢查、材料報(bào)送、環(huán)節(jié)流轉(zhuǎn)、部門會(huì)簽等功能。

3.6圖形輔助審查系統(tǒng)

圖形輔助審查系統(tǒng)是建設(shè)用地預(yù)審及規(guī)劃局部調(diào)整系統(tǒng)的重要特點(diǎn)之一，主要是針對(duì)建設(shè)項(xiàng)目用地預(yù)審地塊的規(guī)劃審查、基本農(nóng)田劃補(bǔ)占用審查以及對(duì)規(guī)劃調(diào)整方案的審查，實(shí)現(xiàn)圖形化審查的功能。圖形輔助審查系統(tǒng)主要通過圖形輔助審查引擎來實(shí)現(xiàn)。在系統(tǒng)平臺(tái)上，擴(kuò)展圖形操作功能，形成圖形輔助審查引擎。通過圖形輔助審查引擎提供的定制工具完成建設(shè)用地所使用的圖形數(shù)據(jù)的入庫、圖層配置、顯示配置、數(shù)據(jù)字典、功能設(shè)置、界面配置等業(yè)務(wù)規(guī)則，將這些信息保存在數(shù)據(jù)庫中，供核心引擎調(diào)用，來完成建設(shè)用地圖形輔助審查系統(tǒng)的所有功能。

3.7綜合查詢統(tǒng)計(jì)系統(tǒng)

通過項(xiàng)目基本屬性、業(yè)務(wù)審批流程的辦理過程等對(duì)建設(shè)用地預(yù)審項(xiàng)目、規(guī)劃局部調(diào)整等相關(guān)內(nèi)容實(shí)現(xiàn)多角度、分類別的快速、便捷查詢分析功能。根據(jù)建設(shè)用地預(yù)審、規(guī)劃局部調(diào)整業(yè)務(wù)統(tǒng)計(jì)的需要，提供多條件、多屬性選擇性自動(dòng)生成統(tǒng)計(jì)報(bào)表的功能，并提供導(dǎo)出打印功能。

3.8數(shù)據(jù)交換功能

建設(shè)用地預(yù)審和規(guī)劃局部修改系統(tǒng)采用省、市兩級(jí)分布式管理方式，主要包括省級(jí)建設(shè)用地預(yù)審和規(guī)劃局部修改系統(tǒng)（省本級(jí)包括橫向流程）、市級(jí)建設(shè)用地預(yù)審和規(guī)劃局部修改系統(tǒng)（不包括市本級(jí)橫向流程）（縣級(jí)局采用遠(yuǎn)程終端方式與隸屬市級(jí)局進(jìn)行并網(wǎng)作業(yè)）。部、省、市三級(jí)要實(shí)現(xiàn)數(shù)據(jù)交換功能。

3.9報(bào)盤功能

建設(shè)用地預(yù)審和規(guī)劃局部修改系統(tǒng)能通過數(shù)據(jù)交換系統(tǒng)與國土資源部進(jìn)行數(shù)據(jù)交換，實(shí)現(xiàn)報(bào)盤功能。遼寧省建設(shè)用地預(yù)審和規(guī)劃局部調(diào)整系統(tǒng)真正意義上實(shí)現(xiàn)了把好建設(shè)用地審批的第一道閘口，并且可以科學(xué)的對(duì)規(guī)劃內(nèi)容進(jìn)行局部調(diào)整，通過信息技術(shù)的廣泛應(yīng)用，使各級(jí)國土資源管理部門能夠直接、全面、準(zhǔn)確的掌握建設(shè)用地預(yù)審信息及其動(dòng)態(tài)變化情況，形成上下聯(lián)動(dòng)、科學(xué)規(guī)范的網(wǎng)絡(luò)化國土資源管理流程，克服現(xiàn)行資源管理體制下常規(guī)作業(yè)方式難以逾越的障礙，切實(shí)解決國土資源管理工作中存在的關(guān)鍵性、迫切性問題，提升國土資源管理與服務(wù)水平。

參考文獻(xiàn)

[1]國土資源信息化標(biāo)準(zhǔn)化指南.

篇4

關(guān)鍵詞：工作流；安全模型；PKI；PMI；審計(jì)安全

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)14-3288-04

Research on Workflow Security Mode Based on PKI/PMI

KANG Zhi-qian, XU Zhi-qi

(College of Computer Science and Information, Guizhou University, Guiyang 550025, China)

Abstract: In consideration of simple workflow security model, there are some loopholes as simple authentication, inflexible authorization and absent audit. Based on the intensive research of existing technology of PKI/PMI and the security needs of workflow, an enhanced workflow security model is proposed. This model introduces strong factor authentication by utilizing PKI, T&RBAC access control by utilizing PMI and by utilizing digital signature and DTS to ensure non repudiation and existing. It satisfies the needs of security audit. Comparing to simple workflow security model, practice shows this enhanced model improves the safety and flexibility significantly. It provides a reliable solution for Data Privacy, Data Integrity, data Availability and Non Repudiation. The risks from illegal and unauthorized operation are reduced greatly.

Key words: workflow; security model; PKI; PMI; audit

隨著我國信息化建設(shè)突飛猛進(jìn)的發(fā)展，特別是電子政務(wù)的廣泛實(shí)施，出現(xiàn)了越來越多的基于工作流的應(yīng)用系統(tǒng)。例如：辦公自動(dòng)化系統(tǒng)、協(xié)同系統(tǒng)等。它們有效地提高了信息共享的水平和人們的工作效率。工作流就是通過將工作活動(dòng)分解成定義良好的任務(wù)（Task）、角色（Role）、規(guī)則（Policy）和過程（Process）來完成執(zhí)行和監(jiān)控，達(dá)到提高生產(chǎn)組織水平和工作效率的目的。隨著工作流管理系統(tǒng)的發(fā)展，安全問題也已經(jīng)成為工作流管理系統(tǒng)領(lǐng)域非常重要的研究課題。一般說來，工作流管理系統(tǒng)橫跨多個(gè)部門，與現(xiàn)有的異構(gòu)的應(yīng)用系統(tǒng)互相交錯(cuò)，特別是基于網(wǎng)絡(luò)的分布式工作流管理系統(tǒng)部署的更快，地域的跨度更大。因此，如何保證工作流管理系統(tǒng)的安全就成為突出問題。當(dāng)前計(jì)算機(jī)管理信息系統(tǒng)和辦公自動(dòng)化系統(tǒng)的核心就是工作流，只有工作流的安全得到了保證，基于其的上層應(yīng)用系統(tǒng)才有安全保障。

根據(jù)工作流管理聯(lián)盟（Workflow Management Coalition，WfMC）制定的Workflow Security Considerations - White Paper（工作流安全白皮書），當(dāng)前工作流中存在的基本安全問題包括[1]：認(rèn)證（Authentication）、授權(quán)（Authorization）、訪問控制（Access Control）、審計(jì)（Audit）、數(shù)據(jù)機(jī)密性（Data Privacy）、數(shù)據(jù)完整性（Data Integrity）、不可否認(rèn)性（Non Repudiation）、安全管理（Security Management & Administration）等。公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)和權(quán)限管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，PMI)是信息安全領(lǐng)域成熟的網(wǎng)絡(luò)安全技術(shù)平臺(tái)，通過與工作流的融合，可有效提高工作流的安全性。也只有從底層保障了安全，基于工作流引擎的上層系統(tǒng)的安全才有堅(jiān)實(shí)的基礎(chǔ)。該文就是在PKI/PMI的安全平臺(tái)上，利用兩者提供的安全，在分析經(jīng)典工作流安全模型的基礎(chǔ)上，設(shè)計(jì)一種基于PKI/PMI的安全工作流模型，滿足各種基于工作流的應(yīng)用系統(tǒng)對(duì)安全的需求。

1 PKI/PMI概述

公鑰基礎(chǔ)設(shè)施[2]（PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密、解密和數(shù)字簽名等密碼學(xué)服務(wù)以及所必需的密鑰和證書管理體系。在X.509標(biāo)準(zhǔn)中，PKI被定義為支持公開密鑰管理并能支持認(rèn)證、加密、完整性和可追究的基礎(chǔ)設(shè)施。PKI主要包括四個(gè)部分：數(shù)字證書（X.509標(biāo)準(zhǔn)）、CA操作協(xié)議、CA管理協(xié)議以及政策制定。PKI將用戶的身份信息及密鑰對(duì)保存在數(shù)字證書中。當(dāng)前與PKI定義相關(guān)的標(biāo)準(zhǔn)有：ITU-T的X.500標(biāo)準(zhǔn)，X.509標(biāo)準(zhǔn)，PKCS系列標(biāo)準(zhǔn)；IETF的PKCS系列標(biāo)準(zhǔn)等。

權(quán)限管理基礎(chǔ)設(shè)施（PMI）依賴于公鑰基礎(chǔ)設(shè)施的支持，任務(wù)旨在提供訪問控制和權(quán)限管理，提供用戶身份到應(yīng)用授權(quán)的映射功能，實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的，與具體應(yīng)用系統(tǒng)和管理無關(guān)的訪問控制機(jī)制，并能極大地簡(jiǎn)化應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)與維護(hù)。PMI授權(quán)技術(shù)的基本思想是以資源管理為核心，將對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)去管理，即由資源的所有者來進(jìn)行訪問控制管理。PMI將用戶的屬性（權(quán)限）信息保存在屬性證書（Attribute Certificate，AC）中。

2 經(jīng)典工作流安全模型

美國的John A，Miller等發(fā)表的Security in Web-Based Workflow Management Systems一文中，在工作流管理系統(tǒng)基本安全問題及其解決方案的基礎(chǔ)上提出了經(jīng)典工作流安全模型[3]（如圖1所示）。

該安全模型主要由登錄，安全，任務(wù)管理器，安全數(shù)據(jù)庫和應(yīng)用數(shù)據(jù)庫等部分有機(jī)組成，其中最重要的部分是安全和安全數(shù)據(jù)庫[4]。在安全的幫助下，通過訪問安全數(shù)據(jù)庫完成對(duì)用戶身份的驗(yàn)證和角色的授權(quán)。安全模型將工作流管理系統(tǒng)中的信息加密、數(shù)字簽名和基于角色的訪問控制（Role-Based Access Control，RBAC）等基本安全問題及其解決方案有效的融合在一起。安全模型的訪問控制策略采用了RBAC。整個(gè)登錄流程簡(jiǎn)述如下：首先，工作流用戶以一定的角色登錄（用戶在登錄時(shí)可以選擇一個(gè)角色，安全會(huì)驗(yàn)證用戶是否有權(quán)限選擇這個(gè)角色）。接著，用戶可以執(zhí)行角色所授權(quán)的任務(wù)，任務(wù)管理器會(huì)通過安全來驗(yàn)證用戶的身份和角色的權(quán)限。在所有的驗(yàn)證過程中為了確保信息傳輸?shù)陌踩?，都將使用安全通信通道（例如采用SSL/TLS協(xié)議，VPN等）。

2.1 經(jīng)典工作流安全模型組件介紹

2.1.1 登錄

登錄[5]幫助用戶完成登錄、選擇角色等任務(wù)，并把用戶提交的信息安全傳輸給安全并負(fù)責(zé)與用戶交互等功能。

2.1.2 安全和安全數(shù)據(jù)庫

安全和安全數(shù)據(jù)庫是工作流管理系統(tǒng)安全模型的重要組成部分。登錄和任務(wù)管理器都通過安全來驗(yàn)證用戶的身份和權(quán)限，所有對(duì)安全數(shù)據(jù)庫的查詢也都要通過安全執(zhí)行。安全數(shù)據(jù)庫主要有以下兩個(gè)主要功能：

1) 實(shí)現(xiàn)訪問控制―RBAC

安全數(shù)據(jù)庫通過實(shí)體―關(guān)系模型來實(shí)現(xiàn)RBAC[6]。其主要實(shí)體包括：有效的用戶集合，工作流類型，角色，任務(wù)，目標(biāo)數(shù)據(jù)等。安全數(shù)據(jù)庫主要解決了以下問題：用戶是否可以以某角色登錄；用戶是否可以在登錄角色下執(zhí)行某任務(wù)；用戶是否可以在執(zhí)行任務(wù)時(shí)存取目標(biāo)數(shù)據(jù)。

2) 密鑰管理

安全數(shù)據(jù)庫的另一個(gè)功能就是對(duì)用戶密鑰的管理。沒有嚴(yán)格的、完善的密鑰管理機(jī)制來管理密鑰的生存周期和保證密鑰的安全性，工作流管理系統(tǒng)的安全性就無從談起。工作流管理系統(tǒng)的管理者必須制定出適當(dāng)?shù)陌踩珯C(jī)制來管理和保存密鑰。

2.1.3 任務(wù)管理器

在安全模型中，任務(wù)管理器用來檢查用戶是否有權(quán)限執(zhí)行特定的任務(wù)。

1) 驗(yàn)證用戶：安全數(shù)據(jù)庫中存有合法用戶的密鑰，安全通過驗(yàn)證密鑰可以驗(yàn)證用戶的合法性。

2) 實(shí)現(xiàn)角色到任務(wù)的映射：通過角色，查找到可授權(quán)用戶執(zhí)行的任務(wù)列表。

3) 驗(yàn)證角色：安全通過驗(yàn)證數(shù)字簽名可以驗(yàn)證角色的合法性。

2.2 經(jīng)典工作流安全模型存在的缺陷

1) 身份假冒

在經(jīng)典工作流安全模型中，系統(tǒng)登錄和認(rèn)證方式使用的都是簡(jiǎn)單的弱(單)因子認(rèn)證（用戶名+口令）的方式，當(dāng)受到攻擊的時(shí)候，口令很容易被竊取，安全性不夠。

2) 信息泄漏

雖然在經(jīng)典工作流安全模型中，建議使用安全協(xié)議搭建安全通訊信道。但在實(shí)際應(yīng)用中，尤其是企業(yè)內(nèi)部的應(yīng)用中，由于各種原因，往往忽視內(nèi)部信息傳輸安全，極易產(chǎn)生信息泄露[7]。

3) 完整性破壞和行為抵賴

由于在經(jīng)典安全工作流模型中缺少審計(jì)安全模塊，因此無法保證信息在傳輸途中的完整性。并且由于缺少有力的憑據(jù)，當(dāng)產(chǎn)生行為抵賴時(shí)，很難做出雙方都信任的仲裁。

4) 安全數(shù)據(jù)庫自身的缺陷

由于安全是用戶與安全數(shù)據(jù)庫交互的唯一途徑，且安全數(shù)據(jù)庫具有模塊化的特點(diǎn)，使得安全數(shù)據(jù)庫的實(shí)現(xiàn)是可以替換的。但對(duì)于分布式和基于Web的工作流管理系統(tǒng)，由于其網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，業(yè)務(wù)應(yīng)用較多，用戶分布分散，導(dǎo)致了以安全數(shù)據(jù)庫為基礎(chǔ)的系統(tǒng)認(rèn)證和授權(quán)管理方法的復(fù)雜和混亂。尤其當(dāng)數(shù)據(jù)庫中存在大量用戶時(shí)，將加重安全數(shù)據(jù)庫管理員的負(fù)擔(dān)，極易產(chǎn)生疏漏。

5) 傳統(tǒng)RBAC存在的問題

RBAC模型的基本思想是將不同的訪問權(quán)限分配給不同的角色，用戶通過飾演不同的角色來獲得角色所擁有的訪問權(quán)限。但在工作流系統(tǒng)中，授權(quán)又具有其自身的一些特點(diǎn)：授權(quán)應(yīng)當(dāng)與當(dāng)前執(zhí)行的任務(wù)同步，即任務(wù)開始時(shí)，授予用戶完成當(dāng)前任務(wù)的最小權(quán)限，任務(wù)結(jié)束時(shí)，權(quán)限被收回；授予權(quán)限和回收權(quán)限均由事件驅(qū)動(dòng)。一個(gè)業(yè)務(wù)流程中的任務(wù)往往依賴于該流程中之前業(yè)務(wù)的執(zhí)行結(jié)果，相應(yīng)的，該任務(wù)的授權(quán)也依賴于在它之前執(zhí)行任務(wù)的結(jié)果，授權(quán)控制管理必須吻合事件發(fā)生的先后順序；授權(quán)控制管理是上下文敏感的，且對(duì)執(zhí)行過程的歷史記錄有依賴關(guān)系；授權(quán)具有時(shí)效性，授予的權(quán)限僅在規(guī)定的時(shí)間段內(nèi)有效，超出規(guī)定時(shí)間，權(quán)限自動(dòng)被收回。在工作流中，任務(wù)概念越突出，對(duì)訪問控制的要求就越高。因此，傳統(tǒng)的RBAC訪問控制模型在工作流系統(tǒng)中使用時(shí)，就暴露了兩個(gè)明顯的缺陷：數(shù)據(jù)冗余且動(dòng)態(tài)適應(yīng)性差和最小權(quán)限約束假象。

3 基于PKI/PMI的工作流安全模型

改進(jìn)的工作流安全模型將PKI/PMI技術(shù)應(yīng)用于經(jīng)典的工作流安全模型之上，將安全數(shù)據(jù)庫替換為PKI/PMI模塊，并增加審計(jì)安全模塊。改進(jìn)的重點(diǎn)放在身份認(rèn)證及授權(quán)的流程、訪問控制策略和審計(jì)安全的擴(kuò)展上（如圖2所示）。

3.1 基于PKI/PMI的工作流安全模型身份認(rèn)證和授權(quán)流程

該模型不具體描述PKI及PMI的實(shí)現(xiàn)，并假設(shè)用戶已經(jīng)擁有PKI為其生成的私鑰―公鑰證書（Public Key Certificate，PKC）對(duì)，和PMI為其生成的對(duì)應(yīng)于PKC的屬性證書（AC）。工作流系統(tǒng)用戶身份驗(yàn)證和授權(quán)的流程如下（如圖3所示）。

1) 用戶輸入“用戶名”、“密碼”并連同公鑰證書（PKC）一起通過登錄提交給安全；

2) 安全通過PKI平臺(tái)驗(yàn)證用戶身份；

3) 當(dāng)用戶身份驗(yàn)證通過后，用戶再次提交屬性證書給安全；

4) 安全通過PMI平臺(tái)驗(yàn)證用戶的屬性證書；

5) 當(dāng)用戶屬性（權(quán)限）驗(yàn)證通過后，PMI平臺(tái)提取屬性證書中的角色（權(quán)限）信息；

6) 工作流任務(wù)管理器根據(jù)當(dāng)前的任務(wù)策略，并結(jié)合從PMI授權(quán)策略中獲取與角色對(duì)應(yīng)的任務(wù)和權(quán)限集，賦予用戶相應(yīng)的權(quán)限；

7) 用戶身份驗(yàn)證和授權(quán)完成。

3.2 改進(jìn)的PMI授權(quán)策略―T&RBAC

傳統(tǒng)的RBAC訪問控制模型的策略基于角色，可以用映射組織結(jié)構(gòu)的方式來闡述安全策略，一般包括五個(gè)基本元素：用戶（User）、角色（Role）、目標(biāo)（Object）、操作（Operation）、權(quán)限（Permission）。而T&RBAC則在原有的基礎(chǔ)上增加了任務(wù)（Task）元素，更加適合于工作流的環(huán)境（如圖4所示）。

圖4T&RABC模型

PMI訪問控制策略在工作流中具有重要的作用，傳統(tǒng)的基于PMI的RBAC訪問策略主要包括以下子策略[8]：

1) 主體策略：主體是具有同一權(quán)限（角色）用戶的集合。對(duì)用戶權(quán)限的分配、修改，可以通過對(duì)主體進(jìn)行相應(yīng)的操作來實(shí)現(xiàn)。

2) 角色分配策略：角色分配用來表示一個(gè)主體可以分配的角色?？梢员硎緸橐粋€(gè)二元組（主體，角色列表）。

3) 目標(biāo)訪問策略：目標(biāo)訪問策略用來確定一個(gè)角色具有哪些權(quán)限?？梢员硎緸橐粋€(gè)二元組（角色，權(quán)限列表），其中的權(quán)限又可以表示為一個(gè)二元組（對(duì)象，操作列表）。

4) 目標(biāo)策略：是為防止系統(tǒng)內(nèi)非授權(quán)用戶訪問而制定的策略。

5) 動(dòng)作策略：動(dòng)作是用戶可以對(duì)對(duì)象進(jìn)行的操作的集合。

6) 角色層次策略：角色層次定義了不同角色之間的相互關(guān)系。

7) 信任源策略：SOA（Source of Attribute）策略定義了分配角色的信任源點(diǎn)，即簽發(fā)屬性證書的可信機(jī)構(gòu)。

而使用T&RBAC擴(kuò)展的PMI訪問策略在原有目標(biāo)訪問策略的基礎(chǔ)上，又增加了角色任務(wù)策略和任務(wù)權(quán)限策略[9]：

8) 角色任務(wù)策略：用來確定一個(gè)角色可以具有的任務(wù)集。可以表示為一個(gè)二元組（角色，任務(wù)列表）。

9) 任務(wù)權(quán)限策略：用來確定一個(gè)任務(wù)可以具有的權(quán)限集。可以表示為一個(gè)二元組（任務(wù)，權(quán)限列表）。

3.3 審計(jì)安全流程

相對(duì)于經(jīng)典工作流安全模型，改進(jìn)的工作流安全模型增加了審計(jì)安全模塊，其目的在于保證信息的完整性、存在性，提供不可否認(rèn)，并記錄用戶的行為、操作等（例如：登錄系統(tǒng)，批示文件），以及其他與安全相關(guān)的事件。審計(jì)安全模塊會(huì)將這些事件自動(dòng)寫入審計(jì)安全數(shù)據(jù)庫，滿足系統(tǒng)審計(jì)安全的需要。審計(jì)安全的流程如下（如圖5所示）。

1) 用戶進(jìn)行某項(xiàng)操作，首先向系統(tǒng)提交操作事件的ID（即事件的數(shù)字摘要HASH）；

2) PKI身份驗(yàn)證平臺(tái)和PMI權(quán)限驗(yàn)證平臺(tái)驗(yàn)證用戶身份及用戶是否有此操作權(quán)限；

3) 若驗(yàn)證成功，系統(tǒng)自動(dòng)將從時(shí)間戳服務(wù)中心（Time Stamp Agent，TSA）得到的數(shù)字時(shí)間戳（Digital Time Stamp，DTS）和事件ID返回給用戶；

4) 用戶通過PKI平臺(tái)對(duì)系統(tǒng)返回的數(shù)據(jù)進(jìn)行數(shù)字簽名；

5) 若數(shù)字簽名成功且驗(yàn)證準(zhǔn)確無誤后，系統(tǒng)將數(shù)字簽名寫入審計(jì)安全數(shù)據(jù)庫；

6) 用戶操作成功完成。

4 改進(jìn)的工作流安全模型的性能分析

4.1 安全性分析

改進(jìn)的工作流安全模型，通過融合PKI/PMI技術(shù)，增加審計(jì)安全模塊，在現(xiàn)有工作流安全模型的基礎(chǔ)上，有效的提高了工作流的安全性[10]。并實(shí)現(xiàn)以下安全功能：

1) 通過基于數(shù)字證書的強(qiáng)因子認(rèn)證方法來驗(yàn)證用戶身份；

2) 采用加密技術(shù)來保證信息傳輸過程中的機(jī)密性；

3) 通過對(duì)消息摘要的驗(yàn)證來提供信息的完整性保護(hù)；

4) 采用數(shù)字簽名來保證操作的不可否認(rèn)性，滿足審計(jì)安全的要求；

5) 采用時(shí)間戳服務(wù)，保證信息的時(shí)效性和存在性。

4.2 靈活性分析

采用改進(jìn)的T&RBAC模式的PMI模型，可以最大限度的彌補(bǔ)DAC（Discretionary Access Control，自主訪問控制）模式、ACL（Access Control List，訪問控制列表）模式、MAC（Mandatory Access Control，強(qiáng)制訪問控制）模式和RBAC等模式的缺陷，并實(shí)現(xiàn)以下訪問控制目標(biāo)：

1) 通過基于PKI的PMI應(yīng)用，有效防止工作流系統(tǒng)中非授權(quán)操作；

2) 采用T&RBAC策略，增強(qiáng)了工作流系統(tǒng)授權(quán)的靈活性和安全性；

3) 使用PMI的屬性證書，有效減輕了管理員分配/修改用戶權(quán)限的工作量，減少人為出錯(cuò)的幾率。

4.3 公正性、權(quán)威性分析

通過增加基于PKI平臺(tái)的審計(jì)安全模塊，為改進(jìn)的工作流安全模型提供了不可否認(rèn)和時(shí)間戳服務(wù)，彌補(bǔ)了經(jīng)典工作流安全模型缺少可使雙方都信任的具有公正性、權(quán)威性憑據(jù)的缺陷，滿足了審計(jì)安全的要求，并實(shí)現(xiàn)了以下審計(jì)安全功能：

1) 通過雙方都信任的權(quán)威認(rèn)證機(jī)構(gòu)CA（Certificate Authority）發(fā)放數(shù)字證書，保證了信任源頭的安全和權(quán)威；

2) 采用數(shù)字簽名的方式來保證用戶操作的不可否認(rèn)性，有利于出現(xiàn)爭(zhēng)端時(shí)權(quán)威機(jī)構(gòu)進(jìn)行仲裁；

3) 采用數(shù)字時(shí)間戳服務(wù)，保證了操作和信息的時(shí)效性和存在性。

5 結(jié)束語

該文提出的基于PKI/PMI的工作流安全模型，將現(xiàn)有的PKI/PMI技術(shù)同經(jīng)典工作流安全模型有機(jī)的融合和改進(jìn)，滿足了工作流安全模型對(duì)授權(quán)，鑒權(quán)，訪問控制策略和責(zé)任審計(jì)的要求。并提供了鑒別，認(rèn)證，授權(quán)，訪問控制，完整性，機(jī)密性，不可否認(rèn)性，可用性，審計(jì)安全和責(zé)任性等多種安全服務(wù)。最大程度上降低了信息泄露，完整性破壞，業(yè)務(wù)拒絕，非法使用，假冒，旁路控制，授權(quán)侵犯等安全威脅。

工作流的安全與否直接關(guān)系到整個(gè)系統(tǒng)的安全。因此，構(gòu)建安全的工作流就顯得十分重要。也只有在安全工作流基礎(chǔ)上建立的各種各樣的應(yīng)用系統(tǒng)，才可以保證資料信息和辦公業(yè)務(wù)動(dòng)態(tài)信息在各部門之間共享及交換的安全，這對(duì)于提高電子政務(wù)、電子商務(wù)的效率，保障信息安全，實(shí)現(xiàn)信息共享，提高系統(tǒng)管理水平具有重要意義。

參考文獻(xiàn)：

[1] WFMC-TC-0021019.Workflow Management Coalition Work-flow Security Considerations White Paper[EB/OL]./.

[2] 馮登國譯.CARLISLE Adams Steve Lloyd.公開密鑰基礎(chǔ)設(shè)施概念、標(biāo)準(zhǔn)和實(shí)施[M].北京:人民郵電出版社,2001.

[3] John A,Miller,Mei Fan,Amit P.Sheth,et al.Security in Web-Based Workflow Management Systems[EB/OL].LSDIS.cs.uga.edu/.

[4] 李濤.基于PMI的工作流管理系統(tǒng)安全模型和授權(quán)策略研究[D].青島:中國海洋大學(xué),2007.

[5] Ravi S,Sandhu,Edward J Coyne,Hal L.Feinsten,et al.Role-Based Access Control Models[M].IEEE Computer Volume 29 Num2,2000.

[6] 謝冬青,冷健.PKI原理與技術(shù)[M].北京:清華大學(xué)出版社,2004.

[7] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].北京:電子工業(yè)出版社,2008.

[8] WU Li-jun,SU Kai-le,YANG Zhi-hui.A Role-Based PMI Security Model for E-Government[J].Wuhan University Journal of Natural Sciences,2005(10).

[9] 鄧集波,洪帆.基于任務(wù)的訪問控制模型[J].軟件學(xué)報(bào),2003,14(1):76-82.

篇5

關(guān)鍵詞：無線公鑰基礎(chǔ)設(shè)施身份機(jī)密3G認(rèn)證機(jī)構(gòu)

1緒論

1.1第三代移動(dòng)通信簡(jiǎn)介及安全問題

移動(dòng)通信經(jīng)歷了三個(gè)發(fā)展階段:

第一代移動(dòng)通信系統(tǒng)出現(xiàn)于20世紀(jì)70年代后期，是一種模擬移動(dòng)通信系統(tǒng)，以模擬電路單元為基本模塊實(shí)現(xiàn)話音通信。主要制式有美國的AMPS,北歐的NMT、英國的TACS和日本的HCMTS等。

第二代移動(dòng)通信系統(tǒng)(2G)出現(xiàn)于20世紀(jì)80年代后期，以GSM,DAMPS和PDC為代表的第二代數(shù)字移動(dòng)通信系統(tǒng)。

第三代的概念早在1985年就由ITU(國際電信聯(lián)盟)提出了，當(dāng)時(shí)稱為FPLMTS(未來公眾陸地移動(dòng)通信系統(tǒng))。1996年更名為IMT-2000(國際移動(dòng)通信一2000)。前兩代系統(tǒng)主要面向話音傳輸，與之相比，三代的主要特征是提供數(shù)據(jù)、多媒體業(yè)務(wù)，語音只是數(shù)據(jù)業(yè)務(wù)的一個(gè)應(yīng)用。第三代移動(dòng)通信系統(tǒng)(3G)的目標(biāo)是:世界范圍內(nèi)設(shè)計(jì)上的高度一致性;與固定網(wǎng)絡(luò)各種業(yè)務(wù)的相互兼容;高服務(wù)質(zhì)量;全球范圍內(nèi)使用的小終端;具有全球漫游能力:支持多媒體功能及廣泛業(yè)務(wù)的終端。為了實(shí)現(xiàn)上述目標(biāo)，對(duì)第三代無線傳輸技術(shù)(RTT)提出了支持高速多媒體業(yè)務(wù)〔高速移動(dòng)環(huán)境:144Kbps，室外步行環(huán)境:384Kbps,室內(nèi)環(huán)境:2Mbps)、比現(xiàn)有系統(tǒng)有更高的頻譜效率等基本要求。近幾年通信的飛速發(fā)展，使得現(xiàn)存的第二代通信系統(tǒng)已經(jīng)無法滿足現(xiàn)有的人們的需要，主要表現(xiàn)為：

(1)巨大的移動(dòng)通信市場(chǎng)和目前頻譜資源的有限性之間的矛盾日益突出，不能滿足工業(yè)發(fā)達(dá)國家和一部分第三世界國家(如中國、印度)大中城市手機(jī)用戶高密度要求。

(2)數(shù)據(jù)網(wǎng)絡(luò)和多媒體通信逐步和無線通信的可移動(dòng)性相結(jié)合，因此移動(dòng)多媒體或移動(dòng)IP迅速發(fā)展起來，但第二代速率過低(9.6kb/s或57kb/s)與目前IP技術(shù)與多媒體業(yè)務(wù)要求距離甚遠(yuǎn)，不能滿足政府、先進(jìn)企業(yè)及新興“白領(lǐng)”階層對(duì)高速數(shù)據(jù)量的要求。

(3)不能實(shí)現(xiàn)全球覆蓋無縫連接。

(4)通信業(yè)務(wù)的安全保障不足。

隨著技術(shù)的發(fā)展，安全問題也越來越受到大家的關(guān)注，出于質(zhì)量和效益的問題，移動(dòng)通信的電勃具有較強(qiáng)的穿透力向各個(gè)方向傳播，易于被截取，或竊聽，其可靠性與安全性都有待加強(qiáng)。二十世紀(jì)八十年代的模擬通信便深受其害，由于基本上沒有采用什么安全技術(shù)，通信時(shí)的話音很容易被竊聽，盡管二代在安全性方面提出了較大的改進(jìn)，采用數(shù)字系統(tǒng)，提出了身份認(rèn)證，數(shù)據(jù)加密這一概念，系統(tǒng)考慮了一些安全因素，但絕大部分的安全規(guī)范是從運(yùn)營(yíng)商的角度設(shè)計(jì)的：防止欺騙和網(wǎng)絡(luò)誤用。但是依然存在許多安全缺陷。如單向認(rèn)證，即只考慮了網(wǎng)絡(luò)對(duì)于用戶的認(rèn)證而忽視了用戶對(duì)于網(wǎng)絡(luò)的識(shí)別，這種處理方法不能提供可信的環(huán)境，不能給移動(dòng)用戶足夠的信心開展電子商務(wù)和交換敏感信息。而且隨著解密技術(shù)的發(fā)展，計(jì)算能力的提高，加密算法A5，已經(jīng)證明能在短時(shí)間內(nèi)破解。技術(shù)的成熟和移動(dòng)數(shù)據(jù)業(yè)務(wù)的出現(xiàn)，用戶比以前更加關(guān)注移動(dòng)通信的安全問題。因此，無線PKI的應(yīng)用是解決安全問題的關(guān)鍵所在。

1.2PKI簡(jiǎn)介

首先要介紹一下首先要介紹一下PKI（PublicKeyInfrastructure）譯為公鑰基礎(chǔ)設(shè)施。簡(jiǎn)單地說，PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。公鑰體制是目前應(yīng)用最廣泛的一種加密體制，在這一體制中，加密密鑰與解密密鑰各不相同，發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息，接收者再利用自己專有的私鑰進(jìn)行解密。這種方式既保證了信息的機(jī)密性，又能保證信息具有不可抵賴性。目前，公鑰體制廣泛地用于CA認(rèn)證、數(shù)字簽名和密鑰交換等領(lǐng)域。

在3G系統(tǒng)中，PKI的應(yīng)用主要是WPKI，即無線PKI的應(yīng)用。主要是用來進(jìn)行網(wǎng)絡(luò)中的實(shí)體認(rèn)證，來取得網(wǎng)絡(luò)服務(wù)商與用戶之間的彼此信任。除此之外，無線PKI還將用于數(shù)據(jù)加密，完整性保護(hù)，用戶身份的機(jī)密性等多個(gè)方面。

1.3本文主要結(jié)構(gòu)及內(nèi)容提要

本文在介紹現(xiàn)有3G接入網(wǎng)安全技術(shù)的前提下，提出了新的基于公鑰體制下的實(shí)現(xiàn)用戶身份機(jī)密性的方案。第一章緒論簡(jiǎn)要介紹了移動(dòng)通信的發(fā)展及面臨的安全問題，以及PKI的引入。第二章介紹了無線PKI的一些基本知識(shí)和相關(guān)的操作。第三章給出了現(xiàn)有的3G系統(tǒng)的接入架構(gòu)以及已有的安全措施。第四章為公鑰體制下的認(rèn)證方案。第五章在介紹了已有的一些身份機(jī)密方案以及其不足之后，給出了新的基于WPKI環(huán)境下的使用公鑰體制來實(shí)現(xiàn)的保護(hù)用戶身份機(jī)密的新方案。

本文最后對(duì)新的方案進(jìn)行了總結(jié)。提出了相應(yīng)的一些技術(shù)要求。

2無線PKI

2.1概述

在無線環(huán)境中的應(yīng)用是PKI未來的發(fā)展趨勢(shì)，它的證書和身份認(rèn)證是確保在開放的無線網(wǎng)絡(luò)中安全通信的必備條件。然而無線通信網(wǎng)絡(luò)獨(dú)特的特點(diǎn)使無線安全問題更趨復(fù)雜。如消息以無線電波的方式傳播,在一定的區(qū)域內(nèi)都能很容易被截取和接收到；網(wǎng)絡(luò)接入點(diǎn)多，使任何人都能很容易地接入并對(duì)網(wǎng)絡(luò)發(fā)起攻擊；無線通信網(wǎng)絡(luò)是一個(gè)包括無線和有線兩部分的端到端的系統(tǒng)傳統(tǒng)的有線領(lǐng)域安全問題將依然影響到無線領(lǐng)域，傳統(tǒng)安全領(lǐng)域中抑制威脅的常用工具，在無線領(lǐng)域不一定有效。同時(shí)無線通信環(huán)境還存在著許多其他的限制條件，包括無線帶寬方面，目前大部分的無線通信網(wǎng)絡(luò)只提供有限的數(shù)據(jù)傳輸率；軟件應(yīng)用于開發(fā)手機(jī)、PDA等移動(dòng)通信設(shè)備的開發(fā)環(huán)境、工具還很有限，相應(yīng)的應(yīng)用程序也很少；硬件方面，終端市場(chǎng)中各廠家的產(chǎn)品差異極大，生命周期短更新速度快；同時(shí)移動(dòng)終端設(shè)備計(jì)算能力有限，內(nèi)存和存儲(chǔ)容量不大，顯示屏幕較小，輸入方法復(fù)雜等。所有這些特點(diǎn)及局限使PKI在無線環(huán)境中應(yīng)用非常困難。為了最大限度的解決這些困難，目前已公布了WPKI草案，其內(nèi)容涉及WPKI的運(yùn)作方式、WPKI如何與現(xiàn)行的PKI服務(wù)相結(jié)合等。簡(jiǎn)單的說，把PKI改造為適合無線環(huán)境，就是WPKI。

無線PKI是對(duì)傳統(tǒng)IETF基于X.509公鑰基礎(chǔ)設(shè)施（PKI）的擴(kuò)展和優(yōu)化，其在協(xié)議，證書格式，密碼算法等方面進(jìn)行了一些改進(jìn)，可以適應(yīng)無線網(wǎng)絡(luò)帶寬窄和無線設(shè)備計(jì)算能力低的特點(diǎn)，用來確保通信雙方的身份認(rèn)證、保密性、完整性和不可否認(rèn)性。WPKI目前主要應(yīng)用于WAP,所以又可稱作WAPPKI。WPKI以WAP網(wǎng)關(guān)為橋梁,分別提供終端到網(wǎng)關(guān)、網(wǎng)關(guān)到服務(wù)器的安全連接,以確保整個(gè)通信過程的安全?？梢哉fWAP將無線網(wǎng)絡(luò)與Internet聯(lián)系得更為緊密,使得WPKI進(jìn)一步發(fā)展和應(yīng)用成為可能。

2.2WPKI體系

WPKI標(biāo)準(zhǔn)提供了WTLSClass2，WTLSClass3，SignText，3種功能模式[1]。

WTLSClass2模式：WTLSClass2提供了移動(dòng)終端對(duì)無線網(wǎng)關(guān)的認(rèn)證能力，具體的操作過程如下：（1）無線網(wǎng)關(guān)申請(qǐng)證書

無線網(wǎng)關(guān)生成密鑰對(duì)，向PKIPortal提出證書的申請(qǐng)；

PKIPortal確認(rèn)網(wǎng)關(guān)的身份后，將消息轉(zhuǎn)發(fā)給CA；

CA簽發(fā)證書給網(wǎng)關(guān)。

（2）移動(dòng)終端與應(yīng)用服務(wù)器之間的安全模式1（兩階段安全）；

移動(dòng)終端與無線網(wǎng)關(guān)之間建立WTLS會(huì)話；

無線網(wǎng)關(guān)與應(yīng)用服務(wù)器之間建立SSL/TLS。

（3）移動(dòng)終端與應(yīng)用服務(wù)器之間的安全模式2：（端到端的安全模式）

服務(wù)器申請(qǐng)證書

移動(dòng)終端與應(yīng)用服務(wù)器之間建立WTLS會(huì)話，無線網(wǎng)關(guān)只起路由器的作用，移動(dòng)終端與應(yīng)用服務(wù)器之間的通信對(duì)無線網(wǎng)關(guān)是不透明的。

WPKI的數(shù)字簽名（SignText）模式：SignText模式是移動(dòng)終端對(duì)一條消息進(jìn)行數(shù)字簽名后用WMLScript發(fā)送給服務(wù)器的過程，具體操作過程如下：

（1）移動(dòng)終端通過網(wǎng)關(guān)向RA申請(qǐng)證書；

（2）RA對(duì)移動(dòng)終端進(jìn)行身份確認(rèn)后將請(qǐng)求消息轉(zhuǎn)發(fā)給CA；

（3）CA生成用戶證書并把證書的URL傳送給用戶；

（4）CA將用戶的公鑰證書存放在證書數(shù)據(jù)庫中；

（5）用戶在客戶端對(duì)一條消息進(jìn)行簽名，然后將這條消息連同對(duì)它的簽名，以及用戶證書的URL發(fā)給服務(wù)器；

（6）服務(wù)器通過用戶證書的URL從數(shù)據(jù)庫中找出用戶的證書來驗(yàn)證用戶。

WTLSClass3模式：WTLSClass3是一種認(rèn)證模式，從PKI角度來說,WTLSClass3認(rèn)證和上述的SignText形式幾乎一樣的,差別是在第5步中,SignText模型是使用應(yīng)用層簽名的方式來完成驗(yàn)證,即用戶必須對(duì)服務(wù)器端發(fā)來的可讀消息進(jìn)行確認(rèn),并附上自己的數(shù)字簽名,然后送回到服務(wù)器驗(yàn)證,其中使用的公私鑰對(duì)必須是專門用來進(jìn)行數(shù)字簽名的密鑰,而服務(wù)器端發(fā)來的消息也必須是可讀的;而WTLSClass3使用客戶端認(rèn)證密鑰對(duì)簽名來自WTLS服務(wù)器的“挑戰(zhàn)口令”,所謂“挑戰(zhàn)口令”是指由服務(wù)器發(fā)送給客戶端的一些隨機(jī)數(shù),需要由客戶端對(duì)其進(jìn)行簽名來達(dá)到認(rèn)證客戶端的目的,這些隨機(jī)數(shù)并不一定是可讀信息。簡(jiǎn)單的說其主要的差異是客戶利用自己的私鑰對(duì)來自服務(wù)器或無線網(wǎng)關(guān)的請(qǐng)求進(jìn)行簽名。

2.3WTLS

WTLS（無線傳輸層安全協(xié)議）是無線應(yīng)用協(xié)議中保證通信安全的一個(gè)重要組成部分，它實(shí)際上源自TCP/IP體系的TLS/SSL協(xié)議，是一個(gè)可選層，主要在無線終端內(nèi)的微型瀏覽器和無線應(yīng)用協(xié)議網(wǎng)關(guān)之間使用數(shù)字證書創(chuàng)建一個(gè)安全的秘密的通信“管道”。WTLS在那些通過低帶寬網(wǎng)絡(luò)通信的有限資源的手持設(shè)備中提供認(rèn)證和機(jī)密性保護(hù)。WTLS使用163比特的橢圓曲線加密，強(qiáng)度相當(dāng)于2048比特RSA加密，但比RSA的計(jì)算開銷少，這對(duì)于移動(dòng)終端來說是一個(gè)非常重要的因素。在WAP結(jié)構(gòu)中，TLS或SSL是在Web服務(wù)器和網(wǎng)關(guān)服務(wù)器之間使用的。網(wǎng)關(guān)將TLS和SSL信息轉(zhuǎn)換成WTLS，WTLS在建立連接時(shí)需要較少的計(jì)算開銷，這樣就可以使無線網(wǎng)絡(luò)在傳輸數(shù)據(jù)時(shí)更有效。

WTLS在實(shí)現(xiàn)上要考慮以下幾個(gè)方面：

（1）公鑰加密的速度較慢，對(duì)低帶寬的無線網(wǎng)絡(luò)尤其突出。

（2）密鑰交換的方法是基于公開密鑰體制技術(shù)的。

（3）建立無線認(rèn)證中心（WCA），用以支持身份識(shí)別及數(shù)字證書等。

（4）使用消息鑒別碼（MAC）來保證數(shù)據(jù)的完整性

2.4WPKI的操作

WAP環(huán)境中標(biāo)準(zhǔn)化的PKI操作涉及到如何處理可信CA信息、服務(wù)器WTLS證書和客戶端證書的注冊(cè)。

2.4.1可信CA信息的處理

對(duì)于需要安全通信的雙方來說,PKI是保障雙方相互認(rèn)證、通信的保密性、完整性和不可否認(rèn)性的基礎(chǔ),而CA又是PKI的基礎(chǔ),若CA不可信,則相應(yīng)的證書、認(rèn)證、密鑰都失去效用,因此驗(yàn)證CA可信性是整個(gè)安全通信的第一步?？尚臗A信息指用來驗(yàn)證CA頒發(fā)的自簽名公鑰證書所需的信息。所需信息包括公鑰和名字,但也可能包括其他信息。為了保障完整性,可信CA信息以自簽名方式提供下載,而可信CA信息的認(rèn)證則通過帶外哈希或簽名的方式來完成。帶外哈希方式是指CA的信息通過網(wǎng)絡(luò)下載到終端設(shè)備,然后通過帶外的方式接收該信息的哈希值,接著設(shè)備自己計(jì)算收到信息的哈希值,再和帶外方式獲得的哈希值進(jìn)行比較,如果符合,則接受CA信息。簽名方式是指CA用自己的私鑰對(duì)待驗(yàn)證的可信CA信息進(jìn)行簽名,或者由公認(rèn)的可信權(quán)威對(duì)其進(jìn)行簽名,如世界公認(rèn)的權(quán)威機(jī)構(gòu)加拿大Verisign公司進(jìn)行的簽名,接收端通過簽名來驗(yàn)證相應(yīng)的CA信息,最后決定是否通過認(rèn)證。

2.4.2服務(wù)器WTLS證書的處理

無線終端要和內(nèi)容服務(wù)器進(jìn)行安全通信就必須取得該服務(wù)器的證書,該證書是由終端信任的CA所頒發(fā)的,因?yàn)闊o線網(wǎng)絡(luò)的帶寬限制以及終端處理能力和內(nèi)存有限,就有必要使用一種新的簡(jiǎn)化了的證書,以利于無線傳播和終端操作,這就是WTLS證書,可用于WTLS安全通信。它是在原有X.509證書基礎(chǔ)上進(jìn)行優(yōu)化,保留關(guān)鍵字段,滿足無線環(huán)境的需求。由于性能、帶寬等因素,無線環(huán)境下的檢查證書撤銷和有線環(huán)境下有著極大的不同,傳統(tǒng)的CRL方法不可行,而OCSP的方法增加了信息往返、驗(yàn)證步驟和附加的客戶信任點(diǎn)。為了克服這些問題,引入了短期有效WTLS證書的概念,WTLS服務(wù)器可能實(shí)現(xiàn)短期有效證書模型作為撤銷的方法。使用這種方法,服務(wù)器在一個(gè)長(zhǎng)期信任階段被認(rèn)證一次。然而,認(rèn)證機(jī)構(gòu)并非頒發(fā)一年有效證書,而是在這年的每一天,給公鑰頒發(fā)一個(gè)新的短期有效證書,比如四十八個(gè)小時(shí)。服務(wù)器或網(wǎng)關(guān)每天接收短期有效證書并由這個(gè)證書建立當(dāng)日客戶會(huì)話。如果認(rèn)證中心希望撤銷服務(wù)器或網(wǎng)關(guān),很簡(jiǎn)單地它停止頒發(fā)以后的短期有效證書。WTLS服務(wù)器不再被授予當(dāng)前有效證書,因此會(huì)終止服務(wù)器端的認(rèn)證,這樣便實(shí)現(xiàn)了撤銷的方法。

2.5WPKI要素

PKI中包含認(rèn)證中心（CertificateAuthorities，CA）、注冊(cè)中心（RegistrantAuthorities，RA）、終端實(shí)體（EndEntities，EE）三個(gè)基本要素。WPKI也包含這三個(gè)基本要素，除此之外還有一個(gè)要素是證書入口，或叫做PKI入口。證書入口是一條通向RA或CA的鏈接，記錄在移動(dòng)終端也就是EE中，用來在WAP網(wǎng)關(guān)和EE之間建立安全連接。

PKI證書是PKI實(shí)現(xiàn)的一個(gè)重要組成部分，為了在3G中應(yīng)用PKI，就必須對(duì)傳統(tǒng)的PKI證書的格式進(jìn)行調(diào)整，以適應(yīng)3G的無線環(huán)境的要求。WAP定義了一種WPKI證書的格式[2]，下面對(duì)其簡(jiǎn)單的加以說明。

（1）版本號(hào)（Version）：定義了證書的版本號(hào)，證書中如果不包含任何擴(kuò)展，則版本應(yīng)該設(shè)為1（缺省值）。

（2）證書擴(kuò)展（Extension）：對(duì)證書標(biāo)準(zhǔn)部分里沒有涉及到的部分進(jìn)行說明。

（3）頒發(fā)者名稱（Issuer）：證書應(yīng)用程序必須要能夠識(shí)別X.509v3中列出的所有特定名字屬性。

（4）序列號(hào)（SerialNumber）：移動(dòng)用戶證書的SN長(zhǎng)度小于八個(gè)字節(jié)，服務(wù)器證書的SN小于二十個(gè)字節(jié)。

（5）簽名算法（Signature）：定義的簽名算法有兩種：SHA1WithRSAEncryption和EcdsaWithSHA1,首選后者。

（6）主體姓名（Subject）：和頒發(fā)者字段一樣，證書應(yīng)用程序必須能夠識(shí)別X.509v3中列出的所有特定名字屬性。

（7）主體公鑰信息（SubjectPublicKeyInfo）：這里定義的公鑰類型為兩種：RSA和ECC。

由于每張證書都有一個(gè)有效期限，根CA的證書快要到期的時(shí)候，保存在移動(dòng)終端里的根CA證書要更新，也就是說要通過無線網(wǎng)絡(luò)下載新的根CA證書，如何保證該過程是安全的，WPKI規(guī)定了兩個(gè)方案。第一個(gè)方案允許用戶終端通過不安全信道直接下載新的根CA證書，但是需要通過輸入一個(gè)30位的十進(jìn)制數(shù)來“激活”該CA。顯而易見，這種方法增加了用戶的負(fù)擔(dān)。根CA的證書唯一代表了根CA的身份，根CA換證書的過程相當(dāng)于換了一個(gè)身份，那么第二個(gè)方案就可以理解為快到期的CA介紹一個(gè)新CA接替它使命的過程。CA用快到期的根密鑰對(duì)新的CA證書簽名，發(fā)送給用戶。這種方式不需要用戶做額外的操作，方便了用戶，但是必然存在一段兩張證書同時(shí)有效的時(shí)間，增加了后臺(tái)處理的工作量。

在PKI規(guī)范X.509和PKIX中都定義了證書撤銷列表（CertificateRevocationList，CRL），用來公布被撤銷了的證書。如前面所說，WPKI中規(guī)定了“短時(shí)網(wǎng)關(guān)證書”（Short-LivedGatewayCertificates），使得用戶根本不需要查詢網(wǎng)關(guān)的證書狀態(tài)。WAP網(wǎng)關(guān)生成一個(gè)密鑰對(duì)和一個(gè)證書請(qǐng)求，將證書請(qǐng)求發(fā)送給CA，CA確認(rèn)之后給網(wǎng)關(guān)頒發(fā)一個(gè)網(wǎng)關(guān)證書，其實(shí)該證書的有效期限可以比較長(zhǎng)（如一年），也可以比較短（如兩天），但是網(wǎng)關(guān)證書的有效期限都是很短的，所以叫做“短時(shí)網(wǎng)關(guān)證書”。證書有效期限越短，證書出問題的可能性越小，也就是說證書被撤銷的可能性越小，如果短到只有一,兩天，甚至幾個(gè)小時(shí)，就可以把網(wǎng)關(guān)證書的CRL省掉。那么用戶證書的有效期限是不是也很短呢？不是的。用戶證書的狀態(tài)是由網(wǎng)關(guān)來查詢的，網(wǎng)關(guān)的計(jì)算能力和存儲(chǔ)能力是很強(qiáng)大的，完全可以本地存儲(chǔ)用戶證書的CRL或者進(jìn)行在線證書狀態(tài)查詢。

由于存儲(chǔ)能力有限，而且一個(gè)移動(dòng)終端有可能有幾張證書適用于不同的場(chǎng)合，證書過期之后還要進(jìn)行更新，因此移動(dòng)終端本地存儲(chǔ)自己的證書并不是一個(gè)很好的主意。如果把證書存儲(chǔ)在其他地方，需要的時(shí)候下載到終端又會(huì)對(duì)帶寬提出過高的要求。因此WPKI規(guī)定本地存儲(chǔ)的僅僅是證書的URL。證書保存在RA，網(wǎng)關(guān)需要與終端建立安全連接的時(shí)候，需要自己到RA取出用戶的證書驗(yàn)證。

2.6WPKI與PKI

PKI的主要功能是在私有或者是共有環(huán)境中提供可信任且有效的密鑰管理和認(rèn)證。WPKI基本上是無線環(huán)境下PKI應(yīng)用的擴(kuò)展。兩者的目的都是在所應(yīng)用的環(huán)境中提供安全的服務(wù)，其相同點(diǎn)如下：

（1）公開的、可信任的第三方：認(rèn)證機(jī)構(gòu)CA；

（2）審批中心RA；

（3）每個(gè)實(shí)體占有一對(duì)密鑰；

（4）證書是公鑰的載體，是密鑰管理手段；

（5）功能：身份認(rèn)證、保密性、數(shù)據(jù)完整性。

由于應(yīng)用環(huán)境的不同，即無線環(huán)境下移動(dòng)終端的能力和通信模式使得兩者產(chǎn)生表2.1所示的不同[3]：

33G網(wǎng)絡(luò)架構(gòu)及安全技術(shù)

3.1無線接入網(wǎng)架構(gòu)

3G是個(gè)人通信發(fā)展的新階段，引入IP技術(shù)，支持語音和非語音服務(wù)。其是在第二代網(wǎng)絡(luò)的基礎(chǔ)上發(fā)展起來的。3G系統(tǒng)由CN（核心網(wǎng)），UTRAN（無線接入網(wǎng)）和UE（用戶裝置）三部分組成。CN與UTRAN的接口定義為Iu接口，UTRAN與UE的接口定義為Uu接口[4]如圖3.1所示。

Uu接口和Iu接口協(xié)議分為兩部分：用戶平面協(xié)議和控制平面協(xié)議。

UTRAN包括許多通過Iu接口連接到CN的RNS（無線網(wǎng)絡(luò)子系統(tǒng)）。每個(gè)RNS包括一個(gè)RNC（無線網(wǎng)絡(luò)控制器）和多個(gè)NodeB。NodeB通過Iub接口連接到RNC上，它支持FDD模式、TDD模式或雙模。NodeB包括一個(gè)或多個(gè)小區(qū)。

RNC負(fù)責(zé)決定UE的切換，具有合并/分離功能，用以支持在不同的NodeB之間的宏分集。

UTRAN內(nèi)部，RNSs中的RNCs能通過Iur接換信息，Iu接口和Iur接口是邏輯接口。Iur接口可以是RNC之間物理的直接相連或通過適當(dāng)?shù)膫鬏斁W(wǎng)絡(luò)實(shí)現(xiàn)。UTRAN結(jié)構(gòu)如圖3.2所示

在此簡(jiǎn)述一下UTRAN的功能：

（1）系統(tǒng)接入控制功能:接入控制；擁塞控制；系統(tǒng)信息廣播；無線信道加密和解密。

（2）移動(dòng):切換；SRNS重定位。

（3）無線資源管理和控制:無線環(huán)境調(diào)查；無線承載控制；無線協(xié)議功能等。

3.23G網(wǎng)絡(luò)安全結(jié)構(gòu)

3G系統(tǒng)是在2G的基礎(chǔ)上發(fā)展起來的，認(rèn)識(shí)到GSM/GPRS的安全缺陷，3GPP采取了公開透明的設(shè)計(jì)方法推進(jìn)公眾對(duì)移動(dòng)數(shù)據(jù)業(yè)務(wù)的信心。其安全設(shè)計(jì)基于以下假設(shè)：

被動(dòng)和主動(dòng)的攻擊是非常嚴(yán)重的威脅；終端設(shè)備不能被信任；網(wǎng)間和網(wǎng)內(nèi)信令協(xié)議（七號(hào)信令和IP）并不安全；能夠應(yīng)付欺騙用戶的偽基站攻擊。

3G系統(tǒng)的安全設(shè)計(jì)遵循以下原則：

所有在GSM或其他2G系統(tǒng)中認(rèn)為是必須或應(yīng)增強(qiáng)的安全特征在3G系統(tǒng)中都必須被保留，它們包括：無線接口加密；無線接口用戶識(shí)別安全；無線接口用戶身份保密；用戶接入服務(wù)認(rèn)證；在歸屬環(huán)境下對(duì)服務(wù)網(wǎng)絡(luò)的信任進(jìn)行最小化；網(wǎng)絡(luò)運(yùn)營(yíng)商管理可移動(dòng)的硬件安全模塊SIM，其安全功能獨(dú)立于終端。

3G將改進(jìn)2G系統(tǒng)存在和潛在的弱安全功能。

對(duì)3G系統(tǒng)將提供的新的業(yè)務(wù)提供安全保護(hù)。

3G系統(tǒng)除了支持傳統(tǒng)的語音和數(shù)據(jù)業(yè)務(wù)外，還提供交互式和分布式業(yè)務(wù)。全新的業(yè)務(wù)環(huán)境體現(xiàn)了全新的業(yè)務(wù)特征，同時(shí)也要求系統(tǒng)提供對(duì)應(yīng)的安全特征。這些新的業(yè)務(wù)特征和安全特征如下：不同的服務(wù)商提供多種新業(yè)務(wù)及不同業(yè)務(wù)的并發(fā)支持，因此3G安全特征必須綜合考慮多業(yè)務(wù)情況下的風(fēng)險(xiǎn)性；在3G系統(tǒng)中占主要地位的是非話音業(yè)務(wù)，對(duì)安全性的要求更高；用戶對(duì)自己的服務(wù)數(shù)據(jù)控制能力增加，終端應(yīng)用能力也大為增加；3G系統(tǒng)中的新安全特征必須抗擊對(duì)用戶的主動(dòng)攻擊。針對(duì)3G業(yè)務(wù)特點(diǎn)提供新的安全特征和安全服務(wù)。

基于上述原則，3G系統(tǒng)安全應(yīng)達(dá)到如下目標(biāo)：確保歸屬網(wǎng)絡(luò)與拜訪網(wǎng)絡(luò)提供的資源與服務(wù)得到足夠保護(hù)，以防濫用或盜用；確保所有用戶產(chǎn)生的或與用戶相關(guān)的信息得到足夠的保護(hù)，以防濫用或盜用；確保標(biāo)準(zhǔn)安全特性全球兼容能力；確保提供給用戶與運(yùn)營(yíng)商的安全保護(hù)水平高于已有固定或移動(dòng)網(wǎng)絡(luò)；確保安全特征的標(biāo)準(zhǔn)化，保證不同服務(wù)網(wǎng)絡(luò)間的漫游與互操作能力；確保3G安全能力的擴(kuò)展性，從而可以根據(jù)新的威脅不斷改進(jìn)。

3G網(wǎng)絡(luò)是一個(gè)規(guī)模龐大的，技術(shù)復(fù)雜的系統(tǒng)，為此必須提出一個(gè)通用的安全體系，用來指導(dǎo)3G網(wǎng)絡(luò)的建設(shè)、管理與應(yīng)用。3G系統(tǒng)安全結(jié)構(gòu)分為三層，定義了五組安全特性[6]（如圖3.3）。

（1）網(wǎng)絡(luò)接入安全：主要抗擊針對(duì)無線鏈路的攻擊，包括用戶身份保密、用戶位置保密、用戶行蹤保密、實(shí)體身份認(rèn)證、加密密鑰分發(fā)、用戶數(shù)據(jù)與信令數(shù)據(jù)的保密及消息認(rèn)證；

（2）網(wǎng)絡(luò)域安全：主要保證核心網(wǎng)絡(luò)實(shí)體間安全交換數(shù)據(jù)，包括網(wǎng)絡(luò)實(shí)體間身份認(rèn)證、數(shù)據(jù)加密、消息認(rèn)證以及對(duì)欺騙信息的收集；

（3）用戶域安全：主要保證對(duì)移動(dòng)臺(tái)的安全接入，包括用戶與智能卡間的認(rèn)證、智能卡與終端間的認(rèn)證及鏈路的保護(hù)；

（4）應(yīng)用域安全：用來在用戶和服務(wù)提供商應(yīng)用程序間提供安全交換信息的一組安全特征，主要包括應(yīng)用實(shí)體間的身份認(rèn)證、應(yīng)用數(shù)據(jù)重放攻擊的檢測(cè)、應(yīng)用數(shù)據(jù)完整性保護(hù)、接收確認(rèn)等。

由于在第三代移動(dòng)通信系統(tǒng)中，終端設(shè)備和服務(wù)網(wǎng)間的接口是最容易被攻擊的點(diǎn)，所以如何實(shí)現(xiàn)更加可靠的網(wǎng)絡(luò)接入安全能力，是3G系統(tǒng)安全方案中至關(guān)重要的一個(gè)問題。網(wǎng)絡(luò)安全接入機(jī)制應(yīng)該包括如下：用戶身份保密、接入鏈路數(shù)據(jù)的保密性和完整性保護(hù)機(jī)制以及認(rèn)證和密鑰分配機(jī)制。

3G安全功能結(jié)構(gòu)如圖3.4[7]，橫向代表安全措施，縱向代表相應(yīng)的網(wǎng)絡(luò)實(shí)體。安全措施分為五類：（1）EUIC（增強(qiáng)用戶身份保密）通過HE/AuC（本地環(huán)境/認(rèn)證中心）對(duì)USIM（用戶業(yè)務(wù)識(shí)別模塊）身份信息進(jìn)行認(rèn)證；（2）UIC（用戶與服務(wù)網(wǎng)絡(luò)的相互身份認(rèn)證）；（3）AKA用于USIM、VLR（訪問位置寄存器）、HLR（歸屬位置寄存器）間的雙向認(rèn)證及密鑰分配；（4）數(shù)據(jù)加密（DC），即UE（用戶終端）與RNC（無線網(wǎng)絡(luò)控制器）間信息的加密；（5）數(shù)據(jù)完整性（DI），即對(duì)信令消息的完整性、時(shí)效性等進(jìn)行認(rèn)證。

3.3安全接入機(jī)制

3.3.1身份保密

用戶身份是重要而又敏感的信息，在通信中必須保證這些信息的機(jī)密性。身份保密的目的是保護(hù)用戶的隱私，避免IMSI(永久用戶標(biāo)識(shí))信息的泄漏。具體相關(guān)技術(shù)將在第五章詳細(xì)介紹。

3.3.2數(shù)據(jù)保密性及完整性保護(hù)

網(wǎng)絡(luò)接入部分的數(shù)據(jù)保密性主要提供四個(gè)安全特性：加密算法協(xié)商、加密密鑰協(xié)商、用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密。其中加密密鑰協(xié)商在AKA中完成；加密算法協(xié)商由用戶與服務(wù)網(wǎng)絡(luò)間的安全模式協(xié)商機(jī)制完成，使得ME和SN之間能夠安全的協(xié)商它們隨后將使用的算法。用戶數(shù)據(jù)加密和信令數(shù)據(jù)加密用以保證數(shù)據(jù)在無線接入接口上不可能被竊聽。

在2G中的加密是基于基站,消息在網(wǎng)絡(luò)內(nèi)是用明文傳送,這顯然是很不安全的。3G加強(qiáng)了消息在網(wǎng)絡(luò)內(nèi)的傳送安全,采用了以交換設(shè)備為核心的安全機(jī)制,加密鏈路延伸到交換設(shè)備,并提供基于端到端的全網(wǎng)范圍內(nèi)加密。

在無線接入鏈路上仍然采用分組密碼流對(duì)原始數(shù)據(jù)加密，采用了f8算法（如圖3.5）。f8算法對(duì)用戶數(shù)據(jù)和信令消息數(shù)據(jù)進(jìn)行加密保護(hù)，在UE和RNC（無線網(wǎng)絡(luò)控制器）中的RLC（無線鏈路控制）/MAC（媒體介入控制）層實(shí)施，以保證用戶信息及信令消息不被竊聽，進(jìn)而能夠保證用戶信息及信令消息難以被有效更改。

加密算法的輸入?yún)?shù)除了加密密鑰CK（128bit）外，還包括加密序列號(hào)COUNT-C(由短計(jì)數(shù)器和計(jì)數(shù)器超幀號(hào)HFN組成32bit)、無線承載標(biāo)識(shí)BEARER（5bit）、上下行鏈路指示DIRECTION（方向位，其長(zhǎng)度為1bit?！?”表示UE至RNC，“1”表示RNC至UE）和密鑰流長(zhǎng)度指示LENGTH（16bit）。掩碼生成算法f8基于一種新的塊加密，這個(gè)塊算法把64bit的輸入轉(zhuǎn)變成64bit的輸出，轉(zhuǎn)換由128bit的密鑰f8來控制。如果f8未知，就不能從輸入有效地計(jì)算輸出或根據(jù)輸出計(jì)算輸入。原則上，如果滿足下面的條件之一就可以進(jìn)行轉(zhuǎn)換：（1）試所有可能的密鑰，直到找到正確地密鑰；（2）以某種方式收集一個(gè)巨大的表，包含所有264的輸入輸出對(duì)。

但實(shí)際上，這兩種方法都是不可行的。終端使用加密指示符來表示用戶是否使用加密，這樣提供了加密機(jī)制的可見性。

網(wǎng)絡(luò)接入部分的數(shù)據(jù)完整性主要提供三個(gè)安全特性：完整性算法協(xié)商，完整性密鑰協(xié)商，數(shù)據(jù)和信令的完整性。其中完整性密鑰協(xié)商在AKA中完成；完整性算法協(xié)商由用戶與服務(wù)網(wǎng)間的安全模式協(xié)商機(jī)制完成。3G系統(tǒng)預(yù)留了16種UIA的可選范圍。目前只用到一種Kasumi算法。

該安全特性是3G系統(tǒng)新增的。它使系統(tǒng)對(duì)入侵者的主動(dòng)攻擊有更強(qiáng)的防御能力。與UEA協(xié)商功能的作用類似，UIA的協(xié)商增加了系統(tǒng)的靈活性，為3G系統(tǒng)的全球漫游打下基礎(chǔ)。

UMTS的完整性保護(hù)機(jī)制是：發(fā)送方（UE或RNC）將要傳送的數(shù)據(jù)用完整性密鑰IK經(jīng)過f9算法產(chǎn)生的消息認(rèn)證碼MAC（MessageAuthenticationCode），附加在發(fā)出的消息后面。接受方（RNC或UE）收到消息后，用同樣的方法計(jì)算得到XMAC。接收方把收到的MAC和XMAC相比較，如果兩者相等，就說明收到的消息是完整的，在傳輸?shù)倪^程中沒有被篡改。f9算法的使用如圖3.6

該算法的輸入?yún)?shù)除了完整性密鑰IK（128bit）外，還包括完整性序列號(hào)COUNT-I(32bit，由RRC序列號(hào)SN和RRC超幀號(hào)HFN組成)、發(fā)送的消息MESSAGE、DIRECTION（方向位，其長(zhǎng)度為1bit?！?”表示UE至RNC，“1”表示RNC至UE）、MAC-I（用于消息完整性保護(hù)的消息認(rèn)證碼）和隨機(jī)數(shù)FRESH（為網(wǎng)絡(luò)方產(chǎn)生的隨機(jī)數(shù)并傳輸給UE，長(zhǎng)度為32bit，用以防止重傳攻擊）。我們需要對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，以防止惡意為COUNT-I選擇初始值。實(shí)際上，HFN的最重要的部分存儲(chǔ)在連接間的USIM中。攻擊者可能偽裝成USIM并給網(wǎng)絡(luò)發(fā)送一個(gè)假值以強(qiáng)迫初始值變得非常小。這時(shí)，如果沒有執(zhí)行認(rèn)證過程就使用舊的IK，就會(huì)為攻擊者在只缺少FRESH的情況下利用以前記錄的MAC-I值對(duì)以前連接的RRC信令消息進(jìn)行再次發(fā)送提供了可能。通過使用FRESH，RNC可以防止這類重放攻擊。當(dāng)FRESH在一個(gè)單獨(dú)的連接中保持不變時(shí)，不斷遞增的COUNT-I又可以防止基于同一連接中已經(jīng)記錄的消息的重放攻擊。

認(rèn)證與密鑰協(xié)商涉及到實(shí)體認(rèn)證將在下一章節(jié)詳細(xì)進(jìn)行介紹。

3.43G系統(tǒng)有待研究的問題

3G系統(tǒng)的新特點(diǎn)在于提供高帶寬和更好的安全特性。從3G網(wǎng)絡(luò)接入部分的安全結(jié)構(gòu)中可以看出，3G系統(tǒng)的變化很大。無論從提供的服務(wù)種類上，還是從服務(wù)質(zhì)量上都有很大改觀。但是3G系統(tǒng)仍存在一些開放問題有待繼續(xù)研究。這里主要討論一下幾個(gè)方面的內(nèi)容：數(shù)據(jù)保密和數(shù)據(jù)完整性。

數(shù)據(jù)保密性方面的工作已經(jīng)做了很多，但是仍有下列問題沒有解決：一是密文生成的同步問題；二是在一個(gè)UTRAN（UMTS陸地?zé)o線接入網(wǎng)）的不同核心網(wǎng)絡(luò)之間加密和加密密鑰的選擇問題；三是如何決定從哪個(gè)消息開始加密。

數(shù)據(jù)完整性方面的主要問題是：如何確定哪些消息需要保護(hù)；如何在UTRAN結(jié)構(gòu)中集成數(shù)據(jù)完整

4實(shí)體認(rèn)證

4.1PKI中的實(shí)體認(rèn)證

PKI安全平臺(tái)能夠提供智能化的信任與有效授權(quán)服務(wù)。其中，信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”的問題，PKI是在網(wǎng)絡(luò)上建立信任體系最行之有效的技術(shù)。授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”的問題。

在現(xiàn)實(shí)生活中，認(rèn)證采用的方式通常是兩個(gè)人事前進(jìn)行協(xié)商，確定一個(gè)秘密，然后，依據(jù)這個(gè)秘密進(jìn)行相互認(rèn)證。隨著網(wǎng)絡(luò)的擴(kuò)大和用戶的增加，事前協(xié)商秘密會(huì)變得非常復(fù)雜，特別是在電子政務(wù)中，經(jīng)常會(huì)有新聘用和退休的情況。另外，在大規(guī)模的網(wǎng)絡(luò)中，兩兩進(jìn)行協(xié)商幾乎是不可能的。透過一個(gè)密鑰管理中心來協(xié)調(diào)也會(huì)有很大的困難，而且當(dāng)網(wǎng)絡(luò)規(guī)模巨大時(shí)，密鑰管理中心甚至有可能成為網(wǎng)絡(luò)通信的瓶頸。

PKI通過證書進(jìn)行認(rèn)證，認(rèn)證時(shí)對(duì)方知道你就是你，但卻無法知道你為什么是你。在這里，證書是一個(gè)可信的第三方證明，通過它，通信雙方可以安全地進(jìn)行互相認(rèn)證，而不用擔(dān)心對(duì)方是假冒的。

CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，業(yè)界人士通常稱它為認(rèn)證中心。從廣義上講，認(rèn)證中心還應(yīng)該包括證書申請(qǐng)注冊(cè)機(jī)構(gòu)RA（RegistrationAuthority），它是數(shù)字證書的申請(qǐng)注冊(cè)、證書簽發(fā)和管理機(jī)構(gòu)。

CA的主要職責(zé)包括：驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份。對(duì)證書申請(qǐng)者的信用度、申請(qǐng)證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查，確保證書與身份綁定的正確性。

確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量和安全性。為了防止被破譯，CA用于簽名的私鑰長(zhǎng)度必須足夠長(zhǎng)并且私鑰必須由硬件卡產(chǎn)生。

管理證書信息資料。管理證書序號(hào)和CA標(biāo)識(shí)，確保證書主體標(biāo)識(shí)的惟一性，防止證書主體名字的重復(fù)。在證書使用中確定并檢查證書的有效期，保證不使用過期或已作廢的證書，確保網(wǎng)上交易的安全。和維護(hù)作廢證書列表（CRL），因某種原因證書要作廢，就必須將其作為“黑名單”在證書作廢列表中，以供交易時(shí)在線查詢，防止交易風(fēng)險(xiǎn)。對(duì)已簽發(fā)證書的使用全過程進(jìn)行監(jiān)視跟蹤，作全程日志記錄，以備發(fā)生交易爭(zhēng)端時(shí)，提供公正依據(jù)，參與仲裁。

由此可見，CA是保證電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等交易的權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)。在現(xiàn)有文獻(xiàn)中出現(xiàn)過認(rèn)證這個(gè)名詞，但是未見有對(duì)其進(jìn)行明確功能劃分的確切定義。實(shí)際的安全系統(tǒng)中，幾乎所有的安全需要都要通過對(duì)用戶或?qū)嶓w授權(quán)、對(duì)內(nèi)容的真實(shí)完整性鑒別才能有效實(shí)現(xiàn)，而要實(shí)現(xiàn)對(duì)用戶或?qū)嶓w的授權(quán)就必須實(shí)現(xiàn)用戶或?qū)嶓w的認(rèn)證。涉及到系統(tǒng)的用戶或?qū)嶓w通常對(duì)數(shù)據(jù)、信息或?qū)嶓w具有閱讀或操作或按權(quán)限訪問、傳播和使用控制的權(quán)利。顧名思義，認(rèn)證是一個(gè)實(shí)體對(duì)另一個(gè)實(shí)體具有的所有權(quán)或操作權(quán)等權(quán)利的鑒別。實(shí)體認(rèn)證是由參與某次通信連接或會(huì)話的遠(yuǎn)端的一方提交的，驗(yàn)證實(shí)體本身的身份。一些主要的認(rèn)證技術(shù)[8]分別是：口令，認(rèn)證令牌，智能卡和生物特征。不同的認(rèn)證技術(shù)對(duì)應(yīng)不同的安全級(jí)別、不同的使用難度、效益和成本。

如通過口令進(jìn)行身份認(rèn)證，一種可靠的方法是，不要在認(rèn)證系統(tǒng)中存儲(chǔ)真正的口令，而是對(duì)口令進(jìn)行一定的運(yùn)算再把值存儲(chǔ)在系統(tǒng)中。當(dāng)用戶訪問系統(tǒng)時(shí)，系統(tǒng)對(duì)口令進(jìn)行相同的運(yùn)算來確認(rèn)是否與存儲(chǔ)的值是否相同，通過這種方法，可以避免明文口令在系統(tǒng)中的存儲(chǔ)。以免以前存放明文口令的認(rèn)證數(shù)據(jù)庫成為攻擊者的主要目標(biāo)，畢竟數(shù)據(jù)庫的拷貝意味著將有許多用戶的口令被竊取。通過這種改進(jìn)的口令系統(tǒng)，可以防止明文口令在輸入設(shè)備和認(rèn)證系統(tǒng)之間傳輸。對(duì)于上述算法的要求，攻擊者要找到一個(gè)口令來使得它產(chǎn)生的值恰是他們所看到的，這在計(jì)算上是不可能的。如MD4，MD5或者SHA1這樣的加密散列算法可以滿足上述的要求。但是這種認(rèn)證方式要避免的是重放攻擊，即攻擊者之間獲得運(yùn)算后的值，從而直接將其重放給認(rèn)證系統(tǒng)，已獲得訪問權(quán)。為了解決這個(gè)問題，系統(tǒng)可以使用隨機(jī)數(shù)的加入來防止重放攻擊。通過這種技術(shù)可以使得攻擊者只能看到隨機(jī)數(shù)，用戶的口令并沒有在輸入系統(tǒng)和認(rèn)證系統(tǒng)中傳輸，甚至由口令產(chǎn)生的值都不會(huì)出現(xiàn)在系統(tǒng)之間，采用所謂的質(zhì)詢/響應(yīng)的認(rèn)證過程，便是當(dāng)今口令認(rèn)證機(jī)制的基礎(chǔ)。

簡(jiǎn)單口令的最常見的替代品是認(rèn)證令牌。認(rèn)證令牌有兩類：質(zhì)詢/響應(yīng)令牌和時(shí)間令牌。認(rèn)證令牌與PKI的關(guān)系主要體現(xiàn)在兩個(gè)方面。首先結(jié)合服務(wù)器端的PKI，令牌可以充當(dāng)客戶端的認(rèn)證機(jī)制；另一方面，令牌可以擔(dān)當(dāng)授權(quán)訪問私鑰的初始認(rèn)證。通過PKI，可以對(duì)Web服務(wù)器進(jìn)行強(qiáng)有力的認(rèn)證以及提供強(qiáng)加密通信；通過認(rèn)證令牌，可以對(duì)用戶進(jìn)行強(qiáng)身份認(rèn)證。PKI用于認(rèn)證服務(wù)器和加密會(huì)話，令牌則用于認(rèn)證客戶端。這種混合方案很可能會(huì)促使令牌成為未來一段時(shí)間內(nèi)的主要強(qiáng)認(rèn)證方式。

4.2現(xiàn)有3G中的認(rèn)證過程

3G接入網(wǎng)部分的實(shí)體認(rèn)證包含了三個(gè)方面。一是認(rèn)證機(jī)制協(xié)商，該機(jī)制允許用戶和服務(wù)網(wǎng)絡(luò)安全協(xié)商將要使用的安全認(rèn)證機(jī)制。二是用戶身份認(rèn)證，服務(wù)網(wǎng)絡(luò)認(rèn)證用戶身份的合法性。三是用戶對(duì)他所連接的網(wǎng)絡(luò)進(jìn)行認(rèn)證。

認(rèn)證和密鑰分配機(jī)制完成用戶和網(wǎng)絡(luò)之間通過密鑰K（128bit）相互認(rèn)證，以及完成上面提到的加密密鑰和完整性密鑰的分配。密鑰K僅存在于用戶歸屬網(wǎng)絡(luò)環(huán)境HE的AuC（認(rèn)證中心）和UICC/USIM（用戶服務(wù)識(shí)別模塊）中，并且在兩者之間共享。UICC是能夠防止篡改的具有身份驗(yàn)證功能的智能卡，而USIM是運(yùn)行在UICC上的一個(gè)模塊。為了保證認(rèn)證的安全性，一個(gè)基本要求是在給定的UICC/USIM的使用期內(nèi)密鑰K絕不能泄漏或者損壞。在SGSN/VLR和USIM之間執(zhí)行的認(rèn)證過程是基于一種交互式認(rèn)證策略。另外，USIM和HE分別保存SQNms和SQNhe計(jì)數(shù)用以支持認(rèn)證。序號(hào)SQNhe是用戶獨(dú)立的計(jì)數(shù)器，由HLR/AuC維護(hù)每個(gè)用戶具有的獨(dú)立序號(hào)；而SQNms是指USIM收到的最高序號(hào)。

認(rèn)證與密鑰分配機(jī)制[9]過程如圖4.1所示，整個(gè)過程分為幾個(gè)子過程：從HE/AuC發(fā)送認(rèn)證消息到VLR/SGSN的過程；VLR/SGSN和MS之間相互認(rèn)證和新加密和完整性密鑰的建立過程；重同步過程。

其中：（1）每個(gè)認(rèn)證向量包括：一個(gè)隨機(jī)數(shù)、一個(gè)期望的應(yīng)答、加密密鑰CK、完整性密鑰IK、認(rèn)證令牌A；

（2）每個(gè)認(rèn)證向量適用于一次VLR/SGSN與USIM之間的認(rèn)證和密鑰協(xié)商；

（3）認(rèn)證方為用戶HE的認(rèn)證中心和用戶移動(dòng)站中的USIM。

圖4.2為VLR/SGSN和MS之間相互認(rèn)證、新加密和完整性密鑰的建立過程。

USIM收到RAND和AUTN后，按以下步驟進(jìn)行認(rèn)證和新加密和完整性密鑰的建立。

步驟（1）計(jì)算匿名密鑰AK，并且獲取序列號(hào)SQN；

步驟（2）USIM計(jì)算XMAC，將它和MAC比較，MAC包含在AUTN中。如果兩者不同，用戶就傳送包含拒絕原因指示用戶認(rèn)證拒絕信息給VLR/SGSN，然后終止該過程。在這種情況下，VLR/SGSN將初始化一個(gè)認(rèn)證失敗報(bào)告過程給HLR。如果相同進(jìn)行步驟（3）。

步驟（3）USIM校驗(yàn)收到的SQN是不是在正確的范圍內(nèi)。

步驟（4）如果序號(hào)在正確范圍內(nèi)，則進(jìn)行步驟（5）；如果序號(hào)不在正確的范圍內(nèi)，它將發(fā)送一個(gè)包含適當(dāng)參數(shù)的同步失敗信息給VLR/SGSN，然后終止該過程。VLR會(huì)根據(jù)同步失敗消息向HE請(qǐng)求重同步過程。

步驟（5）如果序號(hào)在正確的范圍內(nèi)，USIM計(jì)算CK和IK。

步驟（6）USIM計(jì)算RES，該參數(shù)包含在用戶認(rèn)證響應(yīng)中傳給VLR/SGSN。

收到用戶認(rèn)證響應(yīng)后，VLR/SGSN將響應(yīng)RES與所選認(rèn)證向量中獲得XRES比較。如果兩者相等，那么用戶就通過認(rèn)證。VLR/SGSN就從選擇的認(rèn)證向量中獲得正確的CK和IK。USIM和VLR將保存原始CK和IK，直到下一次AKA完成。如果XRES和RES不相等，則初始化一個(gè)新的鑒別和認(rèn)證過程。

在3G系統(tǒng)中，實(shí)現(xiàn)了用戶與網(wǎng)絡(luò)的相互認(rèn)證，簡(jiǎn)單的說，通過驗(yàn)證XRES與RES是否相同，實(shí)現(xiàn)了VLR/SGSN對(duì)MS的認(rèn)證；通過比較XMAC與MAC是否相同，實(shí)現(xiàn)了MS對(duì)HLR/AuC的認(rèn)證。以上便是在3G系統(tǒng)中用戶和網(wǎng)絡(luò)服務(wù)商之間雙向認(rèn)證的一個(gè)詳細(xì)過程。通過雙向認(rèn)證機(jī)制，3G有效的保護(hù)了用戶與運(yùn)營(yíng)商雙方的利益。

4.3WPKI應(yīng)用下的實(shí)體認(rèn)證

首先CA用Rabin算法和自己的私鑰Pu和Qu來為網(wǎng)絡(luò)端和移動(dòng)端簽發(fā)證書。網(wǎng)絡(luò)端B的公鑰為Nb，移動(dòng)端A的公鑰為ELGamal簽名算法的公鑰Pa。網(wǎng)絡(luò)端保存相應(yīng)的Rabin算法私鑰Pb和Qb，移動(dòng)端保存相應(yīng)的ELGamal算法私鑰Sa。移動(dòng)端和網(wǎng)絡(luò)端通過驗(yàn)證對(duì)方的證書合法性和相應(yīng)的私鑰來進(jìn)行雙向的認(rèn)證。具體過程如圖4.3

5身份機(jī)密性

5.1相關(guān)的安全特征

與用戶身份機(jī)密性相關(guān)的安全特征如下：

用戶身份機(jī)密性（useridentityconfidentiality）：接受業(yè)務(wù)用戶的永久身份（IMSI）在無線接入鏈路上不可能被竊聽。

用戶位置機(jī)密性（userlocationconfidentiality)：用戶在某一區(qū)域出現(xiàn)或到達(dá)，不可能在無線接入鏈路上通過竊聽來確定。

用戶的不可跟蹤性（useruntraceability）：入侵者不可能通過在無線接入鏈路上竊聽而推斷出不同的業(yè)務(wù)是否傳遞給同一用戶，即無法獲知用戶正在使用不同的業(yè)務(wù)。

為了滿足上述要求，3G系統(tǒng)采用了兩種機(jī)制來識(shí)別用戶身份，（1）在用戶與服務(wù)網(wǎng)之間采用臨時(shí)身份機(jī)制（用戶的IMSI由臨時(shí)身份識(shí)別號(hào)TMSI代替），為了實(shí)現(xiàn)用戶的不可跟蹤性要求用戶不應(yīng)長(zhǎng)期使用同一TMSI，即TMSI要定期更換。（2）使用加密的永久身份IMSI。但是3G標(biāo)準(zhǔn)沒有排斥用戶直接使用IMSI進(jìn)行身份識(shí)別，即GSM式身份識(shí)別。此外在3G中，任何可能暴露用戶身份的信令和用戶數(shù)據(jù)都要求進(jìn)行加密。

5.2GSM中的身份保密

GSM系統(tǒng)采用用戶的臨時(shí)身份實(shí)現(xiàn)用戶的身份保密。對(duì)進(jìn)入其訪問區(qū)的每個(gè)用戶，VLR（拜訪位置寄存器）都會(huì)分配一個(gè)TMSI（臨時(shí)身份識(shí)別號(hào)），TMSI和IMSI一起存于VLR的數(shù)據(jù)庫中，用戶只要使用TMSI和位置區(qū)域標(biāo)識(shí)LAI即可標(biāo)識(shí)自己的身份。一般情況下不使用IMSI來識(shí)別用戶。

但是當(dāng)用戶第一次注冊(cè)或者服務(wù)網(wǎng)絡(luò)不能根據(jù)用戶的TMSI時(shí)必須使用用戶的永久身份IMSI。這時(shí)IMSI將在無線鏈路上以明文進(jìn)行傳輸，這就可能會(huì)造成用戶身份的泄漏。顯然，GSM系統(tǒng)在用戶身份保密方面存在明顯的缺陷。圖5.1表示了GSM系統(tǒng)中身份識(shí)別的過程[10]。

5.33G中已有的身份機(jī)密性設(shè)計(jì)

現(xiàn)有的身份機(jī)密的方案如圖:該機(jī)制由訪問的VLR/SGSN發(fā)起，向用戶請(qǐng)求IMSI。用戶有兩種選擇進(jìn)行響應(yīng)，選擇和GSM系統(tǒng)一樣的直接回復(fù)明文IMSI或者使用特有的增強(qiáng)的身份保密機(jī)制來進(jìn)行響應(yīng)。

采用明文的IMSI是為了與第二代通信網(wǎng)絡(luò)保持兼容。一般在3G系統(tǒng)中，移動(dòng)用戶配置成增強(qiáng)型用戶身份保密機(jī)制[11]。

圖5.2中，HE-message表示包含加密IMSI的消息，其組成如下：HE-message=GIEMUI，EMUI=fgk（SQNuicIMSI）。其中GI表示群身份標(biāo)識(shí)，EMUI表示加密IMSI。EMUI是SQNuic和IMSI經(jīng)過fgk函數(shù)加密運(yùn)算得到，SQNuic表示用戶認(rèn)證中心UIC生成的序列號(hào)，用于保持認(rèn)證的最新性，GK是用戶入網(wǎng)時(shí)與HE/UIC及群中的其它用戶共享的群密鑰。HE為用戶歸屬域。

增強(qiáng)型用戶身份保密機(jī)制將用戶的IMSI以密文形式嵌入HE-message中，VLR/SGSN不能直接解密HE-message，而是根據(jù)HE/UIC-id將HE-message傳送到相應(yīng)的HE/UIC。由HE/UIC根據(jù)GI檢索相應(yīng)的GK，用解密HE-message得到用戶的IMSI，再傳送給VLR/SGSN。這樣做的目的是保證用戶的IMSI不被竊聽。此后VLR/SGSN建立用戶IMSI和TMSI之間的對(duì)應(yīng)關(guān)系。以后用戶就用VLR/SGSN分配的TMSI進(jìn)行通信。

增強(qiáng)型用戶身份保密機(jī)制是3G引進(jìn)的，規(guī)定了每個(gè)用戶都屬于某一個(gè)群，而每個(gè)群擁有一個(gè)GI。用戶群有一個(gè)GK，該密鑰安全的保存在USIM和HE/VLR中。相比2G而言用戶身份的保密性有了較大的改進(jìn)，但我們可以看到，從HE/UIC傳給VLR/SGSN的解密用戶身份IMSI仍然使用了明文方式，因此該方式也還存在一定的弱點(diǎn)，需要進(jìn)一步的改進(jìn)。而且依靠HE/UIC來進(jìn)行消息的解密會(huì)使得效率低下。因此下面給出了一個(gè)基于公鑰體制下的用戶身份機(jī)密性的實(shí)現(xiàn)方案。

5.4在WPKI基礎(chǔ)上設(shè)計(jì)的身份機(jī)密方案

首先由于無線PKI的應(yīng)用，各個(gè)PKI實(shí)體都要求具有一個(gè)公鑰證書。有了公鑰證書，實(shí)體間才可以通過證書鑒定的方式來建立起信任關(guān)系，也更方便進(jìn)行認(rèn)證。為了保證用戶與其公鑰的一一對(duì)應(yīng)。證書權(quán)威需要首先驗(yàn)證終端實(shí)體的身份。

證書頒發(fā)過程可以采用離線的方式，如在USIM的生產(chǎn)過程中就加入初始的用戶的證書，或者也可以采用在線的方式或通過可信任的第三者進(jìn)行證書的辦法?；菊J(rèn)證方案如下圖5.3

在3G系統(tǒng)中，當(dāng)服務(wù)網(wǎng)絡(luò)不能通過TMSI來識(shí)別用戶身份時(shí)，將使用永久用戶身份標(biāo)識(shí)來鑒別用戶身份，特別是在移動(dòng)用戶第一次在服務(wù)網(wǎng)絡(luò)內(nèi)注冊(cè)，以及網(wǎng)絡(luò)不能由用戶在無線鏈路上的TMSI獲得相應(yīng)的IMSI時(shí)。用戶的永久身份是一個(gè)敏感而且非常重要的數(shù)據(jù)，需要得到很好的保護(hù)，但如上文提到的在GSM中，用戶的永久身份是用明文的形式發(fā)送的，3G系統(tǒng)對(duì)此要進(jìn)行安全改進(jìn)。

有了證書之后，用戶首次入網(wǎng)注冊(cè)時(shí)，就可以使用證書和IMSI一起進(jìn)行注冊(cè)了，具體的操作過程如下

符號(hào)說明：CertMS用戶證書CertHLRHLR的證書

SKMS用戶的私鑰SKHLRHLR的私鑰

PKHLRHLR的公鑰R1，R2，Ks隨機(jī)數(shù)

同樣在用戶的USIM中，存有CA的公鑰，自己的私鑰，如果已經(jīng)取得自己的證書，則也應(yīng)該保存在USIM中。

注冊(cè)過程如下圖5.4：

1．用戶向網(wǎng)絡(luò)發(fā)起入網(wǎng)登記請(qǐng)求

2．網(wǎng)絡(luò)發(fā)送自己的證書和隨機(jī)數(shù)R1給MS

3．用戶收到網(wǎng)絡(luò)的證書CertHLR，利用CA的公鑰來驗(yàn)證HLR的真實(shí)性，如果通過驗(yàn)證，。首先生成兩個(gè)隨機(jī)數(shù)Ks，和R2，利用用戶的私有密鑰對(duì)(R2R1)作簽名成為(R2R1)SKMS，再用HLR的公開密鑰PKHLR對(duì)Ks作加密，最后利用對(duì)稱性加密算法如IDEA或DES對(duì)IMSI,CertMS及(R2R1)SKms，以Ks進(jìn)行加密。然后將加密信息發(fā)送到HLR，同時(shí)MS存儲(chǔ)R1,R2,Ks，以及CertHLR。

4．網(wǎng)絡(luò)側(cè)收到響應(yīng)后，用自己的私鑰SKHLR解密消息（Ks）PKHLR得到Ks，再用Ks解密（CertMSIMSI(R2R1)SKms）Ks，得到用戶的IMSI和CertMS，首先驗(yàn)證IMSI的合法性，然后使用HLR和CA之間的安全通道向CA發(fā)送用戶的CertMS來獲取用戶相應(yīng)的公鑰PKMS，然后使用用戶的公鑰PKMS來解密(R2R1)SKMS，獲得R2R1，如果R1確實(shí)正確，就產(chǎn)生一個(gè)TMSI并把TMSI和IMSI進(jìn)行關(guān)聯(lián)并且存儲(chǔ)存儲(chǔ)在服務(wù)器中，同時(shí)存儲(chǔ)R2。至此HLR確認(rèn)MS的合法性。

5．當(dāng)HLR確認(rèn)MS合法之后，則送回第三個(gè)信息以及生成會(huì)話密鑰，否則拒絕所要求的服務(wù)。首先利用私有密鑰SKHLR對(duì)R2作簽名，再以Ks利用對(duì)稱性的密碼算法，對(duì)TMSI和IMSI及以（R2R1)SKHLR作加密，生成（TMSIIMSI（R2R1）SKHLR）Ks再將信息送至MS，最后利用R1和R2作異或運(yùn)算生成會(huì)話密鑰，并且將Ks刪除。HLR的認(rèn)證已經(jīng)完成。

6.MS收到HLR的信息后，利用Ks解開信息，得到TMSIIMSI（R2R1）SKHLR,

首先檢查IMSI是否是自己的IMSI，再來利用HLR的證書驗(yàn)證（R2R1）SKHLR是否等于(R2R1)通過驗(yàn)證，再利用R1和R2作異或運(yùn)算生成會(huì)話密鑰，并且保存TMSI在MS中否則表示注冊(cè)失敗。

通過以上的注冊(cè)過程，在入網(wǎng)過程中，用戶的永久身份標(biāo)識(shí)IMSI從頭至尾都沒有用明文的形式在鏈路上傳輸，而得到了網(wǎng)絡(luò)的認(rèn)證并且獲得TMSI用于以后的服務(wù)。所有使用IMSI來向網(wǎng)絡(luò)進(jìn)行認(rèn)證時(shí)，通過以上方法就可以保證了用戶的機(jī)密性。

對(duì)于安全性的分析：

鏈路上的竊聽者無法獲知用戶的身份，從而無法知道用戶的位置和所進(jìn)行的服務(wù)。同時(shí)由于每次的會(huì)話密鑰都是由R1和R2產(chǎn)生的，而且Ks是隨機(jī)產(chǎn)生的，竊聽者無法通過多次的比較獲得任何通信的內(nèi)容。而且即使一次會(huì)話的密鑰被竊取了，也無法繼續(xù)獲得以后的會(huì)話密鑰。因?yàn)槊看蜶1和R2都是重新產(chǎn)生。對(duì)于假冒的HLR，即使可以送出第一條明文消息，但是因?yàn)椴痪哂泻戏ǖ腟KHLR所有無法獲得Ks，從而無法繼續(xù)注冊(cè)過程。同樣攻擊者惡意假冒MS，即使事先知道CertMS，R1，R2和(R2R1)SKMS。但是對(duì)于新的R1無法生成對(duì)應(yīng)的新的(R2R1)SKMS來進(jìn)行重放攻擊。至于直接猜測(cè)會(huì)話密鑰實(shí)際上是不可能的，因?yàn)镽1雖然是明文傳送，但是R2是密文傳送的。

3G系統(tǒng)分為電路域CS和分組域PS，電路域使用TMSI和LAI來表示用戶，TMSI由VLR分配，分組域使用移動(dòng)用戶分組P-TMSI和路由域標(biāo)識(shí)RAI來表示用戶，P-TMSI由SGSN分配[12]。臨時(shí)身份TMSI/P-TMSI只有在用戶登記的位置區(qū)和路由區(qū)中才有意義。所以，它應(yīng)該與LAI或RAI一起使用。IMSI和TMSI的關(guān)聯(lián)保存在用戶登記的拜訪位置寄存器VLR/SGSN中。

一旦用戶獲取了P-TMSI/TMSI后，網(wǎng)絡(luò)就可以在接入無線鏈路上識(shí)別用戶了。用戶就可以進(jìn)行如下操作：尋呼請(qǐng)求，位置更新請(qǐng)求，連接請(qǐng)求，服務(wù)請(qǐng)求，分離請(qǐng)求，重新建立連接請(qǐng)求等。

但是為了避免長(zhǎng)期使用同一臨時(shí)身份對(duì)TMSI/LAI或P-TMSI/RAI，3G系統(tǒng)采用TMSI的再分配機(jī)制。TMSI的更新是在安全模式建立以后由VLR/SGSN發(fā)起。分配過程如圖5.5

詳細(xì)步驟如下：

（1）VLR/SGSN產(chǎn)生一個(gè)新的TMSIn，并將該TMSIn與IMSI的關(guān)系存儲(chǔ)在它的數(shù)據(jù)庫中，然后向CA請(qǐng)求相應(yīng)的IMSI的公鑰PKMS，當(dāng)CA把公鑰發(fā)送回來之后，VLR/SGSN把TMSIn和一個(gè)新的位置區(qū)域標(biāo)識(shí)經(jīng)過用戶的PKMS加密然后發(fā)送給用戶。

（2）用戶收到之后，使用自己的SKMS解密消息并保存TMSIn并自動(dòng)刪除與先前TMSIo之間的關(guān)聯(lián)后，向VLR/SGSN發(fā)送應(yīng)答。

（3）VLR/SGSN收到應(yīng)答后，從自己的數(shù)據(jù)庫中刪除與舊的TMSIo的關(guān)聯(lián)，TMSIn用于隨后的用戶身份鑒別。

（4）如果VLR/SGSN沒有收到用戶的確認(rèn)應(yīng)答信息，則網(wǎng)絡(luò)將同時(shí)存儲(chǔ)TMSI與IMSI的新的關(guān)聯(lián)和舊的關(guān)聯(lián)。然后在隨后由用戶發(fā)起的業(yè)務(wù)中，網(wǎng)絡(luò)允許用戶使用新的關(guān)聯(lián)或舊的關(guān)聯(lián)來識(shí)別自己的身份。同時(shí)網(wǎng)絡(luò)由此可判定用戶所使用的TMSI，并刪除沒有使用的那一對(duì)TMSI和IMSI的關(guān)聯(lián)。在另一種情況下，網(wǎng)絡(luò)發(fā)起業(yè)務(wù)，會(huì)使用用戶的IMSI來識(shí)別用戶，當(dāng)建立連接后，網(wǎng)絡(luò)指示用戶刪除TMSI。這兩種情況下，網(wǎng)絡(luò)隨后都會(huì)再次發(fā)起一次TMSI的分配過程。但是如果TMSI的分配失敗次數(shù)達(dá)到一定的門限值，就需要上報(bào)給O&M。

當(dāng)移動(dòng)用戶的位置發(fā)生改變時(shí)，如果用戶使用由訪問VLRn分配的TMSIo/LAIo來識(shí)別自己，則可以從數(shù)據(jù)庫中正常獲得IMSI。如果不能，訪問VLRn將要求用戶使用自己的永久身份IMSI來進(jìn)行識(shí)別就如同用IMSI進(jìn)行首次入網(wǎng)注冊(cè)。如果用戶不是使用由拜訪VLRn分配的TMSIo/LAIo來識(shí)別自己，則先前訪問的VLRo和新訪問的VLRn相互間交換認(rèn)證數(shù)據(jù)，新的VLRn要求先前VLRo發(fā)送用戶的永久身份，該過程包含在VLR相互之間交換和分發(fā)認(rèn)證數(shù)據(jù)的機(jī)制中。如果先前的VLRo不能連接或者是不能得到用戶的身份，訪問的VLRn將要求用戶使用永久身份IMSI來識(shí)別。

至此用戶可以使用TMSI或者IMSI來進(jìn)行入網(wǎng)注冊(cè)，而同時(shí)保證了身份的機(jī)密性。

6結(jié)論

隨著3G網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及無線PKI相關(guān)技術(shù)的應(yīng)用，無線PKI在3G系統(tǒng)中的應(yīng)用也會(huì)越來越成熟。同時(shí)隨著終端處理能力的提升，公鑰體制在實(shí)現(xiàn)用戶身份機(jī)密性的過程中，會(huì)相比單鑰體制具有更多的優(yōu)勢(shì)。因?yàn)樵趩舞€體制下，用戶的安全依賴于網(wǎng)絡(luò)，而現(xiàn)在使用公鑰技術(shù)來保護(hù)用戶的身份，因?yàn)橛脩舻乃借€只有用戶自己知道，身份的機(jī)密性不再依賴于網(wǎng)絡(luò)。

但是在使用公鑰體制和WPKI相結(jié)合的方案下，需要解決的是更好的保護(hù)用戶證書的安全性，因?yàn)閷?duì)于網(wǎng)絡(luò)內(nèi)部來說，盜取證書是可能的。而且對(duì)于CA的安全性能也提出了更高的要求。

參考文獻(xiàn)

［1］孫林紅，葉頂鋒，馮登國．無線PKI體系的設(shè)計(jì)．中國科學(xué)院研究生院學(xué)報(bào)，2002.19(3):223～228

［2］WirelessApplicationProtocolForum．Version24-Apr-2001．WirelessApplicationProtocolPublicKeyInfrastructureDefinition

［3］Symeon(Simos)XenitellisOpenCATeamVersion2.4.6Edition，2000．TheOpen–sourcePKIBook:AguidetoPKIsandOpen–sourceImplementations

［4］張平．第三代蜂窩移動(dòng)通信系統(tǒng)-WCDMA．北京：北京郵電大學(xué)出版社2001，19～22

［5］隋愛芬，楊義先．第三代移動(dòng)通信系統(tǒng)的安全．世界電信，2003，5：37～40

［6］肖寧．WCDMA系統(tǒng)接入安全機(jī)制的研究．重慶郵電學(xué)院學(xué)報(bào)，2004.16（3）：43～46

［7］林德敬，林柏鋼，林德清．3GPP系統(tǒng)全系列信息安全及其算法設(shè)計(jì)與應(yīng)用．重慶郵電學(xué)院學(xué)報(bào)，2003，15（4）：18～23

［8］AndrewNash，WilliamDuane，CeliaJoseph，DerekBrink著；張玉清，陳建奇，楊波，薛偉譯．公鑰基礎(chǔ)設(shè)施（PKI）實(shí)現(xiàn)和管理電子安全．北京：清華大學(xué)出版社2002，255～314

［9］3GPPTechnicalSpecification33.102V6.3.0,2004-12.3GSecurityarchitecture[S].

［10］李世鴻，李方偉．3G移動(dòng)通信中的安全改進(jìn)．重慶郵電學(xué)院學(xué)報(bào)，2002.14（4）：24～32