密码应用方案集锦 北京商用密码行业协会 2019 年 9 月 密码应用方案集锦 前言 没有网络安全就没有国家安全。密码是网络安全的核心支撑，是构建网络 信任体系的重要基石，是保护国家安全的战略性资源。党中央高度重视密码工 作。近年来，中央办公厅、国务院办公厅多次印发通知，就金融及重要领域的 密码应用作出部署。 为积极响应建设网络强国的号召，落实国家密码管理局相关指示精神，促 进密码应用在国家关键信息基础设施和重要系统的落地，为《密码法》的实施 做好准备，北京商用密码行业协会特组织了 2019 年商用密码应用典型方案征集 与评选活动。 此次活动得到了北京市国密局领导的大力支持，方案征集得到了协会各成 员单位的积极响应，经过筛选、修改和专家评审，最终形成了本方案集锦。本 方案集锦涵盖了金融领域、能源领域、水利/自然资源领域、国防和工业领域、 公共通信领域、交通领域、公共服务领域、电子政务领域等多个领域的密码应 用解决方案。每个方案的内容主要包括概述、需求分析、方案架构、方案特 色、适用领域、企业分工和应用案例等部分。 北京商用密码行业协会以宣传和普及商用密码，推动首都商用密码产业发 展，实现资源共享，加强行业自律，提升我国信息安全水平和促进首都经济社 会发展为宗旨。协会同时也是商用密码供需双方沟通的平台和桥梁，希望本方 案集锦能够为推进优秀密码应用解决方案的落地实施，保障各行业网络信息安 全尽到绵薄之力。如此，便不负初心！ 密码应用方案集锦 感谢 北京市密码管理局领导的支持与帮助！ 杨恒亮、于佳、何德彪、张大伟、孔凡玉等专家的方案审查与指导！ 密码应用方案集锦 目 录 政府行业 ..................................................... 1 电子政务密码应用解决方案 ....................................... 1 电子政务智能应用安全接入解决方案 ............................... 5 电子政务电子证照商用密码应用解决方案 .......................... 14 电子政务电子印章系统密码应用解决方案 .......................... 19 政务云密码应用安全解决方案 .................................... 29 政务云密码应用解决方案 ........................................ 37 政务移动办公密码应用解决方案 .................................. 44 政府机关移动办公安全解决方案 .................................. 49 政务服务一网通办商用密码应用解决方案 .......................... 54 某部委密码应用解决方案 ........................................ 58 交通行业二维码乘车密码应用安全解决方案 ........................ 63 测绘行业密码应用解决方案 ...................................... 68 区块链电子发票密码应用解决方案 ................................ 73 金融行业 .................................................... 78 网上银行蓝牙型智能密码钥匙密码应用解决方案 .................... 78 网上/手机银行密码应用解决方案 ................................. 83 金融行业动态口令密码应用解决方案 .............................. 88 金融行业统一密码认证平台安全解决方案 .......................... 93 金融业务系统国产密码应用解决方案 .............................. 96 线上业务司法纠纷商业密码应用解决方案 ......................... 100 物联网与工业互联网 ......................................... 105 工业互联网密码应用解决方案 ................................... 105 物联网国密安全标识系统安全解决方案 ........................... 109 物联网安全密码应用解决方案 ................................... 113 汽车制造行业商用密码应用解决方案 ............................. 117 数据保护 ................................................... 126 密码应用方案集锦 数字版权管理（DRM）密码应用解决方案 .......................... 126 数字版权保护密码应用解决方案 ................................. 132 数据全生命周期保护密码应用解决方案 ........................... 139 透明文件加密应用解决方案 ..................................... 145 隐私数据保护密码应用解决方案 ................................. 150 通用密码方案 ............................................... 155 安全门禁系统密码应用解决方案 ................................. 155 安全键盘密码应用解决方案 ..................................... 160 安全视频监控系统密码应用解决方案 ............................. 164 安全 USB 摄像头国密改造应用解决方案 ........................... 169 安全中间件（SAP）密码应用解决方案 ............................ 173 身份证云认证密码应用解决方案 ................................. 178 密码服务资源池密码应用解决方案 ............................... 182 基于“垂直认证”技术的保密通讯系统 ........................... 187 数据中心高速加密交换系统应用方案 ............................. 192 移动智能终端密码应用解决方案 ................................. 198 第 2 页 密码应用方案集锦 政府行业 电子政务密码应用解决方案 1. 概述 国家密码管理局在《关于做好公钥密码算法升级工作的函》中要去 2011 年 7 月 1 日以后建立并使用公钥密码的信息系统，应当使用 SM2 算法；以建设完 成的系统，应尽快进行系统升级，使用 SM2 算法。对于数字证书的使用应符合 《深圳市电子公共服务数字证书使用技术指南》要求。 中办、国办联合印发的关于《金融和重要领域密码应用与创新发展工作规划 （2018-2022）》（厅字[2018]36 号）中，在重点行业进行商用密码和产品使用做 出规划性指导意见。 2. 需求分析 目前，CA 中心只支持 RSA 国密通用密码算法，在此基础上建立的数字证书 身份认证、加密传输等密码保护措施存在安全风险。需建立一套自主、可控并且 安全的密钥基础支撑平台，以此展开对电子政务数据加密传输、无纸化办公、数 据安全存储、电子回执、电子审批等各个密码应用环节，达到整体的机密性、完 整性、可用性、可控性、不可否认性以及责任回溯。 3. 方案架构 3.1 技术架构 可采用自建 CA 方式，为整个体系应用提供国密数字证书来源，并部署密码 安全产品为上层应用系统应用支撑，完成电子回执、电子审批，互联网申报和无 纸化办公的全电子化方式的密码应用。 第 1 页 密码应用方案集锦 图 3-1 方案架构图 3.2 产品部署图 分为互联网区、DMZ 区和核心业务区三个部分，其中 CA 中心部署在核心 业务区中的安全区。互联网区客户端安装支持国密算法的浏览器，部分企业用户 还需采用 U-KEY 方式经过互联网通道完成双向身份认证。DMZ 区部署 SSL 应 用安全网关和用户建立端到端的安全隧道。核心业务区部署 CA 中心，签名验签 服务器和电子印章服务器并和业务系统完成业务接口对接。推荐密码产品采用双 机部署方式保障业务的高可用和冗余，减少单点故障风险。 互联网区 DMZ区 个人终端 核心业务区 CA中心安全区 密码机 密码机 RA KMC服务器 CA 服务器 LDAP目录服务器 SSL 应用安全网关 互联网 FW 以太网 以太网 IPS 企业单位 前置WEB 签名验签服务器 第 2 页 电子签章系 统 应用服务器 数据库 密码应用方案集锦 图 3-2 产品部署图 3.3 主要功能 数据安全传输。适配国密算法的浏览器，实现双向身份认证和基于国密算法 建立 SSL/TLS 安全通道，保障数据交互的机密性和完整性。 可信国密数字证书应用。签名验签服务器验证数字证书的有效性和合法性， 结合电子签章系统管理可视电子印章的使用，对敏感数据和电子单证存档，保障 整体业务数据的公信力、不可否认性和鉴别。 3.4 主要技术指标 本方案主要达到以下技术指标： 建设基于 SM2 系列的数字证书应用支撑平台，全方位提升数据的加密传输、 安全存储、可回溯以及业务单证的采信。 4. 方案特色 安全传输、服务高可靠。SSL 应用安全网关具备硬件加速模块和负载均衡功 能附以 HTTP 压缩 WEB 高速缓存功能，提供高性能的应用支撑。方案采用双机 HA 部署方式，保障业务的冗余，避免单点故障，全面提升客户体验。 数据安全。在身份认证、数字签名、签名验证和电子签章的可视表现，解决 了电子业务单证的完整性、公信力、不可否认性，并可对重要数据、电子业务单 证进行加密存储，便于责任回溯。 自主、可控。本方案推荐采用自建 CA 基础密钥设施方式，可以根据自身业 务需要合理进行调整。 经济、可行。一次性建