2.2.3數字時間戳

數字時間戳（DTS：digital time stamp）是信息安全服務項目之一，提供電子文件日期和時間信息的安全保護。DTS是一個經加密形成的憑證文檔，包括需加DTS的文件摘要、DTS收到文件的日期和時間、DTS的數字簽名。

2.2.4 PKI中間件

PKI中間件是以PKI為基礎，遵循國際、國內安全標準，麵向信息安全應用，提供數字證書安全服務的開放式中間件。通過PKI中間件與信息係統的集成，可以實現不同層麵的係統安全。諸如Java Applet、WWW服務器插件和應用服務器端Java Servlets等都需要數據加解密、密鑰生成、數字簽名等密碼運算和證書管理，應根據具體應用環境選用不同的加密設備。

2.2.5 PMI中間件

身份驗證組件用於鑒別用戶身份，應用係統根據自身安全需要選擇使用強/弱身份認證。權限驗證組件用於審查合法用戶的訪問權限，對於合法用戶，該組件將從LDAP服務器上獲得用戶屬性證書，根據授權管理訪問策略，判斷是否授權用戶訪問。

3 PKI/CA技術應用

3.1開機登錄

將加密硬件設備安裝於電腦主機上，當打開主機時，係統會驗證使用者的身份。這時隻有證書的合法持有人將載有證書的介質（USBKEY、IC卡等）插入識別器，經識別器驗證通過之後才能將機器打開。

3.2應用係統登錄

使用數字證書登錄應用係統時，用戶將證書存儲介質（如USBKEY）插入讀取器，應用係統向USBKEY讀取用戶信息，如用戶登錄名；由用戶在登陸界麵輸入PIN碼。PIN碼輸入正確後，係統再讀取證書和密鑰對用戶的身份進行驗證，驗證通過才能登錄到應用係統。USBKEY的“雙因子認證”方式從根本上杜絕了黑客盜取用戶名和密碼就能登錄應用係統的可能。

3.3加密和解密

電子政務的文件傳輸，由於涉密原因不能采用明文方式，而應該采用基於PKI/CA技術的“加密—傳輸—解密”方式。PKI基於RSA非對稱加密算法，同時與對稱加密算法混合使用，從而保證了信息的保密性和傳輸的高效性。

3.4簽名和驗證

數字簽名作為電子簽名的一種，具有更好的應用安全性和可操作性，保證了信息的“不可抵賴性”。 數字簽名就是一種可靠的電子簽名，發送方采用HASH算法和RSA算法，使用簽名私鑰對文件進行簽名，接收方用發送方證書中所含的公鑰對簽名進行驗證。

3.5安全Email服務

數字證書與Email應用軟件的結合使用使得發件人可以使用證書對郵件加密或者簽名，或者既加密又簽名，隻有郵件的合法收件人才能加密和驗證郵件內容。

3.6支付平台

電子政務中涉及資金支付的業務對信息安全提出了更高要求。如招標采購、資金結算、辦公超市、資產管理等政務活動，都需要建立可信的支付平台，PKI/CA技術實現了安全的身份認證、保密傳輸、簽名驗證等功能，為電子政務的發展保駕護航。

參考文獻

[1]《中華人民共和國電子簽名法》.

[2]《電子認證服務管理辦法》（中華人民共和國工業和信息化部令第1號）.

[3]荊繼武，等.信息安全國家重點實驗室信息安全叢書·PKI技術.科學出版社，2008（5）.