chapter9電子政務(wù)工程設(shè)計(jì)

網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)第9章

人民郵電出版社

編著：楊威王云劉景宜

SXTU-INC-YW

本章知識要點(diǎn)：電子政務(wù)業(yè)務(wù)模型電子政務(wù)體系結(jié)構(gòu)電子政務(wù)通信平臺設(shè)計(jì)內(nèi)、外網(wǎng)物理隔離電子政務(wù)信息系統(tǒng)PKI技術(shù)，CA證書服務(wù)器，安裝證書服務(wù)，證書頒發(fā)機(jī)構(gòu)的配置和管理，客戶端的證書管理SSL安全機(jī)制，基于SSL的Web服務(wù)器VPN的技術(shù)與類型，VPN方案設(shè)計(jì)，基于VPN政務(wù)網(wǎng)絡(luò)互連。第9章電子政務(wù)工程設(shè)計(jì)

SXTU-INC-YW

本章重點(diǎn)：電子政務(wù)業(yè)務(wù)模型電子政務(wù)體系結(jié)構(gòu)電子政務(wù)通信平臺設(shè)計(jì)內(nèi)、外網(wǎng)物理隔離電子政務(wù)CA的建立和管理SSL安全機(jī)制VPN的技術(shù)與方案設(shè)計(jì)，基于VPN政務(wù)網(wǎng)絡(luò)互連。本章難點(diǎn)：基于VPN政務(wù)網(wǎng)絡(luò)互連第9章電子政務(wù)工程設(shè)計(jì)

SXTU-INC-YW

9.1電子政務(wù)概述9.1.1電子政務(wù)的背景電子政務(wù)是指政府機(jī)構(gòu)利用信息化手段，實(shí)現(xiàn)各類政府職能。其核心是應(yīng)用信息技術(shù)，提高政府事務(wù)處理的效率，改善政府組織和公共管理。背景：信息技術(shù)的飛速發(fā)展

發(fā)達(dá)國家提出“電子政務(wù)（電子政府）計(jì)劃”我國的電子政務(wù)

SXTU-INC-YW

9.1.2電子政務(wù)業(yè)務(wù)與信息流1.電子政務(wù)業(yè)務(wù)模型

根據(jù)政府機(jī)構(gòu)的業(yè)務(wù)形態(tài)來看，通常電子政務(wù)主要包括三個應(yīng)用領(lǐng)域。其業(yè)務(wù)模型可以用圖9.1表示。

圖9.1電子政務(wù)業(yè)務(wù)模型

面向社會公眾和企業(yè)組織，為其提供政策、法規(guī)、條例和流程的查詢服務(wù)。借助互聯(lián)網(wǎng)實(shí)現(xiàn)政府機(jī)構(gòu)的對外辦公，如：申請、申報等，提高政府的運(yùn)作效率，增加透明度。以信息化手段提高政府機(jī)構(gòu)內(nèi)部辦公的效率，如：公文報送、信息通知和信息查詢等。

SXTU-INC-YW

9.1.2電子政務(wù)業(yè)務(wù)與信息流2.電子政務(wù)信息流在電子政務(wù)系統(tǒng)中主要存在三種信息流，如圖9.2所示。

圖9.2電子政務(wù)信息流模型

SXTU-INC-YW

9.1.3電子政務(wù)體系結(jié)構(gòu)與特點(diǎn)1.電子政務(wù)體系結(jié)構(gòu)構(gòu)建的電子政務(wù)體系結(jié)構(gòu)主要包括三個應(yīng)用系統(tǒng)和一個網(wǎng)絡(luò)通信平臺。如圖9.3所示。圖9.3電子政務(wù)平臺系統(tǒng)結(jié)構(gòu)

SXTU-INC-YW

9.1.3電子政務(wù)體系結(jié)構(gòu)與特點(diǎn)2.電子政務(wù)系統(tǒng)的特點(diǎn)一個成熟的電子政務(wù)系統(tǒng)，不但能夠利用信息技術(shù)，實(shí)現(xiàn)信息流的高效率運(yùn)轉(zhuǎn)，還應(yīng)具備如下特點(diǎn)：（1）安全性。（2）整合性。（3）可擴(kuò)展性。（4）示范性。政府機(jī)構(gòu)的信息安全是電子政務(wù)實(shí)施的第一要素。電子政務(wù)系統(tǒng)不但能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)的物理隔離，有效防止泄密；同時也應(yīng)確保內(nèi)、外網(wǎng)具有強(qiáng)大的抵御攻擊能力，防止非法侵入帶來的損失。電子政務(wù)系統(tǒng)應(yīng)能實(shí)現(xiàn)政府內(nèi)部辦公和外部事務(wù)處理的整合，通過建立政務(wù)辦公信息流和事務(wù)信息流的平滑對接，提高信息流的效率。同時，能夠?qū)崿F(xiàn)多種溝通模式的整合，通過通信平臺的多樣化優(yōu)勢，提高電子政務(wù)系統(tǒng)的覆蓋能力。電子政務(wù)系統(tǒng)的實(shí)施是一個分階段的長期過程，電子政務(wù)系統(tǒng)的構(gòu)造應(yīng)具有高度的擴(kuò)展性，以降低系統(tǒng)擴(kuò)充的投入成本，并滿足信息技術(shù)高速發(fā)展的需要。電子政務(wù)系統(tǒng)采用的技術(shù)和產(chǎn)品應(yīng)對社會具有廣泛的示范性和引導(dǎo)性，電子政務(wù)平臺的總體結(jié)構(gòu)應(yīng)依據(jù)國家電子政務(wù)安全規(guī)范和電子政務(wù)標(biāo)準(zhǔn)技術(shù)參考模型設(shè)計(jì)。

SXTU-INC-YW

9.2電子政務(wù)系統(tǒng)設(shè)計(jì)9.2.1電子政務(wù)網(wǎng)絡(luò)平臺1.電子政務(wù)內(nèi)網(wǎng)電子政務(wù)內(nèi)網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺，主干網(wǎng)要求具有安全、可靠和高帶寬等特性。某市電子化辦公涉及20多個業(yè)務(wù)部門，這些部門分部在不同的地理位置，距離市政府大樓幾十米至幾公里?？紤]到政務(wù)主干網(wǎng)的負(fù)載均衡和光纜敷設(shè)便利等因素，政務(wù)主干網(wǎng)可采用多星型拓?fù)浣Y(jié)構(gòu)。整體網(wǎng)絡(luò)設(shè)置三個主結(jié)點(diǎn)（市政府主樓、市委主樓和科技局主樓）向外輻射，通過各部門（局、科室）所在的建筑樓結(jié)點(diǎn)構(gòu)成主干網(wǎng)。如圖9.4所示。

SXTU-INC-YW

9.2.1電子政務(wù)網(wǎng)絡(luò)平臺圖9.4市政府網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

SXTU-INC-YW

9.2.1電子政務(wù)網(wǎng)絡(luò)平臺2.電子政務(wù)外網(wǎng)電子政務(wù)外網(wǎng)（Web網(wǎng)站）位于市政府主樓第3層的網(wǎng)絡(luò)中心主機(jī)房內(nèi)。電子政務(wù)外網(wǎng)是政府對外的門戶網(wǎng)站，網(wǎng)站拓?fù)浣Y(jié)構(gòu)要嚴(yán)格按照DMZ的要求設(shè)計(jì)。如圖9.5所示。圖9.5政務(wù)外網(wǎng)體系結(jié)構(gòu)圖

SXTU-INC-YW

9.2.2內(nèi)、外網(wǎng)物理隔離電子政務(wù)內(nèi)、外網(wǎng)物理隔離采用物理隔離網(wǎng)閘X-gap8100（中網(wǎng)公司產(chǎn)品），可以實(shí)現(xiàn)兩個網(wǎng)絡(luò)之間的物理隔離。如圖9.6所示。圖9.6內(nèi)、外網(wǎng)物理隔離結(jié)構(gòu)圖

SXTU-INC-YW

9.2.3電子政務(wù)信息系統(tǒng)1.系統(tǒng)功能結(jié)構(gòu)電子政務(wù)信息系統(tǒng)一般分為政府公共服務(wù)網(wǎng)站和政府內(nèi)部辦公網(wǎng)站，其功能結(jié)構(gòu)如圖9.7所示。圖9.7電子政務(wù)系統(tǒng)功能結(jié)構(gòu)圖

SXTU-INC-YW

9.2.3電子政務(wù)信息系統(tǒng)2.政務(wù)外網(wǎng)應(yīng)用

面向公共管理服務(wù)政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)主要包括：為公眾用戶提供接入和工作流引擎、通用電子政務(wù)構(gòu)件、個性化管理以及服務(wù)集成等基本的功能。如：網(wǎng)上報表管理、登記申報及審批業(yè)務(wù)辦理、網(wǎng)上人才招聘管理、招商管理、網(wǎng)上稅務(wù)、網(wǎng)上勞保等應(yīng)用系統(tǒng)。

SXTU-INC-YW

9.2.3電子政務(wù)信息系統(tǒng)3.政務(wù)內(nèi)網(wǎng)應(yīng)用

政務(wù)內(nèi)網(wǎng)應(yīng)用系統(tǒng)強(qiáng)調(diào)的是政府內(nèi)部在各類政務(wù)工作中，運(yùn)用先進(jìn)的信息技術(shù)和管理思想，大幅度提高辦事效率，提高政務(wù)工作的質(zhì)量。而在政府內(nèi)部，電子政務(wù)的許多目標(biāo)是要通過辦公自動化來實(shí)現(xiàn)的。離開了辦公自動化，政府內(nèi)部的電子政務(wù)也就失去了基礎(chǔ)。面向辦公業(yè)務(wù)的OA系統(tǒng)功能包括：公文管理、督查管理、檔案管理、政務(wù)信息、內(nèi)部事務(wù)、值班管理、會議管理、輔助決策、公用信息等。

SXTU-INC-YW

9.2.3電子政務(wù)信息系統(tǒng)4.政務(wù)處理邏輯結(jié)構(gòu)

政務(wù)處理邏輯組織將系統(tǒng)結(jié)構(gòu)劃分成數(shù)據(jù)層、組件層、功能層和應(yīng)用層，如圖9.8所示。圖9.8電子政務(wù)處理邏輯結(jié)構(gòu)

SXTU-INC-YW

9.3電子政務(wù)CA的建立和管理PKI是信息安全技術(shù)的核心，也是電子政務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。電子政務(wù)在選擇PKI解決方案時，可以向第三方證書認(rèn)證（CA，CertificateAuthority）提供商外購PKI；或部署自己的政府級PKI，或部署混合模式PKI體系。由第三方CA提供根CA，將CA頒發(fā)限定于政府內(nèi)部范圍。

SXTU-INC-YW

9.3.1PKI技術(shù)1.PKI的組成PKI是一種以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的，構(gòu)建的認(rèn)證、授權(quán)和加密等硬件、軟件的綜合設(shè)施。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)和應(yīng)用接口（API）等基本構(gòu)件和系統(tǒng)。

SXTU-INC-YW

9.3.1PKI技術(shù)2.PKI的功能

（1）認(rèn)證機(jī)構(gòu)（CA）（2）數(shù)字證書庫（3）密鑰備份及恢復(fù)系統(tǒng)（4）證書作廢系統(tǒng)（5）應(yīng)用接口（API）

SXTU-INC-YW

9.3.1PKI技術(shù)3.PKI的安全機(jī)制

PKI安全平臺能夠提供智能化的信任與有效授權(quán)服務(wù)。其中，信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”的問題；授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個實(shí)體能干什么”的問題。

SXTU-INC-YW

9.3.2CA證書服務(wù)器的選擇通常來說，CA是證書的簽發(fā)機(jī)構(gòu)，它是PKI的核心。公鑰體制的密鑰管理主要是針對公鑰的管理問題。目前較好的解決方案是數(shù)字證書機(jī)制。在實(shí)際應(yīng)用中，CA除了服務(wù)器硬件（可選用PC服務(wù)器），還要選擇合適的CA軟件。在選擇CA產(chǎn)品時，要重點(diǎn)考慮所支持的相關(guān)PKI標(biāo)準(zhǔn)、易管理性、伸縮能力以及成本費(fèi)用。

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機(jī)構(gòu)1.根CA與從屬CA

根據(jù)層次結(jié)構(gòu)，CA可劃分為根CA和從屬CA。（1）根CA是公鑰體系中第一個證書頒發(fā)機(jī)構(gòu)，它是所有信任的起源。根CA可以為其他CA創(chuàng)建證書，也可以為其他計(jì)算機(jī)、用戶和服務(wù)創(chuàng)建證書。根CA最重要的角色是作為信任的根，是整個政府（企業(yè)）認(rèn)證體系的中心，需要最根本的保護(hù)。對大多數(shù)基于證書的應(yīng)用程序來說，使用的證書認(rèn)證都可以跟蹤到根。（2）從屬CA必須從根CA或者從一個已由根CA授權(quán)，可頒發(fā)從屬CA證書的從屬CA處獲得證書。從屬CA可直接頒發(fā)證書。在建立CA時，從屬CA要通過上級CA獲得自己的CA證書，而根CA則是創(chuàng)建自簽名的證書。

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機(jī)構(gòu)2．企業(yè)CA與獨(dú)立CA

（1）企業(yè)CA具有下列特點(diǎn)。①企業(yè)CA需要活動目錄（ActiveDirectory）。②安裝企業(yè)根CA時，對于域中的所有用戶和計(jì)算機(jī)，它都會自動添加到受信任的根證書頒發(fā)機(jī)構(gòu)的證書存儲區(qū)中。③企業(yè)CA根據(jù)申請證書的類型設(shè)置策略和安全權(quán)限，立即頒發(fā)證書或立即拒絕請求。④可以為使用智能卡登錄到Windows2000域頒發(fā)證書。⑤企業(yè)退出模塊向活動目錄（ActiveDirectory）發(fā)布用戶證書和證書吊銷列表。⑥企業(yè)CA使用基于證書模板的證書類型。

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機(jī)構(gòu)2．企業(yè)CA與獨(dú)立CA

（2）獨(dú)立CA具有下列特點(diǎn)。①獨(dú)立CA不需要使用活動目錄（ActiveDirectory）。②向獨(dú)立CA提交證書申請時，證書申請者必須在證書申請中明確提供所有關(guān)于自己的標(biāo)識信息以及證書申請所需的證書類型。（向企業(yè)CA提交證書申請時無需提供這些信息，因?yàn)槠髽I(yè)用戶的信息已經(jīng)在ActiveDirectory中，并且證書類型由證書模板說明。）③默認(rèn)情況下，發(fā)送到獨(dú)立CA的所有證書申請都被設(shè)置為特定狀態(tài)，由管理員審查頒發(fā)，也可根據(jù)需要改為自動頒發(fā)證書。④不使用驗(yàn)證模板。⑤使用智能卡不能頒發(fā)用來登錄到Windows2000域的證書，但可以頒發(fā)其他類型的證書并存儲在智能卡上。⑥管理員必須向域用戶的信任根存儲區(qū)明確分配獨(dú)立CA的證書，或者必須讓用戶自己執(zhí)行該任務(wù)。

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機(jī)構(gòu)3．微軟的4種CA（1）企業(yè)根CA。證書層次結(jié)構(gòu)中的最高級證書頒發(fā)機(jī)構(gòu)，需要ActiveDirectory，自行簽發(fā)自己的CA證書，并將該證書發(fā)布至域中所有Windows2000服務(wù)器和工作站上。這種CA安裝在域控制器或者域成員計(jì)算機(jī)上。（2）企業(yè)從屬CA。必須從另一證書頒發(fā)機(jī)構(gòu)獲得自己的CA證書。如果使用ActiveDirectory、證書模板和智能卡登錄到Windows2000計(jì)算機(jī)時，應(yīng)選用這種類型。（3）獨(dú)立根CA。也是證書層次結(jié)構(gòu)中的最高級證書頒發(fā)機(jī)構(gòu)，它不需要ActiveDirectory支持，適于作為獨(dú)立的證書頒發(fā)機(jī)構(gòu)，向外部發(fā)放證書。獨(dú)立CA安裝在獨(dú)立的服務(wù)器上。（4）獨(dú)立從屬CA。必須從另一證書頒發(fā)機(jī)構(gòu)獲得自己的CA證書，用于建立多層次的獨(dú)立證書頒發(fā)體系。

SXTU-INC-YW

9.3.3規(guī)劃證書頒發(fā)機(jī)構(gòu)4．規(guī)劃證書層次結(jié)構(gòu)通過根CA和從屬CA可建立證書層次結(jié)構(gòu)，如圖9.9所示。

圖9.9證書頒發(fā)層次體系

SXTU-INC-YW

9.3.4安裝證書服務(wù)安裝企業(yè)CA需要ActiveDirectory環(huán)境，證書服務(wù)器必須是域控制器或域成員服務(wù)器。本例是在域控制器上安裝企業(yè)根CA，用于為政府內(nèi)部提供證書服務(wù)。

（1）鼠標(biāo)左鍵雙擊“控制面板”中的“添加/刪除程序”，選擇“添加/刪除Windows組件”，然后從“組件”列表中選取“證書服務(wù)”。（2）鼠標(biāo)左鍵單擊“下一步”按鈕，打開“Microsoft證書服務(wù)”對話框，系統(tǒng)提示安裝證書服務(wù)后，不能更改計(jì)算機(jī)名，也不能將計(jì)算機(jī)加入到域或從域中刪除，鼠標(biāo)左鍵單擊“是”按鈕。

SXTU-INC-YW

9.3.4安裝證書服務(wù)（3）選擇證書頒發(fā)機(jī)構(gòu)（CA）類型，如圖9.10所示的對話框，。共有4種類型，這里選擇默認(rèn)的“企業(yè)根CA”，然后鼠標(biāo)左鍵單擊“下一步”按鈕。圖9.10選擇證書頒發(fā)機(jī)構(gòu)類型

SXTU-INC-YW

9.3.4安裝證書服務(wù)（4）如果選擇“高級選項(xiàng)”復(fù)選框，將打開如圖9.11所示的對話框，設(shè)置加密服務(wù)提供程序、密鑰長度和散列算法，否則直接進(jìn)入下一操作步驟。一般來說，密鑰越長越安全，不過應(yīng)注意的是較長的密鑰，需要花更長的時間才能生成。圖9.11設(shè)置證書類型的高級選項(xiàng)

SXTU-INC-YW

9.3.4安裝證書服務(wù)（5）設(shè)置證書頒發(fā)機(jī)構(gòu)標(biāo)識信息，如圖9.12所示?！癈A名稱”就是證書頒發(fā)機(jī)構(gòu)的命名，對于ActiveDirectory體系，它也是一個公用名稱。對于根證書頒發(fā)機(jī)構(gòu)，“有效期”應(yīng)當(dāng)長一些，以減少頻繁續(xù)訂根證書的要求。圖9.12設(shè)置證書頒發(fā)機(jī)構(gòu)標(biāo)識信息

SXTU-INC-YW

9.3.4安裝證書服務(wù)（6）設(shè)置證書服務(wù)數(shù)據(jù)庫的存儲位置，如圖9.13所示的對話框。證書服務(wù)對數(shù)據(jù)庫、配置數(shù)據(jù)、備份數(shù)據(jù)和記錄數(shù)據(jù)使用本地存儲設(shè)備。“證書數(shù)據(jù)庫”和“證書數(shù)據(jù)庫日志”分別指定證書數(shù)據(jù)庫和日志記錄的存儲位置，使用默認(rèn)值即可。

圖9.13設(shè)置證書數(shù)據(jù)庫存儲位置

SXTU-INC-YW

9.3.4安裝證書服務(wù)（7）鼠標(biāo)左鍵單擊“下一步”按鈕，如果計(jì)算機(jī)上正在運(yùn)行IIS，系統(tǒng)就提示立即停止IIS服務(wù)，鼠標(biāo)左鍵單擊“確定”按鈕，開始安裝證書服務(wù)相關(guān)的組件和程序，直至完成。安裝完畢，證書服務(wù)將自動啟動，這樣也就建成了一個基本的證書頒發(fā)機(jī)構(gòu)。安裝有證書服務(wù)的計(jì)算機(jī)即為證書服務(wù)器。

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理1．管理證書

選擇“開始”→“程序”→“管理工具”→“證書頒發(fā)機(jī)構(gòu)”，即可打開如圖9.14所示的“證書頒發(fā)機(jī)構(gòu)”管理單元，通過該管理單元對證書頒發(fā)機(jī)構(gòu)進(jìn)行管理和配置。圖9.14“證書頒發(fā)機(jī)構(gòu)”管理單元

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理2．配置策略模塊（1）從“證書頒發(fā)機(jī)構(gòu)”管理單元中選擇相應(yīng)的證書服務(wù)，單擊鼠標(biāo)右鍵，從快捷菜單中選擇“屬性”，打開屬性設(shè)置對話框，切換到“策略模塊”選項(xiàng)卡，鼠標(biāo)左鍵單擊“配置”按鈕，打開如圖9.15所示的對話框。對于企業(yè)CA來說，“始終頒發(fā)證書”是惟一的選擇，根據(jù)用戶申請自動頒發(fā)證書。圖9.15設(shè)置頒發(fā)證書的默認(rèn)操作

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理（2）切換到如圖9.16所示的“X.509擴(kuò)展”選項(xiàng)卡，可以添加或刪除用戶獲取證書吊銷列表和證書的URL地址。企業(yè)CA的證書服務(wù)提供基于Web和LDAP的訪問，這些URL地址可以是HTTP、LDAP或文件地址。其中“%SERVER

DNS

NAME%”表示證書名稱。圖9.16設(shè)置獲取證書吊銷列表和證書的位置

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理（3）回到證書服務(wù)屬性設(shè)置對話框，切換到“退出模塊”，鼠標(biāo)左鍵單擊“配置”按鈕，打開如圖9.17所示的對話框，選中“允許在ActiveDirectory中發(fā)行征書”復(fù)選框。圖9.17設(shè)置證書發(fā)行

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理3．備份和還原證書頒發(fā)機(jī)構(gòu)

備份和還原操作的目的是保護(hù)證書頒發(fā)機(jī)構(gòu)及其可操作數(shù)據(jù)，以免因硬件或存儲媒體出現(xiàn)故障而導(dǎo)致數(shù)據(jù)丟失。通過使用證書頒發(fā)機(jī)構(gòu)管理單元可以備份和還原：公鑰、私鑰和CA證書，證書數(shù)據(jù)庫，公鑰和私鑰使用PKCS12的PFX格式備份或還原等類的信息。證書頒發(fā)機(jī)構(gòu)提供了備份向?qū)Ш瓦€原向?qū)А９芾韱卧x擇相應(yīng)的證書服務(wù)，單擊鼠標(biāo)右鍵，從快捷菜單中選擇“所有任務(wù)”→“備份CA”或“還原CA”，即可啟動向?qū)С绦颉?/p>

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理4．續(xù)訂CA證書由證書頒發(fā)機(jī)構(gòu)所頒發(fā)的每一份證書都具有有效期限。CA的生存時間包括其所有CA證書的過去和現(xiàn)在的有效期。證書服務(wù)強(qiáng)行實(shí)施的規(guī)則是，CA永遠(yuǎn)不會頒發(fā)在超出自己證書的到期時間后有效的證書。因此，當(dāng)CA自身的證書達(dá)到它的有效期時，它頒發(fā)的所有證書也將到期。這樣，如果CA因?yàn)槟撤N目的沒有續(xù)訂，并且CA的生存時間已到，則管理員確認(rèn)當(dāng)前到期的CA發(fā)出的所有證書不再作有效的安全憑據(jù)。

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理5．管理證書模板默認(rèn)情況下，提供的證書模板有限，可根據(jù)需要添加，操作步驟如下。（1）以管理員身份登錄到系統(tǒng)，打開“證書頒發(fā)機(jī)構(gòu)”管理單元。鼠標(biāo)左鍵單擊控制臺左側(cè)列表中的“策略設(shè)置”，右側(cè)窗格中顯示已有的證書模板列表。如圖9.18所示。圖9.18查看現(xiàn)有證書模板

SXTU-INC-YW

9.3.5證書頒發(fā)機(jī)構(gòu)的配置和管理5．管理證書模板（2）在“操作”菜單上選擇“新建”→“要頒發(fā)的證書”，打開如圖9.19所示的對話框。從列表中選擇要使用的新證書模板，并單擊“確定”按鈕。圖9.19選擇證書模板

SXTU-INC-YW

9.3.6證書申請和注冊證書注冊是請求、接收和安裝證書的過程。無論是用戶、計(jì)算機(jī)還是服務(wù)，要想利用證書，必須首先從證書服務(wù)器獲得有效的證書?？梢酝ㄟ^：①組策略自動請求證書，②使用證書申請向?qū)?，③瀏覽器獲得證書等3種方式獲取證書。1.通過組策略自動請求證書

在活動目錄域環(huán)境中，通過使用公鑰策略中的自動證書設(shè)置，活動目錄域或組織單位的計(jì)算機(jī)成員可以向Windows2000企業(yè)證書服務(wù)器自動請求證書，這樣就不用為每臺計(jì)算機(jī)注冊與計(jì)算機(jī)相關(guān)的證書。只有運(yùn)行Windows2000或WindowsXP的域成員計(jì)算機(jī)能夠自動請求證書。配置自動證書注冊的關(guān)鍵是在組策略創(chuàng)建自動證書請求。

SXTU-INC-YW

9.3.6證書申請和注冊2.使用MMC手工申請證書

符合下列條件才能使用證書申請向?qū)А＃?）ActiveDirectory環(huán)境。（2）客戶端計(jì)算機(jī)運(yùn)行Windows2000或WindowsXP，并且加入到域作為域成員。（3）證書頒發(fā)機(jī)構(gòu)必須是Windows2000企業(yè)CA。證書申請向?qū)褂没贛MC（管理控制臺）的證書管理單元，能夠直接從企業(yè)CA獲取證書。在使用證書管理單元之前，必須將其添加到MMC控制臺。

SXTU-INC-YW

9.3.6證書申請和注冊3．使用Web瀏覽器申請證書使用Web瀏覽器申請證書是一種更通用，自定義功能更強(qiáng)的方法。遇到以下情況之一時，一般采用這種方法。①受理申請的證書頒發(fā)機(jī)構(gòu)為Windows2000獨(dú)立CA，或者是通過Internet提供證書服務(wù)的第三方證書服務(wù)器。②客戶端計(jì)算機(jī)運(yùn)行Windows操作系統(tǒng)，如Macintosh（Apple機(jī)）、Linux等。③客戶端計(jì)算機(jī)運(yùn)行Windows98/Me/NT。④客戶端計(jì)算機(jī)運(yùn)行Windows2000/XP，但不是域成員，或不能訪問域控制器。⑤客戶端計(jì)算機(jī)需要通過NAT服務(wù)器來訪問證書服務(wù)器。

SXTU-INC-YW

9.3.6證書申請和注冊下面以使用IE瀏覽器申請證書Windows2000企業(yè)CA為例，說明操作過程。（1）打開IE瀏覽器，在地址欄中輸入證書頒發(fā)機(jī)構(gòu)的URL地址。對于集成到IIS的證書服務(wù)，其地址為“http://servername/certsrv”。默認(rèn)情況下，將出現(xiàn)“輸入網(wǎng)絡(luò)密碼”對話框，要求使用Web瀏覽器的證書申請者提供用戶名和密碼。驗(yàn)證通過后，將出現(xiàn)如圖9.20所示的對話框。圖9.20基于Web的證書申請頁面

SXTU-INC-YW

9.3.6證書申請和注冊（2）選擇“申請證書”。鼠標(biāo)左鍵單擊“下一步”按鈕，出現(xiàn)“選擇申請類型”界面，這里選擇“高級申請”單選鈕。如圖9.21所示。圖9.21選擇證書申請類型

SXTU-INC-YW

9.3.6證書申請和注冊（3）選擇高級證書申請方式。鼠標(biāo)左鍵單擊“下一步”按鈕，出現(xiàn)“高級證書申請”界面，如圖9.22所示。共有3個選項(xiàng)，這里選擇第1個選項(xiàng)，以表格形式提交申請。圖9.22高級證書申請方式

SXTU-INC-YW

9.3.6證書申請和注冊（4）填寫申請表單。鼠標(biāo)左鍵單擊“下一步”按鈕，出現(xiàn)“填寫申請表單”界面，如圖9.23所示。在“證書模板”下拉列表中選擇所需的證書類型。其他要注意的選項(xiàng)填寫如下。①“CSP”（加密服務(wù)提供程序）。MicrosoftBaseCryptographicProviderv1.0②“密鑰用法”。簽名或者兩者。③“密鑰大小”。512。如果CSP選擇“MicrosoftEnhancedCryptographicProvider”，則可以選擇較大的密鑰值。但是，注冊申請可能會失敗，因?yàn)閃indows2000的版本可能沒有安裝StrongCryptographyPack（加固密碼系統(tǒng)組件）。④“創(chuàng)建新密鑰對”。選中該選項(xiàng)。⑤“使用本地機(jī)器保存”。對于計(jì)算機(jī)身份驗(yàn)證應(yīng)選中該復(fù)選框。

SXTU-INC-YW

9.3.6證書申請和注冊（5）安裝此證書。鼠標(biāo)左鍵單擊“提交”（由于企業(yè)證書服務(wù)器自動頒發(fā)證書，因此用戶會立即收到證書已發(fā)布的通知信息）如圖9.24所示。鼠標(biāo)左鍵單擊“安裝此證書”，即開始安裝，證書已經(jīng)成功安裝提示，如圖9.25所示。

圖9.24安裝證書

圖9.25安裝證書成功

SXTU-INC-YW

9.3.6證書申請和注冊（6）完成證書安裝后，關(guān)閉IE瀏覽器。要進(jìn)一步查看獲得的證書，可通過“客戶端證書管理”進(jìn)行。在企業(yè)證書服務(wù)器上打開Internet信息服務(wù)管理器，用鼠標(biāo)右鍵單擊“默認(rèn)Web站點(diǎn)”的CertSrv目錄。再鼠標(biāo)左鍵單擊“屬性”，在“目錄安全性”選項(xiàng)卡單擊“匿名訪問和身份驗(yàn)證控制”下的“編輯”，打開“驗(yàn)證方法”對話框，只選擇“集成Windows驗(yàn)證”復(fù)選框，如圖9.26所示。

圖9.26設(shè)置證書頒發(fā)機(jī)構(gòu)的Web目錄安全性

SXTU-INC-YW

9.3.7客戶端的證書管理客戶端的證書管理主要包括申請和安裝證書，從證書存儲區(qū)查找、查看、導(dǎo)入和導(dǎo)出證書。導(dǎo)入和導(dǎo)出證書也是常用的客戶證書還原和備份手段。對于Window98計(jì)算機(jī)來說，一般使用支持安全功能的瀏覽器（如IE）來進(jìn)行管理。Windows2000/XP計(jì)算機(jī)則提供了基于MMC的證書管理單元，功能更強(qiáng)大。使用Windows2000證書管理單元可管理用戶、計(jì)算機(jī)或服務(wù)的證書。

SXTU-INC-YW

9.3.7客戶端的證書管理可以查看現(xiàn)有證書的細(xì)節(jié)。如圖9.27所示，展開MMC控制臺樹；鼠標(biāo)左鍵雙擊要查看的證書，打開如圖9.28所示的對話框，查看基本信息。

圖9.27展開MMC控制臺樹

圖9.28查看證書基本信息

SXTU-INC-YW

9.3.7客戶端的證書管理切換到“詳細(xì)信息”選項(xiàng)卡，如圖9.29示，查看詳細(xì)信息，顯示該證書的每個字段和擴(kuò)展字段。切換“證書路徑”選項(xiàng)卡，查看證書的發(fā)行關(guān)系和證書頒發(fā)信任路徑，如圖9.30示。

圖9.29查看證書詳細(xì)信息

圖9.30查看證書路徑信息

SXTU-INC-YW

9.3.7客戶端的證書管理檢查受信任的根證書頒發(fā)機(jī)構(gòu)。在MMC控制臺中展開“受信任的根證收頒發(fā)機(jī)構(gòu)”，然后鼠標(biāo)左擊“證書”文件夾，如圖9.31示。

圖9.31查找根證書頒發(fā)機(jī)構(gòu)證書

SXTU-INC-YW

9.3.7客戶端的證書管理查找?guī)в蓄C發(fā)者證書頒發(fā)機(jī)構(gòu)（這里為myCA）的名稱的證書，然后查看該證書是否有效，如圖9.32示。

圖9.32查找根證書頒發(fā)機(jī)構(gòu)證書常規(guī)選項(xiàng)

SXTU-INC-YW

9.3.7客戶端的證書管理打開證書管理單元，選擇菜單“查看”→“選項(xiàng)”，選擇證書模式。這里選擇“證書目的”，鼠標(biāo)左鍵單擊“確定”按鈕，將切換到如圖9.33所示的界面，按證書用途來顯示排列證書。

圖9.33“證書目的”視圖模式

SXTU-INC-YW

9.4基于SSL的Web安全機(jī)制9.4.1SSL安全機(jī)制SSL是一種安全性很高的認(rèn)證方式，是通過SSL安全機(jī)制使用的數(shù)字證書。SSL位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端?？蛻舳穗S機(jī)生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器；而會話密鑰只有在服務(wù)器端用私人密鑰才能解密。這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。

SXTU-INC-YW

9.4基于SSL的Web安全機(jī)制9.4.2基于SSL的Web服務(wù)器在瀏覽器和IISWeb服務(wù)器之間建立SSL連接，必須具備以下條件。（1）在Web服務(wù)器上安裝“證書服務(wù)”組件。（2）從可信的證書頒發(fā)機(jī)構(gòu)獲取Web服務(wù)器證書。（3）在Web服務(wù)器上安裝服務(wù)器證書。（4）在Web服務(wù)器上設(shè)置SSL選項(xiàng)。（5）客戶端必須同Web服務(wù)器信任同一證書認(rèn)證機(jī)構(gòu)（安裝CA證書）。IIS5.0提供了三個新的安全任務(wù)向?qū)?，用來簡化大多?shù)維護(hù)Web站點(diǎn)的安全所需的安全任務(wù)。

SXTU-INC-YW

9.4基于SSL的Web安全機(jī)制9.4.2基于SSL的Web服務(wù)器（6）Web服務(wù)器證書向?qū)в脕砉芾鞩IS和服務(wù)器證書中的SSL。（7）CTL向?qū)в脕砉芾碜C書信任列表（CTL，CertificateTrustList）。證書信任列表列出了每個Web站點(diǎn)或虛擬目錄所信任的證書頒發(fā)機(jī)構(gòu)。（8）權(quán)限向?qū)Х峙鋀eb和NTFS訪問權(quán)限給Web站點(diǎn)、虛擬目錄以及服務(wù)器上的文件。建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時，輸入https://，而不是http://。

SXTU-INC-YW

9.5電子政務(wù)VPN的建立及使用9.5.1VPN技術(shù)與類型1.VPN技術(shù)：要能夠使得政務(wù)網(wǎng)內(nèi)一個局域網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達(dá)另一個局域網(wǎng)，VPN采用了一種稱之為隧道的技術(shù)。如圖9.34所示。

圖9.34基于隧道的VPN網(wǎng)絡(luò)

SXTU-INC-YW

9.5.1VPN技術(shù)與類型根據(jù)ISO模型，VPN的主要協(xié)議如表9.2所示。

表9.2VPN的主要協(xié)議標(biāo)準(zhǔn)

OSI模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理

會話層傳輸層會話層代理SOCKSv5/SSL網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2F/L2TP

SXTU-INC-YW

9.5.1VPN技術(shù)與類型2.VPN類型（1）AccessVPN（遠(yuǎn)程訪問虛擬專網(wǎng)）（2）IntranetVPN（內(nèi)部虛擬專網(wǎng)）（3）ExtranetVPN（擴(kuò)展內(nèi)部虛擬專網(wǎng)）

該類型與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)相對應(yīng)。在AccessVPN方式下，遠(yuǎn)端用戶不需要通過長途電話撥號到政府遠(yuǎn)程接入端口，而是撥號接入到用戶本地的ISP，利用VPN系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸通道。該類型與政府內(nèi)部的Intranet相對應(yīng)。在IntranetVPN方式下，政府兩個異地機(jī)構(gòu)的局域網(wǎng)互連不租用專線，而是政府分支機(jī)構(gòu)網(wǎng)絡(luò)利用VPN特性可以在ChinaNET上組建省、市和縣范圍內(nèi)的IntranetVPN。該類型與政府網(wǎng)和相關(guān)企業(yè)網(wǎng)、教育網(wǎng)所構(gòu)成的Extranet相對應(yīng)。該類型與IntranetVPN沒有本質(zhì)的區(qū)別，但由于是不同集團(tuán)用戶的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問題。

SXTU-INC-YW

9.5.2VPN方案選型以北京天融信網(wǎng)絡(luò)安全有限公司的VPN產(chǎn)品為例，介紹端到端的VPN解決方案。天融信的VPN產(chǎn)品由三部分組成。它們是網(wǎng)關(guān)VPN、VPN客戶端VRC（VPNRemoteClient），以及VPN安全集中管理系統(tǒng)SCM（SecurityCenterManager）。網(wǎng)關(guān)VPN，包括SJW11-A網(wǎng)絡(luò)密碼機(jī)及帶VPN功能的防火墻系列產(chǎn)品。主要用于網(wǎng)絡(luò)邊界處，可以提供邊界與邊界之間，邊界與客戶端之間的傳輸加密和認(rèn)證，支持SCM統(tǒng)一管理。SJW11-A具有多個網(wǎng)絡(luò)接口，可安裝于政府內(nèi)網(wǎng)的各局域網(wǎng)出口處，或安裝于政府內(nèi)網(wǎng)與外網(wǎng)的接口處。

SXTU-INC-YW

9.5.2VPN方案選型以北京天融信網(wǎng)絡(luò)安全有限公司的VPN產(chǎn)品為例，介紹端到端的VPN解決方案。VPN客戶端VRC主要用于客戶端?？梢蕴峁┳烂媾c桌面、桌面與邊界之間的傳輸加密和認(rèn)證，支持SCM統(tǒng)一管理。VRC運(yùn)行于Windows98/2000/XP平臺，可以滿足移動用戶、家庭辦公用戶、分支機(jī)構(gòu)用戶的需求。TOPSEC密鑰存儲器。VRC客戶端密鑰的存儲TOPSEC-KEY，用于客戶端的證書和密鑰信息存儲加密，可以和VPN網(wǎng)關(guān)和VRC配合使用。VPN安全集中管理系統(tǒng)SCM支持對網(wǎng)關(guān)VPN和VRC策略集中管理、安裝配置自動分發(fā)和運(yùn)行監(jiān)控等功能。SCM主要用于網(wǎng)絡(luò)邊界處，可以提供邊界與邊界之間，邊界與客戶端之間傳輸?shù)募用芎驼J(rèn)證，支持SCM統(tǒng)一管理。

SXTU-INC-YW

9.5.3基于VPN的政務(wù)網(wǎng)絡(luò)互連市政府網(wǎng)絡(luò)和縣分支網(wǎng)絡(luò)均在同一個大的局域網(wǎng)里，IP可以任意分配。要求各縣分支網(wǎng)絡(luò)能夠安全訪問市政府網(wǎng)絡(luò)的同時，各縣分支網(wǎng)絡(luò)之間也能實(shí)現(xiàn)安全訪問。

1.方案設(shè)計(jì)圖9.35基于VPN政務(wù)網(wǎng)絡(luò)互連拓?fù)鋱D

SXTU-INC-YW

9.5.3基于VPN的政務(wù)網(wǎng)絡(luò)互連（1）端到端的隧道通信。

（2）網(wǎng)絡(luò)到網(wǎng)絡(luò)的隧道通信。

（3）端到網(wǎng)絡(luò)的隧道通信。

2.系統(tǒng)運(yùn)行市政府網(wǎng)內(nèi)部計(jì)算機(jī)和縣政府內(nèi)部計(jì)算機(jī)都已經(jīng)分別安裝了VRC軟件，當(dāng)市政府計(jì)算機(jī)和某縣政府計(jì)算機(jī)需要通信時，VRC軟件會自動從SCM處獲得隧道政策，然后在市政府計(jì)算機(jī)和縣政府計(jì)算機(jī)之間建立端到端的隧道。在市政府計(jì)算機(jī)和縣政府計(jì)算機(jī)的所有通信都可以通過這條隧道進(jìn)行保護(hù)，從而實(shí)現(xiàn)了政府網(wǎng)內(nèi)部主機(jī)的私有通信。此外在任意兩縣政府網(wǎng)的計(jì)算機(jī)之間，同樣也通過VRC軟件建立了端到端的加密隧道。這樣也就實(shí)現(xiàn)了不同網(wǎng)絡(luò)之間主機(jī)的私有通信。市政府內(nèi)部網(wǎng)和縣的分支機(jī)構(gòu)網(wǎng)絡(luò)已經(jīng)安裝了VPN網(wǎng)關(guān)SJW11-