財政身份認證與授權(quán)管理系統(tǒng)國產(chǎn)密碼算法升級方案

財政部于2008年開始進行了財政身份認證與授權(quán)管理系統(tǒng)（以下簡稱“身份認證系統(tǒng)”）的建設工作。該系統(tǒng)采用國際通用密碼算法，在財政業(yè)務專網(wǎng)、財政部外網(wǎng)分別部署了一套身份認證系統(tǒng)。通過財政身份認證系統(tǒng)的建設以及證書的簽發(fā)和應用，不僅保證了各業(yè)務系統(tǒng)中用戶的強身份鑒別，同時對業(yè)務系統(tǒng)關鍵、敏感操作提供抗抵賴功能，并對重要的數(shù)據(jù)進行了加密及完整性保護，大大提高了整體應用的安全水平。

產(chǎn)品描述

　　項目背景

　　財政部于2008年開始進行了財政身份認證與授權(quán)管理系統(tǒng)（以下簡稱“身份認證系統(tǒng)”）的建設工作。該系統(tǒng)采用國際通用密碼算法，在財政業(yè)務專網(wǎng)、財政部外網(wǎng)分別部署了一套身份認證系統(tǒng)。通過財政身份認證系統(tǒng)的建設以及證書的簽發(fā)和應用，不僅保證了各業(yè)務系統(tǒng)中用戶的強身份鑒別，同時對業(yè)務系統(tǒng)關鍵、敏感操作提供抗抵賴功能，并對重要的數(shù)據(jù)進行了加密及完整性保護，大大提高了整體應用的安全水平。

　　財政身份認證系統(tǒng)作為財政業(yè)務系統(tǒng)安全的重要保障手段，在財政系統(tǒng)得到大面積使用，特別是隨著國庫集中支付電子化改革的推進，全國使用財政身份認證系統(tǒng)的人員超過85萬人。財政身份認證系統(tǒng)的安全性關系到國家資金安全，因此國產(chǎn)密碼算法升級對提升財政系統(tǒng)安全具有實際意義。

　　2015年，中央辦公廳、國務院辦公廳下發(fā)《關于加強重要領域密碼應用的指導意見》（廳字〔2015〕4號）。中辦秘書局、國辦秘書局下發(fā)《<關于加強重要領域密碼應用的指導意見>任務分解表》（中秘文發(fā)〔2015〕44號）。為貫徹落實中辦、國辦關于加強國產(chǎn)密碼算法應用精神，按照財政部《關于開展地方財政身份認證與授權(quán)管理系統(tǒng)國產(chǎn)密碼算法升級工作的通知》（財信〔2017〕17號）要求，湖北省財政廳已正式啟動全省財政身份認證與授權(quán)管理系統(tǒng)國產(chǎn)密碼算法升級工作，并于2019年6月初完成了身份認證系統(tǒng)的省級節(jié)點的國密算法省級建設工作。按照財政部統(tǒng)一要求，正式開始啟動湖北省地市財政身份認證系統(tǒng)國產(chǎn)密碼算法升級的建設工作。

　　需求分析及建設目標

　　需求分析

　　湖北省財政廳現(xiàn)有的財政身份認證系統(tǒng)，按照省市兩級建設，各級財政單位通過財政業(yè)務專網(wǎng)連接并進行數(shù)據(jù)交互。財政身份認證系統(tǒng)根據(jù)功能不同主要劃分為身份認證模塊、授權(quán)管理模塊、安全審計模塊及應用安全組件四個部分。

　　湖北省財政廳，主要部署了身份認證模塊中的證書注冊中心（RA）、身份認證LDAP，授權(quán)管理模塊中的用戶屬性管理系統(tǒng)（UMS）、權(quán)限管理系統(tǒng)（PMS）、屬性證書簽發(fā)系統(tǒng)（AAS）、授權(quán)管理LDAP，安全審計模塊中的安全審計系統(tǒng)（AQS），及應用安全模塊中的身份認證網(wǎng)關、數(shù)字簽名服務器。

　　各級地市財政局在系統(tǒng)中位于湖北省財政廳的下一級，主要部署了身份認證模塊中的LRA系統(tǒng)，授權(quán)管理模塊中的用戶屬性管理系統(tǒng)（UMS），安全審計模塊中的安全審計系統(tǒng)（AQS）及應用安全模塊中的身份認證網(wǎng)關、數(shù)字簽名服務器、時間戳服務器。地市各區(qū)級財政主要部署了部署了身份認證模塊中的LRA系統(tǒng)。

　　由于財政部門原有身份認證網(wǎng)關、簽名服務器、時間戳服務器已支持國密算法，無需升級。本次國產(chǎn)密碼算法的升級內(nèi)容主要是身份認證模塊、授權(quán)管理模塊的升級。通過本次國產(chǎn)密碼算法的升級使湖北省全省財政身份認證系統(tǒng)達到國家要求的密碼算法強度，優(yōu)化系統(tǒng)結(jié)構(gòu)和性能，強化管理能力，提升系統(tǒng)整體的安全性、穩(wěn)定性。同時，為湖北省各級財政業(yè)務應用系統(tǒng)推廣國產(chǎn)密碼算法奠定基礎。

　　建設目標

　　滿足主管部門的要求

　　建設目標伴隨著電子認證領域技術的不斷更新，以及網(wǎng)絡信任體系在國家信息安全領域重要性的逐步增強，國家對于電子認證領域技術的標準化、規(guī)范化也不斷提出新的要求。根據(jù)我省下發(fā)《關于開展全省財政身份認證與授權(quán)管理系統(tǒng)國產(chǎn)密碼算法升級工作的通知》要求，各地市（州）、直管市、林區(qū)，各縣（市、區(qū)）財政局國密算法升級工作要求于2019年底完成建設，并于2020年底完成算法切換。

　　滿足整體安全需求

　　隨著財政身份認證系統(tǒng)在全省的推廣，特別是國庫集中支付電子化改革的推進，湖北省財政使用身份認證系統(tǒng)的人員超過2萬人。湖北省財政身份認證系統(tǒng)的安全性關系到國家資金安全，SM2算法在計算強度和保密強度上都遠遠勝于1024位的RSA公鑰密碼算法，SM2算法升級對提升湖北省財政系統(tǒng)安全具有實際意義。

　　增加系統(tǒng)的管理功能，進一步提升安全性、穩(wěn)定性

　　通過升級，進一步優(yōu)化系統(tǒng)結(jié)構(gòu)和性能，強化管理能力，解決備份軟件、單機模式、誤操作、時間漂移，缺乏介質(zhì)管理以及“用戶-證書-介質(zhì)”關聯(lián)管理等問題，進一步提升湖北省各級財政部門系統(tǒng)的安全性和穩(wěn)定性。

　　為本地化管理提供高效支撐

　　通過升級實現(xiàn)證書申請、審批、管理過程電子化，提供更加系統(tǒng)化、規(guī)范化、精細化的本地身份管理與發(fā)放，解決電子身份載體、證書介質(zhì)入網(wǎng)初始化認證、證書管理等相關問題。

　　升級方案

　　設計思路

　　國產(chǎn)密碼算法的升級主要包括兩個部分，一是身份認證系統(tǒng)核心軟件部分算法的升級，可以保證其能發(fā)放支持SM2算法的數(shù)字證書；二是證書應用支撐系統(tǒng)的升級，如應用安全組件（身份認證網(wǎng)關、數(shù)字簽名服務器），保證支持SM2算法的證書可以方便地和應用系統(tǒng)整合。由于湖北省各級財政部門原有身份認證網(wǎng)關、簽名服務器、時間戳服務器已支持國密算法，無需升級。

　　應用系統(tǒng)使用數(shù)字證書主要分為客戶端部分和服務器部分，其中客戶端部分主要分為完全瀏覽器模式和自開發(fā)客戶端（包括控件接口）模式。服務器部分當前流行的模式是基于身份認證網(wǎng)關、數(shù)字簽名服務器等方式實現(xiàn)數(shù)字證書和應用的整合。

　　完成財政身份認證系統(tǒng)國產(chǎn)密碼算法升級，在技術實現(xiàn)上主要涉及如下幾個方面：

　　客戶端控件：原有的控件嵌入到瀏覽器和其他的客戶端程序中，以一種基于CSP接口的形式存在。國產(chǎn)密碼算法升級過程中將原有的開發(fā)包替換為國家密碼管理局頒發(fā)的設備標準接口的開發(fā)包，調(diào)用USB KEY時不使用微軟的CSP接口，而使用國家密碼管理局頒發(fā)的設備標準接口，用戶需要安裝新的瀏覽器控件，該控件對原有的接口進行替換（更換調(diào)用庫）并兼容原有的RSA證書調(diào)用。這種方式吉大正元已經(jīng)在諸如人民銀行、中國銀行等多個國產(chǎn)密碼算法算法升級案例中使用，也是現(xiàn)在業(yè)內(nèi)最為通用和可行的解決方式。

　　應用系統(tǒng)與身份認證網(wǎng)關和數(shù)字簽名服務器的接口采用財政定義的報文方式，新應用系統(tǒng)開發(fā)時必須按照新的接口進行開發(fā)，以便同時支持SM2算法和RSA算法，老的應用系統(tǒng)必須對接口進行升級改造，以便同時支持SM2算法和RSA算法，老應用系統(tǒng)的改造只需替換幾行代碼，實現(xiàn)難度不大。

　　本級財政國產(chǎn)密碼算法升級工作完成之后須發(fā)放同時支持SM2算法和RSA算法的USB KEY，原有已經(jīng)發(fā)放的只支持RSA算法的USB KEY可以繼續(xù)使用，證書有效期結(jié)束后更新為同時支持SM2算法和RSA算法的USB KEY。

　　所有應用系統(tǒng)全部改造完成支持SM2算法，并且所有用戶使用的USB KEY也全部更換為支持SM2算法之后，身份認證系統(tǒng)才能最終全面切換為SM2算法。

　　在升級過程中，還需要關注如下幾個問題：

　　身份認證系統(tǒng)完全切換到SM2算法的周期可能會比較長，主要取決于何時將已經(jīng)發(fā)放和使用的USB KEY全部更新為支持SM2算法的USB KEY。路徑有兩個：一是集中將所有已發(fā)放和使用的USB KEY收回，重新制作和發(fā)放支持SM2算法的USB KEY，這種方式周期短，但工作量比較大；二是待所有已發(fā)放和使用的USB KEY到期后，重新制作和發(fā)放支持SM2算法的USB KEY，這種方式周期長，但可以陸續(xù)進行，工作量小。兩種模式都需要滿足財政2020年底完成算法切換的時間節(jié)點要求。

　　在所有的USB KEY均支持SM2算法之前的過渡階段，新開發(fā)的應用系統(tǒng)和老應用系統(tǒng)必須開發(fā)或改造能同時支持RSA和SM2雙算法的接口。

　　升級內(nèi)容

　　地市節(jié)點升級改造內(nèi)容如下：

　　升級市州原有已建身份認證與授權(quán)管理系統(tǒng)，包括授權(quán)管理模塊和安全審計模塊。

　　為各市州部署證書綜合管理系統(tǒng)，并與本省省級證書注冊中心（RA）對接，將RA數(shù)據(jù)中的市州數(shù)據(jù)遷移到各市州的證書綜合管理系統(tǒng)中，市州級財政證書的所有業(yè)務操作均在各市州證書綜合管理系統(tǒng)中進行，實現(xiàn)對各市州證書發(fā)放各環(huán)節(jié)的統(tǒng)一管理。

　　市州已接入CA的應用系統(tǒng)，接入市州的應用安全組件，并嚴格按照最新發(fā)布的《財政信息系統(tǒng)安全應用接口標準》、《財政身份認證與授權(quán)管理系統(tǒng)-應用系統(tǒng)接入規(guī)范》進行接口替換、安全改造。

　　后續(xù)市州級財政新采購的USB KEY需要同時支持雙算法。國密算法沒有完全取代國際通用算法之前，需要在USB KEY中發(fā)放兩套算法證書，在使用過程中自動適配使用哪類證書。之前已經(jīng)發(fā)出的USB KEY，在證書到期后進行更換證書和USB KEY。

　　區(qū)（縣）級節(jié)點升級改造內(nèi)容如下：

　　為各區(qū)級財政部署證書綜合管理系統(tǒng)（區(qū)縣版），并與上級地市（州）級節(jié)點的證書綜合管理系統(tǒng)對接，區(qū)級財政證書的所有業(yè)務操作均在各區(qū)證書綜合管理系統(tǒng)（區(qū)縣版）中進行，實現(xiàn)對各區(qū)級財政證書發(fā)放各環(huán)節(jié)的統(tǒng)一管理。

　　各區(qū)級財政在建設證書綜合管理系統(tǒng)（區(qū)縣版）完成后，停用原有已建身份認證模塊的證書本地注冊中心（LRA）系統(tǒng)。

　　后續(xù)區(qū)（縣）級財政新采購的USB KEY需要同時支持雙算法。國密算法沒有完全取代國際通用算法之前，需要在USB KEY中發(fā)放兩套算法證書，在使用過程中自動適配使用哪類證書。之前已經(jīng)發(fā)出的USB KEY，在證書到期后進行更換證書和USB KEY。

　　升級后拓撲結(jié)構(gòu)

　　地市財政部門

　　部署說明：

　　充分利用原有的服務器設備，確需更新的，按照國產(chǎn)化原則，實現(xiàn)國產(chǎn)化替代，對于使用新購置服務器設備部署系統(tǒng)；

　　各財政地市原有應用安全組件（數(shù)字簽名服務器和身份認證網(wǎng)關、時間戳服務器）已經(jīng)支持國密算法的，無需升級。

　　新購置一臺支持RSA和SM2算法的密碼機，為證書綜合管理系統(tǒng)使用；

　　新部署證書綜合管理系統(tǒng)；

　　區(qū)縣財政部門

　　新部署證書綜合管理系統(tǒng)（區(qū)縣版），并與所屬市級證書綜合管理系統(tǒng)連接。

　　新購置一臺支持RSA和SM2算法的密碼機，為證書綜合管理系統(tǒng)（區(qū)縣版）使用。

　　應用整合設計

　　需求分析

　　對應用系統(tǒng)的改造需求分析，基本內(nèi)容主要包括：

　　應用系統(tǒng)的用戶管理方式；

　　應用系統(tǒng)其它相關信息，包括應用系統(tǒng)的權(quán)限管理、業(yè)務處理流程等。

　　在了解應用系統(tǒng)現(xiàn)有用戶的管理方式后，將數(shù)字身份證書的信息與應用系統(tǒng)的實際情況相結(jié)合，應用系統(tǒng)進行權(quán)限管理首先判斷用戶數(shù)字身份證書中包括的信息能否滿足應用系統(tǒng)訪問控制粒度的要求，如果不能滿足，需要在授權(quán)管理系統(tǒng)中對應用系統(tǒng)授權(quán)需要的其它相關的訪問控制信息進行配置。

　　實現(xiàn)方式

　　實現(xiàn)身份認證及入門級訪問控制功能的應用系統(tǒng)安全接入按照是否改造應用系統(tǒng)代碼分以下兩種方式：

　　無需改造應用系統(tǒng)代碼：通過身份認證網(wǎng)關提供的客戶端插件模擬代填應用系統(tǒng)的登錄界面，實現(xiàn)身份認證，用戶無需輸入用戶名/口令。如果應用系統(tǒng)的登錄界面不符合模擬代填條件（登錄界面模擬代填的條件主要涉及開發(fā)語言類型、是否存在選擇項、提交按鈕是否為圖片等方面），完成身份認證后，彈出應用系統(tǒng)原有登錄界面需要用戶輸入用戶名/口令完成登錄。

　　需要改造應用系統(tǒng)代碼：登錄界面不滿足模擬代填條件而又要求不再次輸入用戶名/口令的應用系統(tǒng)，要選擇改造應用系統(tǒng)代碼的方式。按照身份認證網(wǎng)關的應用開發(fā)手冊，進行代碼編寫，從網(wǎng)關中獲取HTTP Header信息并解析，獲得證書用戶的相關身份信息，從而實現(xiàn)身份認證，這種方式替代了應用系統(tǒng)原有的用戶名/口令登錄方式，直接通過數(shù)字身份證書實現(xiàn)身份認證。

　　實現(xiàn)數(shù)字簽名功能的應用系統(tǒng)需要進行代碼改造，即調(diào)用數(shù)字簽名系統(tǒng)提供的相關簽名和驗證接口，對應用系統(tǒng)的敏感業(yè)務數(shù)據(jù)進行簽名驗簽操作。

　　實現(xiàn)時間戳功能的應用系統(tǒng)需要進行代碼改造，即根據(jù)業(yè)務需要調(diào)用時間戳服務子系統(tǒng)提供的相關接口對敏感信息申請時間戳。

　　流程設計

　　認證登錄

　　用戶啟動客戶端瀏覽器，訪問應用系統(tǒng)；

　　應用訪問網(wǎng)關的隨機數(shù)服務，網(wǎng)關提供隨機數(shù)；

　　應用返回證書認證頁面，含網(wǎng)關提供的隨機數(shù)；

　　頁面調(diào)用認證插件，使用數(shù)字證書和隨機數(shù)生成認證報文；

　　認證頁面提交，攜帶認證報文；

　　應用將認證頁面提交的認證報文，轉(zhuǎn)發(fā)給網(wǎng)關；

　　網(wǎng)關校驗認證報文，返回認證結(jié)果。

關鍵詞:

系統(tǒng)

認證

算法

應用

身份

證書

財政

管理

升級

未找到相應參數(shù)組，請于后臺屬性模板中添加

上一個

無

下一個

財政電子票據(jù)系統(tǒng)云簽驗解決方案