服務熱線:400-086-9769
财政身份認證與授權管理系統國(guó)産密碼算法升級方案
項目背景
财政部于(yú)2008年開始進行了(le/liǎo)财政身份認證與授權管理系統(以(yǐ)下簡稱“身份認證系統”)的(de)建設工作。該系統采用國(guó)際通用密碼算法,在(zài)财政業務專網、财政部外網分别部署了(le/liǎo)一(yī / yì /yí)套身份認證系統。通過财政身份認證系統的(de)建設以(yǐ)及證書的(de)簽發和(hé / huò)應用,不(bù)僅保證了(le/liǎo)各業務系統中用戶的(de)強身份鑒别,同時(shí)對業務系統關鍵、敏感操作提供抗抵賴功能,并對重要(yào / yāo)的(de)數據進行了(le/liǎo)加密及完整性保護,大(dà)大(dà)提高了(le/liǎo)整體應用的(de)安全水平。
财政身份認證系統作爲(wéi / wèi)财政業務系統安全的(de)重要(yào / yāo)保障手段,在(zài)财政系統得到(dào)大(dà)面積使用,特别是(shì)随着國(guó)庫集中支付電子(zǐ)化改革的(de)推進,全國(guó)使用财政身份認證系統的(de)人(rén)員超過85萬人(rén)。财政身份認證系統的(de)安全性關系到(dào)國(guó)家資金安全,因此國(guó)産密碼算法升級對提升财政系統安全具有實際意義。
2015年,中央辦公廳、國(guó)務院辦公廳下發《關于(yú)加強重要(yào / yāo)領域密碼應用的(de)指導意見》(廳字〔2015〕4号)。中辦秘書局、國(guó)辦秘書局下發《<關于(yú)加強重要(yào / yāo)領域密碼應用的(de)指導意見>任務分解表》(中秘文發〔2015〕44号)。爲(wéi / wèi)貫徹落實中辦、國(guó)辦關于(yú)加強國(guó)産密碼算法應用精神,按照财政部《關于(yú)開展地(dì / de)方财政身份認證與授權管理系統國(guó)産密碼算法升級工作的(de)通知》(财信〔2017〕17号)要(yào / yāo)求,湖北省财政廳已正式啓動全省财政身份認證與授權管理系統國(guó)産密碼算法升級工作,并于(yú)2019年6月初完成了(le/liǎo)身份認證系統的(de)省級節點的(de)國(guó)密算法省級建設工作。按照财政部統一(yī / yì /yí)要(yào / yāo)求,正式開始啓動湖北省地(dì / de)市财政身份認證系統國(guó)産密碼算法升級的(de)建設工作。
需求分析及建設目标
需求分析
湖北省财政廳現有的(de)财政身份認證系統,按照省市兩級建設,各級财政單位通過财政業務專網連接并進行數據交互。财政身份認證系統根據功能不(bù)同主要(yào / yāo)劃分爲(wéi / wèi)身份認證模塊、授權管理模塊、安全審計模塊及應用安全組件四個(gè)部分。
湖北省财政廳,主要(yào / yāo)部署了(le/liǎo)身份認證模塊中的(de)證書注冊中心(RA)、身份認證LDAP,授權管理模塊中的(de)用戶屬性管理系統(UMS)、權限管理系統(PMS)、屬性證書簽發系統(AAS)、授權管理LDAP,安全審計模塊中的(de)安全審計系統(AQS),及應用安全模塊中的(de)身份認證網關、數字簽名服務器。
各級地(dì / de)市财政局在(zài)系統中位于(yú)湖北省财政廳的(de)下一(yī / yì /yí)級,主要(yào / yāo)部署了(le/liǎo)身份認證模塊中的(de)LRA系統,授權管理模塊中的(de)用戶屬性管理系統(UMS),安全審計模塊中的(de)安全審計系統(AQS)及應用安全模塊中的(de)身份認證網關、數字簽名服務器、時(shí)間戳服務器。地(dì / de)市各區級财政主要(yào / yāo)部署了(le/liǎo)部署了(le/liǎo)身份認證模塊中的(de)LRA系統。
由于(yú)财政部門原有身份認證網關、簽名服務器、時(shí)間戳服務器已支持國(guó)密算法,無需升級。本次國(guó)産密碼算法的(de)升級内容主要(yào / yāo)是(shì)身份認證模塊、授權管理模塊的(de)升級。通過本次國(guó)産密碼算法的(de)升級使湖北省全省财政身份認證系統達到(dào)國(guó)家要(yào / yāo)求的(de)密碼算法強度,優化系統結構和(hé / huò)性能,強化管理能力,提升系統整體的(de)安全性、穩定性。同時(shí),爲(wéi / wèi)湖北省各級财政業務應用系統推廣國(guó)産密碼算法奠定基礎。
建設目标
滿足主管部門的(de)要(yào / yāo)求
建設目标伴随着電子(zǐ)認證領域技術的(de)不(bù)斷更新,以(yǐ)及網絡信任體系在(zài)國(guó)家信息安全領域重要(yào / yāo)性的(de)逐步增強,國(guó)家對于(yú)電子(zǐ)認證領域技術的(de)标準化、規範化也(yě)不(bù)斷提出(chū)新的(de)要(yào / yāo)求。根據我省下發《關于(yú)開展全省财政身份認證與授權管理系統國(guó)産密碼算法升級工作的(de)通知》要(yào / yāo)求,各地(dì / de)市(州)、直管市、林區,各縣(市、區)财政局國(guó)密算法升級工作要(yào / yāo)求于(yú)2019年底完成建設,并于(yú)2020年底完成算法切換。
滿足整體安全需求
随着财政身份認證系統在(zài)全省的(de)推廣,特别是(shì)國(guó)庫集中支付電子(zǐ)化改革的(de)推進,湖北省财政使用身份認證系統的(de)人(rén)員超過2萬人(rén)。湖北省财政身份認證系統的(de)安全性關系到(dào)國(guó)家資金安全,SM2算法在(zài)計算強度和(hé / huò)保密強度上(shàng)都遠遠勝于(yú)1024位的(de)RSA公鑰密碼算法,SM2算法升級對提升湖北省财政系統安全具有實際意義。
增加系統的(de)管理功能,進一(yī / yì /yí)步提升安全性、穩定性
通過升級,進一(yī / yì /yí)步優化系統結構和(hé / huò)性能,強化管理能力,解決備份軟件、單機模式、誤操作、時(shí)間漂移,缺乏介質管理以(yǐ)及“用戶-證書-介質”關聯管理等問題,進一(yī / yì /yí)步提升湖北省各級财政部門系統的(de)安全性和(hé / huò)穩定性。
爲(wéi / wèi)本地(dì / de)化管理提供高效支撐
通過升級實現證書申請、審批、管理過程電子(zǐ)化,提供更加系統化、規範化、精細化的(de)本地(dì / de)身份管理與發放,解決電子(zǐ)身份載體、證書介質入網初始化認證、證書管理等相關問題。
升級方案
設計思路
國(guó)産密碼算法的(de)升級主要(yào / yāo)包括兩個(gè)部分,一(yī / yì /yí)是(shì)身份認證系統核心軟件部分算法的(de)升級,可以(yǐ)保證其能發放支持SM2算法的(de)數字證書;二是(shì)證書應用支撐系統的(de)升級,如應用安全組件(身份認證網關、數字簽名服務器),保證支持SM2算法的(de)證書可以(yǐ)方便地(dì / de)和(hé / huò)應用系統整合。由于(yú)湖北省各級财政部門原有身份認證網關、簽名服務器、時(shí)間戳服務器已支持國(guó)密算法,無需升級。
應用系統使用數字證書主要(yào / yāo)分爲(wéi / wèi)客戶端部分和(hé / huò)服務器部分,其中客戶端部分主要(yào / yāo)分爲(wéi / wèi)完全浏覽器模式和(hé / huò)自開發客戶端(包括控件接口)模式。服務器部分當前流行的(de)模式是(shì)基于(yú)身份認證網關、數字簽名服務器等方式實現數字證書和(hé / huò)應用的(de)整合。
完成财政身份認證系統國(guó)産密碼算法升級,在(zài)技術實現上(shàng)主要(yào / yāo)涉及如下幾個(gè)方面:
客戶端控件:原有的(de)控件嵌入到(dào)浏覽器和(hé / huò)其他(tā)的(de)客戶端程序中,以(yǐ)一(yī / yì /yí)種基于(yú)CSP接口的(de)形式存在(zài)。國(guó)産密碼算法升級過程中将原有的(de)開發包替換爲(wéi / wèi)國(guó)家密碼管理局頒發的(de)設備标準接口的(de)開發包,調用USB KEY時(shí)不(bù)使用微軟的(de)CSP接口,而(ér)使用國(guó)家密碼管理局頒發的(de)設備标準接口,用戶需要(yào / yāo)安裝新的(de)浏覽器控件,該控件對原有的(de)接口進行替換(更換調用庫)并兼容原有的(de)RSA證書調用。這(zhè)種方式吉大(dà)正元已經在(zài)諸如人(rén)民銀行、中國(guó)銀行等多個(gè)國(guó)産密碼算法算法升級案例中使用,也(yě)是(shì)現在(zài)業内最爲(wéi / wèi)通用和(hé / huò)可行的(de)解決方式。
應用系統與身份認證網關和(hé / huò)數字簽名服務器的(de)接口采用财政定義的(de)報文方式,新應用系統開發時(shí)必須按照新的(de)接口進行開發,以(yǐ)便同時(shí)支持SM2算法和(hé / huò)RSA算法,老的(de)應用系統必須對接口進行升級改造,以(yǐ)便同時(shí)支持SM2算法和(hé / huò)RSA算法,老應用系統的(de)改造隻需替換幾行代碼,實現難度不(bù)大(dà)。
本級财政國(guó)産密碼算法升級工作完成之(zhī)後須發放同時(shí)支持SM2算法和(hé / huò)RSA算法的(de)USB KEY,原有已經發放的(de)隻支持RSA算法的(de)USB KEY可以(yǐ)繼續使用,證書有效期結束後更新爲(wéi / wèi)同時(shí)支持SM2算法和(hé / huò)RSA算法的(de)USB KEY。
所有應用系統全部改造完成支持SM2算法,并且所有用戶使用的(de)USB KEY也(yě)全部更換爲(wéi / wèi)支持SM2算法之(zhī)後,身份認證系統才能最終全面切換爲(wéi / wèi)SM2算法。
在(zài)升級過程中,還需要(yào / yāo)關注如下幾個(gè)問題:
身份認證系統完全切換到(dào)SM2算法的(de)周期可能會比較長,主要(yào / yāo)取決于(yú)何時(shí)将已經發放和(hé / huò)使用的(de)USB KEY全部更新爲(wéi / wèi)支持SM2算法的(de)USB KEY。路徑有兩個(gè):一(yī / yì /yí)是(shì)集中将所有已發放和(hé / huò)使用的(de)USB KEY收回,重新制作和(hé / huò)發放支持SM2算法的(de)USB KEY,這(zhè)種方式周期短,但工作量比較大(dà);二是(shì)待所有已發放和(hé / huò)使用的(de)USB KEY到(dào)期後,重新制作和(hé / huò)發放支持SM2算法的(de)USB KEY,這(zhè)種方式周期長,但可以(yǐ)陸續進行,工作量小。兩種模式都需要(yào / yāo)滿足财政2020年底完成算法切換的(de)時(shí)間節點要(yào / yāo)求。
在(zài)所有的(de)USB KEY均支持SM2算法之(zhī)前的(de)過渡階段,新開發的(de)應用系統和(hé / huò)老應用系統必須開發或改造能同時(shí)支持RSA和(hé / huò)SM2雙算法的(de)接口。
升級内容
地(dì / de)市節點升級改造内容如下:
升級市州原有已建身份認證與授權管理系統,包括授權管理模塊和(hé / huò)安全審計模塊。
爲(wéi / wèi)各市州部署證書綜合管理系統,并與本省省級證書注冊中心(RA)對接,将RA數據中的(de)市州數據遷移到(dào)各市州的(de)證書綜合管理系統中,市州級财政證書的(de)所有業務操作均在(zài)各市州證書綜合管理系統中進行,實現對各市州證書發放各環節的(de)統一(yī / yì /yí)管理。
市州已接入CA的(de)應用系統,接入市州的(de)應用安全組件,并嚴格按照最新發布的(de)《财政信息系統安全應用接口标準》、《财政身份認證與授權管理系統-應用系統接入規範》進行接口替換、安全改造。
後續市州級财政新采購的(de)USB KEY需要(yào / yāo)同時(shí)支持雙算法。國(guó)密算法沒有完全取代國(guó)際通用算法之(zhī)前,需要(yào / yāo)在(zài)USB KEY中發放兩套算法證書,在(zài)使用過程中自動适配使用哪類證書。之(zhī)前已經發出(chū)的(de)USB KEY,在(zài)證書到(dào)期後進行更換證書和(hé / huò)USB KEY。
區(縣)級節點升級改造内容如下:
爲(wéi / wèi)各區級财政部署證書綜合管理系統(區縣版),并與上(shàng)級地(dì / de)市(州)級節點的(de)證書綜合管理系統對接,區級财政證書的(de)所有業務操作均在(zài)各區證書綜合管理系統(區縣版)中進行,實現對各區級财政證書發放各環節的(de)統一(yī / yì /yí)管理。
各區級财政在(zài)建設證書綜合管理系統(區縣版)完成後,停用原有已建身份認證模塊的(de)證書本地(dì / de)注冊中心(LRA)系統。
後續區(縣)級财政新采購的(de)USB KEY需要(yào / yāo)同時(shí)支持雙算法。國(guó)密算法沒有完全取代國(guó)際通用算法之(zhī)前,需要(yào / yāo)在(zài)USB KEY中發放兩套算法證書,在(zài)使用過程中自動适配使用哪類證書。之(zhī)前已經發出(chū)的(de)USB KEY,在(zài)證書到(dào)期後進行更換證書和(hé / huò)USB KEY。
升級後拓撲結構
地(dì / de)市财政部門
部署說(shuō)明:
充分利用原有的(de)服務器設備,确需更新的(de),按照國(guó)産化原則,實現國(guó)産化替代,對于(yú)使用新購置服務器設備部署系統;
各财政地(dì / de)市原有應用安全組件(數字簽名服務器和(hé / huò)身份認證網關、時(shí)間戳服務器)已經支持國(guó)密算法的(de),無需升級。
新購置一(yī / yì /yí)台支持RSA和(hé / huò)SM2算法的(de)密碼機,爲(wéi / wèi)證書綜合管理系統使用;
新部署證書綜合管理系統;
區縣财政部門
新部署證書綜合管理系統(區縣版),并與所屬市級證書綜合管理系統連接。
新購置一(yī / yì /yí)台支持RSA和(hé / huò)SM2算法的(de)密碼機,爲(wéi / wèi)證書綜合管理系統(區縣版)使用。
應用整合設計
需求分析
對應用系統的(de)改造需求分析,基本内容主要(yào / yāo)包括:
應用系統的(de)用戶管理方式;
應用系統其它相關信息,包括應用系統的(de)權限管理、業務處理流程等。
在(zài)了(le/liǎo)解應用系統現有用戶的(de)管理方式後,将數字身份證書的(de)信息與應用系統的(de)實際情況相結合,應用系統進行權限管理首先判斷用戶數字身份證書中包括的(de)信息能否滿足應用系統訪問控制粒度的(de)要(yào / yāo)求,如果不(bù)能滿足,需要(yào / yāo)在(zài)授權管理系統中對應用系統授權需要(yào / yāo)的(de)其它相關的(de)訪問控制信息進行配置。
實現方式
實現身份認證及入門級訪問控制功能的(de)應用系統安全接入按照是(shì)否改造應用系統代碼分以(yǐ)下兩種方式:
無需改造應用系統代碼:通過身份認證網關提供的(de)客戶端插件模拟代填應用系統的(de)登錄界面,實現身份認證,用戶無需輸入用戶名/口令。如果應用系統的(de)登錄界面不(bù)符合模拟代填條件(登錄界面模拟代填的(de)條件主要(yào / yāo)涉及開發語言類型、是(shì)否存在(zài)選擇項、提交按鈕是(shì)否爲(wéi / wèi)圖片等方面),完成身份認證後,彈出(chū)應用系統原有登錄界面需要(yào / yāo)用戶輸入用戶名/口令完成登錄。
需要(yào / yāo)改造應用系統代碼:登錄界面不(bù)滿足模拟代填條件而(ér)又要(yào / yāo)求不(bù)再次輸入用戶名/口令的(de)應用系統,要(yào / yāo)選擇改造應用系統代碼的(de)方式。按照身份認證網關的(de)應用開發手冊,進行代碼編寫,從網關中獲取HTTP Header信息并解析,獲得證書用戶的(de)相關身份信息,從而(ér)實現身份認證,這(zhè)種方式替代了(le/liǎo)應用系統原有的(de)用戶名/口令登錄方式,直接通過數字身份證書實現身份認證。
實現數字簽名功能的(de)應用系統需要(yào / yāo)進行代碼改造,即調用數字簽名系統提供的(de)相關簽名和(hé / huò)驗證接口,對應用系統的(de)敏感業務數據進行簽名驗簽操作。
實現時(shí)間戳功能的(de)應用系統需要(yào / yāo)進行代碼改造,即根據業務需要(yào / yāo)調用時(shí)間戳服務子(zǐ)系統提供的(de)相關接口對敏感信息申請時(shí)間戳。
流程設計
認證登錄
用戶啓動客戶端浏覽器,訪問應用系統;
應用訪問網關的(de)随機數服務,網關提供随機數;
應用返回證書認證頁面,含網關提供的(de)随機數;
頁面調用認證插件,使用數字證書和(hé / huò)随機數生成認證報文;
認證頁面提交,攜帶認證報文;
應用将認證頁面提交的(de)認證報文,轉發給網關;
網關校驗認證報文,返回認證結果。
與我們一(yī / yì /yí)起
同捷信息—您身邊的(de)信息化專家!
微信公衆号
企業微信
武漢八百裏信息技術有限公司 版權所有 京ICP證000000号 網站建設:中企動力 武漢 SEO标簽