密码技术在财政信息系统中的应用

肖丽辉 张利明

（山东省财源保障评价中心 山东省济南市 250001）

1 引言

自1993年中央决定在我国发展商用密码、1999年国务院颁布施行《商用密码管理条例》以来，经过二十年的发展，商用密码从无到有，到当前广泛应用到政府、金融、通信、交通、医疗、能源、电子商务等重要领域。尤其是近几年，国家陆续颁布《中华人民共和国网络安全法》和《中华人民共和国密码法》，从立法上强调网络信息安全的重要性，从顶层设计规范密码应用管理，在维护网络空间主权和国家安全，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展方面发挥了重要作用。

2 财政密码基础设施

基于重要程度不同，财政信息系统运行于不同安全级别的网络中，涉密信息系统位于涉密网，非涉密但重要的信息系统位于业务专网，其他信息系统位于外网。涉密网中网络和信息系统的密码应用按照有关主管部门和保密政策要求进行建设和实施。业务专网、外网中建设了覆盖全国各级财政部门的商用密码基础设施，即财政身份认证与授权管理系统，简称财政CA系统，为业务专网、外网的网络和信息系统提供密码服务。

2.1 CA系统目标

财政CA系统的目标是基于密码技术为财政部门、预算单位、执收单位、人民银行、代理银行等与财政业务相关的人员及设备提供数字证书，为财政业务系统提供身份管理、身份认证、数字签名、数据信封、时间戳、统一授权、安全审计等安全保障服务，确保财政业务系统安全稳定运行及业务工作正常开展。

2.2 身份管理

图1

图2

财政有很多专项业务系统，不同系统的业务覆盖面不同，用户、机构等信息采集渠道不尽相同，需要各自维护系统用户、机构管理等信息。各业务系统的用户标识需要采用用户名或者账号，配合口令实现身份认证，同一人员在不同的业务系统的用户名各不相同，需要分别记忆，降低了用户操作体验性和安全性。另外，信息系统涉及的服务器等设备容易被冒用、劫持。为解决上述问题，需要建设统一的用户身份管理系统（即CA系统）。CA系统包括CA、RA、KMC等数字证书相关的管理系统，采用密码及密码算法（国密算法和RSA算法）相关技术，为财政的人员、机构、设备签发数字证书，通过数字证书标识他们的在信息网络中身份，数字证书的人员、机构、设备信息使用CA根密钥的私钥签名，保障身份标识不被仿冒。CA系统的统一账号管理系统，统一管理财政所有的用户、机构、账号，实现了生命周期管理机制，为业务系统提供信息管理服务，业务系统不再重复维护这些信息，解决了数据标准的统一和身份管理问题。

2.3 身份认证

传统的身份认证方式主要有用户名/口令、动态口令、短信验证码等，到目前仍然是应用最普遍的认证方式，随着网络环境和应用场景的复杂多样，这些方式已证明存在安全隐患，很容易出现身份冒用的情况。等级保护2.0要求三级以上的信息系统须采用口令、密码技术、生物技术等两种或两种以上组合的身份认证技术对用户身份进行鉴别，且其中一种必须是密码技术。CA系统通过部署身份认证网关，配合LDAP系统（发布数字证书公钥及证书注销列表），为业务系统或其他信息系统提供身份认证服务，支持数字证书、口令等身份认证方式，可扩展生物技术，各种方式可单独使用也可组合使用。身份认证网关为业务系统提供数字证书方式的认证过程中，使用CA根证书的公钥对数字证书进行验证，确保数字证书所代表的用户的真实性；使用密钥对认证过程中的随机码进行签名和验证，防止重放攻击，实现口令技术无法做到的安全保障功能。

2.4 数字签名

数字签名是只有信息的发送者才能产生，且别人无法伪造的一段数字信息，这段数字信息也是对发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的组合应用，签名和验证的过程如图1。

数字签名是基于密码学哈希运算的不可逆性（即哈希字符串不能计算出信息原文的特性）和非对称密钥的不可推导性（即公钥不能推导出私钥的特性），证明了发送方身份的真实性，而且其对发送的信息不可否认，因为通过发送方公钥能解密这个事实，证明是其配对的私钥实施了这次信息运算，进而证明只有发送方才能做这件事（私钥在发送方掌握，存储于智能密码芯片中）。

CA系统通过在财政业务系统信息交互的两端分别部署签名服务器，并且对签名服务器签发机构证书，机构证书代表交互双方的实体身份，双方交互信息时分别实施数字签名和验证，保障信息的真实性、完整性和不可否认性。

2.5 数字信封

数字信封包含了被加密的内容和被加密的用于加密该内容的密钥，数字信封是对称加密和非对称加密技术的组合应用，数字信封的制作与验证过程如图2。

数字信封技术结合了对称密码算法速度快和非对称密码算法公钥便于分发传递的特点，常用于信息系统之间频繁交互数据的加解密，保障数据的真实性和机密性。

CA系统在财政业务系统信息交互的两端分别部署签名服务器，并且对签名服务器签发机构证书，双方交互信息时分别实施数字信封制作和验证，保障信息的真实性和机密性。

2.6 时间戳

时间戳是一个能表示一份数据在某个特定时间之前已经存在的、完整的、可验证的数据，能够证明数字信息的产生时间，广泛的运用在知识产权保护、电子合同、数字金融、电子报价、电子保单等领域。时间戳应用了数字签名技术，签名的内容包括了原始信息的哈希摘要、签名参数、签名时间等信息，其中时间来源于权威的授时中心。

CA系统的时间戳功能通过时间戳服务器或者签名服务器提供，服务器的时间从财政专门建设的时间源服务器（同步国家授时中心的时间）中获取，确保了财政业务系统信息产生时间的不可否认性。

2.7 统一授权

财政业务系统用户和管理员权限在各业务系统中分别管理，面临到的问题包括：用户和权限多系统维护，授权策略不灵活，权限管理功能改动困难，容易对生产系统产生影响，授权过程和授权结果缺乏监管和控制机制，授权结果基本没有实施基于密码技术的保障措施，而是明文存储在数据库中，易被篡改，而且被篡改后疏于管理的情况不易被发现，从而发生越权访问的情况。

CA系统建设统一账号管理系统和统一授权管理系统，集中管理用户、机构、账号及其他信息要素，集中管理应用权限资源，包括应用、角色、功能等，建立基于信息要素及其组合的灵活授权策略，授权的结果实施数字签名技术，防止篡改，提供多种方式的对外服务，便于业务系统对接调用。

2.8 安全审计

CA系统通过安全审计功能，监控数字证书完整的生命活动周期，并审计数字证书的使用情况，同时将两种信息进行有机结合，提供各种查询统计功能。

3 密码在财政业务系统中的应用案例

通过财政CA系统，密码在财政业务系统中广泛应用，以下以国库集中支付电子化系统为例介绍密码的应用环节及其所起到的安全作用。

3.1 应用背景

财政国库支付电子化系统是借助信息化手段，以电子凭证代替传统纸质凭证，进而提高国库支付业务处理效率的一套重要的业务系统，涉及面广，包括财政、预算单位、人民银行、代理银行等，涉及资金安全，重要程度高，因此如何保证国库支付电子化系统的用户身份真实性，保证财政、人民银行、各代理银行之间交互的电子凭证的机密性、完整性和不可否认性，保证电子凭证产生时间的不可否认性，保证整个过程的可审计可追溯，就成为重中之重的问题。

3.2 总体方案

围绕国库支付电子化系统的上述安全需求，总体解决方案如下：

（1）通过财政CA系统为用户签发数字证书，通过证书代表用户身份，国库支付电子化系统与身份认证网关对接，实现基于数字证书的身份认证功能，从而保障用户身份的真实性。

（2）在财政、人民银行、代理银行部署签名服务器和电子印章系统，利用财政CA系统分别为财政、人民银行、代理银行颁发对应的机构证书，导入各自的签名服务器中，这个机构证书代表了各自身份。签名服务器部署在各自的信任网络环境内，只有合法的应用、用户可调用。各自在产生最终确认的电子凭证后，系统先调用签名服务器，用自身的机构证书（私钥）对电子凭证进行数字签名，再用对方的机构证书（公钥）进行加密，同时调用电子印章系统加盖自己的印章，最后通过网络发送给对方。对方收到该信息后，先调用电子印章系统进行印章校验，若校验通过后则调用签名服务器，用自身的机构证书（私钥）进行解密，然后再用对方的机构证书（公钥）进行电子凭证验签，若验签都通过，则进行后续的业务处理。通过这一系列的签名/验签、加密/解密、加盖印章/校验印章的处理，确保财政、人民银行、代理银行间电子凭证数据的机密性、完整性和不可否认性，保障数据传输的安全性。

（3）在财政、人民银行、代理银行部署的签名服务器集成了时间戳服务，均配置标准的时间源，各自在产生最终确认的电子凭证后，调用时间戳服务接口附加上时间戳，对方在收到电子凭证后首先验证时间戳，确保双方对业务时间的认可一致，保证电子凭证产生时间的不可否认性。

（4）财政CA系统部署了安全审计系统，对用户登录业务系统的相关信息进行审计，配合业务系统的详细日志，确保用户操作过程的可审计可追溯。

（5）财政CA系统运行的基础软硬件环境实现了国产化，包括网络设备、操作系统、双机软件和数据库等，保障了其自身的规范性和安全性。随着财政业务一体化系统的建设，财政CA系统提供身份认证、签名验签等国产化实现方案，进一步增强其对业务系统的安全保障能力。

3.3 保障作用

国库集中支付电子化系统与财政CA系统的结合，强化了用户认证方式，增强了用户身份真实性的验证能力，降低了用户被冒用的风险和真实用户违规操作风险；关键数据实施了签名技术，确保了数据的一致性，解决了交互各方可能存在的业务数据错误问题，避免了出错之后各方的对账工作；敏感数据实现了加密，解决了数据在传输过程中可能存在的泄密问题；实施了数字签名和时间戳功能，确保了各方操作的不可否认性。总体上，国库集中支付电子化系统的安全性得到较大的提升。

4 财政密码基础设施的升级扩展

随着财政业务系统的逐步迁移上云，物理和网络环境相比较与之前的财政专网更加复杂，云计算、大数据和移动互联等新技术的应用，新的内部、外部安全威胁也随之而来，网络、设备、系统、应用、数据、用户等信息资产仅仅依赖现有的防护技术和措施已很难保障安全。而当前无论是技术层面还是政策层面，密码都是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效可靠的手段，因此财政的密码基础设施需要不断升级扩展，不断强化，以满足新环境下的信息网络安全需求。

结合财政现有的密码应用情况和未来的技术方向、应用场景，财政密码基础设施将需要在以下层面进行拓展。

（1）扩展身份的种类和维度。可管理的身份信息不仅包括现有统一账号管理系统所管理的用户、机构、应用，还应有设备、服务、接口、系统等在信息网络环境中需要验收身份的实体，并扩展身份实体的管理维度，形成一个完善的身份管理中心，作为信息网络系统各环节实施身份认证、访问控制和权限管理的基础。

（2）扩展认证方式和场景。在现有基于数字证书和口令认证的基础上，还需支持动态令牌、短信、二维码和指纹、人脸等生物识别技术，支持OAuth、FIDO等主流协议，增加移动端认证场景，实现移动认证和PC认证相结合的身份漫游机制。

（3）扩展授权的粒度和机制。在现有的应用、角色、功能等较粗的权限资源的授权和鉴权基础上，增加对数据等更细粒度的权限资源的授权和鉴权，增加包括从权限的申请、授权、鉴权到销权等权限的全生命周期监管；增加权限的全面追踪、分析、预警，可展现权限分布情况。增加全面、灵活的权限在线审批机制，可查询授权流程的流转轨迹及办理进度。

（4）扩展审计的信息和机制。在现有安全审计数字证书发放和使用情况的基础上，增加各种实体身份的信息轨迹，增加密码基础设施、应用系统、网络设备等重要信息的审计，增加审计信息的智能分析，获得有价值的统计分析结果，通过各种方式展现。

（5）整合密码的系统和应用。对密码产品和密码服务进行整合，整合的产品包括公钥基础设施（PKI）、密码机、身份认证网关、签名服务器等，同时结合统一的身份管理系统、身份认证系统、授权管理系统和安全审计系统，形成一个可动态扩展、动态管理的平台，提供对称和非对称密钥和密码算法服务，可灵活、按需提供密码服务，快速响应各种密码应用场景。

5 小结

通过密码技术在财政信息系统中的深入应用，为财政信息系统提供身份管理、身份认证、数字签名、数据信封、时间戳、统一授权、安全审计等安全服务，很好的保障了财政信息系统的整体安全性。