[ 5] [ 4]
图3
全支撑平台相融合的软交换体系结构
其中接入层可以包含三类媒体网关设备 : IP 中继网 关、 ATM 中继网关、 综合业务网关。软交换设备的功能包 含在控制层面中, 完成对接入层中的所有媒体网关的业务 控制及媒体网关之间的通信控制 , 提供综合业务的呼叫控 制、 连接和部分业务功能 。 电子政务相关应用包含在应用服务层之中, 包括电子 邮件系统、 网络会议系统、 网络 办公系统、 信息交换系统 等。 电子政务的安全由信任服务层来实现。信任服务层 位于网络应用层 , 但其功能包含于 软交换体系的各个层
建立在 PKI 基础上的可信授权服务系统, 以向用户和 应用程序提供权限管理和授权服务为目标, 主要负责向业 务应用系统提供与应用相关的授权服务管理 , 提供用户身 份到应用授权的映射功能, 实现与实际应用处理模式相对 应的、 与具体应用系统开发和管理无关的访问控制机制。 ( 7) 责任认定服务系统。 责任认定系统是一个集中管理的系统 , 把分布在各种 业务系统上的审计记录收集到中央数据库中。责任认定 系统的系统管理采用基于数字证书的身份认证, 对系统所 做的操作进行签名, 并将签名结果保存 , 保证责任认定系 统管理的安全性。 可见, 信任服务层通过密码服务系统、 密钥管理系统、 证书业务服务系统、 证书查询验证 服务系统等所构成的 PKI 基础设施来为各个层面提供安全的支撑, 最终提供授 权服务、 责任认定服务等安全保障。 3. 2 软交换在电子政务安全支撑平台网络中的位置 软交换在电子政务安全支撑平台网络中的位置如图 4 所示。
面的相关应用需求已经越来越迫切[ 6] 。构架在 IP 网络之 上的电子政务同样需要解决多媒体数据的有效传输问题, 既保证传输质量又保证传输速度。
图2
支撑平台的典型系统结构
新一代网络通过三网合一能够成功解决多媒体的传 输问题。如何在电子政务中安全地应用新一代网络的理 念, 把软交换技术和电子政务安全支撑平台相融合, 是电 子政务发展中要考虑的新问题[ 7] 。 图 3 给出了软交换与安全支撑平台相融合拓展后的 软交换体系结构图。
2 电子政务安全支撑平台
电子政务安全支撑平台以密码技术和 PKI 技术为基础 , 结合计算机技术和通信技术, 为电 子政务提供安全的应用支撑 , 为业务应用系统提 供身份认证、 授权管理和责任认定、 应用整合等 服务, 解决安全的互联互通问题、 安全的信息共 享等问题[ 3] 。 电子政务安全支撑平台是一个整体的、 系统 的安全解决方案, 从客户端到服务器端, 从有线 到无线系统 , 从密码算法到具体系统设备, 从网 络层到应用层 , 针对不同开发时期、 不同开发单 位、 不同开发平台的业务应用系统, 通过可信应 用整合与信息交换平台, 实现安全互联互通、 信 息共享与流程协同 。 电子政务系统可分为网络基础设施、 安全支 撑平台、 应用支撑平台以及电子政务业务应用等 四个部分。其中安全支撑平台包括证书业务服务系统、 证 书查询验证服务系统、 可信时间戳服务系统、 策略服务系 统、 授权管理系统、 安全管理系统、 责任认定系统、 密钥管 理系统和密码服务系统。安全支撑平台从网络层、 应用支 撑层和业务应用层提供信息安全支撑服务 。 安全支撑平台构成的典型系统结构如图 2 所示。
, 如图 1 所示。
图 1 交换体系分层结 构
* 接入层。 软交换技术将传统的业务接入功能独立成为一个物 理实体 , 称为媒体网关 ( MG) 。MG 采用各种手段将各种 用户及业务接入到软交换网络中 , 完成数据格式和协议的 转换, 将接入的所有媒体信息流均转换为采用 IP 协议的 数据包在软交换网络中传送。 * 传输层。 传输层将接入层中的各种媒体网关、 控制层中的软交 换机、 业务应用层中的各种服务器平台等各个软交换网网
Abstract: The concept ion an d t echnology of securit y support platf orm become more and more mat ure in th e building of E- government . T he applicat ion of Sof t Sw rit ch( SS ) , t he core technology of next gen erat ion net work ( NG N ) , in t he E- goverrnment is t he general ten dency in f uture building of government . It w ill be a great important problem t hat how t o build securit y supporting plat form in the next gen erat ion E- government . The paper introduces the SS and E- government securit y support ing plat form separately. In addit ion, it gives imagine of th e combinat ion of t hem , including the system f ramew ork af t er combining. Finally, it gives t he next generation E- government syst em st ruct ure. Key words: next generat ion net w ork ; soft sw itch; E- government ; security support ing plat form
! 156 !
微机发展
第 15 卷
元连接起来。 * 控制层。 软交换技术将传统的交换功能独立成为一个物理实 体, 称为软交换机( SS) , SS 的主要功能是完成对接入层中 的所有媒体网关的业务控制及媒体网关之间通信的控制。 * 网络服务层。 网络服务层是在呼叫建立的基础上提供额外的服务。 ( 2) 狭义上的软交换。 狭义上讲, 软交换指软交换设备 , 定位在控制层 , 可以 理解为硬件软件化 , 通过软件的方式来实现原来交换机的 控制、 接续和业务处理等功能。各实体之间通过标准的协 议进行连接和通信, 便于在 NGN 中更快地实现各类复杂 的协议 , 更方便地提供业务 [ 2] 。 1. 2 引入软交换的意义 软交换体系的一个优势在于实现三网合一, 即把原有 的电信网、 互联网、 有线电视网融合为一个 NGN 网, 为用 户提供话音、 数据和视频业务 , 以及其它融合业务。软交 换体系的另一个优势在于其可利用第三方的力量 , 由开放 的 APIs 与第三方的应用服务器相连, 灵活、 迅速地提供业 务。
Next Generation E- Government System Structure
QIU Ping, ZHOU Li hua, WANG Kun
( Institute of M ultimedia, School of Postg raduate , Xidian University, X i an 710071, China)
用, 是新一代电子政务建设的大势所趋。如何在新一代电子政务中建设安全支撑平台即成为目前的重要研究课题。文中 在分别对软交换和电子政务安全支撑平台进行介绍的基础上, 提出了软交换与电子政务相融合的设想 , 给出了融合后的体 系结构框架 , 从而设计了新一代网络电子政务的体系结构。 关键词 : 下一代网络( N GN) ; 软交换( SS) ; 电子政务; 安全支撑平台 中图分类号 : C931 9 文献标识码: A 文章编号: 1005- 3751( 2005) 07- 0155- 03
[ 8]
3 新一代电子政务体系结构
3. 1 与安全支撑平台相融合拓展后的软交换体系 随着电子政务的不断开展, 网络会议、 网络办公等方
第7期
仇
平等 : 新一代电子政务体系结构
! 157 !
面。信任服务层与软交换体系各层之间信息交互通过 SIP 协议来完成。信任服务层基于公钥基础设施 PK I 技术, 为 新一代网络综合业务支撑平台提供从终端层到应用服务 层的信任服务、 授权服务、 责任认定服务等安全保障。信 任服务层与各个层面的关系可以通过信任服务层各个系 统的协同工作体现出来。 ( 1) 密码服务系统。密码服务系统是安全支撑平台的 基础, 主要提供包括加 / 解密、 签名/ 验签、 数字信封等安全 服务, 以支持信息的机密性、 完整性、 不可抵赖性, 实现身 [ 9] 份认证和有效授权 。 ( 2) 密钥管理系统。密钥管理系统 [ 10] 是安全支撑平 台的基础, 是信任服务体系中的一个重要组成。密钥管理 系统主要负责向电子政务证书认证系统以及电子政务应 用系统提供密钥的管理服务 , 包括密钥管理策略的制订、 密钥的生成、 密钥的发送、 密钥的存储等, 同时提供特殊密 钥恢复功能。 ( 3) 证书业务服务系统。证书业务服务系统是安全支 撑平台信任服务体系的核心系统之一 , 在密码服务系统和 密钥管理系统的基础上, 通过构建证书认证系统 CA 和证 书审核注册系统 RA 提供数字证书的生产服务 [ 11] 。 其中 CA 系统提供数字证书签发、 发布、 管理等服 务, RA 系统提供数字证书的申请、 注册、 审核等服 务。 * 证书认证系统。 证书认证系统 CA 基于密码技术 , 以 PKI 安全 中间件提供的安全操作服务为基础 , 实现数字证书 / 证书撤销列表的签发、 发布以及相关的管理功能。 * 证书审核注册系统。 数字证书审核注册机构 RA 接受用户注册审 核请求 , 将用户的证书请求安全可信地提交到证书 认证系统 CA, 管理用户资料 , 接受用户申请 , 完成 用户数字证书申请的注册 受理、 用户数字 证书下 载、 数字证书的撤销、 数字证书的暂停与暂停恢复、 数字证书的更新等业务操作。 ( 4) 证书查询验证服务系统。 证书查询验证服务系统是安全支撑平台的重要组成 部分之一, 为应用支撑平台及业务应用系统提供证书查询 验证服务, 包括目录查询服务和证书在线状态查询服务。 证书查询验证服务系统直接面向用户提供证书查询、 证书 下载、 证书有效性查询及证书撤销列表的下载等功能。 ( 5) 安全策略服务系统。 安全策略服务系统负责制定、 维护和管理策略证书, 是签发策略证书的唯一的权威机构, 具有签发和发布策略 证书的功能。它注册并保存策略证书 , 策略证书的内容仅 涉及对各机构支持的共性的加密动作的算法集, 同时 PA 为每个机构定制的策略只包括密码算法。 ( 6) 可信授权服务系统。