pkica在水利电子政务中的应用前景展望

sxsky小编为您提供一篇行政管理毕业论文，是关于pkica在水利电子政务中的应用前景展望的毕业论文，欢迎参考！

一、PKI相关技术介绍（一）公钥加密理论PKI的基础是公钥加密理论和技术，与公钥加密技术对应的是对称密钥加密技术。加密就是对消息明文进行处理，使其不可读，通过对消息明文的隐藏，达到安全性的目的。密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数数据。

在公钥加密中，每个用户有两个密钥:公钥和私钥，这两个密钥之间存在着相互依存关系，即用其中任一个密钥加密的信息只能用另一个密钥进行解密。

虽然公钥与私钥是成对出现的，但却不能根据公钥计算出私钥。

在进行加密通信前，公钥必须先公开，信息的发送方用接收方的公钥完成对数据的加密，形成密文，接收方用自己的私钥完成对密文的解密，最终形成明文。在传输过程中，即使密文被别人截获，也无法破解，因为该密文只有使用接收者的私钥才能完成解密，而私钥只有接收方一个人秘密掌握。非对称密钥加密技术有加密和认证两种模型。目前,国际上流行的公钥加密算法有RSA、ElGamal等。

（二）散列函数散列函数也称为消息摘要(MessageDigest)、哈希(hash)函数或杂凑函数，它能将任意长度的二进制值映射为固定长度的较小二进制值，这个小的二进制值称为散列值或消息摘要。散列值是一段数据唯一且极其紧凑的数值表示形式。任意两个消息具有完全相同消息摘要的概率近于零，并且消息数据的任何一个微小的变化，都将导致散列值的显著变化。

散列函数不是一种加密机制，它对要传输的数据进行运算生成消息摘要，确保数据在传输过程中没有被修改而变化，保证信息的完整性和不可抵赖性。常见的散列函数算法有MD5、SHA-1等。

（三）数字签名数字签名是公钥密码技术的一个重要应用，通过数字签名，可以保证在通信过程中数据信息的完整性和不可否认性。

数字签名包括对数据的签名和对签名的验证两个部分，其过程如图1所示。

数字签名和验证签名过程图作者简介：常俊超，男，36岁，河南省水利信息中心工程师，主要从事软件开发。《河南水利与南水北调》信息化HENAN47第一步，发送方A对待签名的文件做哈希运算，得到文件的哈希值。

第二步，A用他的私人密钥对文件的哈希值进行加密，得到文件的数字签名。

第三步，A将文件和文件的数字签名一起发送给接收方B。

第四步，B用A发送的文件产生该文件的哈希值，同时用A的公开密钥对该文件的数字签名做解密运算。若解密得到的哈希值与自己产生的哈希值匹配，就能确认该数字签名是发送方A的，所传输的信息没有被篡改，确保了信息的完整性。

其中需要说明的是私钥只有发送方A拥有，因此其他人无法代替发送方A签名，这样发送方A就无法否认签名。而发送方A的公钥是公开的，签名算法无法对所签的文件进行保密，如果需要保密，可以先用发送方A的私钥对文件进行签名，再用接收方B的公钥对文件进行加密，这也被称为二级加密。

由上述过程可以看出，数字签名可以对发送的文件信息进行鉴别和验证，防止文件信息在传输过程中被恶意篡改，保证文件信息在通信过程中的完整性和不可否认性。

（四）数字证书数字证书是一种权威性的电子文件，它就像网络计算环境中的一种身份证，证明某一主体(如人、服务器等)的身份及其公开密钥的合法性，又称为数字ID，数字证书通过第三方权威认证，帮助各个实体识别对方身份并证明自己的身份，具有真实性和防抵赖功能。

数字证书包含用户身份信息、用户公钥信息以及第三方权威认证机构数字签名的数据，数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所掌握的私有密钥(私钥)，用它进行解密和签名；同时设定一把公共密钥(公钥)并由本人公开，为一组用户所共享，用于加密和验证签名。

数字证书的产生过程如下：申请者首先利用非对称密钥算法产生一对公钥和私钥；然后用证书申请算法把自己的标识和公钥变成数字证书申请文件，把数字申请文件传递给认证中心申请数字证书。认证中心首先核实申请者身份，以确信请求确实由用户发送而来，然后利用自己的私钥对证书申请文件、证书信息进行数字签名，形成申请者的数字证书，用户使用自己的数字证书进行各种相关网络活动。

二、PKI的体系结构PKI是由PKI策略、软硬件系统、认证中心(CA)、注册机构(RA)、证书签发系统和PKI应用等构成的安全体系，组成如图2所示：

图2PKI组成图认证机构CA:CA(CertificateAuthority)是PKI的核心组成部分，是PKI应用中权威的、可信任的、公正的第三方机构，它负责数字证书的签发、验证、更新、备份、吊销和密钥管理。

注册机构RA：RA是用户和CA的接口，它所获得的用户标识的正确性是CA颁发证书的关键。

RA不仅支持面对面的登记，也可以支持远程登记，如通过电子邮件、浏览器等方式登记。

PKI系统中可以没有RA，此时RA的功能由CA来承担，最终用户直接和CA进行交互。

证书库：证书库是CA颁发证书和撤消证书的集中存放地，可供公众进行开放式的查询，用户可以从此处获得其他用户的证书和公钥。

三、当前应用系统的安全隐患河南省水利信息化经过多年建设，取得了一定的成果：建设了覆盖河南省水利系统各单位的计算机网络系统，实现了数据、语音和视频信息的互连互通，建设了公众服务系统、电子邮件系统、视频监控系统、综合办公等应用系统，由于没有采用PKI相关技术，目前大部分应用系统存在如下安全隐患：

一是用户身份无法确认：由于各应用系统大多采用“用户名+口令”的方式进行用户身份认证，这种认证方式的口令容易被破解，通过登录的用户名无法有效判断系统用户的真实身份，导致非法用户可以伪造、假冒身份。

二是缺乏机密性保护：由于大多数应用系统通过HTTP协议进行信息传输，而HTTP协议是明文传输，敏感信息有可能在传输过程中被非法用户截取，从而导致数据失密。

三是缺乏完整性保护：信息在传输过程中有可能被恶意篡改或部分信息丢失。

四是缺乏抗抵赖性：信息收发双方如果对信息产生分歧，双方都无法出具对另一方相关行为进行仲裁的依据。