密碼技術(shù)在財政信息系統(tǒng)中的應(yīng)用

肖麗輝 張利明

（山東省財源保障評價中心 山東省濟(jì)南市 250001）

1 引言

自1993年中央決定在我國發(fā)展商用密碼、1999年國務(wù)院頒布施行《商用密碼管理條例》以來，經(jīng)過二十年的發(fā)展，商用密碼從無到有，到當(dāng)前廣泛應(yīng)用到政府、金融、通信、交通、醫(yī)療、能源、電子商務(wù)等重要領(lǐng)域。尤其是近幾年，國家陸續(xù)頒布《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國密碼法》，從立法上強(qiáng)調(diào)網(wǎng)絡(luò)信息安全的重要性，從頂層設(shè)計規(guī)范密碼應(yīng)用管理，在維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展方面發(fā)揮了重要作用。

2 財政密碼基礎(chǔ)設(shè)施

基于重要程度不同，財政信息系統(tǒng)運(yùn)行于不同安全級別的網(wǎng)絡(luò)中，涉密信息系統(tǒng)位于涉密網(wǎng)，非涉密但重要的信息系統(tǒng)位于業(yè)務(wù)專網(wǎng)，其他信息系統(tǒng)位于外網(wǎng)。涉密網(wǎng)中網(wǎng)絡(luò)和信息系統(tǒng)的密碼應(yīng)用按照有關(guān)主管部門和保密政策要求進(jìn)行建設(shè)和實施。業(yè)務(wù)專網(wǎng)、外網(wǎng)中建設(shè)了覆蓋全國各級財政部門的商用密碼基礎(chǔ)設(shè)施，即財政身份認(rèn)證與授權(quán)管理系統(tǒng)，簡稱財政CA系統(tǒng)，為業(yè)務(wù)專網(wǎng)、外網(wǎng)的網(wǎng)絡(luò)和信息系統(tǒng)提供密碼服務(wù)。

2.1 CA系統(tǒng)目標(biāo)

財政CA系統(tǒng)的目標(biāo)是基于密碼技術(shù)為財政部門、預(yù)算單位、執(zhí)收單位、人民銀行、代理銀行等與財政業(yè)務(wù)相關(guān)的人員及設(shè)備提供數(shù)字證書，為財政業(yè)務(wù)系統(tǒng)提供身份管理、身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)信封、時間戳、統(tǒng)一授權(quán)、安全審計等安全保障服務(wù)，確保財政業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行及業(yè)務(wù)工作正常開展。

2.2 身份管理

圖1

圖2

財政有很多專項業(yè)務(wù)系統(tǒng)，不同系統(tǒng)的業(yè)務(wù)覆蓋面不同，用戶、機(jī)構(gòu)等信息采集渠道不盡相同，需要各自維護(hù)系統(tǒng)用戶、機(jī)構(gòu)管理等信息。各業(yè)務(wù)系統(tǒng)的用戶標(biāo)識需要采用用戶名或者賬號，配合口令實現(xiàn)身份認(rèn)證，同一人員在不同的業(yè)務(wù)系統(tǒng)的用戶名各不相同，需要分別記憶，降低了用戶操作體驗性和安全性。另外，信息系統(tǒng)涉及的服務(wù)器等設(shè)備容易被冒用、劫持。為解決上述問題，需要建設(shè)統(tǒng)一的用戶身份管理系統(tǒng)（即CA系統(tǒng)）。CA系統(tǒng)包括CA、RA、KMC等數(shù)字證書相關(guān)的管理系統(tǒng)，采用密碼及密碼算法（國密算法和RSA算法）相關(guān)技術(shù)，為財政的人員、機(jī)構(gòu)、設(shè)備簽發(fā)數(shù)字證書，通過數(shù)字證書標(biāo)識他們的在信息網(wǎng)絡(luò)中身份，數(shù)字證書的人員、機(jī)構(gòu)、設(shè)備信息使用CA根密鑰的私鑰簽名，保障身份標(biāo)識不被仿冒。CA系統(tǒng)的統(tǒng)一賬號管理系統(tǒng)，統(tǒng)一管理財政所有的用戶、機(jī)構(gòu)、賬號，實現(xiàn)了生命周期管理機(jī)制，為業(yè)務(wù)系統(tǒng)提供信息管理服務(wù)，業(yè)務(wù)系統(tǒng)不再重復(fù)維護(hù)這些信息，解決了數(shù)據(jù)標(biāo)準(zhǔn)的統(tǒng)一和身份管理問題。

2.3 身份認(rèn)證

傳統(tǒng)的身份認(rèn)證方式主要有用戶名/口令、動態(tài)口令、短信驗證碼等，到目前仍然是應(yīng)用最普遍的認(rèn)證方式，隨著網(wǎng)絡(luò)環(huán)境和應(yīng)用場景的復(fù)雜多樣，這些方式已證明存在安全隱患，很容易出現(xiàn)身份冒用的情況。等級保護(hù)2.0要求三級以上的信息系統(tǒng)須采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的身份認(rèn)證技術(shù)對用戶身份進(jìn)行鑒別，且其中一種必須是密碼技術(shù)。CA系統(tǒng)通過部署身份認(rèn)證網(wǎng)關(guān)，配合LDAP系統(tǒng)（發(fā)布數(shù)字證書公鑰及證書注銷列表），為業(yè)務(wù)系統(tǒng)或其他信息系統(tǒng)提供身份認(rèn)證服務(wù)，支持?jǐn)?shù)字證書、口令等身份認(rèn)證方式，可擴(kuò)展生物技術(shù)，各種方式可單獨(dú)使用也可組合使用。身份認(rèn)證網(wǎng)關(guān)為業(yè)務(wù)系統(tǒng)提供數(shù)字證書方式的認(rèn)證過程中，使用CA根證書的公鑰對數(shù)字證書進(jìn)行驗證，確保數(shù)字證書所代表的用戶的真實性；使用密鑰對認(rèn)證過程中的隨機(jī)碼進(jìn)行簽名和驗證，防止重放攻擊，實現(xiàn)口令技術(shù)無法做到的安全保障功能。

2.4 數(shù)字簽名

數(shù)字簽名是只有信息的發(fā)送者才能產(chǎn)生，且別人無法偽造的一段數(shù)字信息，這段數(shù)字信息也是對發(fā)送者發(fā)送信息真實性的一個有效證明。數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的組合應(yīng)用，簽名和驗證的過程如圖1。

數(shù)字簽名是基于密碼學(xué)哈希運(yùn)算的不可逆性（即哈希字符串不能計算出信息原文的特性）和非對稱密鑰的不可推導(dǎo)性（即公鑰不能推導(dǎo)出私鑰的特性），證明了發(fā)送方身份的真實性，而且其對發(fā)送的信息不可否認(rèn)，因為通過發(fā)送方公鑰能解密這個事實，證明是其配對的私鑰實施了這次信息運(yùn)算，進(jìn)而證明只有發(fā)送方才能做這件事（私鑰在發(fā)送方掌握，存儲于智能密碼芯片中）。

CA系統(tǒng)通過在財政業(yè)務(wù)系統(tǒng)信息交互的兩端分別部署簽名服務(wù)器，并且對簽名服務(wù)器簽發(fā)機(jī)構(gòu)證書，機(jī)構(gòu)證書代表交互雙方的實體身份，雙方交互信息時分別實施數(shù)字簽名和驗證，保障信息的真實性、完整性和不可否認(rèn)性。

2.5 數(shù)字信封

數(shù)字信封包含了被加密的內(nèi)容和被加密的用于加密該內(nèi)容的密鑰，數(shù)字信封是對稱加密和非對稱加密技術(shù)的組合應(yīng)用，數(shù)字信封的制作與驗證過程如圖2。

數(shù)字信封技術(shù)結(jié)合了對稱密碼算法速度快和非對稱密碼算法公鑰便于分發(fā)傳遞的特點(diǎn)，常用于信息系統(tǒng)之間頻繁交互數(shù)據(jù)的加解密，保障數(shù)據(jù)的真實性和機(jī)密性。

CA系統(tǒng)在財政業(yè)務(wù)系統(tǒng)信息交互的兩端分別部署簽名服務(wù)器，并且對簽名服務(wù)器簽發(fā)機(jī)構(gòu)證書，雙方交互信息時分別實施數(shù)字信封制作和驗證，保障信息的真實性和機(jī)密性。

2.6 時間戳

時間戳是一個能表示一份數(shù)據(jù)在某個特定時間之前已經(jīng)存在的、完整的、可驗證的數(shù)據(jù)，能夠證明數(shù)字信息的產(chǎn)生時間，廣泛的運(yùn)用在知識產(chǎn)權(quán)保護(hù)、電子合同、數(shù)字金融、電子報價、電子保單等領(lǐng)域。時間戳應(yīng)用了數(shù)字簽名技術(shù)，簽名的內(nèi)容包括了原始信息的哈希摘要、簽名參數(shù)、簽名時間等信息，其中時間來源于權(quán)威的授時中心。

CA系統(tǒng)的時間戳功能通過時間戳服務(wù)器或者簽名服務(wù)器提供，服務(wù)器的時間從財政專門建設(shè)的時間源服務(wù)器（同步國家授時中心的時間）中獲取，確保了財政業(yè)務(wù)系統(tǒng)信息產(chǎn)生時間的不可否認(rèn)性。

2.7 統(tǒng)一授權(quán)

財政業(yè)務(wù)系統(tǒng)用戶和管理員權(quán)限在各業(yè)務(wù)系統(tǒng)中分別管理，面臨到的問題包括：用戶和權(quán)限多系統(tǒng)維護(hù)，授權(quán)策略不靈活，權(quán)限管理功能改動困難，容易對生產(chǎn)系統(tǒng)產(chǎn)生影響，授權(quán)過程和授權(quán)結(jié)果缺乏監(jiān)管和控制機(jī)制，授權(quán)結(jié)果基本沒有實施基于密碼技術(shù)的保障措施，而是明文存儲在數(shù)據(jù)庫中，易被篡改，而且被篡改后疏于管理的情況不易被發(fā)現(xiàn)，從而發(fā)生越權(quán)訪問的情況。

CA系統(tǒng)建設(shè)統(tǒng)一賬號管理系統(tǒng)和統(tǒng)一授權(quán)管理系統(tǒng)，集中管理用戶、機(jī)構(gòu)、賬號及其他信息要素，集中管理應(yīng)用權(quán)限資源，包括應(yīng)用、角色、功能等，建立基于信息要素及其組合的靈活授權(quán)策略，授權(quán)的結(jié)果實施數(shù)字簽名技術(shù)，防止篡改，提供多種方式的對外服務(wù)，便于業(yè)務(wù)系統(tǒng)對接調(diào)用。

2.8 安全審計

CA系統(tǒng)通過安全審計功能，監(jiān)控數(shù)字證書完整的生命活動周期，并審計數(shù)字證書的使用情況，同時將兩種信息進(jìn)行有機(jī)結(jié)合，提供各種查詢統(tǒng)計功能。

3 密碼在財政業(yè)務(wù)系統(tǒng)中的應(yīng)用案例

通過財政CA系統(tǒng)，密碼在財政業(yè)務(wù)系統(tǒng)中廣泛應(yīng)用，以下以國庫集中支付電子化系統(tǒng)為例介紹密碼的應(yīng)用環(huán)節(jié)及其所起到的安全作用。

3.1 應(yīng)用背景

財政國庫支付電子化系統(tǒng)是借助信息化手段，以電子憑證代替?zhèn)鹘y(tǒng)紙質(zhì)憑證，進(jìn)而提高國庫支付業(yè)務(wù)處理效率的一套重要的業(yè)務(wù)系統(tǒng)，涉及面廣，包括財政、預(yù)算單位、人民銀行、代理銀行等，涉及資金安全，重要程度高，因此如何保證國庫支付電子化系統(tǒng)的用戶身份真實性，保證財政、人民銀行、各代理銀行之間交互的電子憑證的機(jī)密性、完整性和不可否認(rèn)性，保證電子憑證產(chǎn)生時間的不可否認(rèn)性，保證整個過程的可審計可追溯，就成為重中之重的問題。

3.2 總體方案

圍繞國庫支付電子化系統(tǒng)的上述安全需求，總體解決方案如下：

（1）通過財政CA系統(tǒng)為用戶簽發(fā)數(shù)字證書，通過證書代表用戶身份，國庫支付電子化系統(tǒng)與身份認(rèn)證網(wǎng)關(guān)對接，實現(xiàn)基于數(shù)字證書的身份認(rèn)證功能，從而保障用戶身份的真實性。

（2）在財政、人民銀行、代理銀行部署簽名服務(wù)器和電子印章系統(tǒng)，利用財政CA系統(tǒng)分別為財政、人民銀行、代理銀行頒發(fā)對應(yīng)的機(jī)構(gòu)證書，導(dǎo)入各自的簽名服務(wù)器中，這個機(jī)構(gòu)證書代表了各自身份。簽名服務(wù)器部署在各自的信任網(wǎng)絡(luò)環(huán)境內(nèi)，只有合法的應(yīng)用、用戶可調(diào)用。各自在產(chǎn)生最終確認(rèn)的電子憑證后，系統(tǒng)先調(diào)用簽名服務(wù)器，用自身的機(jī)構(gòu)證書（私鑰）對電子憑證進(jìn)行數(shù)字簽名，再用對方的機(jī)構(gòu)證書（公鑰）進(jìn)行加密，同時調(diào)用電子印章系統(tǒng)加蓋自己的印章，最后通過網(wǎng)絡(luò)發(fā)送給對方。對方收到該信息后，先調(diào)用電子印章系統(tǒng)進(jìn)行印章校驗，若校驗通過后則調(diào)用簽名服務(wù)器，用自身的機(jī)構(gòu)證書（私鑰）進(jìn)行解密，然后再用對方的機(jī)構(gòu)證書（公鑰）進(jìn)行電子憑證驗簽，若驗簽都通過，則進(jìn)行后續(xù)的業(yè)務(wù)處理。通過這一系列的簽名/驗簽、加密/解密、加蓋印章/校驗印章的處理，確保財政、人民銀行、代理銀行間電子憑證數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性，保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（3）在財政、人民銀行、代理銀行部署的簽名服務(wù)器集成了時間戳服務(wù)，均配置標(biāo)準(zhǔn)的時間源，各自在產(chǎn)生最終確認(rèn)的電子憑證后，調(diào)用時間戳服務(wù)接口附加上時間戳，對方在收到電子憑證后首先驗證時間戳，確保雙方對業(yè)務(wù)時間的認(rèn)可一致，保證電子憑證產(chǎn)生時間的不可否認(rèn)性。

（4）財政CA系統(tǒng)部署了安全審計系統(tǒng)，對用戶登錄業(yè)務(wù)系統(tǒng)的相關(guān)信息進(jìn)行審計，配合業(yè)務(wù)系統(tǒng)的詳細(xì)日志，確保用戶操作過程的可審計可追溯。

（5）財政CA系統(tǒng)運(yùn)行的基礎(chǔ)軟硬件環(huán)境實現(xiàn)了國產(chǎn)化，包括網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、雙機(jī)軟件和數(shù)據(jù)庫等，保障了其自身的規(guī)范性和安全性。隨著財政業(yè)務(wù)一體化系統(tǒng)的建設(shè)，財政CA系統(tǒng)提供身份認(rèn)證、簽名驗簽等國產(chǎn)化實現(xiàn)方案，進(jìn)一步增強(qiáng)其對業(yè)務(wù)系統(tǒng)的安全保障能力。

3.3 保障作用

國庫集中支付電子化系統(tǒng)與財政CA系統(tǒng)的結(jié)合，強(qiáng)化了用戶認(rèn)證方式，增強(qiáng)了用戶身份真實性的驗證能力，降低了用戶被冒用的風(fēng)險和真實用戶違規(guī)操作風(fēng)險；關(guān)鍵數(shù)據(jù)實施了簽名技術(shù)，確保了數(shù)據(jù)的一致性，解決了交互各方可能存在的業(yè)務(wù)數(shù)據(jù)錯誤問題，避免了出錯之后各方的對賬工作；敏感數(shù)據(jù)實現(xiàn)了加密，解決了數(shù)據(jù)在傳輸過程中可能存在的泄密問題；實施了數(shù)字簽名和時間戳功能，確保了各方操作的不可否認(rèn)性?？傮w上，國庫集中支付電子化系統(tǒng)的安全性得到較大的提升。

4 財政密碼基礎(chǔ)設(shè)施的升級擴(kuò)展

隨著財政業(yè)務(wù)系統(tǒng)的逐步遷移上云，物理和網(wǎng)絡(luò)環(huán)境相比較與之前的財政專網(wǎng)更加復(fù)雜，云計算、大數(shù)據(jù)和移動互聯(lián)等新技術(shù)的應(yīng)用，新的內(nèi)部、外部安全威脅也隨之而來，網(wǎng)絡(luò)、設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)、用戶等信息資產(chǎn)僅僅依賴現(xiàn)有的防護(hù)技術(shù)和措施已很難保障安全。而當(dāng)前無論是技術(shù)層面還是政策層面，密碼都是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問題最有效可靠的手段，因此財政的密碼基礎(chǔ)設(shè)施需要不斷升級擴(kuò)展，不斷強(qiáng)化，以滿足新環(huán)境下的信息網(wǎng)絡(luò)安全需求。

結(jié)合財政現(xiàn)有的密碼應(yīng)用情況和未來的技術(shù)方向、應(yīng)用場景，財政密碼基礎(chǔ)設(shè)施將需要在以下層面進(jìn)行拓展。

（1）擴(kuò)展身份的種類和維度?？晒芾淼纳矸菪畔⒉粌H包括現(xiàn)有統(tǒng)一賬號管理系統(tǒng)所管理的用戶、機(jī)構(gòu)、應(yīng)用，還應(yīng)有設(shè)備、服務(wù)、接口、系統(tǒng)等在信息網(wǎng)絡(luò)環(huán)境中需要驗收身份的實體，并擴(kuò)展身份實體的管理維度，形成一個完善的身份管理中心，作為信息網(wǎng)絡(luò)系統(tǒng)各環(huán)節(jié)實施身份認(rèn)證、訪問控制和權(quán)限管理的基礎(chǔ)。

（2）擴(kuò)展認(rèn)證方式和場景。在現(xiàn)有基于數(shù)字證書和口令認(rèn)證的基礎(chǔ)上，還需支持動態(tài)令牌、短信、二維碼和指紋、人臉等生物識別技術(shù)，支持OAuth、FIDO等主流協(xié)議，增加移動端認(rèn)證場景，實現(xiàn)移動認(rèn)證和PC認(rèn)證相結(jié)合的身份漫游機(jī)制。

（3）擴(kuò)展授權(quán)的粒度和機(jī)制。在現(xiàn)有的應(yīng)用、角色、功能等較粗的權(quán)限資源的授權(quán)和鑒權(quán)基礎(chǔ)上，增加對數(shù)據(jù)等更細(xì)粒度的權(quán)限資源的授權(quán)和鑒權(quán)，增加包括從權(quán)限的申請、授權(quán)、鑒權(quán)到銷權(quán)等權(quán)限的全生命周期監(jiān)管；增加權(quán)限的全面追蹤、分析、預(yù)警，可展現(xiàn)權(quán)限分布情況。增加全面、靈活的權(quán)限在線審批機(jī)制，可查詢授權(quán)流程的流轉(zhuǎn)軌跡及辦理進(jìn)度。

（4）擴(kuò)展審計的信息和機(jī)制。在現(xiàn)有安全審計數(shù)字證書發(fā)放和使用情況的基礎(chǔ)上，增加各種實體身份的信息軌跡，增加密碼基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等重要信息的審計，增加審計信息的智能分析，獲得有價值的統(tǒng)計分析結(jié)果，通過各種方式展現(xiàn)。

（5）整合密碼的系統(tǒng)和應(yīng)用。對密碼產(chǎn)品和密碼服務(wù)進(jìn)行整合，整合的產(chǎn)品包括公鑰基礎(chǔ)設(shè)施（PKI）、密碼機(jī)、身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器等，同時結(jié)合統(tǒng)一的身份管理系統(tǒng)、身份認(rèn)證系統(tǒng)、授權(quán)管理系統(tǒng)和安全審計系統(tǒng)，形成一個可動態(tài)擴(kuò)展、動態(tài)管理的平臺，提供對稱和非對稱密鑰和密碼算法服務(wù)，可靈活、按需提供密碼服務(wù)，快速響應(yīng)各種密碼應(yīng)用場景。

5 小結(jié)

通過密碼技術(shù)在財政信息系統(tǒng)中的深入應(yīng)用，為財政信息系統(tǒng)提供身份管理、身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)信封、時間戳、統(tǒng)一授權(quán)、安全審計等安全服務(wù)，很好的保障了財政信息系統(tǒng)的整體安全性。