肖麗輝 張利明

（山東省財源保障評價中心 山東省濟南市 250001）

1 引言

自1993年中央決定在我國發展商用密碼、1999年國務院頒布施行《商用密碼管理條例》以來，經過二十年的發展，商用密碼從無到有，到當前廣泛應用到政府、金融、通信、交通、醫療、能源、電子商務等重要領域。尤其是近幾年，國家陸續頒布《中華人民共和國網絡安全法》和《中華人民共和國密碼法》，從立法上強調網絡信息安全的重要性，從頂層設計規范密碼應用管理，在維護網絡空間主權和國家安全，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展方面發揮了重要作用。

2 財政密碼基礎設施

基于重要程度不同，財政信息系統運行于不同安全級別的網絡中，涉密信息系統位于涉密網，非涉密但重要的信息系統位于業務專網，其他信息系統位于外網。涉密網中網絡和信息系統的密碼應用按照有關主管部門和保密政策要求進行建設和實施。業務專網、外網中建設了覆蓋全國各級財政部門的商用密碼基礎設施，即財政身份認證與授權管理系統，簡稱財政CA系統，為業務專網、外網的網絡和信息系統提供密碼服務。

2.1 CA系統目標

財政CA系統的目標是基于密碼技術為財政部門、預算單位、執收單位、人民銀行、代理銀行等與財政業務相關的人員及設備提供數字證書，為財政業務系統提供身份管理、身份認證、數字簽名、數據信封、時間戳、統一授權、安全審計等安全保障服務，確保財政業務系統安全穩定運行及業務工作正常開展。

2.2 身份管理

圖1

圖2

財政有很多專項業務系統，不同系統的業務覆蓋面不同，用戶、機構等信息采集渠道不盡相同，需要各自維護系統用戶、機構管理等信息。各業務系統的用戶標識需要采用用戶名或者賬號，配合口令實現身份認證，同一人員在不同的業務系統的用戶名各不相同，需要分別記憶，降低了用戶操作體驗性和安全性。另外，信息系統涉及的服務器等設備容易被冒用、劫持。為解決上述問題，需要建設統一的用戶身份管理系統（即CA系統）。CA系統包括CA、RA、KMC等數字證書相關的管理系統，采用密碼及密碼算法（國密算法和RSA算法）相關技術，為財政的人員、機構、設備簽發數字證書，通過數字證書標識他們的在信息網絡中身份，數字證書的人員、機構、設備信息使用CA根密鑰的私鑰簽名，保障身份標識不被仿冒。CA系統的統一賬號管理系統，統一管理財政所有的用戶、機構、賬號，實現了生命周期管理機制，為業務系統提供信息管理服務，業務系統不再重復維護這些信息，解決了數據標準的統一和身份管理問題。

2.3 身份認證

傳統的身份認證方式主要有用戶名/口令、動態口令、短信驗證碼等，到目前仍然是應用最普遍的認證方式，隨著網絡環境和應用場景的復雜多樣，這些方式已證明存在安全隱患，很容易出現身份冒用的情況。等級保護2.0要求三級以上的信息系統須采用口令、密碼技術、生物技術等兩種或兩種以上組合的身份認證技術對用戶身份進行鑒別，且其中一種必須是密碼技術。CA系統通過部署身份認證網關，配合LDAP系統（發布數字證書公鑰及證書注銷列表），為業務系統或其他信息系統提供身份認證服務，支持數字證書、口令等身份認證方式，可擴展生物技術，各種方式可單獨使用也可組合使用。身份認證網關為業務系統提供數字證書方式的認證過程中，使用CA根證書的公鑰對數字證書進行驗證，確保數字證書所代表的用戶的真實性；使用密鑰對認證過程中的隨機碼進行簽名和驗證，防止重放攻擊，實現口令技術無法做到的安全保障功能。

2.4 數字簽名

數字簽名是只有信息的發送者才能產生，且別人無法偽造的一段數字信息，這段數字信息也是對發送者發送信息真實性的一個有效證明。數字簽名是非對稱密鑰加密技術與數字摘要技術的組合應用，簽名和驗證的過程如圖1。

數字簽名是基于密碼學哈希運算的不可逆性（即哈希字符串不能計算出信息原文的特性）和非對稱密鑰的不可推導性（即公鑰不能推導出私鑰的特性），證明了發送方身份的真實性，而且其對發送的信息不可否認，因為通過發送方公鑰能解密這個事實，證明是其配對的私鑰實施了這次信息運算，進而證明只有發送方才能做這件事（私鑰在發送方掌握，存儲于智能密碼芯片中）。

CA系統通過在財政業務系統信息交互的兩端分別部署簽名服務器，并且對簽名服務器簽發機構證書，機構證書代表交互雙方的實體身份，雙方交互信息時分別實施數字簽名和驗證，保障信息的真實性、完整性和不可否認性。

2.5 數字信封

數字信封包含了被加密的內容和被加密的用于加密該內容的密鑰，數字信封是對稱加密和非對稱加密技術的組合應用，數字信封的制作與驗證過程如圖2。

數字信封技術結合了對稱密碼算法速度快和非對稱密碼算法公鑰便于分發傳遞的特點，常用于信息系統之間頻繁交互數據的加解密，保障數據的真實性和機密性。

CA系統在財政業務系統信息交互的兩端分別部署簽名服務器，并且對簽名服務器簽發機構證書，雙方交互信息時分別實施數字信封制作和驗證，保障信息的真實性和機密性。

2.6 時間戳

時間戳是一個能表示一份數據在某個特定時間之前已經存在的、完整的、可驗證的數據，能夠證明數字信息的產生時間，廣泛的運用在知識產權保護、電子合同、數字金融、電子報價、電子保單等領域。時間戳應用了數字簽名技術，簽名的內容包括了原始信息的哈希摘要、簽名參數、簽名時間等信息，其中時間來源于權威的授時中心。

CA系統的時間戳功能通過時間戳服務器或者簽名服務器提供，服務器的時間從財政專門建設的時間源服務器（同步國家授時中心的時間）中獲取，確保了財政業務系統信息產生時間的不可否認性。

2.7 統一授權

財政業務系統用戶和管理員權限在各業務系統中分別管理，面臨到的問題包括：用戶和權限多系統維護，授權策略不靈活，權限管理功能改動困難，容易對生產系統產生影響，授權過程和授權結果缺乏監管和控制機制，授權結果基本沒有實施基于密碼技術的保障措施，而是明文存儲在數據庫中，易被篡改，而且被篡改后疏于管理的情況不易被發現，從而發生越權訪問的情況。

CA系統建設統一賬號管理系統和統一授權管理系統，集中管理用戶、機構、賬號及其他信息要素，集中管理應用權限資源，包括應用、角色、功能等，建立基于信息要素及其組合的靈活授權策略，授權的結果實施數字簽名技術，防止篡改，提供多種方式的對外服務，便于業務系統對接調用。

2.8 安全審計

CA系統通過安全審計功能，監控數字證書完整的生命活動周期，并審計數字證書的使用情況，同時將兩種信息進行有機結合，提供各種查詢統計功能。

3 密碼在財政業務系統中的應用案例

通過財政CA系統，密碼在財政業務系統中廣泛應用，以下以國庫集中支付電子化系統為例介紹密碼的應用環節及其所起到的安全作用。

3.1 應用背景

財政國庫支付電子化系統是借助信息化手段，以電子憑證代替傳統紙質憑證，進而提高國庫支付業務處理效率的一套重要的業務系統，涉及面廣，包括財政、預算單位、人民銀行、代理銀行等，涉及資金安全，重要程度高，因此如何保證國庫支付電子化系統的用戶身份真實性，保證財政、人民銀行、各代理銀行之間交互的電子憑證的機密性、完整性和不可否認性，保證電子憑證產生時間的不可否認性，保證整個過程的可審計可追溯，就成為重中之重的問題。

3.2 總體方案

圍繞國庫支付電子化系統的上述安全需求，總體解決方案如下：

（1）通過財政CA系統為用戶簽發數字證書，通過證書代表用戶身份，國庫支付電子化系統與身份認證網關對接，實現基于數字證書的身份認證功能，從而保障用戶身份的真實性。

（2）在財政、人民銀行、代理銀行部署簽名服務器和電子印章系統，利用財政CA系統分別為財政、人民銀行、代理銀行頒發對應的機構證書，導入各自的簽名服務器中，這個機構證書代表了各自身份。簽名服務器部署在各自的信任網絡環境內，只有合法的應用、用戶可調用。各自在產生最終確認的電子憑證后，系統先調用簽名服務器，用自身的機構證書（私鑰）對電子憑證進行數字簽名，再用對方的機構證書（公鑰）進行加密，同時調用電子印章系統加蓋自己的印章，最后通過網絡發送給對方。對方收到該信息后，先調用電子印章系統進行印章校驗，若校驗通過后則調用簽名服務器，用自身的機構證書（私鑰）進行解密，然后再用對方的機構證書（公鑰）進行電子憑證驗簽，若驗簽都通過，則進行后續的業務處理。通過這一系列的簽名/驗簽、加密/解密、加蓋印章/校驗印章的處理，確保財政、人民銀行、代理銀行間電子憑證數據的機密性、完整性和不可否認性，保障數據傳輸的安全性。

（3）在財政、人民銀行、代理銀行部署的簽名服務器集成了時間戳服務，均配置標準的時間源，各自在產生最終確認的電子憑證后，調用時間戳服務接口附加上時間戳，對方在收到電子憑證后首先驗證時間戳，確保雙方對業務時間的認可一致，保證電子憑證產生時間的不可否認性。

（4）財政CA系統部署了安全審計系統，對用戶登錄業務系統的相關信息進行審計，配合業務系統的詳細日志，確保用戶操作過程的可審計可追溯。

（5）財政CA系統運行的基礎軟硬件環境實現了國產化，包括網絡設備、操作系統、雙機軟件和數據庫等，保障了其自身的規范性和安全性。隨著財政業務一體化系統的建設，財政CA系統提供身份認證、簽名驗簽等國產化實現方案，進一步增強其對業務系統的安全保障能力。

3.3 保障作用

國庫集中支付電子化系統與財政CA系統的結合，強化了用戶認證方式，增強了用戶身份真實性的驗證能力，降低了用戶被冒用的風險和真實用戶違規操作風險；關鍵數據實施了簽名技術，確保了數據的一致性，解決了交互各方可能存在的業務數據錯誤問題，避免了出錯之后各方的對賬工作；敏感數據實現了加密，解決了數據在傳輸過程中可能存在的泄密問題；實施了數字簽名和時間戳功能，確保了各方操作的不可否認性。總體上，國庫集中支付電子化系統的安全性得到較大的提升。

4 財政密碼基礎設施的升級擴展

隨著財政業務系統的逐步遷移上云，物理和網絡環境相比較與之前的財政專網更加復雜，云計算、大數據和移動互聯等新技術的應用，新的內部、外部安全威脅也隨之而來，網絡、設備、系統、應用、數據、用戶等信息資產僅僅依賴現有的防護技術和措施已很難保障安全。而當前無論是技術層面還是政策層面，密碼都是保障網絡與信息安全的核心技術和基礎支撐，是解決網絡與信息安全問題最有效可靠的手段，因此財政的密碼基礎設施需要不斷升級擴展，不斷強化，以滿足新環境下的信息網絡安全需求。

結合財政現有的密碼應用情況和未來的技術方向、應用場景，財政密碼基礎設施將需要在以下層面進行拓展。

（1）擴展身份的種類和維度。可管理的身份信息不僅包括現有統一賬號管理系統所管理的用戶、機構、應用，還應有設備、服務、接口、系統等在信息網絡環境中需要驗收身份的實體，并擴展身份實體的管理維度，形成一個完善的身份管理中心，作為信息網絡系統各環節實施身份認證、訪問控制和權限管理的基礎。

（2）擴展認證方式和場景。在現有基于數字證書和口令認證的基礎上，還需支持動態令牌、短信、二維碼和指紋、人臉等生物識別技術，支持OAuth、FIDO等主流協議，增加移動端認證場景，實現移動認證和PC認證相結合的身份漫游機制。

（3）擴展授權的粒度和機制。在現有的應用、角色、功能等較粗的權限資源的授權和鑒權基礎上，增加對數據等更細粒度的權限資源的授權和鑒權，增加包括從權限的申請、授權、鑒權到銷權等權限的全生命周期監管；增加權限的全面追蹤、分析、預警，可展現權限分布情況。增加全面、靈活的權限在線審批機制，可查詢授權流程的流轉軌跡及辦理進度。

（4）擴展審計的信息和機制。在現有安全審計數字證書發放和使用情況的基礎上，增加各種實體身份的信息軌跡，增加密碼基礎設施、應用系統、網絡設備等重要信息的審計，增加審計信息的智能分析，獲得有價值的統計分析結果，通過各種方式展現。

（5）整合密碼的系統和應用。對密碼產品和密碼服務進行整合，整合的產品包括公鑰基礎設施（PKI）、密碼機、身份認證網關、簽名服務器等，同時結合統一的身份管理系統、身份認證系統、授權管理系統和安全審計系統，形成一個可動態擴展、動態管理的平臺，提供對稱和非對稱密鑰和密碼算法服務，可靈活、按需提供密碼服務，快速響應各種密碼應用場景。

5 小結

通過密碼技術在財政信息系統中的深入應用，為財政信息系統提供身份管理、身份認證、數字簽名、數據信封、時間戳、統一授權、安全審計等安全服務，很好的保障了財政信息系統的整體安全性。