第4章电子政务的信息技术架构.ppt

中央财经大学中央财经大学©2007年年8月月 E-GovernmentE-Government国家国家国家国家“ “十一五十一五十一五十一五” ”规划教材规划教材规划教材规划教材 电子政务电子政务电子政务电子政务孙宝文孙宝文 王天梅王天梅 主编主编第四章第四章 电子政务的信息技术架构电子政务的信息技术架构孙宝文 王天梅 主编第四章第四章 电子政务的信息技术架构电子政务的信息技术架构v了解电子政务的总体技术架构的主要层次，了解电子政务的总体技术架构的主要层次，以及各层次的主要功能以及各层次的主要功能 v掌握电子政务基础设施层和信息资源服务掌握电子政务基础设施层和信息资源服务层涉及到的主要技术层涉及到的主要技术 v重点掌握电子政务业务支撑层关键技术重点掌握电子政务业务支撑层关键技术 学习目标学习目标电子政务3孙宝文 王天梅 主编第四章第四章 电子政务的信息技术架构电子政务的信息技术架构第一节第一节 电子政务的总体技术架构电子政务的总体技术架构第二节第二节 电子政务基础设施层电子政务基础设施层第三节第三节 信息资源服务层信息资源服务层第四节第四节 电子政务业务支撑层电子政务业务支撑层本章小结本章小结电子政务4孙宝文 王天梅 主编第一节第一节 电子政务的总体技术架构电子政务的总体技术架构一、电子政务的分层逻辑模型一、电子政务的分层逻辑模型二、基础设施层二、基础设施层三、信息资源服务层三、信息资源服务层四、电子政务业务应用支撑层四、电子政务业务应用支撑层五、应用层五、应用层电子政务5孙宝文 王天梅 主编一、电子政务的分层逻辑模型一、电子政务的分层逻辑模型v电子政务作为一个复杂的系统工程，其总体技术架电子政务作为一个复杂的系统工程，其总体技术架构可以采用分层的系统体系结构来加以设计和实现。

构可以采用分层的系统体系结构来加以设计和实现这一方面能够较好地实现建设任务的分解，使整个这一方面能够较好地实现建设任务的分解，使整个电子政务系统的建设任务能够在明确接口定义的基电子政务系统的建设任务能够在明确接口定义的基础上进行并发建设，缩短整体的建设周期；另一方础上进行并发建设，缩短整体的建设周期；另一方面能够在接口保持不变的前提下，保证电子政务系面能够在接口保持不变的前提下，保证电子政务系统对各层基础技术的发展具有良好的适应性，并且统对各层基础技术的发展具有良好的适应性，并且较好地体现以数据获取和整合为核心、以信息安全较好地体现以数据获取和整合为核心、以信息安全为基础、面向公众服务的电子政务的功能定位为基础、面向公众服务的电子政务的功能定位电子政务6孙宝文 王天梅 主编一、电子政务的分层逻辑模型一、电子政务的分层逻辑模型电子政务7孙宝文 王天梅 主编二、基础设施层二、基础设施层v基础设施层是整个电子政务体系的最终信息承载基础设施层是整个电子政务体系的最终信息承载者，为电子政务系统提供政务信息以及其他运行者，为电子政务系统提供政务信息以及其他运行管理信息的传输和交换平台，位于整个分层体系管理信息的传输和交换平台，位于整个分层体系结构的最底层。

基础设施层主要由结构的最底层基础设施层主要由网络基础设施网络基础设施和和信息安全基础设施信息安全基础设施两部分组成两部分组成电子政务8孙宝文 王天梅 主编二、基础设施层二、基础设施层（一）网络基础设施（一）网络基础设施v作为提供信息传输与交换的基础设施体系，网络基作为提供信息传输与交换的基础设施体系，网络基础设施的建设是整个电子政务系统建设和发展的基础设施的建设是整个电子政务系统建设和发展的基础和前提整个网络基础设施根据电子政务应用的础和前提整个网络基础设施根据电子政务应用的实际需求可以划分为互联网、公众服务业务网、非实际需求可以划分为互联网、公众服务业务网、非涉密政府办公网和涉密政府办公网这几大部分涉密政府办公网和涉密政府办公网这几大部分v构建网络基础设施的关键技术是网络技术和通信技构建网络基础设施的关键技术是网络技术和通信技术网络信任域是构建网络基础设施的关键技术之术网络信任域是构建网络基础设施的关键技术之一不同于互联网一不同于互联网“对等的、无中心的、无管理的对等的、无中心的、无管理的”组织设计思想，网络信任域基础设施在技术上旨组织设计思想，网络信任域基础设施在技术上旨在构建一个可以管理的、有中心的网络基础设施。

在构建一个可以管理的、有中心的网络基础设施电子政务9孙宝文 王天梅 主编二、基础设施层二、基础设施层（二）信息安全基础设施（二）信息安全基础设施v信息安全基础设施在网络基础设施所提供的信息传信息安全基础设施在网络基础设施所提供的信息传输服务平台的基础上，增加了面向电子政务应用的输服务平台的基础上，增加了面向电子政务应用的通用安全服务，为电子政务应用提供了一个通用的、通用安全服务，为电子政务应用提供了一个通用的、高性能的可信和授权的计算平台，即所谓的智能化高性能的可信和授权的计算平台，即所谓的智能化信任和授权平台智能化信任和授权基础设施层的信任和授权平台智能化信任和授权基础设施层的引入使电子政务应用系统能够以便捷而灵活的方式引入使电子政务应用系统能够以便捷而灵活的方式来构建自身的安全体系来构建自身的安全体系v我国的国家信息安全基础设施我国的国家信息安全基础设施NISI（（National Information Security Infrastructure））以公钥基础设施以公钥基础设施PKI、授权管理基础设施、授权管理基础设施PMI和和可信时间戳服务系统为重点，还包括安全保密管理可信时间戳服务系统为重点，还包括安全保密管理系统等。

系统等电子政务10孙宝文 王天梅 主编三、信息资源服务层三、信息资源服务层v信息资源服务层一般负责管理存放政府各类基础数信息资源服务层一般负责管理存放政府各类基础数据，通过数据转换、加工、提取和过滤等过程，向据，通过数据转换、加工、提取和过滤等过程，向应用服务层提供数据由于信息资源服务层是在信应用服务层提供数据由于信息资源服务层是在信息资源规范化组织和管理的前提下，在实现信息的息资源规范化组织和管理的前提下，在实现信息的有效提取、高度集成、充分共享的基础上提供各种有效提取、高度集成、充分共享的基础上提供各种服务的，因此它能有效提高政府机关资源的利用率，服务的，因此它能有效提高政府机关资源的利用率，降低资源消耗，节约内部办公成本该平台一般包降低资源消耗，节约内部办公成本该平台一般包括数据库和数据库管理系统括数据库和数据库管理系统电子政务11孙宝文 王天梅 主编四、电子政务业务应用支撑层四、电子政务业务应用支撑层v电子政务业务应用支撑层是一站式电子政务服务得电子政务业务应用支撑层是一站式电子政务服务得以实现的重要技术支持作为为电子政务各种最终以实现的重要技术支持作为为电子政务各种最终应用提供硬件、软件支撑的服务系统，应用支撑层应用提供硬件、软件支撑的服务系统，应用支撑层分别对外网的公共服务系统和内网的办公系统提供分别对外网的公共服务系统和内网的办公系统提供安全系统支撑。

安全系统支撑v业务支撑层作为电子政务软件平台中十分重要的一业务支撑层作为电子政务软件平台中十分重要的一个层次，应对应用系统的开发、运行提供全面的支个层次，应对应用系统的开发、运行提供全面的支持针对业务过程的集成，应用支撑层采用统一的持针对业务过程的集成，应用支撑层采用统一的整合技术，将应用程序、管理系统、数据系统，统整合技术，将应用程序、管理系统、数据系统，统一在安全的支撑平台上，通过应用支撑平台的各种一在安全的支撑平台上，通过应用支撑平台的各种引擎服务，针对外部不同系统的请求加以处理，然引擎服务，针对外部不同系统的请求加以处理，然后驱动其他应用系统来协同完成业务过程后驱动其他应用系统来协同完成业务过程电子政务12孙宝文 王天梅 主编五、应用层五、应用层v电电子子政政务务建建设设的的应应用用系系统统根根据据其其面面向向的的用用户户种种类类，，可可以以分分为为对对内内电电子子政政务务应应用用系系统统和和对对外外电电子子政政务务应应用用系系统统两两类类其其中中，，对对内内电电子子政政务务应应用用系系统统主主要要面面向向政政府府公公务务员员，，提提供供办办公公支支持持、、公公文文流流转转等等服服务务；；而而对对外外电电子子政政务务应应用用系系统统主主要要是是面面向向公公众众，，提提供供各各政政府府职职能能部部门门的的相相关关业业务务，，如如网网上上项项目目申申报报、、网网上上纳税等。

纳税等电子政务13孙宝文 王天梅 主编第二节第二节 电子政务基础设施层电子政务基础设施层一、网络基础设施一、网络基础设施二、网络信任域基础设施二、网络信任域基础设施三、公钥基础设施三、公钥基础设施PKI四、授权管理基础设施四、授权管理基础设施PMI电子政务14孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（一）网络基础设施的体系结构（一）网络基础设施的体系结构v电子政务的网络基础设施主要包括互联网、公众服电子政务的网络基础设施主要包括互联网、公众服务业务网、非涉密政府办公网和涉密政府办公网几务业务网、非涉密政府办公网和涉密政府办公网几大部分而公众服务业务网、非涉密政府办公网和大部分而公众服务业务网、非涉密政府办公网和涉密政府办公网三部分又统称为政务内网其中公涉密政府办公网三部分又统称为政务内网其中公众服务业务网络负责提供与统一的电子政务服务业众服务业务网络负责提供与统一的电子政务服务业务系统相对应的数据服务支持功能，非涉密的政府务系统相对应的数据服务支持功能，非涉密的政府办公网络负责提供对部分业务数据的审批等处理，办公网络负责提供对部分业务数据的审批等处理，而涉密政府办公网则是政府内部的运行有涉密信息而涉密政府办公网则是政府内部的运行有涉密信息的办公网络系统。

政务内网可以视为整个电子政务的办公网络系统政务内网可以视为整个电子政务网络系统中的内部用户网络网络系统中的内部用户网络 电子政务15孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（一）网络基础设施的体系结构（一）网络基础设施的体系结构电子政务16孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（一）网络基础设施的体系结构（一）网络基础设施的体系结构1．统一的安全电子政务平台．统一的安全电子政务平台v统一的安全电子政务平台是整个电子政务建设的基统一的安全电子政务平台是整个电子政务建设的基础工程，也是整个电子政务系统的枢纽其主要功础工程，也是整个电子政务系统的枢纽其主要功能是为有关政府部门的对外业务服务应用提供数据能是为有关政府部门的对外业务服务应用提供数据的传输与交换平台，并提供与内部政务专网以及互的传输与交换平台，并提供与内部政务专网以及互联网联网/电信公网的接入接口电信公网的接入接口 电子政务17孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（1）统一的接入平台）统一的接入平台 电子政务18孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（1）统一的接入平台）统一的接入平台 ①①拨号接入。

在不需要经常连接到网络的政府部门中，拨号接入在不需要经常连接到网络的政府部门中，可以使用这种方式它只需要一条可以使用这种方式它只需要一条 线、一个调制线、一个调制解调器和一台计算机就可以接入电子政务系统中解调器和一台计算机就可以接入电子政务系统中这种方式的缺点是速率低、可靠性差这种方式的缺点是速率低、可靠性差②②综合业务数字网综合业务数字网综合业务数字网综合业务数字网（（Integrated Services Digital Network，简称，简称ISDN）是使用）是使用 线路传递音频、数据和视线路传递音频、数据和视频的技术频的技术ISDN在在—根线路上创建多条信道，即根线路上创建多条信道，即创建在创建在—条线路上结合多种信号的多路复用数据通条线路上结合多种信号的多路复用数据通道 电子政务19孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（1）统一的接入平台）统一的接入平台 v③③数字用户线路数字用户线路（数字用户线路数字用户线路（x Digital Subscriber Line，，xDSL）是一种通过在现有）是一种通过在现有的电信网络上使用高级调制技术，在用户和电信运的电信网络上使用高级调制技术，在用户和电信运营商之间形成高速网络连接的技术，速率可以从营商之间形成高速网络连接的技术，速率可以从64kb/s到到52Mb/s。

v④④数字数据网络数字数据网络（数字数据网络数字数据网络（Digital Data Network，简称，简称DDN）是利用光纤数字传输通）是利用光纤数字传输通道和数字交叉复用节点组成的传输网，可以为用户道和数字交叉复用节点组成的传输网，可以为用户提供各种速率的高质量数字专用电路和其他新业务，提供各种速率的高质量数字专用电路和其他新业务，以满足用户多媒体通信和组建中高速计算机通信网以满足用户多媒体通信和组建中高速计算机通信网的需要电子政务20孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（1）统一的接入平台）统一的接入平台 v⑤⑤混合光纤电缆混合光纤电缆（混合光纤电缆混合光纤电缆（Hybrid Fiber Coax，简称，简称HFC），是光纤和同轴电缆的结合：），是光纤和同轴电缆的结合：光纤用于中央设备，同轴电缆用于连接个人用户光纤用于中央设备，同轴电缆用于连接个人用户从本质上说，从本质上说，HFC是层次结构的，在需要最高带是层次结构的，在需要最高带宽的网络端口上使用光纤，在可容忍低速率的部分宽的网络端口上使用光纤，在可容忍低速率的部分使用同轴电缆使用同轴电缆v⑥⑥光纤到用户。

光纤到用户（光纤到用户光纤到用户（Fiber To The Curb，简称，简称FTTC）使用光纤作为高容量干线，）使用光纤作为高容量干线，将光纤延伸到终端用户旁边将光纤延伸到终端用户旁边 电子政务21孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（1）统一的接入平台）统一的接入平台 ⑦⑦GSM/GPRS接入传统的具有接入传统的具有GSM/GPRS功能的手持功能的手持移动终端设备，主要是移动终端设备，主要是 或个人数字助理（或个人数字助理（Personal Digital Assistant，简称，简称PDA），统一的电子政务接入），统一的电子政务接入平台主要提供负责基于短信和基于无线应用协议平台主要提供负责基于短信和基于无线应用协议（（Wireless Application Protocol，简称，简称WAP）两）两种典型的接入方式种典型的接入方式 ⑧⑧CDMA接入随着第三代移动技术的实现和移动通信与互接入随着第三代移动技术的实现和移动通信与互联网的融合，全球正迅速向移动信息时代迈进联网的融合，全球正迅速向移动信息时代迈进CDMA 接接入方式提供了强大的移动数据通信能力，使得实现任何人入方式提供了强大的移动数据通信能力，使得实现任何人在任何地方、任何时间与其他任何人进行任何方式的通信在任何地方、任何时间与其他任何人进行任何方式的通信最终成为可能。

最终成为可能电子政务22孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 电子政务23孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ①①Web门户服务平台门户服务平台v在技术方面，在技术方面，Web门户服务平台采用可信门户服务平台采用可信XML技技术和可信术和可信SOAP的应用集成技术等核心技术的应用集成技术等核心技术v在结构设计方面，在结构设计方面，Web门户服务系统所提供的门户服务系统所提供的Web计算平台是建立在计算平台是建立在J2EE的四层计算结构基的四层计算结构基础之上的，并采用了将表现层、业务逻辑层和数据础之上的，并采用了将表现层、业务逻辑层和数据访问层相互独立的分层化构件设计结构，提供了灵访问层相互独立的分层化构件设计结构，提供了灵活的系统构件能力和系统性能的动态扩展支持活的系统构件能力和系统性能的动态扩展支持 电子政务24孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ①① Web门户服务平台门户服务平台。

vWeb门门户户服服务务是是主主要要是是由由WEB服服务务单单元元和和LDAP单单元元构构成成的的其其主主要要的的功功能能是是接接受受HTTP请请求求，，并并返返回回静静态态或或动动态态的的响响应应，，同同时时提提供供相相应应的的目目录录服服务务的安全调用功能接口的安全调用功能接口v一一般般而而言言，，Web门门户户服服务务系系统统是是建建立立在在J2EE的的四四层层计计算算结结构构基基础础之之上上的的，，并并采采用用了了将将表表现现层层、、业业务务逻逻辑辑层层和和数数据据访访问问层层相相互互独独立立的的分分层层化化构构件件设设计计结结构构，，提提供供了了灵灵活活的的系系统统构构件件能能力力和和系系统统性性能能的的动动态态扩展支持扩展支持电子政务25孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ②② 门户应用服务平台门户应用服务平台v门门户户应应用用服服务务平平台台是是由由App服服务务单单元元、、DB服服务务单单元、元、DBP服务单元构成的服务单元构成的üApp服服务务单单元元主主要要负负责责具具体体的的业业务务逻逻辑辑（（business logic））管管理理、、进进行行分分布布式式计计算算，，同同时时提提供供业业务务的的并并发发控控制、安全管理、资源和容错管理等服务；制、安全管理、资源和容错管理等服务；üDB服服务务单单元元负负责责提提供供数数据据的的查查询询、、更更新新、、索索引引、、高高速速缓缓存、查询优化、安全及多用户存取控制等服务；存、查询优化、安全及多用户存取控制等服务；üDBP服务单元负责数据库的路径查找。

服务单元负责数据库的路径查找 电子政务26孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ③③ 系统运行维护平台系统运行维护平台 在在门门户户平平台台中中，，系系统统运运行行维维护护平平台台的的主主要要功功能能是是提提供供对对电电子子政政务务系系统统的的运运行行维维护护，，包包括括业业务务应应用用系系统统的的业业务务逻逻辑辑、、门门户户系系统统的的表表示示逻逻辑辑以以及及门门户户系系统统的的存存储储数数据据的的运运行行维维护护等等，，特特别别是是要要对对Web门门户户服服务务系系统统中中的的电电子子政政务务门门户户系系统统提提供供运运行行维维护护的的支持功能支持功能电子政务27孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ④④ 安全保密服务平台安全保密服务平台 电电子子政政务务系系统统是是一一个个庞庞大大而而复复杂杂的的网网络络信信息息系系统统，，虽虽然然有有一一系系列列技技术术上上的的安安全全措措施施，，但但是是，，只只有有制制定定统统一一而而严严密密的的安安全全管管理理策策略略，，并并将将这这些些技技术术有有机机地地结合起来，才能保证电子政务应用系统的安全性。

结合起来，才能保证电子政务应用系统的安全性 安安全全保保密密服服务务平平台台主主要要由由入入侵侵检检测测系系统统、、漏漏洞洞扫扫描描技技术术、、病病毒毒防防治治系系统统、、安安全全审审计计系系统统等等安安全全功功能能单单元元组组成成这这些些单单元元以以一一定定的的方方式式有有机机地地组组合合起起来来，，构成一个功能强大的安全保密管理平台构成一个功能强大的安全保密管理平台 电子政务28孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ②②系统运行维护平台系统运行维护平台v系系统统运运行行维维护护平平台台的的具具体体功功能能主主要要包包括括：：基基于于PKI技技术术的的可可信信发发布布、、基基于于PKI技技术术的的可可信信日日志志管管理理、、支持设备证书、访问控制等支持设备证书、访问控制等 v系系统统运运行行维维护护平平台台的的服服务务结结构构主主要要可可以以从从以以下下两两个个方面进行设计方面进行设计 一是一是Web服务业务的审核服务业务的审核 二是二是Web服务业务的发布服务业务的发布。

电子政务29孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ②②系统运行维护平台系统运行维护平台v系系统统运运行行维维护护平平台台的的安安全全结结构构主主要要可可以以从从以以下下几几个个方面进行设计方面进行设计•首先，内部安全域划分首先，内部安全域划分•其其次次，，在在系系统统的的接接口口控控制制方方面面，，对对系系统统运运行行维维护护平平台台对对外外的的网网络络管管理理接接口口进进行行访访问问控控制制，，确确保保网网管流程中数据采集和控制指令的安全性；管流程中数据采集和控制指令的安全性；•最最后后，，在在网网管管操操作作的的安安全全审审计计方方面面，，对对系系统统运运行行维维护护平平台台所所进进行行的的网网络络管管理理操操作作过过程程进进行行安安全全审审计，以便能对现有网络配置的合理性进行分析计，以便能对现有网络配置的合理性进行分析电子政务30孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ③③安全保密服务平台安全保密服务平台v电电子子政政务务系系统统是是一一个个庞庞大大而而复复杂杂的的网网络络信信息息系系统统，，虽虽然然有有一一系系列列技技术术上上的的安安全全措措施施，，但但是是，，只只有有制制定定统统一一而而严严密密的的安安全全管管理理策策略略，，并并将将这这些些技技术术有有机机地地结结合合起起来来，，才才能能保保证证电电子子政政务务应应用用系系统统的的安安全全性性。

因因此此，，有有必必要要建建设设安安全全保保密密管管理理系系统统来来负负责责这这方方面面的工作电子政务31孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ③③安全保密服务平台安全保密服务平台v在在安安全全保保密密系系统统的的体体系系结结构构方方面面，，安安全全保保密密管管理理系系统统以以风风险险分分析析、、安安全全策策略略配配置置、、系系统统实实施施、、状状态态监监测测和和实实时时反反应应来来建建立立完完善善的的信信息息系系统统安安全全模模型型，，并并以以此此为为基基础础，，建建立立全全面面和和长长远远的的可可实实施施安安全全策策略略，，采采取取规规范范的的安安全全防防范范措措施施，，进行电子政务应用系统的安全保密管理进行电子政务应用系统的安全保密管理 v在在安安全全保保密密管管理理系系统统的的组组成成和和功功能能方方面面，，安安全全保保密密管管理理系系统统主主要要通通过过建建立立合合理理的的安安全全管管理理模模型型，，使使整整个个电电子子政政务务系系统统配配置置一一致致的的安安全全策策略略；；保保证证所所有有可可能能的的攻攻击击能能够够被被检检测测、、监监控控和和及及时时地地以以适适当当的的方方式式予予以以响响应应；；提提供供实实时时监监控控并并识识别别攻攻击击者者的的路路径径；；提提供供及及时时的的安安全全报报警警；；提提供供准准确确的的安安全全审计和趋势分析数据，支持安全步骤的计划和评估等。

审计和趋势分析数据，支持安全步骤的计划和评估等电子政务32孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（2）统一的）统一的Web门户平台门户平台 ③③安全保密服务平台安全保密服务平台v安安全全保保密密管管理理系系统统主主要要由由安安全全策策略略配配置置和和管管理理系系统统、、入入侵侵检检测测系系统统、、漏漏洞洞扫扫描描系系统统、、安安全全审审计计系系统统、、病病毒防治系统以及风险评估分析等功能模块组成毒防治系统以及风险评估分析等功能模块组成 v安安全全策策略略配配置置和和管管理理根根据据系系统统的的实实际际情情况况设设置置安安全全策策略略，，如如管管理理与与配配置置系系统统安安全全事事件件通通报报，，实实时时反反映映策策略略的的管管理理与与配配置置，，病病毒毒防防治治、、入入侵侵检检测测、、漏漏洞洞扫描等策略的管理与配置等扫描等策略的管理与配置等电子政务33孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（3）统一的一站式服务平台统一的一站式服务平台v统一的一站式服务平台提供可信的统一的一站式服务平台提供可信的Web Service的运行的运行环境v所谓所谓“一站式一站式”服务，简单来讲就是服务的提供者针对特服务，简单来讲就是服务的提供者针对特定的用户群，通过网络提供一个有统一入口的服务平台，定的用户群，通过网络提供一个有统一入口的服务平台，用户通过访问统一的门户即可得到全程服务。

一站式电子用户通过访问统一的门户即可得到全程服务一站式电子政务的出现为社会公众提供了一种全新的电子政务服务方政务的出现为社会公众提供了一种全新的电子政务服务方式：公民或者企业只需要登录电子政府的门户站点，就可式：公民或者企业只需要登录电子政府的门户站点，就可以得到所需要的完整服务，避免了传统方式的烦琐和不便以得到所需要的完整服务，避免了传统方式的烦琐和不便（后台的处理可能跨越不同政府部门或者同一政府部门的（后台的处理可能跨越不同政府部门或者同一政府部门的不同处室），对公众是完全透明的一站式服务的推广应不同处室），对公众是完全透明的一站式服务的推广应用可以提高政府的工作效率，最大程度地为公众提供方便用可以提高政府的工作效率，最大程度地为公众提供方便 电子政务34孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（（4）统一的数据交换平台统一的数据交换平台v为实现整个电子政务网内资源的共享互通，统一的为实现整个电子政务网内资源的共享互通，统一的数据交换平台必须提供高性能、跨平台、跨系统、数据交换平台必须提供高性能、跨平台、跨系统、跨应用和跨地区的数据交换功能，使得各行业各部跨应用和跨地区的数据交换功能，使得各行业各部门的系统都可统一通过这一平台进行信息交换。

门的系统都可统一通过这一平台进行信息交换 电子政务35孙宝文 王天梅 主编一、网络基础设施一、网络基础设施2．公众服务业务网络．公众服务业务网络v一站式服务框架下的公众服务业务网络主要是构建一站式服务框架下的公众服务业务网络主要是构建和运行在一站式电子政务服务框架下的提供各类具和运行在一站式电子政务服务框架下的提供各类具体的公众政务服务资源的业务网络，属于非涉密网体的公众政务服务资源的业务网络，属于非涉密网络它通过可信络它通过可信SOAP（（Simple Object Access Protocol，简单对象访问协议）服务器，简单对象访问协议）服务器与统一的信息交换平台相连接，作为统一的信息交与统一的信息交换平台相连接，作为统一的信息交换平台的数据源而工作由于采用统一的机算结构，换平台的数据源而工作由于采用统一的机算结构，使得系统之间的互联、互通和互操作更加方便，也使得系统之间的互联、互通和互操作更加方便，也有助于各类电子政务新业务的开发和加载一站式有助于各类电子政务新业务的开发和加载一站式电子政务服务框架中所运行的政务公众服务系统的电子政务服务框架中所运行的政务公众服务系统的最终业务数据全部存储在对应的政府部门的公众服最终业务数据全部存储在对应的政府部门的公众服务业务网络中。

务业务网络中电子政务36孙宝文 王天梅 主编一、网络基础设施一、网络基础设施3．非涉密政府办公网络．非涉密政府办公网络v非涉密政府办公网络是作为政府部门内部的办公业非涉密政府办公网络是作为政府部门内部的办公业务网络以及公众服务业务网络的支撑网络运行的务网络以及公众服务业务网络的支撑网络运行的非涉密政府办公网络一方面运行政府部门内部非涉非涉密政府办公网络一方面运行政府部门内部非涉密的办公系统，完成日常的办公业务处理，另一方密的办公系统，完成日常的办公业务处理，另一方面也需要对从公众政务服务业务系统中所获得的业面也需要对从公众政务服务业务系统中所获得的业务服务请求进行处理由于非涉密政府办公网络中务服务请求进行处理由于非涉密政府办公网络中可能涉及到部分敏感信息，因此，需要与公众服务可能涉及到部分敏感信息，因此，需要与公众服务业务网络之间通过逻辑隔离措施加以隔离非涉密业务网络之间通过逻辑隔离措施加以隔离非涉密政务办公网络之间则通过非涉密政务专网连接政务办公网络之间则通过非涉密政务专网连接 电子政务37孙宝文 王天梅 主编一、网络基础设施一、网络基础设施4．涉密政府办公网络．涉密政府办公网络v涉密政务办公网络作为政府内部的办公网络系统，涉密政务办公网络作为政府内部的办公网络系统，由于其中运行有涉密的信息，因此必须与非涉密网由于其中运行有涉密的信息，因此必须与非涉密网络进行物理隔离。

涉密政府办公网络之间则通过涉络进行物理隔离涉密政府办公网络之间则通过涉密政务专网进行相互联接密政务专网进行相互联接 v电子政务目的在于推进业务协同、信息共享、互联电子政务目的在于推进业务协同、信息共享、互联互通和安全可靠网络的互联互通和安全可靠是实互通和安全可靠网络的互联互通和安全可靠是实现电子政务系统业务协同和信息共享的基础无论现电子政务系统业务协同和信息共享的基础无论是原有的或新建的纵向专网，还是原有的或新建的是原有的或新建的纵向专网，还是原有的或新建的局域网，都需要横向和纵向的互联以实现同级部门局域网，都需要横向和纵向的互联以实现同级部门之间和上下级之间业务的协同之间和上下级之间业务的协同 电子政务38孙宝文 王天梅 主编一、网络基础设施一、网络基础设施4．涉密政府办公网络．涉密政府办公网络电子政务39孙宝文 王天梅 主编一、网络基础设施一、网络基础设施4．涉密政府办公网络．涉密政府办公网络电子政务40孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（二）网络基础设施的安全设计（二）网络基础设施的安全设计v由于电子政务的目标运行环境中需要处理大量敏感由于电子政务的目标运行环境中需要处理大量敏感的政务信息，因此，在统一的安全电子政务平台的的政务信息，因此，在统一的安全电子政务平台的网络结构设计中，需要着重进行网络系统的安全性网络结构设计中，需要着重进行网络系统的安全性设计。

设计v由于统一的安全电子政务平台采用了统一的核心交由于统一的安全电子政务平台采用了统一的核心交换平台和统一的系统接入平台，因此，对整个系统换平台和统一的系统接入平台，因此，对整个系统内部的安全域划分提供了清晰的界定准则：和接入内部的安全域划分提供了清晰的界定准则：和接入平台以及平台以及Web服务的门户系统直接相连的网络系服务的门户系统直接相连的网络系统为非安全的网络，除此之外，其余的内部网络系统为非安全的网络，除此之外，其余的内部网络系统均可视为安全的网络系统统均可视为安全的网络系统 电子政务41孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（二）网络基础设施的安全设计（二）网络基础设施的安全设计v在安全网络系统内，可以允许敏感的信息进行传输在安全网络系统内，可以允许敏感的信息进行传输和交换；而对于非安全的网络系统，则需要综合采和交换；而对于非安全的网络系统，则需要综合采取物理层、网络层和应用层等多个层面的安全机制取物理层、网络层和应用层等多个层面的安全机制安全和非安全网络系统之间的边界网络及其设备将安全和非安全网络系统之间的边界网络及其设备将是整个系统设计的关键，也是系统安全策略的主要是整个系统设计的关键，也是系统安全策略的主要实施者。

实施者v统一的安全电子政务平台中的接入平台可以提供对统一的安全电子政务平台中的接入平台可以提供对访问用户物理接入的安全控制对于统一的安全电访问用户物理接入的安全控制对于统一的安全电子政务平台中安全保密级别较高的网络子系统，可子政务平台中安全保密级别较高的网络子系统，可以通过网络层的安全保护机制提供对所传输敏感信以通过网络层的安全保护机制提供对所传输敏感信息的保护息的保护电子政务42孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（二）网络基础设施的安全设计（二）网络基础设施的安全设计v对于统一的安全电子政务平台中关键网络系统的关对于统一的安全电子政务平台中关键网络系统的关键网络节点，可以采用基于信任和授权服务机制的键网络节点，可以采用基于信任和授权服务机制的安全管理机制实现对网络资源的分配和管理安全管理机制实现对网络资源的分配和管理v对于统一的安全电子政务平台中间的各网元，可以对于统一的安全电子政务平台中间的各网元，可以采用本地与远程两级的安全运行监管机制，并通过采用本地与远程两级的安全运行监管机制，并通过与系统安全漏洞扫描、系统入侵检测和系统安全审与系统安全漏洞扫描、系统入侵检测和系统安全审计等相关管理子系统的配合提供对全网的安全运行计等相关管理子系统的配合提供对全网的安全运行管理。

管理v对于统一的安全电子政务平台中的关键网络部分，对于统一的安全电子政务平台中的关键网络部分，还可进一步通过机房物理安全防护等物理安全保护还可进一步通过机房物理安全防护等物理安全保护措施来提供附加的安全保障措施来提供附加的安全保障电子政务43孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（三）网络基础设施的接口设计（三）网络基础设施的接口设计v整个电子政务的网络基础设施主要涉及到四类接口：整个电子政务的网络基础设施主要涉及到四类接口：统一的安全电子政务平台的对外服务接口、统一的统一的安全电子政务平台的对外服务接口、统一的安全电子政务平台与公众服务业务网络的接口、公安全电子政务平台与公众服务业务网络的接口、公众服务业务网络与非涉密政府办公网络的接口、非众服务业务网络与非涉密政府办公网络的接口、非涉密政府办公网络与涉密政府办公网络的接口涉密政府办公网络与涉密政府办公网络的接口电子政务44孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（三）网络基础设施的接口设计（三）网络基础设施的接口设计1．统一的安全电子政务平台的对外服务接口．统一的安全电子政务平台的对外服务接口v统一的安全电子政务平台的对外服务接口主要是面统一的安全电子政务平台的对外服务接口主要是面向社会公众提供对电子政务业务服务的访问接入功向社会公众提供对电子政务业务服务的访问接入功能。

为了适应电子政务公众服务的多样化用户需求，能为了适应电子政务公众服务的多样化用户需求，该接口需要提供对该接口需要提供对GSM、互联网、电信公网、、互联网、电信公网、CDMA等多种典型的接入方式，以方便各种不同等多种典型的接入方式，以方便各种不同终端类型的公众用户的业务接入终端类型的公众用户的业务接入电子政务45孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（三）网络基础设施的接口设计（三）网络基础设施的接口设计2．统一的安全电子政务平台与公众服务业务网络的接口．统一的安全电子政务平台与公众服务业务网络的接口v统一的安全电子政务平台与公众服务业务网络的接口，是统一的安全电子政务平台与公众服务业务网络的接口，是对整个电子政务平台所承载的具体电子政务应用系统提供对整个电子政务平台所承载的具体电子政务应用系统提供安全性保证的业务数据交换接口安全性保证的业务数据交换接口v对于应用层的数据交换接口而言，需要提供两个层次的安对于应用层的数据交换接口而言，需要提供两个层次的安全功能，即网络层和应用层的安全功能其中网络层主要全功能，即网络层和应用层的安全功能其中网络层主要是通过是通过PKI网关提供信息传输的安全保护功能，确保传输网关提供信息传输的安全保护功能，确保传输过程中的机密性、完整性。

而应用层的安全功能则是主要过程中的机密性、完整性而应用层的安全功能则是主要通过可信通过可信SOAP服务器来完成，重点在应用层结合安全服务器来完成，重点在应用层结合安全SOAP的访问控制技术和的访问控制技术和cegXML所提供的元素级安全功所提供的元素级安全功能提供对交换业务数据的安全保护能提供对交换业务数据的安全保护 电子政务46孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（三）网络基础设施的接口设计（三）网络基础设施的接口设计3．公众服务业务网络与非涉密政府办公网络的接口．公众服务业务网络与非涉密政府办公网络的接口v由于非涉密政府办公网络可能涉及到部分的敏感信由于非涉密政府办公网络可能涉及到部分的敏感信息，因此，不能直接与公众服务业务网络连接，而息，因此，不能直接与公众服务业务网络连接，而是必须进行逻辑隔离对于公众服务业务网络与非是必须进行逻辑隔离对于公众服务业务网络与非涉密政府办公网络之间的接口，它应该提供公众服涉密政府办公网络之间的接口，它应该提供公众服务业务网络与非涉密政府办公网络之间的网络逻辑务业务网络与非涉密政府办公网络之间的网络逻辑隔离功能隔离功能v考虑到该接口可能面临的来自内部和外部的安全威考虑到该接口可能面临的来自内部和外部的安全威胁，该接口需要提供网络接入控制和配套的安全保胁，该接口需要提供网络接入控制和配套的安全保护措施。

护措施电子政务47孙宝文 王天梅 主编一、网络基础设施一、网络基础设施（三）网络基础设施的接口设计（三）网络基础设施的接口设计4．非涉密政府办公网络与涉密政府办公网络的接口．非涉密政府办公网络与涉密政府办公网络的接口v由于涉密政府办公网络系统主要运行涉密的内部政由于涉密政府办公网络系统主要运行涉密的内部政府办公系统，因此，根据国家保密局的要求，应与府办公系统，因此，根据国家保密局的要求，应与非涉密政府办公网络之间进行物理隔离非涉密政府办公网络之间进行物理隔离电子政务48【案例【案例4-1】黑龙江省电子政务网络体系建设】黑龙江省电子政务网络体系建设电子政务49孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施（一）网络信任域的体系结构（一）网络信任域的体系结构v作为构建网络基础设施的关键技术之一，网络信任作为构建网络基础设施的关键技术之一，网络信任域技术是为实现信息安全的最终目的域技术是为实现信息安全的最终目的——确保数据确保数据的机密性、数据的完整性、身份认证、不可抵赖性的机密性、数据的完整性、身份认证、不可抵赖性和授权服务，提供安全保障的下页图所示为网络和授权服务，提供安全保障的。

下页图所示为网络信任域的组织示意图，从图中可以看出，网络信任信任域的组织示意图，从图中可以看出，网络信任域主要是从终端设备的安全可信接入、网络设备的域主要是从终端设备的安全可信接入、网络设备的安全可信管理、数据信息的安全可信传输等方面进安全可信管理、数据信息的安全可信传输等方面进行组织和管理的行组织和管理的电子政务50孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施（一）网络信任域的体系结构（一）网络信任域的体系结构电子政务51孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施1．基于．基于PKI和和IEEE 802．．1X标准的安全可信接入标准的安全可信接入v网络信任域在网络的终端接入环节采用网络接入认证交换网络信任域在网络的终端接入环节采用网络接入认证交换机，其关键机制就是基于机，其关键机制就是基于PKI的数字证书认证接入控制的数字证书认证接入控制基于基于PKI的证书认证优于其他传统的基于口令、的证书认证优于其他传统的基于口令、IP地址、地址、MAC地址等的身份认证方式，它不但可以为信任域中的所地址等的身份认证方式，它不但可以为信任域中的所有用户和设备颁发数字公钥证书（有用户和设备颁发数字公钥证书（Public Key Certificate，，PKC），以此证明该用户或设备是可信或），以此证明该用户或设备是可信或合法的，而且也为可信接入控制和可信管理打下基础。

合法的，而且也为可信接入控制和可信管理打下基础v网络信任域系统的可信接入应该遵循网络信任域系统的可信接入应该遵循IEEE 802．．1x标准，标准，对以端对端的方式连接到网络端口的设备进行认证和核准，对以端对端的方式连接到网络端口的设备进行认证和核准，实现基于端口的网络接入控制，从而阻止非法用户接入该实现基于端口的网络接入控制，从而阻止非法用户接入该端口同时，将端口同时，将PKI与与IEEE 802．．1x标准进行有机结合，标准进行有机结合，从而实现以从而实现以PKI证书认证为基础的、基于端口的网络可信证书认证为基础的、基于端口的网络可信接入控制接入控制电子政务52孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施2．基于．基于PKI、、PMI的安全可信管理的安全可信管理v网络信任域的安全可信管理通过信任域管理服务平台实现网络信任域的安全可信管理通过信任域管理服务平台实现网络信任域管理服务平台采用基于网络信任域管理服务平台采用基于SNMP（（Simple Network Management Protocol，简单网络管理协，简单网络管理协议）协议的网络管理接口，通过该端口对所属的网络设备议）协议的网络管理接口，通过该端口对所属的网络设备进行管理配置以及运行监控和业务数据的采集；同时采用进行管理配置以及运行监控和业务数据的采集；同时采用PKI技术对接入网络的实体进行基于技术对接入网络的实体进行基于“一实体一证一实体一证”的管的管理和控制，以确保只有可信的用户或设备才能接入网络并理和控制，以确保只有可信的用户或设备才能接入网络并且访问相关的资源，并为信任域网络环境中的所有信息传且访问相关的资源，并为信任域网络环境中的所有信息传输提供安全通道。

此外，为有效解决授权服务管理问题，输提供安全通道此外，为有效解决授权服务管理问题，网络信任域管理系统应该采用基于网络信任域管理系统应该采用基于PMI的属性证书机制，的属性证书机制，对用户、设备的身份及权限以及许可信息进行绑定，从而对用户、设备的身份及权限以及许可信息进行绑定，从而使应用系统与权限管理能够灵活方便地进行结合使应用系统与权限管理能够灵活方便地进行结合PKI和和PMI的结合为网络信任域及其上层的应用提供了信息服务的结合为网络信任域及其上层的应用提供了信息服务的安全保障的安全保障电子政务53孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施2．基于．基于PKI、、PMI的安全可信管理的安全可信管理v网络信任域管理的核心思想是：基于统一的网络信任域管理的核心思想是：基于统一的PKI机机制，建立分布式的、逐级可信的信任域管理采用制，建立分布式的、逐级可信的信任域管理采用策略一致的策略一致的PKI证书发布及认证机制，系统管理员证书发布及认证机制，系统管理员可以根据网络的规模和网络的分布状况，为整个系可以根据网络的规模和网络的分布状况，为整个系统建立多级信任域管理的分层模型，并实现每个信统建立多级信任域管理的分层模型，并实现每个信任域架构服务于本信任域的信任域综合管理系统；任域架构服务于本信任域的信任域综合管理系统；而位于系统上层的信任域可以接收底层信任域所采而位于系统上层的信任域可以接收底层信任域所采集的业务数据，负责对底层的信任域提供系统管理集的业务数据，负责对底层的信任域提供系统管理和信任服务，通过分层管理可以构建范围更广的网和信任服务，通过分层管理可以构建范围更广的网络信任域。

络信任域电子政务54孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施3．基于．基于PKI的安全可信传输的安全可信传输v网络信任域在数据通信环节采用网络信任域在数据通信环节采用PKI安全网关来构安全网关来构建虚拟专用网建虚拟专用网VPN，以解决在不可信环境中信息，以解决在不可信环境中信息传输的安全问题传输的安全问题PKI安全网关采用基于数字证书安全网关采用基于数字证书的密钥交换协议，同时结合的密钥交换协议，同时结合IP安全协议（安全协议（IP Security，，IPsec），可以保证网络通信的可信），可以保证网络通信的可信和安全首先，系统通过采用和安全首先，系统通过采用PKI身份证书来实现身份证书来实现对对PKI网关的运行、管理、配置以及网关的运行、管理、配置以及VPN虚拟专虚拟专网的动态构建；其次，通过网的动态构建；其次，通过PKI身份证书的认证机身份证书的认证机制来实现对终端用户的身份鉴别，这样，就可以在制来实现对终端用户的身份鉴别，这样，就可以在两个两个PKI网关之间构建一个端对端的加密安全通道，网关之间构建一个端对端的加密安全通道，从而实现对用户数据的保护从而实现对用户数据的保护。

电子政务55孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施（二）网络信任域的构建（二）网络信任域的构建v下页图所示为电子政务网络信任域的结构示意图下页图所示为电子政务网络信任域的结构示意图从图中可以看出，电子政务网络信任域主要从电子从图中可以看出，电子政务网络信任域主要从电子政务专网和电子政务内网终端设备的接入、数据信政务专网和电子政务内网终端设备的接入、数据信息的传输和设备管理三个方面构建一个可信的电子息的传输和设备管理三个方面构建一个可信的电子政务网络信任域政务网络信任域电子政务56孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施（二）网络信任域的构建（二）网络信任域的构建电子政务57孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施1．安全可信的政务内网．安全可信的政务内网v政务内网通过接入认证交换机确保政务内网的用户或设备政务内网通过接入认证交换机确保政务内网的用户或设备的可信接入而本地网络信任域管理系统在负责管理本地的可信接入而本地网络信任域管理系统在负责管理本地设备的同时，作为审核注册代理向证书认证中心（设备的同时，作为审核注册代理向证书认证中心（CA）申）申请证书。

请证书v当接入政务内网的设备由网络信任域管理系统代理公钥证当接入政务内网的设备由网络信任域管理系统代理公钥证书（书（PKC）时，该设备的）时，该设备的MAC地址被写入地址被写入PKC中通过对网络接入交换机进行系统设置，可以将交换机上的每个对网络接入交换机进行系统设置，可以将交换机上的每个端口都与对应设备的端口都与对应设备的MAC地址进行一对一的绑定当某个地址进行一对一的绑定当某个设备准备接入网络时，就向接入认证交换机提交设备准备接入网络时，就向接入认证交换机提交PKC，接，接入认证交换机负责对提交的入认证交换机负责对提交的PKC进行有效性检查确认证进行有效性检查确认证书有效后，接入认证交换机将对证书进行解密，获取设备书有效后，接入认证交换机将对证书进行解密，获取设备信息，并扫描交换机的端口，寻找与用户终端设备的信息，并扫描交换机的端口，寻找与用户终端设备的MAC地址一致的端口，然后与之建立连接地址一致的端口，然后与之建立连接 电子政务58孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施2．安全可信的政务专网．安全可信的政务专网v政务专网作为政府系统的主干网络，是各级政府和政务专网作为政府系统的主干网络，是各级政府和政府组成部门相互间的信息传输网，应通过政府组成部门相互间的信息传输网，应通过PKI网网关构建关构建VPN组网方式在网络层提供数据加密通信组网方式在网络层提供数据加密通信环境，防止信息被非法窃取和篡改，以确保设备数环境，防止信息被非法窃取和篡改，以确保设备数据的安全传输。

据的安全传输v为保证政府单位内部信息、各级政府单位间信息传为保证政府单位内部信息、各级政府单位间信息传输的输的“机密性机密性”、、“完整性完整性”，还应该在政务专网，还应该在政务专网与每个政务内网的接口处放置一台与每个政务内网的接口处放置一台PKI网关池，配网关池，配合政务内网内的合政务内网内的PKI安全网关，从而建立起一条安全网关，从而建立起一条“安全通道安全通道”电子政务59孙宝文 王天梅 主编二、网络信任域基础设施二、网络信任域基础设施3．安全可信的逐级分布式网络信任域管理平台．安全可信的逐级分布式网络信任域管理平台v网络信任域管理平台作为网络信任域的网管系统，在底层网络信任域管理平台作为网络信任域的网管系统，在底层的信任与授权服务基础设施提供的信任与授权服务的基础的信任与授权服务基础设施提供的信任与授权服务的基础上，能够实现对整个网络信任域的安全管理、业务管理以上，能够实现对整个网络信任域的安全管理、业务管理以及资源管理及资源管理v网络信任域管理平台采用统一发证、分布式逐级管理的模网络信任域管理平台采用统一发证、分布式逐级管理的模式来组织所谓统一发证是指：建立统一的电子政务设备式来组织。

所谓统一发证是指：建立统一的电子政务设备证书认证管理中心，负责签发电子政务系统中设备的数字证书认证管理中心，负责签发电子政务系统中设备的数字证书（证书（PKC），即构建设备信任服务系统而分布式逐级），即构建设备信任服务系统而分布式逐级管理是指：网络信任域按实际的责任和管理范围来划分，管理是指：网络信任域按实际的责任和管理范围来划分，每个政务内网为一个基本信任域，每个基本信任域都有自每个政务内网为一个基本信任域，每个基本信任域都有自己的网络信任域管理平台，负责本信任域的管理，而基本己的网络信任域管理平台，负责本信任域的管理，而基本信任域管理平台则由上一级电子政务网络信任域管理平台信任域管理平台则由上一级电子政务网络信任域管理平台负责管理，这样就可以构筑一个责任明确、管理方便、覆负责管理，这样就可以构筑一个责任明确、管理方便、覆盖全系统的安全可信的网络信任域管理体系盖全系统的安全可信的网络信任域管理体系电子政务60孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKIv公钥基础设施（公钥基础设施（PKI）是信息安全基础设施的重要组成部）是信息安全基础设施的重要组成部分，是一种普遍适用的网络安全基础设施。

数字证书认证分，是一种普遍适用的网络安全基础设施数字证书认证中心中心CA（（Certificate Authority，，CA）、审核注册中）、审核注册中心心RA（（Registration Authority）、密钥管理中心）、密钥管理中心KM（（Key Manager）都是组成）都是组成PKI的关键组件的关键组件vPKI作为提供信息安全服务的公共基础设施，是目前公认作为提供信息安全服务的公共基础设施，是目前公认的保障网络社会安全的最佳体系实际上，授权管理基础的保障网络社会安全的最佳体系实际上，授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持如何推广安全电子政务平台等的构筑都离不开它的支持如何推广PKI应用，加强系统之间、部门之间、国家之间应用，加强系统之间、部门之间、国家之间PKI体系体系的互通互联，已经成为目前的互通互联，已经成为目前PKI建设亟待解决的重要问题建设亟待解决的重要问题电子政务61孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（一）公开密钥密码技术（一）公开密钥密码技术v信息安全技术包括密码技术、鉴别技术、访问控制信息安全技术包括密码技术、鉴别技术、访问控制技术、口令控制技术、防火墙技术、计算机网络病技术、口令控制技术、防火墙技术、计算机网络病毒防治技术、防电磁泄漏技术和计算机安全检测技毒防治技术、防电磁泄漏技术和计算机安全检测技术等，其中，密码技术是最为核心的信息安全技术。

术等，其中，密码技术是最为核心的信息安全技术v根据密码算法所使用的加密密钥和解密密钥是否相根据密码算法所使用的加密密钥和解密密钥是否相同，以及能否由加密过程推导出解密过程（或者由同，以及能否由加密过程推导出解密过程（或者由解密过程推导出加密过程），可以将密码体制分为解密过程推导出加密过程），可以将密码体制分为对称密码体制（也叫作单密钥密码体制、秘密密钥对称密码体制（也叫作单密钥密码体制、秘密密钥密码体制、对称密钥密码体制）和非对称密码体制密码体制、对称密钥密码体制）和非对称密码体制（也叫作双钥密码体制、公开密钥密码体制、非对（也叫作双钥密码体制、公开密钥密码体制、非对称密钥密码体制）称密钥密码体制）电子政务62孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（一）公开密钥密码技术（一）公开密钥密码技术v如果一个加密系统的加密密钥和解密密钥相同，或如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同但是由其中的任意一个很容易地推导者虽然不相同但是由其中的任意一个很容易地推导出另一个，所采用的就是对称密码体制对称密码出另一个，所采用的就是对称密码体制对称密码体制从加密模式上可分为序列密码（或称流密码）体制从加密模式上可分为序列密码（或称流密码）和分组密码（或称块密码）两大类。

和分组密码（或称块密码）两大类v如果一个加密系统的加密和解密是分别采用两个不如果一个加密系统的加密和解密是分别采用两个不同的密钥实现的，并且由加密密钥推导出解密密钥同的密钥实现的，并且由加密密钥推导出解密密钥（或者由解密密钥推导出加密密钥）在计算上是不（或者由解密密钥推导出加密密钥）在计算上是不可行的，那么该系统所采用的就是非对称密码体制可行的，那么该系统所采用的就是非对称密码体制电子政务63孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI1．公开密钥密码体制的原理．公开密钥密码体制的原理v公开密钥密码体制最大的特点是使用两个不同的密公开密钥密码体制最大的特点是使用两个不同的密钥：一个用来加密信息，称为加密密钥；另一个用钥：一个用来加密信息，称为加密密钥；另一个用来解密信息，称为解密密钥来解密信息，称为解密密钥v用户把加密密钥公开，因此加密密钥也称为公开密用户把加密密钥公开，因此加密密钥也称为公开密钥，简称公钥解密密钥保密，因此解密密钥也称钥，简称公钥解密密钥保密，因此解密密钥也称为私有密钥，简称私钥为私有密钥，简称私钥 v公钥和私钥是数学相关的，用某用户的公钥加密的公钥和私钥是数学相关的，用某用户的公钥加密的数据只能用该用户的私钥才能解密，因而要求用户数据只能用该用户的私钥才能解密，因而要求用户的私钥不能透露给自己不信任的任何人。

通常，公的私钥不能透露给自己不信任的任何人通常，公开密钥用于对机密信息的加密，私有密钥则用于对开密钥用于对机密信息的加密，私有密钥则用于对加密信息的解密加密信息的解密 电子政务64孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI1．公开密钥密码体制的原理．公开密钥密码体制的原理非对称密钥算法的特点是：非对称密钥算法的特点是：v①①仅知道密码算法和加密密钥，要确定解密密钥，仅知道密码算法和加密密钥，要确定解密密钥，这在计算上是不可能的；这在计算上是不可能的；v②②两个相关密钥中的任何一个都可以用作加密而让两个相关密钥中的任何一个都可以用作加密而让另一个用于解密也就是说，一对密钥中哪一个作另一个用于解密也就是说，一对密钥中哪一个作为公钥、哪一个作为私钥完全可以自己制定为公钥、哪一个作为私钥完全可以自己制定电子政务65孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI1．公开密钥密码体制的原理．公开密钥密码体制的原理v从本质上讲，设计一个公开密码体制就是构造一个从本质上讲，设计一个公开密码体制就是构造一个陷门单向函数设陷门单向函数设X为明文，为明文，Y为密文满足以下为密文。

满足以下两条件的两条件的f则称为陷门单向函数则称为陷门单向函数§①①算算Y＝＝f（（X）容易，而已知）容易，而已知Y，反求，反求X则很难，即求则很难，即求X＝＝f（（Y）很难；）很难；§②②若陷门（参数）已知，则容易由若陷门（参数）已知，则容易由Y求求Xv显然，若能构造出这样的陷门单向函数，也就找到显然，若能构造出这样的陷门单向函数，也就找到了一个公钥密码体制由了一个公钥密码体制由X计算计算Y即是进行公钥加即是进行公钥加密过程，而由密过程，而由Y求求X即是解密过程而陷门参数正即是解密过程而陷门参数正是秘密密钥不知道秘密密钥即不知道陷门，则难是秘密密钥不知道秘密密钥即不知道陷门，则难以由密文以由密文Y推出明文推出明文X 电子政务66孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI1．公开密钥密码体制的原理．公开密钥密码体制的原理自自公公钥钥加加密密问问世世以以来来，，学学者者们们提提出出了了许许多多种种公公钥钥加加密密方方法法，，它它们们的的安安全全性性都都是是基基于于复复杂杂的的数数学学难难题题根根据据所所基基于于的的数数学学难难题题来来分分类类，，有有以以下下3类类系系统统目目前前被被认认为为是是安安全全和和有有效效的的：：大大整整数数因因子子分分解解系系统统（（代代表表性性的的有有RSA））、、椭椭园园曲曲线线离离散散对对数数系系统统（（ECC））和和离离散散对对数数系系统统（（代代表表性性的的有有DSA））。

其其 他他 的的 典典 型型 算算 法法 还还 有有 ：： ELGamal和和 Diffie—Hellman（（DH））等等公公钥钥密密码码能能够够用用于于数数据据加加密密、、密密钥钥分分发发、、数数字字签签名名、、身身份份认认证证、、信信息息的的完完整整性性认认证证、、信信息息的的非非否否认认性性认认证证等等其其中中可可以以用用于于加加密密的的算算法法有有：：RSA，，ECC，，ELGamal等等；；可可以以用用于于密密钥钥分分发发的的算算法法有有：：RSA，，ECC，，DH等等；；可可以以用用于于数数字字签签名名、、身身份份认认证证、、信信息息的的完完整整性性认认证证、、信信息息的的非非否否认认性性认认证证的的有有RSA，，ECC，，DSA，，ELGamal等电子政务67孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI2．公开密钥密码技术的特点．公开密钥密码技术的特点（（1）密钥分发简单，解决了大规模网络应用中密钥）密钥分发简单，解决了大规模网络应用中密钥的分发问题的分发问题2）需要秘密保存的密钥量少，解决了大规模网络）需要秘密保存的密钥量少，解决了大规模网络应用中密钥的管理问题。

应用中密钥的管理问题 （（3）可以进行数字签名，实现了网络中的数字签名）可以进行数字签名，实现了网络中的数字签名机制4）互不相识的人之间也能进行保密对话互不相识的人之间也能进行保密对话 电子政务68孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（二）（二）PKI的服务的服务v公钥基础设施公钥基础设施PKI是以公开密钥技术为基础，以数是以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的而构据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施建的认证、授权、加密等硬件、软件的综合设施vPKI安全体系是提供信息安全服务的最具有普适性安全体系是提供信息安全服务的最具有普适性的安全基础设施该体系在统一的安全认证标准和的安全基础设施该体系在统一的安全认证标准和规范基础上提供身份认证、规范基础上提供身份认证、CA认证、数字签认证、数字签名以及相关安全应用组建模块的集合名以及相关安全应用组建模块的集合电子政务69孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（二）（二）PKI的服务的服务1．认证．认证v在现实生活中，认证采用的方式通常是两个人事前进行协在现实生活中，认证采用的方式通常是两个人事前进行协商，确定一个秘密，然后，依据这个秘密进行相互认证。

商，确定一个秘密，然后，依据这个秘密进行相互认证随着网络的扩大和用户的增加，事前协商秘密会变得非常随着网络的扩大和用户的增加，事前协商秘密会变得非常复杂，特别是在电子政务中，经常会有新聘用和退休的情复杂，特别是在电子政务中，经常会有新聘用和退休的情况另外，在大规模的网络中，两两进行协商几乎是不可况另外，在大规模的网络中，两两进行协商几乎是不可能的透过一个密钥管理中心来协调也会有很大的困难，能的透过一个密钥管理中心来协调也会有很大的困难，而且当网络规模巨大时，密钥管理中心甚至有可能成为网而且当网络规模巨大时，密钥管理中心甚至有可能成为网络通信的瓶颈络通信的瓶颈vPKI通过证书进行认证，证书作为一个通信双方均信赖的通过证书进行认证，证书作为一个通信双方均信赖的第三方证明，通过它，通信双方可以安全地进行互相认证，第三方证明，通过它，通信双方可以安全地进行互相认证，而不用担心对方是假冒的而不用担心对方是假冒的 电子政务70孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（二）（二）PKI的服务的服务2．支持密钥管理．支持密钥管理v通过加密证书，通信双方可以协商一个秘密，而这个秘密通过加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。

在需要通信时，可以在认证的可以作为通信加密的密钥在需要通信时，可以在认证的基础上协商一个密钥在大规模的网络中，特别是在电子基础上协商一个密钥在大规模的网络中，特别是在电子政务中，密钥恢复也是密钥管理的一个重要方面，政府决政务中，密钥恢复也是密钥管理的一个重要方面，政府决不希望加密系统被犯罪分子窃取使用当政府的个别职员不希望加密系统被犯罪分子窃取使用当政府的个别职员背叛或利用加密系统进行反政府活动时，政府可以通过法背叛或利用加密系统进行反政府活动时，政府可以通过法定的手续解密其通信内容，保护政府的合法权益定的手续解密其通信内容，保护政府的合法权益PKI能能够通过良好的密钥恢复能力，提供可信的、可管理的密钥够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制恢复机制PKI的普及应用能够保证在全社会范围内提供的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力，保证网上活动的健康有序发全面的密钥恢复与管理能力，保证网上活动的健康有序发展电子政务71孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（二）（二）PKI的服务的服务3．完整性与不可否认．完整性与不可否认v完整性与不可否认是完整性与不可否认是PKI提供的最基本的服务。

一提供的最基本的服务一般来说，完整性也可以通过双方协商一个秘密来解般来说，完整性也可以通过双方协商一个秘密来解决，但一方有意抵赖时，这种完整性就无法接受第决，但一方有意抵赖时，这种完整性就无法接受第三方的仲裁而三方的仲裁而PKI提供的完整性是可以通过第三提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的性是通信双方都不可否认的 电子政务72孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构1．信任服务体系概述．信任服务体系概述v信任服务体系主要是为网络信息空间提供一个信任的基准，信任服务体系主要是为网络信息空间提供一个信任的基准，即在用户实体和虚拟网络空间中的用户角色之间建立一种即在用户实体和虚拟网络空间中的用户角色之间建立一种映射关系，以便能将现实物理世界中的信任关系移植到虚映射关系，以便能将现实物理世界中的信任关系移植到虚拟的网络空间中去拟的网络空间中去v目前，建立信任服务体系的关键技术主要是公钥基础设施目前，建立信任服务体系的关键技术主要是公钥基础设施PKI技术。

技术PKI技术通过公钥密码体制中用户私钥的机密技术通过公钥密码体制中用户私钥的机密性来提供用户身份的惟一性验证，并通过公钥数字证书的性来提供用户身份的惟一性验证，并通过公钥数字证书的方式为每个合法用户的公钥提供一个合法性的证明，从而方式为每个合法用户的公钥提供一个合法性的证明，从而建立了从用户公钥到证书建立了从用户公钥到证书ID号之间的惟一映射关系数字号之间的惟一映射关系数字证书中的信息利用数字信封技术和数字签名技术提供了对证书中的信息利用数字信封技术和数字签名技术提供了对其完整性的保护，因此可以通过公开的方式，如轻型目录其完整性的保护，因此可以通过公开的方式，如轻型目录访问协议（访问协议（Light weight Directory Access Protocol，，LDAP）服务，对外进行发布服务，对外进行发布电子政务73孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构v对于整个国家的信任服务体系而言，信任服务的基准体系对于整个国家的信任服务体系而言，信任服务的基准体系将包括自然人证书认证体系、机构证书认证体系和设备证将包括自然人证书认证体系、机构证书认证体系和设备证书认证体系，需要由国家有关部门统一规划和建设。

这些书认证体系，需要由国家有关部门统一规划和建设这些基准的信任服务体系构成了所有其他信任链结构的基础，基准的信任服务体系构成了所有其他信任链结构的基础，各政府职能部门可以作为这些基准信任服务体系的受理审各政府职能部门可以作为这些基准信任服务体系的受理审核部门，从而建立全国统一的服务体系核部门，从而建立全国统一的服务体系v对于电子政务应用系统而言，将在基准信任服务体系的基对于电子政务应用系统而言，将在基准信任服务体系的基础上，通过授权服务体系来建立业务授权体系，发放属性础上，通过授权服务体系来建立业务授权体系，发放属性证书而非公钥证书这种业务运行模式可以简化信任链的证书而非公钥证书这种业务运行模式可以简化信任链的结构，并使公钥证书体系和属性证书体系之间的业务分工结构，并使公钥证书体系和属性证书体系之间的业务分工更加明确更加明确电子政务74孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构电子政务75孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构（（1）国家电子政务认证和管理中心）国家电子政务认证和管理中心v国家电子政务认证和管理中心是整个信任服务体系国家电子政务认证和管理中心是整个信任服务体系的信任源点（的信任源点（Source of Authentication，，SOA）和信任基准点，也是整个信任服务体系的）和信任基准点，也是整个信任服务体系的最终信任源和最高管理机构。

其职责主要包括：证最终信任源和最高管理机构其职责主要包括：证书策略的管理、书策略的管理、CA根证书的发放与管理、下级根证书的发放与管理、下级CA的设立审核及管理、信任服务体系业务的规范化管的设立审核及管理、信任服务体系业务的规范化管理等电子政务76孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构（（2））CA中心中心vCA是信任服务体系中的核心业务节点，负责提供信任服务是信任服务体系中的核心业务节点，负责提供信任服务体系的信任服务，如数字证书的申请注册、证书签发和管体系的信任服务，如数字证书的申请注册、证书签发和管理等CA是是PKI的核心执行机构，是的核心执行机构，是PKI的主要组成部分，的主要组成部分，通常被称为认证中心（从广义上讲，认证中心还应该包括通常被称为认证中心（从广义上讲，认证中心还应该包括证书申请注册机构证书申请注册机构RA）对于具体的信任服务体系，）对于具体的信任服务体系，CA中心由具有设立中心由具有设立CA中心业务需求的各电子政务应用单位或中心业务需求的各电子政务应用单位或其主管政府部门根据具体的业务量分布状况负责建设，并其主管政府部门根据具体的业务量分布状况负责建设，并与国家电子政务认证和管理中心通过业务协议达成相互信与国家电子政务认证和管理中心通过业务协议达成相互信任关系。

任关系CA中心的主要功能包括：各类证书的发放和管理、中心的主要功能包括：各类证书的发放和管理、证书撤销列表的管理、下级证书撤销列表的管理、下级RA的设立审核及管理等的设立审核及管理等 电子政务77孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构（（3））RA中心中心vRA中心是信任服务体系中核心业务节点的扩展服中心是信任服务体系中核心业务节点的扩展服务节点，是与具体的电子政务应用系统结构和业务务节点，是与具体的电子政务应用系统结构和业务逻辑密切相关的服务节点，由具有设立逻辑密切相关的服务节点，由具有设立RA中心业中心业务需求的各电子政务应用单位或其主管政府部门负务需求的各电子政务应用单位或其主管政府部门负责进行建设，并与主管的责进行建设，并与主管的CA中心通过业务协议达中心通过业务协议达成相互信任关系成相互信任关系RA中心负责提供信任服务体系中心负责提供信任服务体系内的证书受理审核和注册服务，如证书申请的受理、内的证书受理审核和注册服务，如证书申请的受理、证书申请的初级审核、业务受理点的设立审核及管证书申请的初级审核、业务受理点的设立审核及管理等。

理等 电子政务78孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构（（4））CA业务受理核发点业务受理核发点vCA业务受理核发点是信任服务体系的最终面向用业务受理核发点是信任服务体系的最终面向用户的服务受理和证书载体的用户代理节点，是与最户的服务受理和证书载体的用户代理节点，是与最终电子政务应用用户的接口，作为终电子政务应用用户的接口，作为RA中心的附属中心的附属机构，由各机构，由各RA中心自行建设，并报经主管中心自行建设，并报经主管CA中心中心同意并签发相应的证书同意并签发相应的证书CA业务受理点的设立地业务受理点的设立地点和数目由各点和数目由各RA中心根据自身的业务发展需求而中心根据自身的业务发展需求而定其主要职责包括：证书请求的接收、用户资料定其主要职责包括：证书请求的接收、用户资料的初级审核与提交、用户证书的物理介质制作等的初级审核与提交、用户证书的物理介质制作等电子政务79孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构v在上述全网一致的证书策略管理机制中，可能各信在上述全网一致的证书策略管理机制中，可能各信任服务体系之间的策略存在不一致性。

因此，在不任服务体系之间的策略存在不一致性因此，在不同的信任服务子体系建立信任链互联时，必须首先同的信任服务子体系建立信任链互联时，必须首先就所使用的证书策略达成一致就所使用的证书策略达成一致v下图所示为一典型的下图所示为一典型的PKI基本组织框架它至少包基本组织框架它至少包括证书认证机构（括证书认证机构（CA）、密钥管理中心（）、密钥管理中心（Key Manager，，KM）、用户注册机构）、用户注册机构（（Registration Authority，，RA）和）和PKI用用户同时还应该包括相关的法律、业务环境等因素同时还应该包括相关的法律、业务环境等因素电子政务80孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（三）（三）PKI的体系结构的体系结构2．信任服务体系结构．信任服务体系结构电子政务81孙宝文 王天梅 主编三、公钥基础设施三、公钥基础设施PKI（四）（四）PKI在电子政务中的作用和地位在电子政务中的作用和地位 1．通过．通过PKI可以构建一个可管、可控、安全的互可以构建一个可管、可控、安全的互联网络联网络 2．通过．通过PKI可以在互联网中构建一个完整的授权可以在互联网中构建一个完整的授权服务体系服务体系 3．通过．通过PKI可以建设一个普适性好、安全性高的可以建设一个普适性好、安全性高的统一平台统一平台电子政务82孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMIv授权管理基础设施（授权管理基础设施（Privilege Management Infrastructure，，PMI）是国家信息安全基础设施）是国家信息安全基础设施（（National Information Security Infrastructure，，NISI）的重要组成部分，目标是向用）的重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相应的、与具体权的映射功能，提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。

体应用系统的开发与维护PMI是一个由属性证书、属性是一个由属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现权限权威、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能和证书的产生、管理、存储、分发和撤销等功能PMI使使用属性证书表示和容纳权限信息，通过管理证书的生命周用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理属性证书的申请、签发、期实现对权限生命周期的管理属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤销、使用和注销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程而且，使用属性证书进行权限管理方式使得验证的过程而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的安权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用全分布式应用电子政务83孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（一）基于（一）基于PMI技术的授权管理模式技术的授权管理模式v授权服务体系主要是为网络空间提供用户操作授权授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的用户角色与最终应的管理，即在虚拟网络空间中的用户角色与最终应用系统中用户的操作权限之间建立一种映射关系。

用系统中用户的操作权限之间建立一种映射关系授权服务体系一般需要与信任服务体系协同工作，授权服务体系一般需要与信任服务体系协同工作，才能完成从特定用户的现实空间身份到特定应用系才能完成从特定用户的现实空间身份到特定应用系统中的具体操作权限之间的转换统中的具体操作权限之间的转换v目前建立授权服务体系的关键技术主要是目前建立授权服务体系的关键技术主要是PMI技技术PMI技术通过数字证书机制来管理用户的授技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用系统中分权信息，并将授权管理功能从传统的应用系统中分离出来，以独立服务的方式面向应用系统提供授权离出来，以独立服务的方式面向应用系统提供授权管理服务管理服务 电子政务84孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（二）电子政务授权服务系统的体系架构（二）电子政务授权服务系统的体系架构v授权管理基础设施授权管理基础设施PMI在体系上可以分为三级，分别是信在体系上可以分为三级，分别是信任源点（任源点（SOA中心）、属性权威机构（中心）、属性权威机构（AA中心）和业务中心）和业务受理点在实际应用中，这种分级体系可以根据需要进行受理点。

在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级灵活配置，可以是三级、二级或一级 电子政务85孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（二）电子政务授权服务系统的体系架构（二）电子政务授权服务系统的体系架构1．信任源点．信任源点SOAv信任源点（信任源点（SOA中心）是整个授权管理体系的中中心）是整个授权管理体系的中心业务节点，也是整个授权管理基础设施的最终信心业务节点，也是整个授权管理基础设施的最终信任源和最高管理机构其主要职责包括：授权管理任源和最高管理机构其主要职责包括：授权管理策略的管理、应用授权受理、策略的管理、应用授权受理、AA中心的设立审核中心的设立审核及管理和授权管理体系业务的规范化等及管理和授权管理体系业务的规范化等 电子政务86孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（二）电子政务授权服务系统的体系架构（二）电子政务授权服务系统的体系架构2．授权服务中心．授权服务中心AAv授权服务中心（授权服务中心（AA）是授权管理基础设施的核心）是授权管理基础设施的核心服务节点，是对应于具体应用系统的授权管理分系服务节点，是对应于具体应用系统的授权管理分系统，由具有设立统，由具有设立AA中心业务需求的各应用单位负中心业务需求的各应用单位负责建设，并与责建设，并与SOA中心通过业务协议达成相互的中心通过业务协议达成相互的信任关系。

信任关系AA中心的职责主要包括：应用授权受中心的职责主要包括：应用授权受理、属性证书的发放和管理，以及授权服务代理点理、属性证书的发放和管理，以及授权服务代理点（（AA代理点）的设立审核和管理等代理点）的设立审核和管理等AA中心需中心需要为其所发放的所有属性证书维持一个历史记录和要为其所发放的所有属性证书维持一个历史记录和更新记录更新记录电子政务87孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（二）电子政务授权服务系统的体系架构（二）电子政务授权服务系统的体系架构3．授权服务代理点．授权服务代理点v授权服务代理点（授权服务代理点（AA代理点）是授权管理基础设代理点）是授权管理基础设施的用户代理节点，也称为资源管理中心，是与具施的用户代理节点，也称为资源管理中心，是与具体应用用户的接口，是对应体应用用户的接口，是对应AA中心的附属机构，中心的附属机构，接受接受AA中心的直接管理，由各中心的直接管理，由各AA中心负责建设，中心负责建设，报经主管的报经主管的SOA中心同意，并签发相应的证书中心同意，并签发相应的证书AA代理点的设立和数目由各代理点的设立和数目由各AA中心根据自身的中心根据自身的业务发展需求而定。

业务发展需求而定AA代理点的职责主要包括应代理点的职责主要包括应用授权服务代理和应用授权审核代理等，负责对具用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，并将属性证书的体的用户应用资源进行授权审核，并将属性证书的操作请求提交到授权服务中心进行处理操作请求提交到授权服务中心进行处理电子政务88孙宝文 王天梅 主编四、授权管理基础设施四、授权管理基础设施PMI（二）电子政务授权服务系统的体系架构（二）电子政务授权服务系统的体系架构4．访问控制执行者．访问控制执行者v访问控制执行者是指用户应用系统中具体对授权验访问控制执行者是指用户应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于授权管证服务的调用模块，因此，实际上并不属于授权管理基础设施的部分，但却是授权管理体系的重要组理基础设施的部分，但却是授权管理体系的重要组成部分访问控制执行者的主要职责是：将最终用成部分访问控制执行者的主要职责是：将最终用户针对特定的操作授权所提交的授权信息（属性证户针对特定的操作授权所提交的授权信息（属性证书）连同对应的身份验证信息（公钥证书）一起提书）连同对应的身份验证信息（公钥证书）一起提交到授权服务代理点，并根据授权服务中心返回的交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理。

授权结果，进行具体的应用授权处理 电子政务89孙宝文 王天梅 主编第三节第三节 信息资源服务层信息资源服务层一、基本概念一、基本概念二、信息资源服务层的逻辑结构二、信息资源服务层的逻辑结构三、数据中心方案设计三、数据中心方案设计四、数据交换中心方案设计四、数据交换中心方案设计电子政务90孙宝文 王天梅 主编一、基本概念一、基本概念（一）元数据（一）元数据1．元数据的概念．元数据的概念v元数据（元数据（Meta Data）是）是“关于数据的数据关于数据的数据”，，其抽象定义为其抽象定义为“关于数据的结构化处理、描述一个关于数据的结构化处理、描述一个资源的属性的数据、关于数据的信息资源的属性的数据、关于数据的信息”例如，“职工姓名职工姓名”是职工王海、刘萍等姓名的抽象，这些是职工王海、刘萍等姓名的抽象，这些具体的姓名是业务数据，而抽象的具体的姓名是业务数据，而抽象的“职工姓名职工姓名”即即为元数据再如，传统的图书卡片、出版图书的版为元数据再如，传统的图书卡片、出版图书的版权说明、磁盘的标签等都是元数据权说明、磁盘的标签等都是元数据 电子政务91孙宝文 王天梅 主编一、基本概念一、基本概念（一）元数据（一）元数据1．元数据的概念．元数据的概念v元数据是使数据充分发挥作用的重要条件之一。

它可以用元数据是使数据充分发挥作用的重要条件之一它可以用于许多方面，包括数据文档建立、数据发布、数据浏览和于许多方面，包括数据文档建立、数据发布、数据浏览和数据转换等元数据对于促进数据的管理、使用和共享均数据转换等元数据对于促进数据的管理、使用和共享均有重要的作用原始数据如果没有元数据，就很难有效地有重要的作用原始数据如果没有元数据，就很难有效地进行管理和使用由于元数据本身就严格且标准化和结构进行管理和使用由于元数据本身就严格且标准化和结构化程度极高，能够对跨区域、跨机构、跨职能的应用系统化程度极高，能够对跨区域、跨机构、跨职能的应用系统进行信息定位，因此，元数据对于建立数据交换网络是十进行信息定位，因此，元数据对于建立数据交换网络是十分重要的网络中心通过设在中心的元数据库可以实时地分重要的网络中心通过设在中心的元数据库可以实时地连接各个分发数据的分节点元数据库，帮助潜在的用户找连接各个分发数据的分节点元数据库，帮助潜在的用户找到其特定应用所需要的数据，实现数据共享不难预见，到其特定应用所需要的数据，实现数据共享不难预见，元数据在电子政务中特别是各政府部门之间共享交换数据元数据在电子政务中特别是各政府部门之间共享交换数据中将担当重要的角色。

中将担当重要的角色 电子政务92孙宝文 王天梅 主编一、基本概念一、基本概念（一）元数据（一）元数据2．元数据的作用．元数据的作用（（1）帮助数据生产单位有效地管理和维护各种数据，建立数）帮助数据生产单位有效地管理和维护各种数据，建立数据文档，并保证即使其主要工作人员退休或调离时，也不据文档，并保证即使其主要工作人员退休或调离时，也不会失去对数据情况的了解；会失去对数据情况的了解；（（2）提供有关数据生产单位数据存储、数据分类、数据内容、）提供有关数据生产单位数据存储、数据分类、数据内容、数据质量、数据交换网络及数据销售等方面的信息，便于数据质量、数据交换网络及数据销售等方面的信息，便于用户查询检索各种数据；用户查询检索各种数据；（（3）提供通过网络对数据进行查询检索的方法或途径，以及）提供通过网络对数据进行查询检索的方法或途径，以及与数据交换和传输有关的辅助信息：与数据交换和传输有关的辅助信息：（（4）帮助用户了解数据，以便就数据是否能满足其需求做出）帮助用户了解数据，以便就数据是否能满足其需求做出正确的判断；正确的判断；（（5）提供有关信息，以便用户处理和转换有用的数据提供有关信息，以便用户处理和转换有用的数据。

电子政务93孙宝文 王天梅 主编一、基本概念一、基本概念（一）元数据（一）元数据3．元数据的管理机制．元数据的管理机制v在元数据库建立起来的情况下，要依托元数据进行在元数据库建立起来的情况下，要依托元数据进行信息资源的管理要有明确的信息资源管理部门或信息资源的管理要有明确的信息资源管理部门或岗位，以便担负起信息资源管理的使命，重点做好岗位，以便担负起信息资源管理的使命，重点做好以下信息资源管理工作以下信息资源管理工作 （（1）集中控制和管理数据定义集中控制和管理数据定义 （（2）控制元数据的变化控制元数据的变化 （（3）支持数据设计专业人员的工作支持数据设计专业人员的工作 （（4）协调数据使用协调数据使用电子政务94孙宝文 王天梅 主编一、基本概念一、基本概念（二）资源目录体系（二）资源目录体系1．资源目录体系的概念．资源目录体系的概念v资源目录体系是数据、文档等资源的管理和控制体资源目录体系是数据、文档等资源的管理和控制体系，是记录资源结构和资源属性的数据体系资源系，是记录资源结构和资源属性的数据体系资源目录体系包括两部分内容：资源结构和资源属性目录体系包括两部分内容：资源结构和资源属性。

资源结构通过树状的目录结构，展现了资源之间的资源结构通过树状的目录结构，展现了资源之间的相互关系；资源属性实际上是元数据的属性，它描相互关系；资源属性实际上是元数据的属性，它描述了资源的管理属性（包括来源、去向和版本等），述了资源的管理属性（包括来源、去向和版本等），用于控制和管理资源为指导数据中心的建设，数用于控制和管理资源为指导数据中心的建设，数据中心应制定资源属性标准据中心应制定资源属性标准 电子政务95孙宝文 王天梅 主编一、基本概念一、基本概念（二）资源目录体系（二）资源目录体系1．资源目录体系的概念．资源目录体系的概念电子政务96孙宝文 王天梅 主编一、基本概念一、基本概念（二）资源目录体系（二）资源目录体系2．政府信息资源目录体系的标准规范．政府信息资源目录体系的标准规范v制定政务信息资源标准规范是建立政府信息资源目录体系、制定政务信息资源标准规范是建立政府信息资源目录体系、信息交换体系的核心政务信息资源标准规范包括数据标信息交换体系的核心政务信息资源标准规范包括数据标准规范、技术标准规范、管理标准规范和业务标准规范准规范、技术标准规范、管理标准规范和业务标准规范。

v数据标准规范主要有：信息资源目录元数据标准、信息资数据标准规范主要有：信息资源目录元数据标准、信息资源目录分类代码标准、政务信息资源标识编码规则、信息源目录分类代码标准、政务信息资源标识编码规则、信息资源目录交换数据标准等资源目录交换数据标准等v技术标准规范主要有：目录交换技术标准与接口规范、业技术标准规范主要有：目录交换技术标准与接口规范、业务系统设计规范务系统设计规范v管理标准规范主要有：目录维护与管理规范、目录管理系管理标准规范主要有：目录维护与管理规范、目录管理系统运行与管理规范统运行与管理规范v业务标准规范主要有：独立业务标准由各业务部门自行制业务标准规范主要有：独立业务标准由各业务部门自行制定，关联业务标准由信息产业主管部门协调各业务部门联定，关联业务标准由信息产业主管部门协调各业务部门联合制定 电子政务97孙宝文 王天梅 主编一、基本概念一、基本概念（二）资源目录体系（二）资源目录体系3．政府信息资源目录体系的管理制度．政府信息资源目录体系的管理制度 v建立一套规范的政务信息管理制度，是保证政务信建立一套规范的政务信息管理制度，是保证政务信息资源合理利用、各部门交换与共享工作顺利进行息资源合理利用、各部门交换与共享工作顺利进行的基本要素。

它主要包括政府信息的采集、登记、的基本要素它主要包括政府信息的采集、登记、维护、交换公开制度及工作流程；政府信息资源管维护、交换公开制度及工作流程；政府信息资源管理制度、项目管理制度及信息交换和共享管理制度理制度、项目管理制度及信息交换和共享管理制度电子政务98孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库1．数据仓库的概念．数据仓库的概念v传统数据库作为数据管理的手段，主要用于联机事务处理传统数据库作为数据管理的手段，主要用于联机事务处理然而，随着数据库和计算机网络的广泛应用，这些事务型然而，随着数据库和计算机网络的广泛应用，这些事务型数据库中保存的数据急剧膨胀这一方面导致历史数据量数据库中保存的数据急剧膨胀这一方面导致历史数据量很大，对大量数据的访问性能明显下降；另一方面，数据很大，对大量数据的访问性能明显下降；另一方面，数据的迅猛增加和分析方法的滞后使得两者间的矛盾越来越突的迅猛增加和分析方法的滞后使得两者间的矛盾越来越突出由于事物处理和分析处理具有极不相同的性质，要提出由于事物处理和分析处理具有极不相同的性质，要提高分析和决策的效率和有效性，分析型处理及数据必须与高分析和决策的效率和有效性，分析型处理及数据必须与操作型处理及数据相分离。

如何把分析型数据从事务处理操作型处理及数据相分离如何把分析型数据从事务处理环境中提取出来，并将其清理、转换为新的存储格式，建环境中提取出来，并将其清理、转换为新的存储格式，建立单独的分析处理环境，以适应分析、决策的需要，数据立单独的分析处理环境，以适应分析、决策的需要，数据仓库（仓库（Data Warehouse，，DW）正是为了构建这种新）正是为了构建这种新的分析处理环境而出现的一种数据存储和组织技术的分析处理环境而出现的一种数据存储和组织技术电子政务99孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库1．数据仓库的概念．数据仓库的概念v数据仓库概念的创始人数据仓库概念的创始人W．．H．．Inmon在其著作《建立数在其著作《建立数据仓库》中对数据仓库的定义为：数据仓库是面向主题的、据仓库》中对数据仓库的定义为：数据仓库是面向主题的、集成的、稳定的、反映历史变化的数据集合，用于支持管集成的、稳定的、反映历史变化的数据集合，用于支持管理决策数据仓库是对分布在政府内部各处的业务数据的理决策数据仓库是对分布在政府内部各处的业务数据的整合、加工、分析的过程整合、加工、分析的过程。

v对于数据仓库的概念可以从两个层次予以理解首先，数对于数据仓库的概念可以从两个层次予以理解首先，数据仓库用于支持决策，面向分析型数据处理，它不同于政据仓库用于支持决策，面向分析型数据处理，它不同于政府现有的操作型数据库；其次，数据仓库是对多个异构的府现有的操作型数据库；其次，数据仓库是对多个异构的数据源有效集成，集成后按照主题进行了重组，并包含了数据源有效集成，集成后按照主题进行了重组，并包含了历史数据，而且存放在数据仓库中的数据一般不再改变历史数据，而且存放在数据仓库中的数据一般不再改变v数据仓库主要应用在两个方面：一是用浏览分析工具在数据仓库主要应用在两个方面：一是用浏览分析工具在DW中寻找有用的信息；二是数据仓库系统支持在数据挖中寻找有用的信息；二是数据仓库系统支持在数据挖掘上的应用，形成决策支持系统（掘上的应用，形成决策支持系统（Decision Support System，，DSS）电子政务100孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库2．数据仓库的特点．数据仓库的特点 （（1）数据仓库是面向主题的）数据仓库是面向主题的 （（2）数据仓库是集成的）数据仓库是集成的 （（3）数据仓库是相对稳定的）数据仓库是相对稳定的 （（4）数据仓库是反映历史变化的）数据仓库是反映历史变化的电子政务101孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库3．数据仓库的关键技术．数据仓库的关键技术v数据仓库是从原有的联机事务处理系统中提取原始的数据，数据仓库是从原有的联机事务处理系统中提取原始的数据，进行数据抽取、映射、转换和加载等数据处理，并按主题进行数据抽取、映射、转换和加载等数据处理，并按主题化、集成化对信息存储和管理，也可以进一步分解成面向化、集成化对信息存储和管理，也可以进一步分解成面向特定业务或应用的数据集市，最终为联机分析处理和决策特定业务或应用的数据集市，最终为联机分析处理和决策支持服务。

从数据库技术的角度看，数据仓库提供了多数支持服务从数据库技术的角度看，数据仓库提供了多数据源上的统一的数据平台据源上的统一的数据平台v数据仓库没有严格的数学理论基础，也没有成熟的基本模数据仓库没有严格的数学理论基础，也没有成熟的基本模式，且更偏向于工程由于数据仓库的这种工程性，因而式，且更偏向于工程由于数据仓库的这种工程性，因而在技术上可以根据它的工作过程分为：数据的抽取、存储在技术上可以根据它的工作过程分为：数据的抽取、存储和管理、数据的表现等三个基本方面和管理、数据的表现等三个基本方面电子政务102孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库3．数据仓库的关键技术．数据仓库的关键技术（（1）数据的抽取）数据的抽取v数据的抽取是数据进入仓库的入口，由于数据仓库数据的抽取是数据进入仓库的入口，由于数据仓库是一个独立的数据环境，它需要通过抽取过程将数是一个独立的数据环境，它需要通过抽取过程将数据从联机事务处理系统、外部数据源、脱机的数据据从联机事务处理系统、外部数据源、脱机的数据存储介质中导入到数据仓库数据抽取在技术上主存储介质中导入到数据仓库数据抽取在技术上主要涉及互连、复制、增量、转换、调度和监控等几要涉及互连、复制、增量、转换、调度和监控等几个方面。

数据仓库的数据并不要求与联机事务处理个方面数据仓库的数据并不要求与联机事务处理系统保持实时的同步，因此数据抽取可以定时进行，系统保持实时的同步，因此数据抽取可以定时进行，但多个抽取操作执行的时间、相互的顺序、成败对但多个抽取操作执行的时间、相互的顺序、成败对数据仓库中信息的有效性则至关重要数据仓库中信息的有效性则至关重要 电子政务103孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库3．数据仓库的关键技术．数据仓库的关键技术（（2）数据的存储和管理）数据的存储和管理v数据仓库的真正关键是数据的存储利管理数据仓数据仓库的真正关键是数据的存储利管理数据仓库的组织管理方式决定了它有别于传统数据库，同库的组织管理方式决定了它有别于传统数据库，同时也决定了其对外部数据的表现形式要决定采用时也决定了其对外部数据的表现形式要决定采用什么产品和技术来建立数据仓库的核心，则需要从什么产品和技术来建立数据仓库的核心，则需要从数据仓库的技术特点着手分析在规模上，可以采数据仓库的技术特点着手分析在规模上，可以采取为某个部门或某个业务方向服务的、比数据仓库取为某个部门或某个业务方向服务的、比数据仓库的规模要小一些的数据集市。

的规模要小一些的数据集市 电子政务104孙宝文 王天梅 主编一、基本概念一、基本概念（三）数据仓库（三）数据仓库3．数据仓库的关键技术．数据仓库的关键技术（（3）数据的表现）数据的表现v数据表现实际上相当于数据仓库的门面，其性能主要集中数据表现实际上相当于数据仓库的门面，其性能主要集中在多维分析、数理统计和数据挖掘方面其中，多维分析在多维分析、数理统计和数据挖掘方面其中，多维分析是数据仓库的重要表现形式近几年来由于互联网的发展，是数据仓库的重要表现形式近几年来由于互联网的发展，使得多维分析领域的工具和产品更加注重提供基于使得多维分析领域的工具和产品更加注重提供基于Web的的前端联机分析界面，而不仅仅是网上发布的数据数理统前端联机分析界面，而不仅仅是网上发布的数据数理统计原本与数据仓库没有直接的联系，但在实际的应用中，计原本与数据仓库没有直接的联系，但在实际的应用中，客户需要通过对数据的统计来验证他们对某些事物的假设，客户需要通过对数据的统计来验证他们对某些事物的假设，以进行决策与数理统计相似，数据挖掘与数据仓库也没以进行决策与数理统计相似，数据挖掘与数据仓库也没有直接的联系，数据挖掘强调的不仅仅是验证人们对数据有直接的联系，数据挖掘强调的不仅仅是验证人们对数据特性的假设，而且它更要主动地寻找并发现蕴藏在数据之特性的假设，而且它更要主动地寻找并发现蕴藏在数据之中的规律。

中的规律 电子政务105孙宝文 王天梅 主编二、信息资源服务层的逻辑结构二、信息资源服务层的逻辑结构v信息资源服务层一般负责管理存放政府各类基础数信息资源服务层一般负责管理存放政府各类基础数据，通过数据转换、加工、提取和过滤等过程，向据，通过数据转换、加工、提取和过滤等过程，向应用服务层提供数据该平台一般包括数据库和数应用服务层提供数据该平台一般包括数据库和数据库管理系统，资源服务层的逻辑结构如图所示据库管理系统，资源服务层的逻辑结构如图所示 电子政务106孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计v数据中心是政府各种业务系统和政府部门之间协同数据中心是政府各种业务系统和政府部门之间协同工作的数据支撑，也是政府门户的信息中心，同时工作的数据支撑，也是政府门户的信息中心，同时还是多媒体、文档资料和政策法规的存储中心和预还是多媒体、文档资料和政策法规的存储中心和预决策所需的数据仓库中心因此，数据中心应该是决策所需的数据仓库中心因此，数据中心应该是一个集中、分散、异构、可扩充、可集成、有统一一个集中、分散、异构、可扩充、可集成、有统一数据模型、有多种角度视图的、可交换的和安全可数据模型、有多种角度视图的、可交换的和安全可靠的复合数据库系统。

其核心内容是靠的复合数据库系统其核心内容是“数据集中存数据集中存储管理、提供共享和交换平台，提供公共服务和决储管理、提供共享和交换平台，提供公共服务和决策支持服务策支持服务” 电子政务107孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计电子政务108孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计该数据中心体系的构成基于以下几点考虑该数据中心体系的构成基于以下几点考虑v（（1）数据中心主要管理由核心业务数据整合而成）数据中心主要管理由核心业务数据整合而成的共享数据库，以及与相关业务部门交换数据的接的共享数据库，以及与相关业务部门交换数据的接口数据文件通过数据中心，实现了包括公文、法口数据文件通过数据中心，实现了包括公文、法律法规、国内国际动态等的核心业务部门和相关业律法规、国内国际动态等的核心业务部门和相关业务机构的数据资源共享务机构的数据资源共享v（（2）数据文件可以通过公文交换系统、邮件网络）数据文件可以通过公文交换系统、邮件网络方式直接传递，但都存在安全隐患问题，如果通过方式直接传递，但都存在安全隐患问题，如果通过政务专网及信息资源中心进行转发，可以解决数据政务专网及信息资源中心进行转发，可以解决数据传递过程中的安全隐患、同时实现整个系统的单一传递过程中的安全隐患、同时实现整个系统的单一出出/入口。

入口电子政务109孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计该数据中心体系的构成基于以下几点考虑该数据中心体系的构成基于以下几点考虑v（（3）从网络流量和业务办理机构操作性能等方面）从网络流量和业务办理机构操作性能等方面进行综合考虑，在整合核心业务数据时，如果采用进行综合考虑，在整合核心业务数据时，如果采用同步实时复制方式，既不能保证网络流量得到满足，同步实时复制方式，既不能保证网络流量得到满足，又降低了业务办理机构的操作性能和数据存储速率：又降低了业务办理机构的操作性能和数据存储速率：如果采用异步批量复制方式，利用网络空闲时间进如果采用异步批量复制方式，利用网络空闲时间进行数据的批量复制，就可以解决以上问题行数据的批量复制，就可以解决以上问题v（（4）数据集中存储，既方便了数据安全控制，又）数据集中存储，既方便了数据安全控制，又方便数据的异地集中备份，从而最大限度发挥数据方便数据的异地集中备份，从而最大限度发挥数据中心统一管理职能的作用中心统一管理职能的作用 电子政务110孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（一）资源目录体系设计（一）资源目录体系设计v电子政务系统的资源目录是对政务信息资源的集中描述，电子政务系统的资源目录是对政务信息资源的集中描述，对政务信息资源的共享起标引、检索和导航作用。

一般来对政务信息资源的共享起标引、检索和导航作用一般来说，电子政务系统的资源目录体系可以分为共享存储资源说，电子政务系统的资源目录体系可以分为共享存储资源目录体系、交换资源目录体系和各下属单位自有资源目录目录体系、交换资源目录体系和各下属单位自有资源目录体系体系3大类v由于资源目录管理系统应该具有强大的由于资源目录管理系统应该具有强大的XML数据存储和处数据存储和处理能力，其存储和管理是基于理能力，其存储和管理是基于XML的面向主题的动态交换的面向主题的动态交换信息、非结构化信息和元数据，同时还具备将其他数据存信息、非结构化信息和元数据，同时还具备将其他数据存储在关系型数据库或其他数据库内的能力，因此必须选择储在关系型数据库或其他数据库内的能力，因此必须选择一种基于一种基于XML的数据库系统作为数据中心建设的资源目录的数据库系统作为数据中心建设的资源目录管理系统管理系统XML Server作为目前常见的作为目前常见的XML数据库，且数据库，且相对关系型数据库具有明显的技术优势，因此可以选择相对关系型数据库具有明显的技术优势，因此可以选择XML Server作为数据中心资源目录管理系统作为数据中心资源目录管理系统。

电子政务111孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计1．数据库分类．数据库分类v按信息的应用属性，一般可将电子政务系统的数据按信息的应用属性，一般可将电子政务系统的数据类型分为两大类：基础数据库类和业务数据库类类型分为两大类：基础数据库类和业务数据库类v基础数据库类作为国家统一建设的战略性基础数据基础数据库类作为国家统一建设的战略性基础数据库，应包括基础支撑数据库和基础数据库其中，库，应包括基础支撑数据库和基础数据库其中，基础支撑数据库一般包括：元数据库、公共代码数基础支撑数据库一般包括：元数据库、公共代码数据库、业务规则数据库和标准规范数据库等；基础据库、业务规则数据库和标准规范数据库等；基础数据库则应包括：人口信息数据库、法人信息数据数据库则应包括：人口信息数据库、法人信息数据库、空间地理与自然资源信息数据库和宏观经济信库、空间地理与自然资源信息数据库和宏观经济信息数据库息数据库电子政务112孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计1．数据库分类．数据库分类v按信息的应用属性，一般可将电子政务系统的数据按信息的应用属性，一般可将电子政务系统的数据类型分为两大类：基础数据库类和业务数据库类。

类型分为两大类：基础数据库类和业务数据库类v业务数据库类可以包括共享业务数据库和决策支持业务数据库类可以包括共享业务数据库和决策支持数据库共享业务数据库一般包括：办公数据库、数据库共享业务数据库一般包括：办公数据库、审批数据库、政务公开数据库、企业服务监管数据审批数据库、政务公开数据库、企业服务监管数据库和城市管理信息数据库等；决策支持数据库可以库和城市管理信息数据库等；决策支持数据库可以包括：统计分析数据库、模型数据库和方法策略数包括：统计分析数据库、模型数据库和方法策略数据库等电子政务113孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计2．基础支持数据库的概念解释．基础支持数据库的概念解释v基础支撑数据库是对整个数据中心的其他数据库起基础支撑数据库是对整个数据中心的其他数据库起支撑和管理作用的，主要负责对整个核心数据库进支撑和管理作用的，主要负责对整个核心数据库进行描述，实现对数据的管理、控制和配置，同时对行描述，实现对数据的管理、控制和配置，同时对数据库中的信息进行管理规范的制订和执行数据库中的信息进行管理规范的制订和执行电子政务114孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计2．基础支持数据库的概念解释．基础支持数据库的概念解释（（1）元数据库）元数据库v通过元数据库的建设，将数据中心资源目录体系中具有的通过元数据库的建设，将数据中心资源目录体系中具有的数据库、表、数据项和各种属性等进行描述，元数据库分数据库、表、数据项和各种属性等进行描述，元数据库分为共享存储数据元数据库、交换数据元数据库和各下属单为共享存储数据元数据库、交换数据元数据库和各下属单位数据资源元数据库，分别描述存储在数据中心核心数据位数据资源元数据库，分别描述存储在数据中心核心数据库中的数据、用于交换的数据和目前仍分布存储在各下属库中的数据、用于交换的数据和目前仍分布存储在各下属单位中的数据。

依据元数据库，可管理、处理核心数据库单位中的数据依据元数据库，可管理、处理核心数据库中存储的数据、用于交换的数据和政务网中其他的数据；中存储的数据、用于交换的数据和政务网中其他的数据；可定制数据交换的数据流程，数据加工处理的工作流程，可定制数据交换的数据流程，数据加工处理的工作流程，快速找到用户所需要的数据；同时，也使数据中心的管理快速找到用户所需要的数据；同时，也使数据中心的管理员方便、快捷地实现对数据的管理和控制员方便、快捷地实现对数据的管理和控制电子政务115孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计2．基础支持数据库的概念解释．基础支持数据库的概念解释（（2）信息分类、代码数据库）信息分类、代码数据库v分类与代码对于库中信息的组织管理和服务是极其重要的，分类与代码对于库中信息的组织管理和服务是极其重要的，同时，随着国际经济一体化进程的加快，与国际标准信息同时，随着国际经济一体化进程的加快，与国际标准信息分类体系的兼容问题也日益重要这些分类代码体系涉及分类体系的兼容问题也日益重要这些分类代码体系涉及到国民经济行业分类代码、联合国及各国海关协调制度到国民经济行业分类代码、联合国及各国海关协调制度（（HS）分类与代码、北美工业标准分类代码（）分类与代码、北美工业标准分类代码（NAICS体体系）、全国行政区划分类与代码（扩展到乡镇级）、全国系）、全国行政区划分类与代码（扩展到乡镇级）、全国工农业产品工农业产品/商品分类代码、各主导行业信息分类与代码以商品分类代码、各主导行业信息分类与代码以及文件格式及其结构描述规范代码等。

及文件格式及其结构描述规范代码等v代码数据库对各数据项给出代码指标的意义和取值范围，代码数据库对各数据项给出代码指标的意义和取值范围，并对其进行描述对每个数据项，都有代码和取值范围，并对其进行描述对每个数据项，都有代码和取值范围，这些代码和取值范围组成了数据字典，目的就是要统一数这些代码和取值范围组成了数据字典，目的就是要统一数据标准，保证数据的一致性和同步性据标准，保证数据的一致性和同步性 电子政务116孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计2．基础支持数据库的概念解释．基础支持数据库的概念解释（（3）业务规则数据库）业务规则数据库v业务规则数据库对核心数据库的各个数据项指标的业务规则数据库对核心数据库的各个数据项指标的具体业务规则和数据转换规则进行描述业务规则具体业务规则和数据转换规则进行描述业务规则数据库解决了数据中心在进行数据共享和交换过程数据库解决了数据中心在进行数据共享和交换过程中，数据项属性，如代码、类型、大小和取值范围中，数据项属性，如代码、类型、大小和取值范围不一致的问题不一致的问题电子政务117孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计2．基础支持数据库的概念解释．基础支持数据库的概念解释（（4）标准规范数据库）标准规范数据库v标准规范数据库对数据的存储、提取、采集、权限控制等标准规范数据库对数据的存储、提取、采集、权限控制等进行标准规范的制订、描述和使用，同时实现数据中心各进行标准规范的制订、描述和使用，同时实现数据中心各项标准、规范的参数化定义和管理。

项标准、规范的参数化定义和管理v基础支撑数据库是数据中心进行数据共享、交换、应用和基础支撑数据库是数据中心进行数据共享、交换、应用和管理的基础，当用户需要使用数据中心的某类数据时，首管理的基础，当用户需要使用数据中心的某类数据时，首先从元数据库中检索是否存储有相关的数据，然后根据存先从元数据库中检索是否存储有相关的数据，然后根据存储的表名检索出数据的存储位置和相关的属性字段，接着储的表名检索出数据的存储位置和相关的属性字段，接着通过调用规则库中的数据转换规则和数据字典对其相关的通过调用规则库中的数据转换规则和数据字典对其相关的部分进行转化，为用户提供最终的结果对于管理员来说，部分进行转化，为用户提供最终的结果对于管理员来说，通过基础支撑数据库的管理也可实现对核心数据库的管理，通过基础支撑数据库的管理也可实现对核心数据库的管理，而避免直接操作核心数据库而造成的数据不一致性和完整而避免直接操作核心数据库而造成的数据不一致性和完整性 电子政务118孙宝文 王天梅 主编三、数据中心方案设计三、数据中心方案设计（二）数据存储设计（二）数据存储设计3．数据库相互的关联．数据库相互的关联电子政务119孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计v电子政务的电子政务的“交换中心交换中心”不是指通信层上的交换，不是指通信层上的交换，而是应用层中面向语义、主题驱动的资源交换。

在而是应用层中面向语义、主题驱动的资源交换在政务系统中，交换中心是机构间协同作业的基础空政务系统中，交换中心是机构间协同作业的基础空间，交换是资源整合、共享和升值的前提间，交换是资源整合、共享和升值的前提v按照交换对象的不同，电子政务系统中的信息交换按照交换对象的不同，电子政务系统中的信息交换可分为三类：一是政府部门内部的电子化和网络化可分为三类：一是政府部门内部的电子化和网络化办公；二是政府部门之间通过网络进行的信息交换；办公；二是政府部门之间通过网络进行的信息交换；三是政府部门通过网络与企业、市民之间进行的信三是政府部门通过网络与企业、市民之间进行的信息交换电子政务120孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（一）数据交换的标准与方式（一）数据交换的标准与方式1．数据交换的标准．数据交换的标准v要实现分布式、异构数据的交换与共享，在进行平要实现分布式、异构数据的交换与共享，在进行平台开发、应用系统开发时须制定或遵循以下几个方台开发、应用系统开发时须制定或遵循以下几个方面的信息交换标准面的信息交换标准1）元语言标准元语言标准v元语言是描述其他语言的语言。

电子政务的信息表元语言是描述其他语言的语言电子政务的信息表示语言采用示语言采用XML元语言标准该标准用来对政务元语言标准该标准用来对政务信息的语言的语法、编码和命名进行形式化描述信息的语言的语法、编码和命名进行形式化描述该标准可采用该标准可采用W3C制定的制定的XML元语言标准，设计元语言标准，设计者应根据电子政务中的信息表示的需求进行裁剪者应根据电子政务中的信息表示的需求进行裁剪电子政务121孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（一）数据交换的标准与方式（一）数据交换的标准与方式1．数据交换的标准．数据交换的标准（（2）信息编码标准信息编码标准v该项标准对字符的编码、字符集定义、字符引用和字体的该项标准对字符的编码、字符集定义、字符引用和字体的表示进行了规定一般采用表示进行了规定一般采用W3C制定的制定的XML1．．0为基础，为基础，以以GB13000为缺省的字符集，同时也能支持为缺省的字符集，同时也能支持GBl8030字符集标准字符集标准3）元数据标准元数据标准v元数据是描述电子数据的数据，制定该标准是为了方便政元数据是描述电子数据的数据，制定该标准是为了方便政府信息资源有效地保存、查询和再利用。

在府信息资源有效地保存、查询和再利用在XML标准中，标准中，元数据的表示采用了元数据的表示采用了“词汇表词汇表”、、“命名空间命名空间”、、“文档文档类型定义（类型定义（DTD））”和和XML Schema等实现方式在异等实现方式在异构关系数据库之间还可通过建立元模型，用元模型统一数构关系数据库之间还可通过建立元模型，用元模型统一数据的语义据的语义电子政务122孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（一）数据交换的标准与方式（一）数据交换的标准与方式1．数据交换的标准．数据交换的标准v（（4）显示标准在电子政务系统中，要将数据和）显示标准在电子政务系统中，要将数据和数据的显示分开这样就把数据的加工同不同的输数据的显示分开这样就把数据的加工同不同的输出和显示分开处理，而不会造成出和显示分开处理，而不会造成HTML中文档结中文档结构的复杂性，显示在不同设备上，但内容只有一个构的复杂性，显示在不同设备上，但内容只有一个显示标准一般采用显示标准一般采用W3C推荐的层叠式样单推荐的层叠式样单CSS、、可扩充式样单语言可扩充式样单语言XSLv（（5）解析、转换和封装标准。

要实时共享交换的）解析、转换和封装标准要实时共享交换的各种信息，必须具备效率高的数据结构封装、解析各种信息，必须具备效率高的数据结构封装、解析和转换的功能，因此必须有相应的标准和转换的功能，因此必须有相应的标准电子政务123孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（一）数据交换的标准与方式（一）数据交换的标准与方式2．信息交换方式．信息交换方式根据环境的不同，实现信息交换的方式有根据环境的不同，实现信息交换的方式有3种v第一种交换方式，具有相同数据库管理系统第一种交换方式，具有相同数据库管理系统（（DBMS）的分布式系统的数据交换，可直接用）的分布式系统的数据交换，可直接用相应系统的有关功能相应系统的有关功能v第二种交换方式，利用已有的消息中间件服务器第二种交换方式，利用已有的消息中间件服务器v第三种交换方式，通用数据交换器的结构第三种交换方式，通用数据交换器的结构电子政务124孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（二）信息交换平台的设计（二）信息交换平台的设计1．服务结构设计．服务结构设计v信息交换平台的服务结构主要从以下几个方面进行信息交换平台的服务结构主要从以下几个方面进行设计。

设计§第一，业务数据的访问控制第一，业务数据的访问控制§第二，业务数据的分析处理第二，业务数据的分析处理§第三，业务交换数据的暂存控制第三，业务交换数据的暂存控制§第四，业务数据的分发控制第四，业务数据的分发控制§第五，可信第五，可信SOAP服务的支持服务的支持 电子政务125孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（二）信息交换平台的设计（二）信息交换平台的设计2．安全结构设计．安全结构设计信息交换平台的安全结构主要从以下几个方面进行设计信息交换平台的安全结构主要从以下几个方面进行设计v第一，内部安全域划分根据所管理的电子政务网络系统第一，内部安全域划分根据所管理的电子政务网络系统的安全级别和重要程度，将信息交换平台的内部系统划分的安全级别和重要程度，将信息交换平台的内部系统划分为不同的安全域，并为每个安全域制定相应的安全策略为不同的安全域，并为每个安全域制定相应的安全策略v第二，系统的接口控制从信息安全管理的角度，需要对第二，系统的接口控制从信息安全管理的角度，需要对信息交换平台对外的网络管理接口进行访问控制，从而确信息交换平台对外的网络管理接口进行访问控制，从而确保数据交换、分发和访问的安全性。

保数据交换、分发和访问的安全性 v第三，数据操作的安全审计对信息交换平台所进行的访第三，数据操作的安全审计对信息交换平台所进行的访问操作进行审计，以备分析和审查问操作进行审计，以备分析和审查电子政务126孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（二）信息交换平台的设计（二）信息交换平台的设计3. 功能结构设计功能结构设计v信息交换平台一改以往基于口令信息交换平台一改以往基于口令/密码的传统数据密码的传统数据库身份认证机制，在库身份认证机制，在PKI/PMI的基础上实现了对的基础上实现了对用户身份的强认证，从而在根本上保证了数据的安用户身份的强认证，从而在根本上保证了数据的安全性同时，由于现有数据资源的分散性、无序性，全性同时，由于现有数据资源的分散性、无序性，通常很难形成集成化的数据服务，也很难满足企业通常很难形成集成化的数据服务，也很难满足企业分析决策的迫切需要信息交换平台通过数据仓库分析决策的迫切需要信息交换平台通过数据仓库和数据挖掘功能的集成，实现了对数据的统一有序和数据挖掘功能的集成，实现了对数据的统一有序管理，从而提供了优化统计和分析决策的功能。

管理，从而提供了优化统计和分析决策的功能 电子政务127孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（二）信息交换平台的设计（二）信息交换平台的设计3. 功能结构设计功能结构设计信息交换平台的功能结构设计主要包括：信息交换平台的功能结构设计主要包括： v第一，数据管理功能第一，数据管理功能v第二，第二，XML支持功能支持功能v第三，数据安全功能第三，数据安全功能v第四，系统性能的可扩展性第四，系统性能的可扩展性 电子政务128孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（三）业务数据管理设计（三）业务数据管理设计v业务数据包括关系型数据和非结构化数据而根据业务数据包括关系型数据和非结构化数据而根据数据库的操作性、数据的语义，可以将业务数据管数据库的操作性、数据的语义，可以将业务数据管理系统中的数据库分为三大类：一般意义上的数据理系统中的数据库分为三大类：一般意义上的数据库即关系数据库（库即关系数据库（DB）、供综合业务系统和门户）、供综合业务系统和门户使用的面向主题的操作数据库（使用的面向主题的操作数据库（OSD）、供决策）、供决策者使用的数据仓库（者使用的数据仓库（DW）。

DB数据主要分布在数据主要分布在各局委办，数据中心只有少量的，所以它是集中分各局委办，数据中心只有少量的，所以它是集中分布的面向主题的操作数据库是电子政务数据中心布的面向主题的操作数据库是电子政务数据中心的主体，它是的主体，它是DB按主题映射的数据库数据仓库按主题映射的数据库数据仓库则是建立在则是建立在OSD之上的主题数据库之上的主题数据库 电子政务129孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（三）业务数据管理设计（三）业务数据管理设计v业务数据管理系统直接管理面向主题的操作数据库，业务数据管理系统直接管理面向主题的操作数据库，业务数据管理系统管理的数据来自于数据交换平台业务数据管理系统管理的数据来自于数据交换平台中的动态信息通过业务数据管理系统，可以对业中的动态信息通过业务数据管理系统，可以对业务系统数据模型进行定义，建立各局委办业务数据务系统数据模型进行定义，建立各局委办业务数据库同操作数据库中的映射关系，从而建立和维护面库同操作数据库中的映射关系，从而建立和维护面向主题的操作数据库同时，业务数据管理系统也向主题的操作数据库同时，业务数据管理系统也能够通过操作数据库向数据仓库提供数据，形成决能够通过操作数据库向数据仓库提供数据，形成决策数据的积累。

策数据的积累 电子政务130孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（三）业务数据管理设计（三）业务数据管理设计电子政务131孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（三）业务数据管理设计（三）业务数据管理设计v面向主题的操作数据库一方面需要与数据交换系统交换大面向主题的操作数据库一方面需要与数据交换系统交换大量的基于量的基于XML标准的数据和文档，吞吐能力和存储能力要标准的数据和文档，吞吐能力和存储能力要求很高：另一方面，又要依据元数据的定义与各局委办数求很高：另一方面，又要依据元数据的定义与各局委办数据库建立映射关系，保持与各局委办数据的一致性要求据库建立映射关系，保持与各局委办数据的一致性要求这就要求面向主题的操作数据库应该直接建立在纯这就要求面向主题的操作数据库应该直接建立在纯XML数数据库之上，同时，依靠据库之上，同时，依靠XML数据库提供的业务数据管理系数据库提供的业务数据管理系统来管理和维护因此，面向主题的操作数据库是数据中统来管理和维护因此，面向主题的操作数据库是数据中心里基于心里基于XML的重要的信息服务器。

的重要的信息服务器XML数据库提供的业数据库提供的业务数据管理系统包括数据收集和预处理模块、数据处理和务数据管理系统包括数据收集和预处理模块、数据处理和管理模块、数据挖掘分析模块、数据导出模块、信息发布管理模块、数据挖掘分析模块、数据导出模块、信息发布模块五个模块，其系统结构如下页图所示模块五个模块，其系统结构如下页图所示 电子政务132孙宝文 王天梅 主编四、数据交换中心方案设计四、数据交换中心方案设计（三）业务数据管理设计（三）业务数据管理设计电子政务133【案例【案例4-2】变】变“孤岛孤岛”为为“大大陆陆”电子政务134孙宝文 王天梅 主编第四节第四节 电子政务业务支撑层电子政务业务支撑层一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择二、一站式电子政务服务框架二、一站式电子政务服务框架三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术电子政务135孙宝文 王天梅 主编一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择v一站式电子政务服务的概念是指服务的提供者针对一站式电子政务服务的概念是指服务的提供者针对特定的用户群，通过网络提供一个有统一入口的服特定的用户群，通过网络提供一个有统一入口的服务平台，用户通过访问统一的门户即可得到全程服务平台，用户通过访问统一的门户即可得到全程服务。

一站式电子政务服务一方面使企业、公民办事务一站式电子政务服务一方面使企业、公民办事快捷，只需要登录电子政府的门户站点，就可以得快捷，只需要登录电子政府的门户站点，就可以得到所需要的一站式全程电子政务服务，避免了传统到所需要的一站式全程电子政务服务，避免了传统方式的烦琐和不便（后台的处理可能跨越不同政府方式的烦琐和不便（后台的处理可能跨越不同政府部门或者同一政府部门的不同处室）；另一方面使部门或者同一政府部门的不同处室）；另一方面使得政府公务员无须在不同信息系统间反复进出办公，得政府公务员无须在不同信息系统间反复进出办公，从而得到一站式办公，提高办公效率从而得到一站式办公，提高办公效率电子政务136孙宝文 王天梅 主编一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择v由于国家电子政务的一站式服务架构所面临的特殊由于国家电子政务的一站式服务架构所面临的特殊应用需求和安全需求，客观上要求其在选择计算模应用需求和安全需求，客观上要求其在选择计算模式时必须充分考虑以下几方面问题式时必须充分考虑以下几方面问题1．计算模式的先进性和工程建设的规范性．计算模式的先进性和工程建设的规范性v作为直接面向公众的电子政府的门户和窗口，国家作为直接面向公众的电子政府的门户和窗口，国家电子政务的一站式服务架构无论从系统的服务能力电子政务的一站式服务架构无论从系统的服务能力与性能、系统开发和运行维护的简易性，还是与目与性能、系统开发和运行维护的简易性，还是与目前主流计算平台的兼容性和互操作性，都必须体现前主流计算平台的兼容性和互操作性，都必须体现出其计算模式的先进性和工程建设的规范性。

出其计算模式的先进性和工程建设的规范性电子政务137孙宝文 王天梅 主编一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择2．良好的应用整合和资源共享支持．良好的应用整合和资源共享支持v国家电子政务的一站式服务架构必须能够提供良好的应用国家电子政务的一站式服务架构必须能够提供良好的应用整合和资源共享支持各级政府部门在前期的电子政务建整合和资源共享支持各级政府部门在前期的电子政务建设过程中，不断积累形成了较为丰富的业务资源和数据资设过程中，不断积累形成了较为丰富的业务资源和数据资源如何有效地利用这些资源，实现向第三代电子政府的源如何有效地利用这些资源，实现向第三代电子政府的过渡已成为当务之急同时，现有的政务资源由于采用的过渡已成为当务之急同时，现有的政务资源由于采用的技术参差不齐，在计算结构、操作平台等方面也各不相同，技术参差不齐，在计算结构、操作平台等方面也各不相同，这使得政务领域应用资源的整合问题也成为了一个难题这使得政务领域应用资源的整合问题也成为了一个难题此外，一站式电子政务服务对于各类政务业务流程的全面此外，一站式电子政务服务对于各类政务业务流程的全面整合需求客观上也要求一站式服务框架具有良好的互操作整合需求客观上也要求一站式服务框架具有良好的互操作性和可扩展性，以方便提供跨平台应用的整合与重新部署性和可扩展性，以方便提供跨平台应用的整合与重新部署能力。

能力电子政务138孙宝文 王天梅 主编一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择3．自主知识产权及可信度．自主知识产权及可信度v国家电子政务的一站式服务架构必须强调具有自主国家电子政务的一站式服务架构必须强调具有自主知识产权知识产权v国家电子政务工程关系到未来我国电子政府管理职国家电子政务工程关系到未来我国电子政府管理职能的全面、有效的发挥，因此，必须强调核心计算能的全面、有效的发挥，因此，必须强调核心计算平台的自主知识产权和可信度，确保电子政府具有平台的自主知识产权和可信度，确保电子政府具有高强度的安全保障能力，特别是要有效地防止由于高强度的安全保障能力，特别是要有效地防止由于核心技术与产品依赖国外技术而可能造成的安全隐核心技术与产品依赖国外技术而可能造成的安全隐患与后门同时，应把电子政务建设作为振兴我国患与后门同时，应把电子政务建设作为振兴我国软件产业、集成电路产业和信息安全产业的一大发软件产业、集成电路产业和信息安全产业的一大发展契机 电子政务139孙宝文 王天梅 主编一、一站式电子政务服务架构的计算模式选择一、一站式电子政务服务架构的计算模式选择4．有效的信任与授权机制．有效的信任与授权机制v在一个可信的、能有效提供信任与授权服务的操作在一个可信的、能有效提供信任与授权服务的操作平台上，构建一站式电子政务服务架构也必须能够平台上，构建一站式电子政务服务架构也必须能够提供对有效的信任与授权机制的有机融合，以便充提供对有效的信任与授权机制的有机融合，以便充分利用底层的安全机制来保障电子政府业务系统的分利用底层的安全机制来保障电子政府业务系统的正常运行。

正常运行电子政务140孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架v一站式电子政务服务框架的基本设计思路为：在统一的信一站式电子政务服务框架的基本设计思路为：在统一的信任与授权服务平台的基础上，通过可信任与授权服务平台的基础上，通过可信Web Service技技术提供政务应用的基础运行平台，然后，在此基础上，根术提供政务应用的基础运行平台，然后，在此基础上，根据国家电子政务的实际应用需求，搭建统一的一站式电子据国家电子政务的实际应用需求，搭建统一的一站式电子政务服务框架一站式电子政务服务框架主要针对公众用政务服务框架一站式电子政务服务框架主要针对公众用户和政务专网用户分别提供接入和工作流引擎、通用电子户和政务专网用户分别提供接入和工作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能这两部政务构件、个性化管理以及服务集成等基本的功能这两部分用户之间通过可信信息交换模块来完成信息的安全交换分用户之间通过可信信息交换模块来完成信息的安全交换功能，，以满足目前对于电子政府内网敏感信息的安全保功能，，以满足目前对于电子政府内网敏感信息的安全保密要求一站式电子政务服务框架为各类政务应用系统的密要求。

一站式电子政务服务框架为各类政务应用系统的开发、运行与集成提供一个统一的操作平台，从而实现跨开发、运行与集成提供一个统一的操作平台，从而实现跨政府部门的一站式电子政务服务政府部门的一站式电子政务服务 电子政务141孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架电子政务142孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（一）接入平台（一）接入平台v接入平台是整个一站式电子政务服务架构的用户接接入平台是整个一站式电子政务服务架构的用户接入部分由于这个平台将同时面向一般社会公众和入部分由于这个平台将同时面向一般社会公众和政务专网的公务员提供服务，因此，接入平台也将政务专网的公务员提供服务，因此，接入平台也将划分为相应的两个部分，并分别接入到一站式电子划分为相应的两个部分，并分别接入到一站式电子政务基础框架平台对应的模块中政务基础框架平台对应的模块中v接入平台需要提供对多种接入方式的支持，除了传接入平台需要提供对多种接入方式的支持，除了传统的互联网和政务专网接入、电信公网拨号接入外，统的互联网和政务专网接入、电信公网拨号接入外，还可以对无线接入方式以及还可以对无线接入方式以及PDA等多接入终端提等多接入终端提供支持。

供支持 电子政务143孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（二）客户端模块（二）客户端模块v客户端模块是一站式电子政务服务架构的客户端支客户端模块是一站式电子政务服务架构的客户端支持模块由于整个一站式电子政务服务系统都是建持模块由于整个一站式电子政务服务系统都是建立在立在Web平台上的，因此，客户端主要是一个通平台上的，因此，客户端主要是一个通用的浏览器，客户端模块则主要以插件的形式工作用的浏览器，客户端模块则主要以插件的形式工作客户端模块主要对底层的信任与授权服务平台提供客户端模块主要对底层的信任与授权服务平台提供基本功能的支持（因为可信基本功能的支持（因为可信Web Service平台以平台以上层面的功能在服务器端完成），其提供的功能主上层面的功能在服务器端完成），其提供的功能主要包括：要包括：（（1）证书管理功能（）证书管理功能（2）安全功能支持）安全功能支持（（3）可信）可信XML数据的解释与显示功能数据的解释与显示功能（（4）会话功能支持（）会话功能支持（5）用户界面定制功能）用户界面定制功能电子政务144孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台v一站式电子政务服务的基础框架平台是整个一站式电子政一站式电子政务服务的基础框架平台是整个一站式电子政务服务架构的核心部分。

它主要利用底层的可信务服务架构的核心部分它主要利用底层的可信Web Service平台所提供的可信应用开发和集成环境，根据国平台所提供的可信应用开发和集成环境，根据国家电子政务的实际应用需求，提供互联网与政务专网的隔家电子政务的实际应用需求，提供互联网与政务专网的隔离功能、一站式电子政务的工作流支持功能、通用电子政离功能、一站式电子政务的工作流支持功能、通用电子政务构件的支持功能、服务的个性化管理功能以及服务的集务构件的支持功能、服务的个性化管理功能以及服务的集成功能，从而形成了一个各类政务应用系统的开发、运行成功能，从而形成了一个各类政务应用系统的开发、运行与集成的统一操作平台与集成的统一操作平台v可信可信Web Service计算平台为一站式电子政务服务的基计算平台为一站式电子政务服务的基础框架平台提供了基本的支持可信础框架平台提供了基本的支持可信Web Service计算计算技术采用了底层信任与授权服务平台所提供的基础安全服技术采用了底层信任与授权服务平台所提供的基础安全服务，对标准的务，对标准的Web Service计算平台进行了全面的安全计算平台进行了全面的安全升级，提供了对可信升级，提供了对可信Web Service的定义、注册和查询的定义、注册和查询等环节的安全保护，并为等环节的安全保护，并为Web Service的运行提供了基的运行提供了基本的环境。

本的环境电子政务145孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台2．工作流引擎．工作流引擎v工作流引擎主要是面向跨政府部门的广义电子政务工作流引擎主要是面向跨政府部门的广义电子政务工作流服务的，可以在不同的政府部门之间进行工工作流服务的，可以在不同的政府部门之间进行工作流和信息流的调度与控制，并针对电子政务服务作流和信息流的调度与控制，并针对电子政务服务的特殊需求重点增强了对工作流程环节的监管能力，的特殊需求重点增强了对工作流程环节的监管能力，可以提供对电子政务服务的督办和催办功能可以提供对电子政务服务的督办和催办功能 电子政务146孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台2．工作流引擎．工作流引擎工作流引擎提供的主要功能为：工作流引擎提供的主要功能为：（（1）异构计算环境下的广义工作流支持功能）异构计算环境下的广义工作流支持功能（（2）工作流的授权支持功能）工作流的授权支持功能（（3）单点登录支持功能）单点登录支持功能电子政务147孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台3．通用电子政务构件．通用电子政务构件v由于每个政务业务系统所提供的服务中都有许多通用的功由于每个政务业务系统所提供的服务中都有许多通用的功能模块，如果这些功能模块在各个业务系统中重复实现，能模块，如果这些功能模块在各个业务系统中重复实现，不仅会造成资源的浪费，而且也很难保证实现的正确性与不仅会造成资源的浪费，而且也很难保证实现的正确性与一致性。

因此，理想的解决方案是在一站式服务框架中统一致性因此，理想的解决方案是在一站式服务框架中统一实现这些通用的政务业务构件模块通用的政务业务构一实现这些通用的政务业务构件模块通用的政务业务构件主要是在可信件主要是在可信Web Service的基础上实现，主要包括的基础上实现，主要包括以下功能以下功能 （（1）用户身份认证功能（）用户身份认证功能（2）应用操作授权功能）应用操作授权功能 （（3）安全数据交换功能（）安全数据交换功能（4）可信日志功能）可信日志功能 （（5）系统配置管理功能）系统配置管理功能 电子政务148孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台4．个性化管理模块．个性化管理模块v作为面向大规模应用的一站式电子政务服务，由于作为面向大规模应用的一站式电子政务服务，由于所面临的客户群体具有较大的差异性，因此，必须所面临的客户群体具有较大的差异性，因此，必须提供个性化的服务功能，允许用户根据自己的偏好提供个性化的服务功能，允许用户根据自己的偏好来定制所需的政务服务。

个性化管理模块所提供的来定制所需的政务服务个性化管理模块所提供的功能主要包括以下内容功能主要包括以下内容1）用户服务定制功能）用户服务定制功能（（2）基于客户关系管理的服务定制功能）基于客户关系管理的服务定制功能电子政务149孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（三）一站式电子政务服务的基础框架平台（三）一站式电子政务服务的基础框架平台5．服务集成模块．服务集成模块v服务集成模块主要是针对非可信服务集成模块主要是针对非可信Web Service上上的应用系统而言的，主要是在一站式服务框架的层的应用系统而言的，主要是在一站式服务框架的层次上提供进一步的应用服务整合与集成支持功能次上提供进一步的应用服务整合与集成支持功能服务集成模块提供的功能主要包括以下内容服务集成模块提供的功能主要包括以下内容1）跨计算平台的接口功能）跨计算平台的接口功能（（2）集成的安全机制）集成的安全机制（（3）单点登录支持功能）单点登录支持功能电子政务150孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（四）政务应用系统（四）政务应用系统v政务应用系统是在一站式电子政务服务基础框架平政务应用系统是在一站式电子政务服务基础框架平台上加载和运行的各类政务业务系统，并且各类政台上加载和运行的各类政务业务系统，并且各类政务业务系统的地位应该是对等的，即工商、税务、务业务系统的地位应该是对等的，即工商、税务、财政和社保等电子政务服务系统都是作为一站式电财政和社保等电子政务服务系统都是作为一站式电子政务服务架构上加载和运行的电子政务服务模块，子政务服务架构上加载和运行的电子政务服务模块，各模块接受一站式电子政务服务架构中的工作流引各模块接受一站式电子政务服务架构中的工作流引擎的调度与管理，从而相互协同工作，共同构成一擎的调度与管理，从而相互协同工作，共同构成一系列具体的一站式电子政务办公服务系统。

系列具体的一站式电子政务办公服务系统 电子政务151孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（五）可信（五）可信Web Service计算平台计算平台v可信可信Web Service计算平台是一站式电子政务服计算平台是一站式电子政务服务架构的主要支撑层面，它主要负责为一站式服务务架构的主要支撑层面，它主要负责为一站式服务框架平台提供可信框架平台提供可信Web Service的基础运行环境的基础运行环境可信可信Web Service提供了一种非常理想的、可动提供了一种非常理想的、可动态扩展的、灵活的分布式计算模式，在此基础上构态扩展的、灵活的分布式计算模式，在此基础上构建的一站式电子政务服务框架平台可以得到很大的建的一站式电子政务服务框架平台可以得到很大的简化电子政务152孙宝文 王天梅 主编二、一站式电子政务服务框架二、一站式电子政务服务框架（六）信任与授权服务平台（六）信任与授权服务平台v作为整个一站式电子政务服务框架的基础，信任与作为整个一站式电子政务服务框架的基础，信任与授权服务平台主要负责为上层的可信授权服务平台主要负责为上层的可信Web Service计算平台提供基础的信任服务和授权服计算平台提供基础的信任服务和授权服务，以及运行这些服务所必须的基础信息安全服务务，以及运行这些服务所必须的基础信息安全服务功能。

整个信任与授权服务平台的可信度直接决定功能整个信任与授权服务平台的可信度直接决定了上层政务应用系统的运行安全性了上层政务应用系统的运行安全性 电子政务153孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML1．．XML语言概述语言概述vXML（（Extensible Markup Language，可，可扩展标记语言）是元数据基于应用层的可扩展标记扩展标记语言）是元数据基于应用层的可扩展标记语言，它将通用标记语言标准（语言，它将通用标记语言标准（Standard Generalized Markup Language，简称，简称SGML）强大的表达可选性与）强大的表达可选性与HTML的简单性进的简单性进行良好结合，是当前信息技术领域最重要、最活跃行良好结合，是当前信息技术领域最重要、最活跃的发展之一在的发展之一在W3C（（World Wide Web Consortium）的推动下，）的推动下，XML正以其自身的优正以其自身的优势，逐渐成为网络世界的势，逐渐成为网络世界的“国际语言国际语言”，也是建立，也是建立电子政务规范语言的基础。

电子政务规范语言的基础电子政务154孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML1．．XML语言概述语言概述•XML是一种具有数据描述功能、高度结构性及可是一种具有数据描述功能、高度结构性及可验证性的置标语言验证性的置标语言XML允许用户自行定义标记允许用户自行定义标记和属性，并可以依照所定义的标记与属性的语法来和属性，并可以依照所定义的标记与属性的语法来开发应用程序可以通过标记来描述数据，或配合开发应用程序可以通过标记来描述数据，或配合属性来辅助描述数据，因此，属性来辅助描述数据，因此，XML宜作为对象或宜作为对象或标准的描述语言，并且由于可以借助验证规则来规标准的描述语言，并且由于可以借助验证规则来规范一个范一个XML文件的内容和结构，所以文件的内容和结构，所以XML又很适又很适合用于做合用于做G2G、、G2E、、G2C、、G2B数据交换格式数据交换格式电子政务155孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术电子政务156孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML2．．cegXML语言语言vXML作为一站式电子政务服务架构的核心技术之作为一站式电子政务服务架构的核心技术之一，是整个框架中的应用层数据编码格式。

考虑到一，是整个框架中的应用层数据编码格式考虑到一站式电子政务服务应用模式的实际需求，以及国一站式电子政务服务应用模式的实际需求，以及国家电子政务的业务系统与安全电子政务平台之间的家电子政务的业务系统与安全电子政务平台之间的有机结合问题，国家电子政务将统一采用政务专用有机结合问题，国家电子政务将统一采用政务专用的的XML语言，即语言，即cegXML（（China E-Government XML）cegXML规范定义了电规范定义了电子政务业务处理系统对智能化的信任与授权服务平子政务业务处理系统对智能化的信任与授权服务平台所提供的全网统一的信任和授权服务管理的集成台所提供的全网统一的信任和授权服务管理的集成调用接口，并可实现与应用业务密切结合的安全功调用接口，并可实现与应用业务密切结合的安全功能调用模式能调用模式电子政务157孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（1）基于）基于cegXML的基本电子政务应用流程的基本电子政务应用流程v电子政务模型共由电子政务模型共由5个实体组成：电子政务服务申个实体组成：电子政务服务申请者、电子政务综合信息平台、电子政务服务实施请者、电子政务综合信息平台、电子政务服务实施方、电子政务认证机构和电子政务授权机构。

方、电子政务认证机构和电子政务授权机构 电子政务158孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术电子政务159孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（1）基于）基于cegXML的基本电子政务应用流程的基本电子政务应用流程vcegXML支持请求支持请求/回应、单向发送和多向发送三回应、单向发送和多向发送三种交互方式请求种交互方式请求/回应方式属于同步方式，由交回应方式属于同步方式，由交互的一方发出请求，另一方接收到请求后进行处理，互的一方发出请求，另一方接收到请求后进行处理，并发出响应，第一方只有接收到应答后才继续往下并发出响应，第一方只有接收到应答后才继续往下执行，这种方式适用于双方进行的大部分交互活动，执行，这种方式适用于双方进行的大部分交互活动，如政务状态查询等单向发送方式是一种异步方式，如政务状态查询等单向发送方式是一种异步方式，交互的一方发出消息后就接着往下执行，这种方式交互的一方发出消息后就接着往下执行，这种方式适用于交互一方向另一方发出一些消息通知，如消适用于交互一方向另一方发出一些消息通知，如消息转发等。

多向发送方式可以同时将信息发送给多息转发等多向发送方式可以同时将信息发送给多个接收者，它一般基于单向发送方式个接收者，它一般基于单向发送方式电子政务160孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（2）基于）基于cegXML的安全信任机制的安全信任机制v在国家电子政务中建立基于在国家电子政务中建立基于cegXML的安全信任的安全信任机制，可以在不同的机制，可以在不同的Web系统之间提供无缝的安系统之间提供无缝的安全交互和信息交换，并能非常方便地实现信息的机全交互和信息交换，并能非常方便地实现信息的机密性、完整性、抗抵赖性以及访问授权等安全功能密性、完整性、抗抵赖性以及访问授权等安全功能需求基于需求基于cegXML的安全信任机制主要包括两的安全信任机制主要包括两方面的内容：扩展方面的内容：扩展cegXML安全机制、建立基于安全机制、建立基于XML的信任服务结构的信任服务结构 电子政务161孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（2）基于）基于cegXML的安全信任机制的安全信任机制①①扩展扩展cegXML安全机制安全机制v为最大限度地发挥为最大限度地发挥XML语言的优势，使得政务公文对象的语言的优势，使得政务公文对象的表示和业务处理流程中的安全保护机制能够有机地整合起表示和业务处理流程中的安全保护机制能够有机地整合起来，来，cegXML在通用文档规范在通用文档规范XMLl．．0、、DTD和和XSL的的基础上，增加了消息安全机制和基础上，增加了消息安全机制和XML文档安全机制，即在文档安全机制，即在已有身份标识标签的基础上，增加授权标识和密签文档两已有身份标识标签的基础上，增加授权标识和密签文档两种标签定义：授权标识标签在消息头的消息发送者中使用，种标签定义：授权标识标签在消息头的消息发送者中使用，内容为发送者的授权信息，如属性证书；密签文档标签在内容为发送者的授权信息，如属性证书；密签文档标签在消息体中使用，内容为经加密签名后的发送文档（此时要消息体中使用，内容为经加密签名后的发送文档（此时要求消息发送者的身份标识应使用公钥证书）。

求消息发送者的身份标识应使用公钥证书）电子政务162孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术<消息头消息头><消息发送者消息发送者><身份标识身份标识>…<授权标识授权标识 类型＝类型＝”{string}”><标识值标识值>{string}<消息体消息体><密签文档密签文档>…电子政务163孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（2）基于）基于cegXML的安全信任机制的安全信任机制②②建立基于建立基于cegXML的信任服务的信任服务vcegXML签名v规范规范XMLvXML加密电子政务164孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（一）（一）XML与与cegXML（（3）基于）基于XML的授权机制的授权机制v在授权管理基础设施在授权管理基础设施PMI中使用中使用XML，不仅能够，不仅能够在大型安全基础设施中为电子政务构造授权服务体在大型安全基础设施中为电子政务构造授权服务体系，而且能在电子政务处理过程中的各个政府机构系，而且能在电子政务处理过程中的各个政府机构间方便地使用授权服务。

间方便地使用授权服务v安全声明标记语言安全声明标记语言SAML（（Security Announcement Marking Language）提）提供了一种标准方式，它允许政府机构对实体、特权供了一种标准方式，它允许政府机构对实体、特权以及权限进行声明，从而通过以及权限进行声明，从而通过XML文档来定义政文档来定义政府机构服务对象的鉴定、授权、权限和会话信息府机构服务对象的鉴定、授权、权限和会话信息电子政务165孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（二）基于（二）基于J2EE的分布式计算技术的分布式计算技术v适用于创建服务器应用程序和服务的企业版适用于创建服务器应用程序和服务的企业版J2EE是一种利用是一种利用Java 2平台来简化诸多与多级企业解平台来简化诸多与多级企业解决方案的开发、部署和管理相关的复杂问题的体系决方案的开发、部署和管理相关的复杂问题的体系结构J2EE还为这些组件提供了一整套企业服务，还为这些组件提供了一整套企业服务，通过自动化的方式完成应用程序开发中的诸多耗时通过自动化的方式完成应用程序开发中的诸多耗时且费力的艰难工作，为用户提供一种可创建广泛兼且费力的艰难工作，为用户提供一种可创建广泛兼容的企业解决方案而无需进行复杂编程的平台。

利容的企业解决方案而无需进行复杂编程的平台利用这一优势可以方便地开发出高质量的、适合企业用这一优势可以方便地开发出高质量的、适合企业使用的应用程序，还可极大地减少产品研发上市的使用的应用程序，还可极大地减少产品研发上市的时间、成本和风险时间、成本和风险 电子政务166孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（二）基于（二）基于J2EE的分布式计算技术的分布式计算技术基于基于J2EE的分布式计算技术可以实现以下三个目标的分布式计算技术可以实现以下三个目标1）集成性2）可用性3）可扩展性可扩展性电子政务167孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（二）基于（二）基于J2EE的分布式计算技术的分布式计算技术1．可信．可信Web服务系统服务系统v可信可信Web服务系统主要提供可信信息发布服务，它将常规服务系统主要提供可信信息发布服务，它将常规Web服务器和信任与授权服务技术有机结合，具有信息反服务器和信任与授权服务技术有机结合，具有信息反篡改、可信日志审计、基于篡改、可信日志审计、基于PMI的访问控制等功能。

的访问控制等功能v可信可信Web服务系统可以提供可信部署服务，保证服务部署服务系统可以提供可信部署服务，保证服务部署的可信性和完整性（应用服务在通过审查后，由专门的部的可信性和完整性（应用服务在通过审查后，由专门的部署服务器进行数字签名后提交，在签名验证通过后才在服署服务器进行数字签名后提交，在签名验证通过后才在服务器上进行部署）并且可信务器上进行部署）并且可信Web服务系统能够提供反篡服务系统能够提供反篡改服务，从而保证服务的可信性和完整性（对发布信息进改服务，从而保证服务的可信性和完整性（对发布信息进行数字签名）：在发现篡改事件时根据备份进行自动修复，行数字签名）：在发现篡改事件时根据备份进行自动修复，篡改事件包括文件和目录的增加、删除、重命名，文件内篡改事件包括文件和目录的增加、删除、重命名，文件内容或权限属性的修改，以及目录权限属性的修改等容或权限属性的修改，以及目录权限属性的修改等 电子政务168孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（二）基于（二）基于J2EE的分布式计算技术的分布式计算技术2．可信．可信APP服务系统服务系统v可信可信APP（（Application）服务系统承载应用系统业务逻）服务系统承载应用系统业务逻辑的计算环境，它将常规的应用服务器技术同信任与授权辑的计算环境，它将常规的应用服务器技术同信任与授权服务技术进行了有机的结合。

服务技术进行了有机的结合v可信可信APP服务系统主要包括服务系统主要包括4个部分：个部分：APP信任服务核心信任服务核心部件、安全中间件、反篡改模块和可信日志模块其中，部件、安全中间件、反篡改模块和可信日志模块其中，APP信任服务核心部件包含应用服务平台模块（包括应用信任服务核心部件包含应用服务平台模块（包括应用服务平台和控制台模块）、应用框架模块（包括表示层管服务平台和控制台模块）、应用框架模块（包括表示层管理、会话管理和数据库管理模块）、工具模块应用服务理、会话管理和数据库管理模块）、工具模块应用服务平台是平台是APP信任服务平台的运行组件，它提供了信任服务平台的运行组件，它提供了APP信任信任服务平台应用和服务平台应用和Web服务平台之间的连接，并能实现所有服务平台之间的连接，并能实现所有的其他运行功能的其他运行功能电子政务169孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术vWeb Service技术是利用标准的技术是利用标准的Web协议和可编程访问协议和可编程访问的的Web组件，目标是提供跨平台的互操作性，让分布在地组件，目标是提供跨平台的互操作性，让分布在地理上不同区域的计算机和设备协同工作。

理上不同区域的计算机和设备协同工作Web Service将应用功能封装成若干将应用功能封装成若干Web组件，并将其发布在网上，供组件，并将其发布在网上，供需要获得这些功能的应用系统访问，而且各种应用系统间需要获得这些功能的应用系统访问，而且各种应用系统间都能够通过这种方式进行互联互通整个都能够通过这种方式进行互联互通整个Web Service的实现过程采用的都是标准的协议和技术，如：的实现过程采用的都是标准的协议和技术，如：HTTP、、SOAP、、XML等因此，按照等因此，按照Web Service架构设计的架构设计的系统将具有很好的跨平台性和兼容性同时，系统将具有很好的跨平台性和兼容性同时，Web Service技术是一种松散耦合型的计算技术，因此，在跨技术是一种松散耦合型的计算技术，因此，在跨系统的资源整合和一站式电子政务服务系统的构建方面具系统的资源整合和一站式电子政务服务系统的构建方面具有独特的优势有独特的优势电子政务170孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术v尽管尽管Web Service有很多优势，但是，安全问题一直是有很多优势，但是，安全问题一直是其健康发展的障碍。

例如，在使用其健康发展的障碍例如，在使用Web Service的过程的过程中，用户必须知道所发布的中，用户必须知道所发布的Web组件是否经过了严格的安组件是否经过了严格的安全认证控制；而且，全认证控制；而且，Web Service应该能够识别用户的应该能够识别用户的身份、相关的安全服务策略以及用户的接入设备等，这些身份、相关的安全服务策略以及用户的接入设备等，这些问题都是可信问题都是可信Web Service技术需要解决的技术需要解决的v可信可信Web Service技术是在技术是在Web Service基础之上提基础之上提出来的可信出来的可信Web Service通过可信通过可信SOAP技术来保证技术来保证消息的可信性，即消息的机密性、完整性和不可抵赖性；消息的可信性，即消息的机密性、完整性和不可抵赖性；通过可信的通过可信的WSDL（（Web Service Description Language，，Web服务描述语言）来描述可信的服务组服务描述语言）来描述可信的服务组件；通过可信的件；通过可信的UDDI（（Universal Description，，Discovery and Integration，统一描述、发现和集成，统一描述、发现和集成协议）来发布可信服务组件。

协议）来发布可信服务组件电子政务171孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术1．可信．可信SOAPv简单对象访问协议简单对象访问协议SOAP是在分布式的环境中基于是在分布式的环境中基于XML协议进行信息交换的简单协议随着异种计协议进行信息交换的简单协议随着异种计算环境的不断增加，各种系统间的互操作性变得越算环境的不断增加，各种系统间的互操作性变得越来越重要，因此，要求系统能够进行无缝的通信和来越重要，因此，要求系统能够进行无缝的通信和数据共享，从而在数据共享，从而在Internet环境下，消除巨大的环境下，消除巨大的信息孤岛，实现信息共享、进行数据交换，达到信信息孤岛，实现信息共享、进行数据交换，达到信息的一致性而息的一致性而SOAP是实现是实现“基于基于Web无缝集无缝集成成”，提供一种完全跨平台、跨系统访问服务和对，提供一种完全跨平台、跨系统访问服务和对象的可行技术象的可行技术电子政务172孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术1．可信．可信SOAPvSOAP采用采用XML作为编码方式，这有很多的益处：作为编码方式，这有很多的益处：XML是是标准语言，它所表示的消息具有较好的易读性，而且很容标准语言，它所表示的消息具有较好的易读性，而且很容易为它编写编码器和译码器；可以用很少的或零系统开销易为它编写编码器和译码器；可以用很少的或零系统开销相对无修改地将相对无修改地将XML数据发送到数据发送到XML-RPC调用；可以使调用；可以使用不同格式的用不同格式的XML-RPC系统方便地从一种格式转换到另系统方便地从一种格式转换到另一种格式的一种格式的XML（（XSLT）。

v可信可信SOAP技术在保留技术在保留SOAP上述优点的同时，对上述优点的同时，对SOAP消息进行了安全扩展，从而能保证消息的可信性，即消息消息进行了安全扩展，从而能保证消息的可信性，即消息的机密性、完整性和不可抵赖性可信的机密性、完整性和不可抵赖性可信SOAP需在密码服需在密码服务系统的基础上，提供业务支撑平台和具体业务系统之间务系统的基础上，提供业务支撑平台和具体业务系统之间在应用层的可信传输服务在应用层的可信传输服务 电子政务173孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术1．可信．可信SOAP电子政务174孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术1．可信．可信SOAPv可信可信SOAP采用采用Java和和JSP技术在信任服务器平技术在信任服务器平台上进行自主开发，主要实现以下功能台上进行自主开发，主要实现以下功能§对对SOAP消息进行安全扩展，实现消息的消息进行安全扩展，实现消息的可信性。

可信性§实现证书管理功能实现证书管理功能§实现路由转发功能实现路由转发功能电子政务175孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术2．可信．可信UDDIvUDDI本质上是为了解决当前在开发基于组件化的本质上是为了解决当前在开发基于组件化的Web服务中所使用的技术方法无法解决的一些问服务中所使用的技术方法无法解决的一些问题而提出来的题而提出来的vUDDI技术为技术为Web服务在技术层次上提供了三个服务在技术层次上提供了三个重要的支持：重要的支持：（（1）标准化的、透明的、专门描述）标准化的、透明的、专门描述Web服务的机服务的机制；制；（（2）调用）调用Web服务的简单机制；服务的简单机制；（（3）可访问的）可访问的Web服务注册中心服务注册中心 电子政务176孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术2．可信．可信UDDIv可信可信UDDI将在深入研究将在深入研究UDDI协议和协议和WSDL标标准的基础上，采用准的基础上，采用Java、、JSP和和Servlet技术进技术进行自主开发，并提供强有力的安全保障。

可信行自主开发，并提供强有力的安全保障可信UDDI将通过以下几点来实现应用层次上的信任与将通过以下几点来实现应用层次上的信任与授权1）客户端与服务器端的相互认证客户端与服务器端的相互认证2）操作权限的控制操作权限的控制3）关键信息的安全传输关键信息的安全传输4）可信日志可信日志电子政务177孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术3．可信．可信WSDLvWSDL是一种是一种Web服务描述语言，它以某种结构服务描述语言，它以某种结构化的方式（即化的方式（即XML）对）对Web服务的调用服务的调用/通信加通信加以描述，并定义了一套基于以描述，并定义了一套基于XML的语法，将的语法，将Web服务描述为能够进行消息交换的服务访问点的集合，服务描述为能够进行消息交换的服务访问点的集合，使由一个服务提供的抽象功能的描述与服务描述细使由一个服务提供的抽象功能的描述与服务描述细节（如功能是怎样提供的以及在什么地方提供）分节（如功能是怎样提供的以及在什么地方提供）分离根据电子政务可信离根据电子政务可信Web Service的要求，应的要求，应该研究信任与授权服务的应用和描述机制，从而使该研究信任与授权服务的应用和描述机制，从而使WSDL成为可信成为可信Web服务的定义和描述语言。

服务的定义和描述语言 电子政务178孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术4．．Web Service的服务流程的服务流程 服务注册服务注册服务注册服务注册 服务发现服务发现服务发现服务发现服务定位服务定位服务定位服务定位服务绑定和调用服务绑定和调用服务绑定和调用服务绑定和调用电子政务179孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（三）可信（三）可信Web Service技术技术4．．Web Service的服务流程的服务流程 从上述流程可以看出，电子政务的可信从上述流程可以看出，电子政务的可信Web Service体系框架主要包含以下部分：体系框架主要包含以下部分：（（1）可信的）可信的Web Service运行环境：负责提供可运行环境：负责提供可信信Web Service的运行管理机制；的运行管理机制；（（2）面向政务系统的）面向政务系统的UDDI注册表和政务系统可信注册表和政务系统可信Web Service的安全管理服务；的安全管理服务；（（3）基于可信）基于可信Web Service运行环境的、面向行运行环境的、面向行业共性特性的业共性特性的Web Service构件。

构件电子政务180孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（四）工作流技术（四）工作流技术 1．工作流的概念．工作流的概念v工作流是针对日常工作中具有固定程序的常规活动而提出工作流是针对日常工作中具有固定程序的常规活动而提出的一种概念，目的是通过将工作合理分解成定义的任务、的一种概念，目的是通过将工作合理分解成定义的任务、角色，并且按照一定的规则和过程来执行这些任务并对它角色，并且按照一定的规则和过程来执行这些任务并对它们进行监控，达到提高工作效率、降低生产成本、提高企们进行监控，达到提高工作效率、降低生产成本、提高企业生产经营管理水平和企业竞争力的目的业生产经营管理水平和企业竞争力的目的v按照工作流管理联盟（按照工作流管理联盟（WFMC）对工作流的定义，工作流）对工作流的定义，工作流是一类能够完全或部分自动执行的业务过程，并根据一系是一类能够完全或部分自动执行的业务过程，并根据一系列规则，文档、信息、任务能够在不同的执行者之间传递、列规则，文档、信息、任务能够在不同的执行者之间传递、执行工作流是对一整套规则与过程的描述，其目标不仅执行。

工作流是对一整套规则与过程的描述，其目标不仅是把事物从一个地方流向另一个地方，而且管理那些引导是把事物从一个地方流向另一个地方，而且管理那些引导作业环境如何运作的规则与过程作业环境如何运作的规则与过程 电子政务181孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（四）工作流技术（四）工作流技术 2．工作流管理系统的体系结构．工作流管理系统的体系结构v工作流管理系统是一个软件系统，为业务活动的运工作流管理系统是一个软件系统，为业务活动的运行提供软件支撑环境它完成工作流的定义和管理，行提供软件支撑环境它完成工作流的定义和管理，并按照在计算机中预先定义好的工作流逻辑推进工并按照在计算机中预先定义好的工作流逻辑推进工作流实例的执行工作流管理系统的体系结构分为作流实例的执行工作流管理系统的体系结构分为可视化流程定制、工作流引擎和工作流查询工具等可视化流程定制、工作流引擎和工作流查询工具等3大块1）工作流引擎作为核心，工作流引擎负责解释）工作流引擎作为核心，工作流引擎负责解释过程定义，创建过程实例，并依据流程控制数据控过程定义，创建过程实例，并依据流程控制数据控制其执行，按照调度规则对任务进行调度，生成工制其执行，按照调度规则对任务进行调度，生成工作任务表，通过应用程序接口（作任务表，通过应用程序接口（API）调用应用程）调用应用程序，提供监督和管理功能。

序，提供监督和管理功能电子政务182孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（四）工作流技术（四）工作流技术 2．工作流管理系统的体系结构．工作流管理系统的体系结构（（2）可视化流程定制工具可视化流程定制工具给工作流引）可视化流程定制工具可视化流程定制工具给工作流引擎解释执行的工作流程模型定义，并能进行工作流实例的擎解释执行的工作流程模型定义，并能进行工作流实例的监控和管理工作一方面，使用图形化的方法，可以让开监控和管理工作一方面，使用图形化的方法，可以让开发者用最少的时间设计或修改企业工作流程另一方面，发者用最少的时间设计或修改企业工作流程另一方面，建模工具提供了相当丰富的流程逻辑表达方式，可以表示建模工具提供了相当丰富的流程逻辑表达方式，可以表示非常复杂的流程，和界面开发工具、报表设计工具相结合非常复杂的流程，和界面开发工具、报表设计工具相结合可以轻易地设定每个流程步骤要执行的功能；和组织机构可以轻易地设定每个流程步骤要执行的功能；和组织机构建模工具相结合，可方便准确地选择每个活动执行的参与建模工具相结合，可方便准确地选择每个活动执行的参与者；通过资源管理服务进行设计结果的保存与打开，并进者；通过资源管理服务进行设计结果的保存与打开，并进行一致性的有效控制。

同时，还可以通过监控系统，直观行一致性的有效控制同时，还可以通过监控系统，直观地了解地了解—项工作任务在工作流中的运转情况项工作任务在工作流中的运转情况3）工作流查询工具工作流查询工具可供最终用户使用，）工作流查询工具工作流查询工具可供最终用户使用，查询工作流实例的各种属性情况查询工作流实例的各种属性情况电子政务183孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（四）工作流技术（四）工作流技术 3．工作流技术在电子政务中的作用．工作流技术在电子政务中的作用v工作流技术适应于一站式服务框架下的具体电子政工作流技术适应于一站式服务框架下的具体电子政务应用系统中各个政府职能部门之间的联办互动工务应用系统中各个政府职能部门之间的联办互动工作，公文流转，网上审批、信息传递等系统都要用作，公文流转，网上审批、信息传递等系统都要用到工作流技术采用工作流引擎技术可将信任服务、到工作流技术采用工作流引擎技术可将信任服务、授权服务和工作流转等业务流程有机结合、紧密结授权服务和工作流转等业务流程有机结合、紧密结合在一起，构成安全的工作流业务系统，为不同业合在一起，构成安全的工作流业务系统，为不同业务系统集成提供实现的技术手段。

务系统集成提供实现的技术手段电子政务184孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（四）工作流技术（四）工作流技术 3．工作流技术在电子政务中的作用．工作流技术在电子政务中的作用具体而言，工作流技术要达到以下目标：具体而言，工作流技术要达到以下目标：（（1）支持跨平台、多种语言的接口，使用户的已有应用可以）支持跨平台、多种语言的接口，使用户的已有应用可以在不做改动或稍做改动的情况下应用到新的工作流上；在不做改动或稍做改动的情况下应用到新的工作流上；（（2）建立流程控制数据库，让适当的人在适当的时间，通过）建立流程控制数据库，让适当的人在适当的时间，通过适当的方式提醒，从而以适当的手段完成适当的事情；适当的方式提醒，从而以适当的手段完成适当的事情；（（3）支持多种工作处理机制，例如，工作人员外出时的远程）支持多种工作处理机制，例如，工作人员外出时的远程办公机制、授权机制等；办公机制、授权机制等；（（4）与消息中间件之间的有效结合，支持各种灵活的触发和）与消息中间件之间的有效结合，支持各种灵活的触发和提醒机制，例如，界面提示功能、数据库触发机制和消息提醒机制，例如，界面提示功能、数据库触发机制和消息的存储转发等等。

的存储转发等等5）工作流引擎的设计实现流程、信息和人的分离设计，各）工作流引擎的设计实现流程、信息和人的分离设计，各司其职，各成体系司其职，各成体系 电子政务185孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（五）代理技术（五）代理技术多多Agent系统（系统（Multi-Agent System，，MAS）采用多代理技术构建的一站式平台上的各种政务应采用多代理技术构建的一站式平台上的各种政务应用系统，有效地利用了用系统，有效地利用了Agent的社会性特点，通的社会性特点，通过相互通信、分工合作、资源共享，共同完成政务过相互通信、分工合作、资源共享，共同完成政务中的各种负责业务中的各种负责业务移动移动Agent技术（技术（Mobile Agent）移动Agent技术作为一种新型的分布式计算技术，它的智能性、技术作为一种新型的分布式计算技术，它的智能性、动态性和移动性，可以帮助电子政务用户通过企业、动态性和移动性，可以帮助电子政务用户通过企业、学校和家里的学校和家里的PC，以及电视、，以及电视、 和和 等设备，从等设备，从任何地方、任何时间迅速地接入一站式电子政务平任何地方、任何时间迅速地接入一站式电子政务平台，获取各种信息，完成各种业务功能。

台，获取各种信息，完成各种业务功能电子政务186孙宝文 王天梅 主编三、一站式电子政务服务架构的关键技术三、一站式电子政务服务架构的关键技术（五）代理技术（五）代理技术•Java与与AgentJava是面向是面向“智体智体”的程序设的程序设计语言（计语言（Agent-Oriented Programming Language），它便于描述和表达），它便于描述和表达“智体智体”的多的多种拟人的智能特性：自主性、主动性、可动性、反种拟人的智能特性：自主性、主动性、可动性、反应性、社会性，能够支持应性、社会性，能够支持“智体智体”的感知、识别，的感知、识别，推理、决策、动作和行为能力的实现因此，代理推理、决策、动作和行为能力的实现因此，代理技术与技术与J2EE平台结合进行一站式电子政务服务系平台结合进行一站式电子政务服务系统的开发是一个非常完美的选择统的开发是一个非常完美的选择电子政务187孙宝文 王天梅 主编本章小结本章小结 v电子政务是复杂的大型系统，本章按照分层的思想，电子政务是复杂的大型系统，本章按照分层的思想，将实现和架构电子政务的主要技术可划分为基础设将实现和架构电子政务的主要技术可划分为基础设施层、信息资源服务层、业务支撑层分别讲述。

施层、信息资源服务层、业务支撑层分别讲述v基础设施层作为国家电子政务建设的重要基础之一，基础设施层作为国家电子政务建设的重要基础之一，主要涉及到两个基础设施，即网络基础设施和信息主要涉及到两个基础设施，即网络基础设施和信息安全基础设施构建网络基础设施的关键技术之一安全基础设施构建网络基础设施的关键技术之一是网络信任域，构建信息安全基础设施的关键技术是网络信任域，构建信息安全基础设施的关键技术主要包括公钥基础设施主要包括公钥基础设施PKI和授权管理基础设施和授权管理基础设施PKI而建立全网统一的网络信任域基础设施需要而建立全网统一的网络信任域基础设施需要基于先进的基于先进的PKI及及PMI技术电子政务188孙宝文 王天梅 主编本章小结本章小结 v信息资源服务层负责管理存放政府各类基础数据，信息资源服务层负责管理存放政府各类基础数据，通过数据转换、加工、提取和过滤等过程，向应用通过数据转换、加工、提取和过滤等过程，向应用服务层提供数据，主要由数据中心和数据交换中心服务层提供数据，主要由数据中心和数据交换中心构成数据中心方案设计的关键是资源目录体系设构成数据中心方案设计的关键是资源目录体系设计和数据存储设计。

数据交换中心方案设计则应在计和数据存储设计数据交换中心方案设计则应在统一数据交换标准的基础上，重点考虑信息交换平统一数据交换标准的基础上，重点考虑信息交换平台的设计和业务数据管理的设计台的设计和业务数据管理的设计v电子政务业务支撑层重点介绍了一站式电子政务服电子政务业务支撑层重点介绍了一站式电子政务服务架构的应用计算模式、一站式电子政务架构的组务架构的应用计算模式、一站式电子政务架构的组成及核心功能，以及一站式电子政务服务架构的关成及核心功能，以及一站式电子政务服务架构的关键技术，主要包括键技术，主要包括cegXML、基于、基于J2EE的分布式的分布式计算技术、可信计算技术、可信Web Service技术、工作流技术技术、工作流技术和代理技术等和代理技术等电子政务189。