某系統商用密碼應用改造設計

任興 杜興華

摘要：為響應國家商用密碼政策及密碼應用推廣要求，按照商用密碼規劃試點要求，基于商用密碼應用改造需求，設計密碼應用方案，提供密碼支撐服務與密碼應用服務。采用合規的密碼技術、模塊及產品，設計密碼支撐保障體系，并開展密碼應用合規性評估。

關鍵詞：商用密碼;密碼技術;合規性評估

中圖分類號：G642? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）15-0062-03

1 背景

2018年中辦國辦下發《金融和重要領域密碼應用與創新發展工作規劃（2018-2022年）》廳字[2018]36號明確指出，在金融和重要領域等13個重點方向大力推進密碼全面應用。為響應國家商用密碼政策及密碼應用推廣要求，按照商用密碼規劃試點要求，對某系統進行商用密碼改造工作，并最終開展密碼使用合規和安全性評估。

2 系統現狀分析

2.1 信息資源分析

系統后臺登陸方式為用戶名、密碼登錄，權限根據不同用戶組進行分配，統一管理。主要涉及的信息資源是用于后臺用戶身份認證的身份鑒別信息，支撐系統的系統基礎信息以及用于提供給公眾的發布信息。

2.2 密碼應用現狀分析

某系統已經通過等級保護三級測評，結合等級保護測評提出的整改建議，涉及密碼應用的環節主要是后臺管理端，目前各類后臺角色使用HTTP方式登錄系統，在系統登錄時通過用戶名、口令和驗證碼方式進行身份鑒別，登錄頁面采用了瀏覽器JS通過MD5實現提交口令的客戶端加密傳輸。在內容管理時，通過HTTP明文方式進行傳輸。

3 商用密碼應用改造需求

3.1 網絡和通信安全改造需求

管理員進行某系統后臺管理操作時，未對管理數據進行加密傳輸，需要對系統管理數據、鑒別信息等采用經國家密碼主管部門認可的密碼技術，保證其在通信過程中數據的私密性。

3.2 應用系統改造需求

主要存在問題主要是某系統未采用兩種或兩種以上組合的鑒別技術，未對重要數據進行加密傳輸，以及未采用密碼技術對重要數據進行加密存儲。

4 商用密碼應用改造設計

4.1 目標

基于商用密碼應用改造需求，設計某系統密碼應用方案總體框架，提供密碼支撐服務方案與密碼應用解決方案設計;采用合規的密碼技術、模塊及產品，設計密碼支撐保障體系;建立基于商用密碼的合規有效的安全系統。

4.2 改造部署圖

在數據中心新增部署兩臺SSL VPN，做雙機熱備，提供管理終端到服務器的管理數據加密以及基于數字證書身份認證;在應用服務器上部署密碼管理服務平臺SDK，提供數據安全服務，為重要數據提供完整性、機密性保護。在管理終端部署USBKEY及客戶端軟件，完成身份鑒別及網絡接入認證。

4.3 密碼支撐服務設計

基于商用密碼應用改造需求進行設計，框架分為密碼服務管理平臺和應用層密碼應用兩大部分。

密碼服務管理平臺為密碼供給方，可以同時為多個業務應用提供密碼支撐服務，主要由密碼服務支撐系統、密碼服務系統和密碼設備與服務系統組成，將密碼能力服務化提供給應用系統調用，簡化應用系統商用密碼改造工作量。

某系統作為應用層密碼應用，利用密碼管理服務平臺提供的密碼支撐服務，形成使用密碼技術保護的具體業務處理機制和流程，設計面向具體業務的密碼應用解決方案，以滿足應用和數據層面安全要求。

4.4 密碼應用服務設計

4.4.1 密碼應用架構

系統后臺管理登錄，身份鑒別采用雙因素登錄認證，管理終端上采用USBKey，通過SSL VPN進行網絡接入身份鑒別，認證通過后實現管理終端與某系統之間管理數據的傳輸加密保護;通過密碼管理服務平臺提供的身份鑒別接口，完成管理員后臺身份鑒別;在服務器部署密碼管理服務平臺密碼服務SDK，進行適配改造，通過密碼管理服務平臺數據安全策略，實現對重要數據的存儲加密保護。

4.4.2 密鑰管理與使用

按照認證原則及數據傳輸雙證書、一次一密原則，系統使用的密鑰總體劃分為用戶密鑰、平臺密鑰、通訊密鑰三種基本類型。

系統使用的密鑰包括：

1）管理終端：用戶密鑰、通訊密鑰;

2）應用服務器：簽名密鑰、加密密鑰、通訊密鑰、CA簽名密鑰、CA加密密鑰。

4.4.3 證書管理與使用

采用雙證書管理原則，證書由自建CA簽發。系統在數據傳輸中采用簽名證書與加密證書的雙證書認證安全體系，簽名證書用于數字簽名驗證，加密證書用于密鑰協商。

證書包括管理終端的用戶證書 、系統的證書、密碼管理服務平臺的服務平臺證書。

4.4.4 密碼應用關鍵流程設計

1）身份認證流程

①將管理員證書通過離線導入方式導進SSL VPN;

②當后臺管理員訪問后臺時，首先提交身份認證信息;

③SSL VPN根據管理員提交的身份認證信息進行身份認證;

④將認證結果返回至管理員客戶端;

⑤如認證通過，則建立連接，對后臺進行訪問;

⑥如認證失敗，則無法建立連接，拒絕后臺進行訪問。

2）簽名驗簽流程

①管理員提交信息，調用密碼服務SDK對提交信息進行摘要處理，得到消息摘要;

②密碼服務SDK使用管理員私鑰對摘要進行加密，得到簽名;

③管理員將提交信息和簽名一起發送到服務器應用服務器;

④應用服務器使用獲取簽名中管理員公鑰，驗證管理員證書有效性，解密簽名，得到摘要信息;

⑤應用服務器根據提交信息生成摘要信息并對比接收到的消息摘要和計算出的消息摘要是否相同。

3）數據加密流程

數據加密分為數據庫存儲加密和應用傳輸數據加密。

①數據庫加密流程

A.調用密碼服務系統的數據加密SDK接口，發起寫入數據操作;

B.數據加密SDK向密碼服務系統的API網關發起獲取數據密鑰請求;

C.API網關向密碼服務系統的身份認證服務發出身份認證請求，以便確認發起該請求的用戶身份;

D.身份認證服務根據相關信息確認用戶身份有效性和確認用戶權限后，返回結果;

E.API網關確認用戶身份正確后，向密碼服務系統的密鑰管理服務發起獲取數據密鑰請求;

F.密鑰管理系統的密鑰管理服務獲取密鑰密文及屬性信息，完成待分發密鑰封裝，返回結果;

G.密碼服務系統的密鑰管理服務返回獲取數據密鑰請求結果;

H.API網關返回獲取數據密鑰請求結果;

I.數據加密SDK校驗、解密數據密鑰封裝，提取出數據密鑰;

J.數據加密SDK向密碼服務系統的API網關發起獲取完整性校驗密鑰請求;

K.API網關向密碼服務系統的身份認證服務發出身份認證請求，以便確認發起該請求的用戶身份;

L.身份認證服務根據相關信息確認用戶身份有效性和確認用戶權限后，返回結果;

M.API網關確認用戶身份正確后，向密碼服務系統的密鑰管理服務發起獲取數據密鑰請求;

N.密鑰管理系統的密鑰管理服務獲取密鑰密文及屬性信息，完成待分發密鑰封裝，返回結果;

O.密碼服務系統的密鑰管理服務返回獲取數據密鑰請求結果;

P.API網關返回獲取完整性校驗密鑰請求結果;

Q.數據加密SDK校驗、解密完整性校驗密鑰封裝，提取出完整性校驗密鑰;

R.數據加密SDK使用數據加密密鑰和完整性校驗密鑰完成數據加密，返回加密結果;

S.接收到寫入數據的結果。

②應用數據加密流程

應用加密通過密碼服務SDK調用密碼管理服務平臺基礎密碼服務接口采用數字信封方式實現，加密流程描述如下：

A.將需要提交數據作為參數，調用密碼服務SDK數字辛信封接口;

B.密碼服務SDK調用密碼管理服務平臺基礎密碼服務，生成數字信封，返回瀏覽器;

C.瀏覽器將數字信封發送至應用服務器;

D.應用服務器通過調用密碼服務SDK接口，解析數字信封，獲取明文數據，完成相應業務處理。

5 結束語

通過對該系統的現狀以及密碼應用現狀分析，得出該系統的商用密碼應用改造需求。采用合規的密碼技術、模塊及產品構建體系化的密碼支撐服務與密碼應用服務，滿足商用密碼應用合規性要求。合規性分析如下表所示。

參考文獻：

[1] 信息安全技術 信息安全風險評估規范[Z].GB/T 20984.

[2] 通用密碼服務接口規范[Z].GM/T 0019.

[3] 證書應用綜合服務接口規范[Z].GM/T 0020.

[4] SSL VPN技術規范[Z].GM/T 0024.

[5] 信息系統密碼應用基本要求[Z].GM/T 0054-2018

[6] 金融和重要領域密碼應用與創新發展工作規劃（2018-2022 年）[Z].廳字[2018]36號.

【通聯編輯：代影】