基于PKI和数字水印的电子政务安全模型

关键词 PKI；数字水印；数字指纹；电子政务；信息安全

随着电子政务的广泛应用，其安全性、保密性问题也日益突出。电子政务涉及到政府、企业和个人的机密信息，除黑客攻击、病毒感染等来自网络的安全威胁外，也易受到来自系统应用的假冒用户登录、非法篡改等数据安全的威胁。例如一些重要的电子票据、合同文件，如果其中的金额或者涉及人员被恶意篡改将会给国家经济造成极大的损失。又如个人身份证、个人的学历证书等需要扫描后以电子文档的形式进行保存，并作为一些政府部门工作和管理的重要依据，这些数据一旦遭到篡改，会给国家政府部门工作和个人生活带来极大的安全隐患。所以如何保证这些信息在存取、处理和传输各个环节中的机密性、完整性和不可否认性，防止信息的泄漏和窜改，无疑成为电子政务建设成败的关键[1，2，3]。

为了解决电子政务内网机密电子文档的保护问题，本文提出了一个结合PKI和数字水印技术的电子政务安全模型。

完整的PKI系统由权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用程序接口(API)等基本部分构成。

CA是PKI的核心。CA中心作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。CA还包括配套的注册审批机构(Registration Authority，RA)。RA是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA是CA得以正常运行不可缺少的一部分。

数字证书库是证书集中存贮的地方，是网上的一种公共信息库，用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库一般是基于LDAP或是基X.500系列的，也可以基于其他平台。

可能会由于一些原因而使密钥的所有者对密钥无法访问。密钥的丢失将导致那些被密钥加过密的数据无法恢复，造成数据丢失。为避免这种情况的出现，就需要PKI提供密钥备份与恢复的机制。当用户证书生成时，加密密钥即被CA备份存储，当要恢复时，用户只需向CA提出申请，CA就会为用户自动进行恢复。

处理系统同日常生活中的各种证件一样，证书在CA为其签署的有效期内也可能需要作废。这种规定在理论上是基于当前公钥算法和密钥长度的可破译性分析，在实际应用中是由于长期使用同一个密钥有被破译的危险。为了保证安全，证书和密钥必须有一定的更换频度。因此，PKI提供了证书作废的机制。证书作废一般由PKI系统自动完成，不需要用户干预。

PKI系统实质是建立在密码学基础上的加密系统。如果所采取的密码算法是安全的，密钥管理也是行之有效的，则这样的系统就可以认为是传统意义上安全的。但是加密方法只用在通信信道中，一旦被解密，则统计信息完全变为明文。也就是说，一旦用户接收了电子文档，加密技术对文档的保护作用就消失了。并且如果内网用户以合法身份得到统计数据文档并进行非法复制、传播、甚至篡改，则安全访问机制就无能为力了。这样，会导致重要的文档信息因没有有效的控制机制而流失到外网，造成信息泄露。为此我们把数字水印技术引入电子政务内网保护模型中，期待为重要信息提供最后一道技术防护措施。

数字水印的思想源于古代的隐写术，是通过一定的算法将一些标志性信息直接嵌到多媒体内容中，但并不影响原内容的价值和使用，而且不能被人的知觉系统觉察或注意到。水印信息可以是作者的序列号、公司标志或有特殊意义的文本等，可用来识别文件、图像或音乐制品的来源、版本、原作者、拥有者、发行人或合法使用人对数字产品的拥有权。与加密技术不同，数字水印技术并不能阻止盗版活动的发生，但它可以判别对象是否受到保护，监视被保护数据的传播、真伪鉴别、非法拷贝、解决版权纠纷并为法庭提供证据[1]。为了给攻击者增加去除水印的难度，目前大多数水印制作方案都采用密码学中的加密体系来加强，在水印的嵌入、提取时采用一种密钥，甚至几种密钥联合使用。具体的嵌入和提取方法如图1和图2。

图1 水印嵌入方法

图2 水印提取方法

（1） 鲁棒性(ROBUSTNESS)：指不因隐秘文件的某种改动而导致隐藏信息丢失的能力。这里所谓的“改动”包括传输过程中的信道噪音、滤波操作、重采样、有损编码压缩、DPA或APD转换等。

（2） 透明性：利用人类视觉系统或听觉系统属性，经过一系列隐藏处理，使目标数据没有明显的降质现象，而隐藏的数据却无法人为地看见或听见。

（3） 安全性：指隐藏算法有较强的抗攻击能力，它必须能承受一定程度的人为攻击，而使隐藏信息不会被破坏。

（4） 低复杂性：是指水印嵌入和提取算法复杂度低，便于推广应用。