服務熱(rè)線:400-086-9769
财政身份認證與授權管理(lǐ)系統國産密碼算(suàn)法升級方案
項目背景
财政部于2008年開始進行了(le)财政身份認證與授權管理(lǐ)系統(以下(xià)簡稱“身份認證系統”)的(de)建設工作。該系統采用(yòng)國際通(tōng)用(yòng)密碼算(suàn)法,在财政業務專網、财政部外網分(fēn)别部署了(le)一套身份認證系統。通(tōng)過财政身份認證系統的(de)建設以及證書(shū)的(de)簽發和(hé)應用(yòng),不僅保證了(le)各業務系統中用(yòng)戶的(de)強身份鑒别,同時(shí)對(duì)業務系統關鍵、敏感操作提供抗抵賴功能,并對(duì)重要的(de)數據進行了(le)加密及完整性保護,大(dà)大(dà)提高(gāo)了(le)整體應用(yòng)的(de)安全水(shuǐ)平。
财政身份認證系統作爲财政業務系統安全的(de)重要保障手段,在财政系統得(de)到大(dà)面積使用(yòng),特别是随著(zhe)國庫集中支付電子化(huà)改革的(de)推進,全國使用(yòng)财政身份認證系統的(de)人(rén)員(yuán)超過85萬人(rén)。财政身份認證系統的(de)安全性關系到國家資金安全,因此國産密碼算(suàn)法升級對(duì)提升财政系統安全具有實際意義。
2015年,中央辦公廳、國務院辦公廳下(xià)發《關于加強重要領域密碼應用(yòng)的(de)指導意見》(廳字〔2015〕4号)。中辦秘書(shū)局、國辦秘書(shū)局下(xià)發《<關于加強重要領域密碼應用(yòng)的(de)指導意見>任務分(fēn)解表》(中秘文發〔2015〕44号)。爲貫徹落實中辦、國辦關于加強國産密碼算(suàn)法應用(yòng)精神,按照(zhào)财政部《關于開展地方财政身份認證與授權管理(lǐ)系統國産密碼算(suàn)法升級工作的(de)通(tōng)知》(财信〔2017〕17号)要求,湖北(běi)省财政廳已正式啓動全省财政身份認證與授權管理(lǐ)系統國産密碼算(suàn)法升級工作,并于2019年6月(yuè)初完成了(le)身份認證系統的(de)省級節點的(de)國密算(suàn)法省級建設工作。按照(zhào)财政部統一要求,正式開始啓動湖北(běi)省地市财政身份認證系統國産密碼算(suàn)法升級的(de)建設工作。
需求分(fēn)析及建設目标
需求分(fēn)析
湖北(běi)省财政廳現有的(de)财政身份認證系統,按照(zhào)省市兩級建設,各級财政單位通(tōng)過财政業務專網連接并進行數據交互。财政身份認證系統根據功能不同主要劃分(fēn)爲身份認證模塊、授權管理(lǐ)模塊、安全審計模塊及應用(yòng)安全組件四個(gè)部分(fēn)。
湖北(běi)省财政廳,主要部署了(le)身份認證模塊中的(de)證書(shū)注冊中心(RA)、身份認證LDAP,授權管理(lǐ)模塊中的(de)用(yòng)戶屬性管理(lǐ)系統(UMS)、權限管理(lǐ)系統(PMS)、屬性證書(shū)簽發系統(AAS)、授權管理(lǐ)LDAP,安全審計模塊中的(de)安全審計系統(AQS),及應用(yòng)安全模塊中的(de)身份認證網關、數字簽名服務器。
各級地市财政局在系統中位于湖北(běi)省财政廳的(de)下(xià)一級,主要部署了(le)身份認證模塊中的(de)LRA系統,授權管理(lǐ)模塊中的(de)用(yòng)戶屬性管理(lǐ)系統(UMS),安全審計模塊中的(de)安全審計系統(AQS)及應用(yòng)安全模塊中的(de)身份認證網關、數字簽名服務器、時(shí)間戳服務器。地市各區(qū)級财政主要部署了(le)部署了(le)身份認證模塊中的(de)LRA系統。
由于财政部門原有身份認證網關、簽名服務器、時(shí)間戳服務器已支持國密算(suàn)法,無需升級。本次國産密碼算(suàn)法的(de)升級内容主要是身份認證模塊、授權管理(lǐ)模塊的(de)升級。通(tōng)過本次國産密碼算(suàn)法的(de)升級使湖北(běi)省全省财政身份認證系統達到國家要求的(de)密碼算(suàn)法強度,優化(huà)系統結構和(hé)性能,強化(huà)管理(lǐ)能力,提升系統整體的(de)安全性、穩定性。同時(shí),爲湖北(běi)省各級财政業務應用(yòng)系統推廣國産密碼算(suàn)法奠定基礎。
建設目标
滿足主管部門的(de)要求
建設目标伴随著(zhe)電子認證領域技術的(de)不斷更新,以及網絡信任體系在國家信息安全領域重要性的(de)逐步增強,國家對(duì)于電子認證領域技術的(de)标準化(huà)、規範化(huà)也(yě)不斷提出新的(de)要求。根據我省下(xià)發《關于開展全省财政身份認證與授權管理(lǐ)系統國産密碼算(suàn)法升級工作的(de)通(tōng)知》要求,各地市(州)、直管市、林(lín)區(qū),各縣(市、區(qū))财政局國密算(suàn)法升級工作要求于2019年底完成建設,并于2020年底完成算(suàn)法切換。
滿足整體安全需求
随著(zhe)财政身份認證系統在全省的(de)推廣,特别是國庫集中支付電子化(huà)改革的(de)推進,湖北(běi)省财政使用(yòng)身份認證系統的(de)人(rén)員(yuán)超過2萬人(rén)。湖北(běi)省财政身份認證系統的(de)安全性關系到國家資金安全,SM2算(suàn)法在計算(suàn)強度和(hé)保密強度上都遠(yuǎn)遠(yuǎn)勝于1024位的(de)RSA公鑰密碼算(suàn)法,SM2算(suàn)法升級對(duì)提升湖北(běi)省财政系統安全具有實際意義。
增加系統的(de)管理(lǐ)功能,進一步提升安全性、穩定性
通(tōng)過升級,進一步優化(huà)系統結構和(hé)性能,強化(huà)管理(lǐ)能力,解決備份軟件、單機模式、誤操作、時(shí)間漂移,缺乏介質管理(lǐ)以及“用(yòng)戶-證書(shū)-介質”關聯管理(lǐ)等問題,進一步提升湖北(běi)省各級财政部門系統的(de)安全性和(hé)穩定性。
爲本地化(huà)管理(lǐ)提供高(gāo)效支撐
通(tōng)過升級實現證書(shū)申請、審批、管理(lǐ)過程電子化(huà),提供更加系統化(huà)、規範化(huà)、精細化(huà)的(de)本地身份管理(lǐ)與發放,解決電子身份載體、證書(shū)介質入網初始化(huà)認證、證書(shū)管理(lǐ)等相關問題。
升級方案
設計思路
國産密碼算(suàn)法的(de)升級主要包括兩個(gè)部分(fēn),一是身份認證系統核心軟件部分(fēn)算(suàn)法的(de)升級,可(kě)以保證其能發放支持SM2算(suàn)法的(de)數字證書(shū);二是證書(shū)應用(yòng)支撐系統的(de)升級,如應用(yòng)安全組件(身份認證網關、數字簽名服務器),保證支持SM2算(suàn)法的(de)證書(shū)可(kě)以方便地和(hé)應用(yòng)系統整合。由于湖北(běi)省各級财政部門原有身份認證網關、簽名服務器、時(shí)間戳服務器已支持國密算(suàn)法,無需升級。
應用(yòng)系統使用(yòng)數字證書(shū)主要分(fēn)爲客戶端部分(fēn)和(hé)服務器部分(fēn),其中客戶端部分(fēn)主要分(fēn)爲完全浏覽器模式和(hé)自開發客戶端(包括控件接口)模式。服務器部分(fēn)當前流行的(de)模式是基于身份認證網關、數字簽名服務器等方式實現數字證書(shū)和(hé)應用(yòng)的(de)整合。
完成财政身份認證系統國産密碼算(suàn)法升級,在技術實現上主要涉及如下(xià)幾個(gè)方面:
客戶端控件:原有的(de)控件嵌入到浏覽器和(hé)其他(tā)的(de)客戶端程序中,以一種基于CSP接口的(de)形式存在。國産密碼算(suàn)法升級過程中将原有的(de)開發包替換爲國家密碼管理(lǐ)局頒發的(de)設備标準接口的(de)開發包,調用(yòng)USB KEY時(shí)不使用(yòng)微軟的(de)CSP接口,而使用(yòng)國家密碼管理(lǐ)局頒發的(de)設備标準接口,用(yòng)戶需要安裝新的(de)浏覽器控件,該控件對(duì)原有的(de)接口進行替換(更換調用(yòng)庫)并兼容原有的(de)RSA證書(shū)調用(yòng)。這(zhè)種方式吉大(dà)正元已經在諸如人(rén)民銀行、中國銀行等多(duō)個(gè)國産密碼算(suàn)法算(suàn)法升級案例中使用(yòng),也(yě)是現在業内最爲通(tōng)用(yòng)和(hé)可(kě)行的(de)解決方式。
應用(yòng)系統與身份認證網關和(hé)數字簽名服務器的(de)接口采用(yòng)财政定義的(de)報文方式,新應用(yòng)系統開發時(shí)必須按照(zhào)新的(de)接口進行開發,以便同時(shí)支持SM2算(suàn)法和(hé)RSA算(suàn)法,老的(de)應用(yòng)系統必須對(duì)接口進行升級改造,以便同時(shí)支持SM2算(suàn)法和(hé)RSA算(suàn)法,老應用(yòng)系統的(de)改造隻需替換幾行代碼,實現難度不大(dà)。
本級财政國産密碼算(suàn)法升級工作完成之後須發放同時(shí)支持SM2算(suàn)法和(hé)RSA算(suàn)法的(de)USB KEY,原有已經發放的(de)隻支持RSA算(suàn)法的(de)USB KEY可(kě)以繼續使用(yòng),證書(shū)有效期結束後更新爲同時(shí)支持SM2算(suàn)法和(hé)RSA算(suàn)法的(de)USB KEY。
所有應用(yòng)系統全部改造完成支持SM2算(suàn)法,并且所有用(yòng)戶使用(yòng)的(de)USB KEY也(yě)全部更換爲支持SM2算(suàn)法之後,身份認證系統才能最終全面切換爲SM2算(suàn)法。
在升級過程中,還(hái)需要關注如下(xià)幾個(gè)問題:
身份認證系統完全切換到SM2算(suàn)法的(de)周期可(kě)能會比較長(cháng),主要取決于何時(shí)将已經發放和(hé)使用(yòng)的(de)USB KEY全部更新爲支持SM2算(suàn)法的(de)USB KEY。路徑有兩個(gè):一是集中将所有已發放和(hé)使用(yòng)的(de)USB KEY收回,重新制作和(hé)發放支持SM2算(suàn)法的(de)USB KEY,這(zhè)種方式周期短,但工作量比較大(dà);二是待所有已發放和(hé)使用(yòng)的(de)USB KEY到期後,重新制作和(hé)發放支持SM2算(suàn)法的(de)USB KEY,這(zhè)種方式周期長(cháng),但可(kě)以陸續進行,工作量小。兩種模式都需要滿足财政2020年底完成算(suàn)法切換的(de)時(shí)間節點要求。
在所有的(de)USB KEY均支持SM2算(suàn)法之前的(de)過渡階段,新開發的(de)應用(yòng)系統和(hé)老應用(yòng)系統必須開發或改造能同時(shí)支持RSA和(hé)SM2雙算(suàn)法的(de)接口。
升級内容
地市節點升級改造内容如下(xià):
升級市州原有已建身份認證與授權管理(lǐ)系統,包括授權管理(lǐ)模塊和(hé)安全審計模塊。
爲各市州部署證書(shū)綜合管理(lǐ)系統,并與本省省級證書(shū)注冊中心(RA)對(duì)接,将RA數據中的(de)市州數據遷移到各市州的(de)證書(shū)綜合管理(lǐ)系統中,市州級财政證書(shū)的(de)所有業務操作均在各市州證書(shū)綜合管理(lǐ)系統中進行,實現對(duì)各市州證書(shū)發放各環節的(de)統一管理(lǐ)。
市州已接入CA的(de)應用(yòng)系統,接入市州的(de)應用(yòng)安全組件,并嚴格按照(zhào)最新發布的(de)《财政信息系統安全應用(yòng)接口标準》、《财政身份認證與授權管理(lǐ)系統-應用(yòng)系統接入規範》進行接口替換、安全改造。
後續市州級财政新采購(gòu)的(de)USB KEY需要同時(shí)支持雙算(suàn)法。國密算(suàn)法沒有完全取代國際通(tōng)用(yòng)算(suàn)法之前,需要在USB KEY中發放兩套算(suàn)法證書(shū),在使用(yòng)過程中自動适配使用(yòng)哪類證書(shū)。之前已經發出的(de)USB KEY,在證書(shū)到期後進行更換證書(shū)和(hé)USB KEY。
區(qū)(縣)級節點升級改造内容如下(xià):
爲各區(qū)級财政部署證書(shū)綜合管理(lǐ)系統(區(qū)縣版),并與上級地市(州)級節點的(de)證書(shū)綜合管理(lǐ)系統對(duì)接,區(qū)級财政證書(shū)的(de)所有業務操作均在各區(qū)證書(shū)綜合管理(lǐ)系統(區(qū)縣版)中進行,實現對(duì)各區(qū)級财政證書(shū)發放各環節的(de)統一管理(lǐ)。
各區(qū)級财政在建設證書(shū)綜合管理(lǐ)系統(區(qū)縣版)完成後,停用(yòng)原有已建身份認證模塊的(de)證書(shū)本地注冊中心(LRA)系統。
後續區(qū)(縣)級财政新采購(gòu)的(de)USB KEY需要同時(shí)支持雙算(suàn)法。國密算(suàn)法沒有完全取代國際通(tōng)用(yòng)算(suàn)法之前,需要在USB KEY中發放兩套算(suàn)法證書(shū),在使用(yòng)過程中自動适配使用(yòng)哪類證書(shū)。之前已經發出的(de)USB KEY,在證書(shū)到期後進行更換證書(shū)和(hé)USB KEY。
升級後拓撲結構
地市财政部門
部署說明(míng):
充分(fēn)利用(yòng)原有的(de)服務器設備,确需更新的(de),按照(zhào)國産化(huà)原則,實現國産化(huà)替代,對(duì)于使用(yòng)新購(gòu)置服務器設備部署系統;
各财政地市原有應用(yòng)安全組件(數字簽名服務器和(hé)身份認證網關、時(shí)間戳服務器)已經支持國密算(suàn)法的(de),無需升級。
新購(gòu)置一台支持RSA和(hé)SM2算(suàn)法的(de)密碼機,爲證書(shū)綜合管理(lǐ)系統使用(yòng);
新部署證書(shū)綜合管理(lǐ)系統;
區(qū)縣财政部門
新部署證書(shū)綜合管理(lǐ)系統(區(qū)縣版),并與所屬市級證書(shū)綜合管理(lǐ)系統連接。
新購(gòu)置一台支持RSA和(hé)SM2算(suàn)法的(de)密碼機,爲證書(shū)綜合管理(lǐ)系統(區(qū)縣版)使用(yòng)。
應用(yòng)整合設計
需求分(fēn)析
對(duì)應用(yòng)系統的(de)改造需求分(fēn)析,基本内容主要包括:
應用(yòng)系統的(de)用(yòng)戶管理(lǐ)方式;
應用(yòng)系統其它相關信息,包括應用(yòng)系統的(de)權限管理(lǐ)、業務處理(lǐ)流程等。
在了(le)解應用(yòng)系統現有用(yòng)戶的(de)管理(lǐ)方式後,将數字身份證書(shū)的(de)信息與應用(yòng)系統的(de)實際情況相結合,應用(yòng)系統進行權限管理(lǐ)首先判斷用(yòng)戶數字身份證書(shū)中包括的(de)信息能否滿足應用(yòng)系統訪問控制粒度的(de)要求,如果不能滿足,需要在授權管理(lǐ)系統中對(duì)應用(yòng)系統授權需要的(de)其它相關的(de)訪問控制信息進行配置。
實現方式
實現身份認證及入門級訪問控制功能的(de)應用(yòng)系統安全接入按照(zhào)是否改造應用(yòng)系統代碼分(fēn)以下(xià)兩種方式:
無需改造應用(yòng)系統代碼:通(tōng)過身份認證網關提供的(de)客戶端插件模拟代填應用(yòng)系統的(de)登錄界面,實現身份認證,用(yòng)戶無需輸入用(yòng)戶名/口令。如果應用(yòng)系統的(de)登錄界面不符合模拟代填條件(登錄界面模拟代填的(de)條件主要涉及開發語言類型、是否存在選擇項、提交按鈕是否爲圖片等方面),完成身份認證後,彈出應用(yòng)系統原有登錄界面需要用(yòng)戶輸入用(yòng)戶名/口令完成登錄。
需要改造應用(yòng)系統代碼:登錄界面不滿足模拟代填條件而又要求不再次輸入用(yòng)戶名/口令的(de)應用(yòng)系統,要選擇改造應用(yòng)系統代碼的(de)方式。按照(zhào)身份認證網關的(de)應用(yòng)開發手冊,進行代碼編寫,從網關中獲取HTTP Header信息并解析,獲得(de)證書(shū)用(yòng)戶的(de)相關身份信息,從而實現身份認證,這(zhè)種方式替代了(le)應用(yòng)系統原有的(de)用(yòng)戶名/口令登錄方式,直接通(tōng)過數字身份證書(shū)實現身份認證。
實現數字簽名功能的(de)應用(yòng)系統需要進行代碼改造,即調用(yòng)數字簽名系統提供的(de)相關簽名和(hé)驗證接口,對(duì)應用(yòng)系統的(de)敏感業務數據進行簽名驗簽操作。
實現時(shí)間戳功能的(de)應用(yòng)系統需要進行代碼改造,即根據業務需要調用(yòng)時(shí)間戳服務子系統提供的(de)相關接口對(duì)敏感信息申請時(shí)間戳。
流程設計
認證登錄
用(yòng)戶啓動客戶端浏覽器,訪問應用(yòng)系統;
應用(yòng)訪問網關的(de)随機數服務,網關提供随機數;
應用(yòng)返回證書(shū)認證頁面,含網關提供的(de)随機數;
頁面調用(yòng)認證插件,使用(yòng)數字證書(shū)和(hé)随機數生成認證報文;
認證頁面提交,攜帶認證報文;
應用(yòng)将認證頁面提交的(de)認證報文,轉發給網關;
網關校驗認證報文,返回認證結果。
與我們一起
同捷信息—您身邊的(de)信息化(huà)專家!
微信公衆号
企業微信
