1. 概述
国家密码管理局在《关于做好公钥密码算法升级工作的函》中要去2011年7月1日以后建立并使用公钥密码的信息系统,应当使用SM2算法;以建设完成的系统,应尽快进行系统升级,使用SM2算法。对于数字证书的使用应符合《深圳市电子公共服务数字证书使用技术指南》要求。
中办、国办联合印发的关于《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(厅字[2018]36号)中,在重点行业进行商用密码和产品使用做出规划性指导意见。
2. 需求分析
目前,CA中心只支持RSA国密通用密码算法,在此基础上建立的数字证书身份认证、加密传输等密码保护措施存在安全风险。需建立一套自主、可控并且安全的密钥基础支撑平台,以此展开对电子政务数据加密传输、无纸化办公、数据安全存储、电子回执、电子审批等各个密码应用环节,达到整体的机密性、完整性、可用性、可控性、不可否认性以及责任回溯。
3. 方案架构
3.1 技术架构
可采用自建CA方式,为整个体系应用提供国密数字证书来源,并部署密码安全产品为上层应用系统应用支撑,完成电子回执、电子审批,互联网申报和无纸化办公的全电子化方式的密码应用。
图 3 1 方案架构图
3.2 产品部署图
分为互联网区、DMZ区和核心业务区三个部分,其中CA中心部署在核心业务区中的安全区。互联网区客户端安装支持国密算法的浏览器,部分企业用户还需采用U-KEY方式经过互联网通道完成双向身份认证。DMZ区部署SSL应用安全网关和用户建立端到端的安全隧道。核心业务区部署CA中心,签名验签服务器和电子印章服务器并和业务系统完成业务接口对接。推荐密码产品采用双机部署方式保障业务的高可用和冗余,减少单点故障风险。
图 3 2 产品部署图
3.3 主要功能
数据安全传输。适配国密算法的浏览器,实现双向身份认证和基于国密算法建立SSL/TLS安全通道,保障数据交互的机密性和完整性。
可信国密数字证书应用。签名验签服务器验证数字证书的有效性和合法性,结合电子签章系统管理可视电子印章的使用,对敏感数据和电子单证存档,保障整体业务数据的公信力、不可否认性和鉴别。
3.4 主要技术指标
本方案主要达到以下技术指标:
建设基于SM2系列的数字证书应用支撑平台,全方位提升数据的加密传输、安全存储、可回溯以及业务单证的采信。
4. 方案特色
安全传输、服务高可靠。SSL应用安全网关具备硬件加速模块和负载均衡功能附以HTTP压缩 WEB高速缓存功能,提供高性能的应用支撑。方案采用双机HA部署方式,保障业务的冗余,避免单点故障,全面提升客户体验。
数据安全。在身份认证、数字签名、签名验证和电子签章的可视表现,解决了电子业务单证的完整性、公信力、不可否认性,并可对重要数据、电子业务单证进行加密存储,便于责任回溯。
自主、可控。本方案推荐采用自建CA基础密钥设施方式,可以根据自身业务需要合理进行调整。
经济、可行。一次性建设,再无其他证书方式逐年续费;本方案产品和方案设计参考国家相关规范文档,合规、可靠、易部署。
5. 适用领域
本方案主要适用工商局、人社厅(局)的互联网申报、电子回执、电子审批、办公系统单点登录以及办事窗口场景,同时适用于税务、网厅、国土、发改委等类似的电子政务场景。
6. 企业分工
7. 应用案例
湖北省测绘地理信息局
湖南省工商局
北京信安世纪科技股份有限公司
联系人:邵素芬 康茹
电 话:010-68025518-8118 010-68025518-8531