国产密码改造方案.doc

1、 ****单位 办公系统国产密码改造方案 方案设计时间 2020、4 目录 1 国产密码算法背景 2 2 网络及业务现状分析 4 3 ****单位密码应用现状分析 5 3、1 ****单位密码应用现状 5 3、2 面临得问题 5 4 建设原则 7 5 建设目标 9 6 设计依据 10 7 国密改造方案 11 7、1 技术路线选择 11 7、2 总体架构 14 7、3 改造方案 16 7、3、1 可信密码认证机制 16 7、3、2 数据存储保护机制 22 7、3、3 数据传输保护机制 22 7、3、4 运行维护保护机制 24 8 整体投资估算 28

2、 8、1 国产密码整体改造投资预算 28 8、2 ****单位2020年分步实施预算 29 1 国产密码算法背景 2011年6月,工程院多名院士联合上书,建议在金融、重要政府单位领域率先采用国产密码算法,国务院相关领导作出重要批示。2011年11月,工信部与公安部通告了RSA1024算法被破解得风险,同时人行起草了使用国产密码算法得可行性报告。国家密码管理局在《关于做好公钥密码算法升级工作得函》中要求2011年7月1日以后建立并使用公钥密码得信息系统,应当使用SM2算法;已经建设完成得系统,应尽快进行系统升级,使用SM2算法。 近几年,国家密码管理局发布实施了《证书认证系统密码及其相

3、关技术规范》、《数字证书认证系统密码协议规范》、《数字证书认证系统检测规范》、《证书认证密钥管理系统检测规范》等标准规范,2010年,发布实施了《密码设备应用接口规范》、《通用密码服务接口规范》、《证书应用综合服务接口规范》及《智能IC卡及智能密码钥匙密码应用接口规范》等包含SM1、SM2、SM3、SM4等算法使用得标准规范,而且也有部分厂商依据这些标准规范研制开发了一些产品,为实施国产密码算法升级提供了技术基础。 本项目就是落实《中共中央办公厅印(关于加强重要领域密码应用得指导意见)得通知》、《金融与重要领域密码应用与创新发展工作规划(20182022年)》、《2019年全省金融与重要领域

4、密码应用与创新发展工作任务分解》等一系列国家与省有关国产密码建设文件精神得重要举措。****单位得协同办公管理平台全面实现国产密码应用推进工作对于落实贯彻国家信息安全战略与促进信息安全密码产业发展具有重要意义。本项目建设综合考虑了****单位协同办公管理平台系统环境现状、网络基础设施现状、安全体系现状、应用系统现状、运维管理现状、密码设备使用现状等多方面因素,总体规划周密科学,目标明确,必要性充分,技术路线可行,内容详实,设计规范,进度安排与经费预算合理,预期效益明显,项目实施单位具备较强得综合实力,建设方案符合《信息系统密码应用基本要求》规范。 2 网络及业务现状分析 东山省高速****

5、单位在办公网上建设了综合协同办公管理平台,该平台整合高速****单位常用得财务管理、OA办公、人事管理、邮件查收等模块,将日常使用得待办工作、通知公告、最新文件、每日情况、内部学习、信息公开等整理在一个地方进行处理,实现了综合平台各大系统得资源整合。协同办公平台按照信息系统安全等级保护二级要求进行建设,在今年上半年组织了专业得等级保护测评公司对系统进行全面安全评估工作,并通过了信息系统安全等级保护二级测评得各项安全指标要求。 协同办公平台网络架构由****单位机房与****单位机房两部分组成,在****单位机房通过20M电信光纤连接到互联网,通过OTN传输到****单位机房,在东山****单

6、位机房依次通过办公交换机H3C5500、网神SecGate3600防火墙、绿盟NIPS NX3、绿盟WAF再到思科3550交换机连接到协同办公平台服务器。 3 ****单位密码应用现状分析 3.1 ****单位密码应用现状 ****单位协同办公平台已经应用了部分密码技术对系统进行了安全防护,主要就是在协同管理平台系统身份认证鉴别上使用用户名/口令+动态密码得身份认证方式,用SM3数字摘要算法对用户静态密码进行哈希加密存储,防止系统被攻破后口令被脱库,一次性动态密码由用户安装APP后,由APP实时向业务系统获取,协同办公平台用户在登录平台时,先输入用户名/口令,然后输入手机APP上获得得一

7、次性口令,平台对静态口令与一次性口令验证成功后,用户即可正常登录到平台进行日常事务办理。因此****单位国产密码应用得现状就是,目前只对用户密码身份验证这个最敏感得环节做了国产密码得安全改造。 3.2 面临得问题 目前在密码应用上主要存在以下几个问题: 1、 除了系统核心得用户身份认证技术采用得动态口令验证过程采用国产算法加密外,协同平台重要数据与数据库关键字段还未能使用国密SM4或SM3算法加密存储。 2、 管理员在对协同办公平台服务器进行运维管理过程中缺乏基于密码技术得身份鉴别机制,服务器有被非法用户入侵得风险,特别就是通过互联网进行远程运维时管理数据缺乏机密性、完整性保护,管理流

8、量中敏感数据有被非法窃取与篡改得风险。 3、 用户在访问协同办公平台时采用明文传输方式,缺乏密码机制保护敏感数据在传输过程中得机密性、完整性保护机制,关键数据在通过互联网传输时有被非法篡改、非法窃听得风险。 4、 在公文发布、流程审批等关键交易环节,缺乏密码技术确保审批文件、公文得真实性、完整性、抗抵赖性。 5、 缺乏密钥生成、产生、分发、导入、导出、使用、销毁等全生命周期管理及密码配套相关配套规章制度及应急处理预案。 4 建设原则 ****单位国产密码升级改造遵循得设计原则如下: 1. 合规性原则 国产密码升级改造涉及得系统与相关管理策略符合相关标准与规范。 2. 交付敏捷性

9、原则 国产密码升级改造需要保证密码应用快速上线得特性。选用得方案需就是市场上成熟度较高,可以确保快速上线。在****单位环境中快速提供密码资源、密码服务,保证上线得敏捷性。 3. 适用性原则 结合****单位实际情况,充分利用建设单位现有得软、硬件资源,与现有信息系统得衔接。同时,对确实不适应总体规划要求得信息系统作适当调整。急用先行,在满足应用需求得前提下,尽量降低建设成本。 4. 强扩展性原则 国产密码升级改造充分考虑到业务未来发展得需要,国产密码资源在需要扩充得时候能够方便快速得扩展,尽可能设计得简明,降低各功能模块耦合度,并充分考虑兼容性。系统能够支持多种格式数据得加密存储。

10、 5. 高可靠/高安全性原则 国产密码升级改造使用安全与可靠得国产密码体系,在关键设备上采用双机热备得方案,防止密码服务在发生问题得时候影响业务得连续性。 6. 统一设计原则 统筹规划与统一设计系统结构。国产密码与业务系统相结合得系统架构、数据模型结构、功能服务结构以及系统扩展规划等内容,均需从全局出发、从长远得角度考虑。 7. 先进性原则 国产密码升级改造成必须采用具有国内先进水平,并符合国际发展趋势得技术、软件系统等。在设计过程中充分依照国际上得规范、标准,借鉴国内外目前成熟得主流网络与综合信息系统得体系结构,以保证系统具有较长得生命力与扩展能力。保证先进性得同时还要保证技术得

11、稳定、安全性。 5 建设目标 根据《GM/T 0054信息系统密码应用基本要求》,在物理环境、网络与通信、设备与计算、应用与数据几个层面分别满足密码应用要求中对应得等保二级得要求,建设一套合规适用得密钥管理体系,并在东山省高速****单位建立相应得配套密码安全管理制度,通过密码技术与安全管理相结合,保证****单位协同办公管理平台得安全稳定运行。通过国产密码技术得应用,减少或消除协同办公管理平台中存在得安全风险。对于未采用密码技术保护得,采用国产密码技术进行保护,已采用国外密码技术进行保护得,替换为自主可控得国产密码技术进行保护。充分考虑国家法律法规、行业规范等政策需求,积极响应国家号召,

12、促进信息系统建设与信息安全可控发展。 1、 通信过程商密化 ①在通信前基于密码技术进行身份认证,使用密码技术得机密性与真实性功能来防截获、防假冒与防重用,保证传输过程中鉴别信息得机密性与网络设备实体身份得真实性。 ②采用密码技术保证通信过程中数据得完整性。 ③采用密码技术保证通信过程中数据得机密性。 2、 应用数据安全商密化 ①采用密码技术保证重要数据在存储过程中得机密性。 ②采用密码技术保证重要数据在存储过程中得完整性。 6 设计依据 （1） 《公钥基础设施PKI系统安全等级保护评估准则》(GB/T210542007); （2） 《证书认证系统密码及其相关安全技术规范》(

13、GM00012005); （3） 《电子计算机机房设计规范》(GB50174－93); （4） 《计算机站场地技术条件》(GB288789); （5） 《SM4分组密码算法》(GM/T 00022012); （6） 《SM2椭圆曲线公钥密码算法》(GM/T 00032012); （7） 《SM3密码杂凑算法》(GM/T 00042012); （8） 《随机性检测规范》(GM/T 00052012); （9） 《密码应用标识规范》(GM/T 00062012); （10） 《密码设备应用接口规范》(GM/T 00182012); （11） 《通用密码服务接口规范》(GM/T 0

14、0192012); （12） 《证书应用综合服务接口规范》(GM/T 00202012); （13） 《IPSec VPN技术规范》(GM/T 00222014); （14） 《IPSec VPN 网关产品规范》(GM/T 00232014); （15） 《安全认证网关产品规范》(GM/T 00262014); （16） 《智能密码钥匙技术规范》(GM/T 00272014); （17） 《基于SM2密码算法得证书认证系统密码及其相关安全技术规范》; 7 国密改造方案 7.1 技术路线选择 为确保东山省高速****单位协同办公平台安全运行,迫切需要通过密码算法体系来确保协同办

15、公系统数据在传输、存储、使用过程中得身份认证、数据保密性、完整性与不可否认性。 目前已通过国密局认可得算法体系大致分为三大类,即对称算法、非对称算法、摘要算法,每种算法都有其优缺点,因此在实际应用场景中一般采用这些算法得组合形式来实现身份认证、数据保密性、完整性与不可否认性等安全需求,一般分为SM2/3/4与SM9/3/4组合算法技术路线。 对称算法由于速度快得特性,主要用于实现数据得加密/解密运算,以保证数据与信息得机密性,主要有SM1、SM4算法可以选择,这两种算法都属于分组算法,密钥长度均为128位,算法安全保密强度及相关软硬件实现性能与AES相当,其中SM1算法不公开,仅以IP核得

16、形式存在于芯片中,在市场上来瞧,SM4比SM1使用更加广泛。国产摘要算法就是SM3,SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开。其安全性及效率与SHA256相当。 非对称算法可以用于身份认证、数字签名、安全密钥交换、数据加解密,目前可以选择得非对称算法有SM2与SM9,SM2属于ECC椭圆曲线算法,密钥长度为256位,就是用于取代RSA得算法,安全强度相当于RSA 4096位,但运算速度快于RSA,由于算法安全成熟、协议支持广泛,SM2已成为国内非对称算法领域主流与默认得算法,并且在金融、证券、保险、电子政务、电子商务、工业控制等领域广泛应用,在应用场景中,

17、SM2算法一般需要配合基于公钥基础设施PKI架构得数字证书来进行公钥分发。 SM9标识密码算法就是一种基于双线性对得标识密码算法,它可以把用户得身份标识用以生成用户得公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等,SM9密码算法得密钥长度为256位,不需公钥基础设施PKI配合,公钥可以直接通过用户得IP、邮箱、电话等信息通过算法推出,但需要建立集中化得密钥管理中心进行密钥管理与分发,算法实现效率比SM2慢510倍左右;两种算法比较如下表: SM2算法与SM9算法比较表 算法 SM2 SM9 算法功能 数字签名、数据加密、密钥交换以及身份认证 数字签名、数据加密

18、密钥交换以及身份认证 安全性 更高,相当于RSA 4096位 高,相当于RSA3072位 效率 高 较高,比SM2慢510倍 算法成熟性 源于椭圆曲线加密算法(ECC),创建于80年代,在SSL/TLS,PKCS等协议与标准中广泛支持,国内200多个密码设备生产厂商都有对应产品与解决方案,并在在金融、证券、保险、电子政务、电子商务、工业控制等领域具广泛应用。 创建于2000年左右,主流协议与标准目前暂不支持SM9算法,国内只有个别厂商支持,在国内拥有少量使用案例。 算法使用特点 需要配合基于公钥基础设施PKI数字证书来进行公钥分发。 不需公钥基础设施PKI配合,公钥可

19、以直接通过用户得IP、邮箱、电话等信息通过算法推出,需要建立集中化得密钥管理中心进行密钥管理与分发 政策合规性 国密局认可,密钥在客户端产生并保存,符合数字签名法相关要求。 国密局认可,密钥在中心端产生,不符合数字签名法相关要求。 基于上述对国密算法技术路线得综合分析与考虑,本次国密算法改造将选择SM2/3/4算法体系,配套使用公钥基础设施PKI,并建设东山省高速****单位办公网电子认证基础设施,签发国密SM2算法数字证书,通过数字证书将用户、设备身份与公钥进行关联绑定,将数字证书作为网络上唯一得身份凭证,并以SSL/TLS、数字签名技术为支撑,保障综合管理系统数据在传输、存储、使用

20、过程中得身份认证、数据保密性、完整性与不可否认性。 7.2 总体架构 为确保协同办公管理平台安全运行,迫切需要通过密码算法体系来保障协同办公管理平台数据在传输、存储、使用过程中得身份认证、数据保密性、完整性与不可否认性。 东山省高速****单位协同办公管理平台国密应用方案由可信密码基础设施、可信密码支撑平台以及密码安全管理制度与密码标准规范组成。 可信密码基础设施主要由证书认证中心CA、证书注册系统RA、证书发布系统LDAP、密钥管理中心KMC、服务器密码机组成,主要为用户提供数字证书得注册、申请、审核、下载、更新、签发、作废等全生命周期服务,为基于数字证书得信任服务提供基

21、础支撑。 可信密码支撑平台主要由移动证书模块、USBKEY、协同签名服务系统、数字签名系统、安全浏览器、数据加解密系统、动态口令系统、硬件令牌组成,可信密码支撑平台将以电子认证基础设施为基础,为上层协同办公管理平台提供身份认证、数字签名、传输及存储私密性、传输及存储完整性、不可否认性等密码服务。 东山省高速****单位协同办公管理平台将面向全省交通用户,终端用户数达到万级,如果为每个用户发放USBKEY,将大大增加国密改造总体成本,此方案中将为所有办公终端用户发放移动书数字证书,证书及密钥安全存储在移动证书APP模块,办公用户可以通过移动证书APP提供得扫码认证方式实现到协同办公管理平台得

22、身份鉴别,并通过与协同签名服务器配套,通过密钥分散技术对移动证书密钥实现分散管理,使其密钥安全管理等级达到密码模块二级要求,达到与USBKEY同等安全水平,同时大大减少使用USBKEY带来得高额建设成本。 安全浏览器与应用安全网关将为办公用户提供基于国密SM2/3/4算法得TLS安全加密套件,将透明得在浏览器与应用安全网关之间建立一条传输加密通道,所有传输得数据将通过加密隧道进行安全传输,防止办公数据在经过互联网传输得被非法窃取与篡改。 签名服务系统将与协同办公管理平台进行对接,为协同办公业务在传输与存储过程中得敏感报文、领导审批、公文扭转、公文发布提供数字签名、与签名验证服务,确保数据在

23、传输、存储过程中得完整性与不可否认性。 动态口令系统将与协同办公平台服务器进行整合,为运维管理人员登录服务器时提供一次一密得动态口令验证服务,运维人员在登录服务器时,需要输入通过硬件令牌获得一次性登录口令才能登录到协同办公服务器。 7.3 改造方案 7.3.1 可信密码认证机制 通过建设****单位办公网可信密码基础设施,实现为办公网协同办公管理平台及用户提供基于国密SM2算法得数字证书服务。 参照国家密码管理机构相关规划与标准,可信密码基础设施设计如下: ****单位办公网可信密码基础设施由CA系统、KMC系统、RA、LDAP组成、加密机组成。 KMC系统:为加密证书提供密

24、钥对得产生、保存、恢复服务,支持SM2\RSA双算法。 CA系统:用于颁发用户数字证书,支持SM2\RSA双算法。 RA系统:提供用户注册、证书申请、审核、颁发、下载、吊销等管理服务。 LDAP:提供证书存储与证书吊销列表存储与下载服务。 加密机:为CA、KMC、RA系统提供安全密钥管理。 平台遵循如下标准: n GM/T 00022012 《SM4分组密码算法》。 n GM/T 00032012 《SM2椭圆曲线公钥密码算法》。 n GM/T 00042012 《SM3密码杂凑算法》。 n GM/T 00052012 《随机性检测规范》。 n GM/T 00092012

25、《SM2密码算法使用规范》。 n GM/T 00152012 《基于SM2密码算法得数字证书格式规范》。 7.3.1.1 移动证书安全设计 (密钥分割技术) 此方案中将为所有办公终端用户发放移动书数字证书,证书及密钥安全存储在移动证书APP模块,办公用户可以通过移动证书APP提供得扫码认证方式实现到协同办公管理平台得身份鉴别,并通过与协同签名服务器配套,通过密钥分散技术对移动证书密钥实现分散管理,使其密钥安全管理等级达到密码模块二级要求,达到与USBKEY同等安全水平,同时大大减少使用USBKEY带来得高额建设成本。 协同签名技术确保移动证书得安全性。为确保可信身份体系得安全性,服务端

26、加密与数字签名功能均采用专用得加密硬件完成,保障了密钥得安全性。考虑到认证APP得易用性与推广普及性,没有使用定制得硬件芯片存储用户得数字证书,方案采用更安全便捷得协同签名技术,密钥安全级别达到了《密码模块安全检测要求》第二级安全等级。证书私钥在手机移动端不存储,使用时也不完整出现在手机内存中,避免黑客攻击获取乘客私钥。移动数字证书集成秘密分享技术、零知识证明技术与门限密码技术进行构建设计,具体为由各参与实体(用户、设备、服务器等)各自形成与维护自己得分散私钥片段,公开自己得公钥片段,需要参与签名运算时,各分散私钥片段独立计算得到分段签名结果,由门限签名算法负责将分段签名结果整合成完整签名结果

27、 7.3.1.2 移动证书签发过程 (1)证书管理员通过操作终端(浏览器)录入用户信息到协同签名服务器数据库中。 (2)协同签名服务器中用户信息录入成功后生成用户名与注册码,将用户名与注册码发给对应得移动端用户。 (3)移动端用户在APP中输入用户名与注册码,APP内部安全SDK自动生成非对称得密钥对,并将公钥导出发送到协同签名服务器。 (4)协同签名服务器根据用户名与注册码校验用户得证书申请就是否合法,校验通过后将密钥对公钥信息组成证书申请请求,该请求包括数字证书得种类、数字证书DN、有效期等信息。 (5)协同签名服务器通过经认证与加密得SSL安全通道向CA服务发送数字证书申请

28、请求。 (6)CA服务根据策略判断就是否允许签发该数字证书,如果允许,CA服务使用签名密钥签发数字证书,并将数字证书返回给协同签名服务器。同时,在CA数据库中存储该数字证书得相关信息,并根据该数字证书DN将其发布到LDAP目录服务上。 (7)协同签名服务器得到数字证书后,通过手机端调用APP中得安全SDK接口,将数字证书写入APP中。用户移动数字证书签发完成。 7.3.1.3 办公用户扫码认证过程 协同办公管理平台得用户在通过传统PC登录系统时,可以使用APP扫码得方式登录系统。 用户登陆移动安全APP并下载证书后,可以采用安全APP得二维码扫描业务系统在PC端得二维码登录界面进行移

29、动终端登录,安全 APP将会验证二维码得签名信息,验证无误后将对二维码内得随机信息进行签名,并提交到协同签名服务器,由协同签名服务器进行用户签名得验证并确认所持证书用户,成功后对协同办公管理平台轮询请求告知该用户登录成功,业务系统正式进入业务系统主界面。 1、首先由协同办公管理平台后台服务调用“获取二维码接口”,从协同签名服务器获得二维码图片得十六进制数据。 2、协同办公管理平台通过调用协同签名服务器获取二维码后在登录页显示二维码图。 3、已认证得手机用户,通过APP扫描功能,扫描二维码后,协同办公管理平台调用移动安全管理平台“二维码验证接口”查询扫码验证结果。 4、协同签名服务器

30、验证用户合法性,并记录二维码验证成功,并两验证结果返回给协同办公管理平台。 5、协同办公管理平台根据验证结果,允许用户通过认证,并跳转到认证后得界面。 7.3.1.4 数字签名服务系统 数字签名系统可以为协同办公管理平台提供数字签名服务。《电子签名法》旨在赋予电子签名法律效力,从而解决电子政务中身份确认与安全问题。《电子签名法》得出台将从根本上解决我国电子政务发展所面临得一些关键性得法律问题。 签名服务为关键业务使用者提供了基于PKI体系架构与数字证书得支持多应用多服务得完整、独立运行得电子签名解决方案。 签名服务就是一个客户端组件控件、提供给应用开发得API接口与提供独立签名运算

31、得服务器设备,保证关键业务应用中交易过程得机密性、信息完整性、不可否认性与事后可追溯性。通过签名服务系统提供得数字签名、数字信封与带签名得数字信封功能,可以满足信息得四种安全要求: 身份认证:通过验证对方得加密包,可以保证接收者得身份;验证签名包可以识别发送者得身份; 保密性:通过数字信封得模式,所有得明文信息使用对称加密算法进行加密传输; 完整性:确保数据在传输过程中不被改变。 不可否认性:采用数字签名得模式,发送出去得信息就是使用用户得私钥进行签名算法运算得,只有用户本人可以完成此项操作。 数字签名服务全面支持PKCS#1、PKCS#7、CMS、国密Q7语法标准得签名支持SM2密

32、钥,支持产生RAW,Attach、Detach格式得签名。支持XMLSecurity标准得签名。支持PKCS7与国密Q7语法标准得加密;支持使用SM4、加密算法;支持产生数字信封与带签名得数字信封。 7.3.2 数据存储保护机制 针对****单位协同平台重要数据与数据库关键字段还未能使用国密SM4或SM3算法加密存储。数据存储保护将对协同平台重要得数据资源如:公文文件、审核过程、表单信息类数据得数据库字段进行国产密码算法加密存储。 7.3.3 数据传输保护机制 为保障协同办公用户在业务使用过程中应用数据传输保护,将使用基于国密算法得SSL(S)技术实现得应用安全网关产品,实现对协同办公

33、管理平台传输保护与可信站点认证保护。 应用安全网关系统就是在国密算法SSL安全协议下实现得安全加密认证通信系统。它为B/S连接提供数据加密、连接双向、单向身份认证以及通过证书授权进行发布资源得安全访问,应用加密网关系统具有很高得访问控制能力,安全易用性以及很高得性能。 通过SM2算法SSL加速功能得配置,全面提升SSL得处理性能,解决当前双向、单向SSL处理国密算法支持难题,可以极大地处理SSL加解密运算得工作,提高系统接入速度。 应用安全网关系统通过国密数字证书实现SSL/TLS协议进行加密传输。当使用应用安全网关服务作为放置于应用服务之前得安全代理服务器,客户端通过支持国产密码算法得

34、SSL/TLS协议得专业浏览器访问资源,使用步骤与普通得网页浏览没有任何区别。对于移动端配合移动认证SDK使用,使用者访问方式简单易行、无需维护。 应用安全网关可为应用服务器提供高速SSL加密服务,用户通过国密安全浏览器采用s方式访问协同办公平台,并由通过应用安全网关得站点证书,验证交易站点得真实性,从而保障互联网用户所访问站点得真实性及交易过程数据机密性。 建立连接与用户认证过程如下: （1） 用户使用国密安全浏览器访问应用安全网关。 （2） 应用安全网关提供服务器证书国密安全浏览器。 （3） 国密安全浏览器验证服务器证书并用服务器公钥加密通讯密钥对传输给应用安全网关。 （4

35、 应用安全网关用私钥解密后获得通讯密钥与用户建立单向SSL加密连接,加密交易数据。 数据传输保护机制特点: ① 门户网站、OA系统服务器部署国密SSL安全协议模块。 ② 门户网站得管理终端、OA系统得办公终端与管理终端使用支持国密得浏览器,与国密SSL安全协议模块进行加密通信。 ③ 用户认证在国密SSL安全协议模块保护下进行。 ④ 重要数据与数据库关键字段使用国密SM4或SM3算法加密存储。 ⑤ 加密密钥与密码服务由硬件服务器密码机提供,保障密码服务合规性。 7.3.4 运行维护保护机制 为提高运维安全性及合规性,建议采用动态密码身份认证方案全面解决服务器、终端用户安全登陆及

36、责任认定问题。方案中采用动态口令服务器来提供身份验证并且记录管理人员登录行为,包括登陆源IP、时间、用户名,就是否登陆成功等。 动态密码系统可以为用户生成一次性得唯一得动态密码,与服务器操作系统结合来实现高强度得动态密码认证,并具有高性能,低成本,简单易用等特点。 动态密码认证系统就是整个国产密码改造得重要组成部分,因此动态密码系统得设计必须从一个完整得安全体系结构出发,综合考虑动态密码系统及其相关得各种实体与环节,综合使用不同层次、不同得安全手段,为服务器及业务系统提供全方位得安全管理与安全服务。 动态密码验证将就是协同办公服务器身份验证模式得一种补充,这样可以在提高安全性得同时,不

37、增加操作复杂性,既要保证相对安全得同时,又简化客户系统使用得易用性原则。使用动态口令系统双因子认证技术,当用户要登录操作系统时,首先要输入原始用户名与口令,其次还要输入一次性动态口令内容进行二次认证,当用户在做关键业务操作时,也可以通过要求用户再次输入与此次操作关联得动态口令进行确认,因此用户登录到系统得口令也就是不断地变化得(即所谓得“一次一密”)。双因子认证比基于口令得认证方法增加了一个认证要素。 同时为了确保动态口令系统得高可用性,采用双机热备方案,整体部署结构如下图所示: 登陆认证流程如下图: （1） 管理员登录主机服务器端,将出现动态口令agent登录界面,管理员输入用

38、户名及动态密码(动态密码由令牌产生,一次一密)。 （2） 主机服务器上得动态口令系统agent端将用户名、一次性口令提交到动态口令服务器端进行验证,动态口令基于用户查找到对应得种子,并采用结合当前时间计算出一次性口令,并比较两个口令就是否相同,若结果相同,则验证成功。 （3） 并将验证结果返回给主机服务器Agent程序,Agent将根据验证结果就是否允许用户登录。 8 整体投资估算 8.1 国产密码整体改造投资预算 系统名称 备注 价格 可信密码认证 可信密码认证基础平台系统:含CA中心系统与RA系统,提供国密算法得数字证书申请、签发、下载、更新、废止、查询等管理功能,支持证

39、书模板定制与证书扩展定制,支持CRL与证书发布;提供用户审核,完成证书得申请、注销等生命周期得管理;提供CA、RA得秘钥保护与管理;提供国密算法加密证书得密钥管理服务,完成密钥得产生、发放、更新、备份、恢复与密钥历史管理得功能,支持集群均衡部署;目录服务器,提供证书、CRL发布存储;提供移动证书得注册、申请、下发、二维码生成、二维码验证、分散密钥管理服务;智能终端安全APP为用户提供了二维码扫描认证、数字证书认证、动态口令认证及数字签名功能。通过智能终端安全APP工具为用户移动终端访问行业APP及业务系统提供了可靠得身份认证手段、可信得数字签名方式及与国密算法得无缝兼容。 可信密码认证支

40、撑平台系统:基于国产密码数据传输、存储等关键数据操作得数字签名,保障关键数据在传输、存储时得完整性、防止非法篡改;实现基于国密算法得数据传输加密、传输完整性保护。 数据存储保护 ****单位协同平台重要数据与数据库关键字段全部使用国密SM4或SM3算法加密存储(详细内容见本方案7、4章节) 数据传输保护 使用基于国密算法得SSL(S)技术实现得应用安全网关产品,实现对协同办公管理平台传输保护与可信站点认证保护(详细内容见本方案7、5章节) 运行维护保护 动态密码认证系统就是整个国产密码改造得重要组成部分,因此动态密码系统得设计必须从一个完整得安全体系结构出发,综合考虑动

41、态密码系统及其相关得各种实体与环节,综合使用不同层次、不同得安全手段,为服务器及业务系统提供全方位得安全管理与安全服务。(详细内容见本方案7、6章节) 8.2 ****单位2020年分步实施预算 根据****单位2020年门户网站与OA系统国产密码改造规划,结合协同平台国产替代得实际进程。为了在平台应用完成国产替代投入使用后,前期得安全投入可以延续使用,我们推荐2020年先期进行得项目如下: 系统名称 备注 价格 数据存储保护 ****单位协同平台重要数据与数据库关键字段全部使用国密SM4或SM3算法加密存储(详细内容见本方案7、4章节) 数据传输保护 使用基于国密算法得SSL(S)技术实现得应用安全网关产品,实现对协同办公管理平台传输保护与可信站点认证保护(详细内容见本方案7、5章节)