王祥：浅谈认证网关在电子政务中的应用

目前互联网的很多应用，如网上证券、网上银行、电子政务、电子商务等，这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。国家广播电影电视总局办公厅网络机要处王祥以认证网关在电子政务专网中的作用为切入点，列举实例为电子政务专网的安全防御建设提出自己的见解。

　　随着互联网的诞生和发展，越来越多的网络应用系统从专用或内部网扩展到互联网上，网络攻击和滥用等问题日益突显，目前互联网的很多应用，如网上证券、网上银行、电子政务、电子商务等，这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。不同网络安全等级要求和用户权限级别划分的网络安全域对边界防护和信息保护的要求不断提高，产生了一系列的安全产品。安全产品从功能上大体可以划分成为两大类产品：一类以边界防护为主，包括防火墙、防病毒、入侵检测、漏洞扫描、安全审计等产品；另一类以信息保护为主，包括VPN密码机、密码服务系统、证书注册管理系统、安全网关、认证网关以及身份认证系统等产品。

　　认证网关

　　依据政府电子政务专网建设的基本要求，首先要考虑网络与信息的安全，这就需要建立一套基于密码技术的电子认证体系，即CA证书生产和证书认证服务（保证实现授权管理、责任认定和访问控制等网络信任服务）来保证网络的可信传输。由于这些功能都是基于应用层信任体系建立的，而在网络层用户之间如果直接互联将带来很大的安全隐患。这就急需一套设备（即本文提到的认证网关设备）从网络层把用户与CA生产机构和证书认证服务机构之间的访问进行控制，同时该设备还提供来访用户身份认证代理的功能，即能够和证书认证服务系统交互，完成用户身份认证，根据认证结果核对该用户的可信网络访问授权，完成网络接入的鉴权控制、身份确认和访问控制。由于考虑的是网络层的信息安全，建议采用断路式结构进行部署。

　　概念

　　认证网关是用户进入CA证书认证服务的网络信任域和电子政务专网应用服务系统前的接入和访问控制设备，它具有用户身份认证代理的功能，能够和证书认证服务系统交互，完成用户身份认证，根据认证结果核对该用户的可信网络访问权限，完成网络接入的鉴权控制。

　　组成和功能

　　认证网关设备包括访问控制、安全审计、证书黑名单验证、书属性获取、站点证书请求生成模块、全网统一身份认证、全网责任认定、路由和安全传输组成。具体功能说明如下：（1）访问控制：通过访问控制接口，与外部权限管理服务器共同实现访问控制功能。（2）安全审计：通过安全审计接口，与外部安全审计服务器共同实现安全审计功能。（3）证书黑名单验证：与系统内部的黑名单服务模块结合，判断客户端证书是否作废。（4）证书属性获取：与系统内部的属性证书服务模块结合，获取客户端证书的其他属性，然后通过服务器端接口将证书属性提交给服务器进行处理。（5）站点证书请求生成模块：本模块独立于其他模块，作为程序存在，基本功能为生成站点私钥文件和为生成站点证书提供请求文件，将生成的站点证书请求导入并生成站点证书，为认证网关提供私钥和证书。（6）全网统一身份认证：认证网关作为网络信任体系的信任域控制点，依托身份认证服务器进行用户身份确认；接受网络信任域管理中心的统一管理，保证合法用户可以在全网范围内自由通行。（7）全网责任认定：认证网关部署在网络的用户接入层，为责任认定提供用户上网状态信息，支持责任认定的全程化；提供用户跨网、跨域访问的行为记录，支持责任认定的全网化。（8）路由功能：通过认证后，将访问请求放行，路由到目的地。（9）安全传输功能： 提供用户终端到认证网关的加密传输服务，确保信息传输的安全性。

　　认证网关主要解决的问题

　　（1）通过身份认证代理和对全网统一身份认证的支持，保障网络上的用户单点登陆全网通行；（2）通过用户权限鉴别解决用户权限级别划分问题；（3）通过断路式访问控制服务，加强对网络和应用资源的信息安全保障。

　　在政府电子政务专网中的应用

　　政府电子政务专网是一个集成了多种通信技术和手段的网络，如数据、话音、视频等信息，其服务对象不仅是政府机关本身，还要服务于整个社会。因此，从功能上讲，是一个集成了多种技术、多种应用的一体化网络。此外，各级政府机构除了本身能够互访外，还要为公众提供访问政府电子政务专网的手段，导致政府电子政务专网与互联网接触越来越多，网上安全威胁也不断增长。

　　综合上述原因，构建了一种基于认证网关和网络信任体系相结合的网络安全域解决方案。政府机关办公机构一般都有自己独立的专网，办公人员通过USBKey和认证号在智能客户端登陆专网进行办公。本方案在专网与核心交换机之间布置了一个认证网关，目的有两个，一是鉴别办公区用户权限依据认证和授权系统确认该用户身份和可浏览访问的应用服务；二是断路式防护功能，防止互联网上的黑客对部门用户群的入侵。同时，本方案在证书认证服务和证书生产服务与核心交换机之间放置认证网关，主要目的是起到访问控制和断路式安全防护的作用。

　　本案例以政府电子政务专网电子认证基础设施建设为依据，有效的把认证网关功能特点与CA证书生产和证书认证服务体系有机的结合起来，从网络层安全传输的角度把基于证书的用户身份认证与认证网关设备绑定，做到一次认证全网通行。该案例的实施有效解决了政府机构办公人员的可信化办公需求，并为认证网关设备在政府电子政务专网中的应用奠定了基础。