第三代社会保障卡发行和应用服务项目建设意见
一、项目背景
按照“互联网+社保卡”的应用要求,面向全省提供第三代社保卡相关发行和应用的综合服务。
人社部在制定第三代社保卡相关技术规范时,明确在第三代社保卡中全面推行国产密码算法的应用,包括密钥体系和CA体系等都要采用国产密码算法。
二、建设目标
根据人社部统一部署,为发行第三代社保卡做好相关技术支撑和服务。建立全省第三代社保卡RA密码算法和国产密码算法的密码服务支撑体系,面向全省提供第三代社保卡密钥加载和社保卡应用终端密码认证服务,全面提升社保卡发行和应用的安全性;为社保卡“一卡通”建设提供相关海报、视频等汇报宣传材料的规划、制作服务,保障全省第三代社保卡发卡用卡工作的规范有序进行,统筹规范管理第三代社保卡的发行和服务工作。
三、服务内容
怎么创建加密文件夹
(一)第三代社保卡RA密码技术支撑服务。
按照第三代社保卡建设要求,第三代社保卡必须写入全国统一标准的RA密钥,RA密钥以人力资源社会保障电子认证根系统为信任源点,提供与部电子认证系统一致的省电子认证系统,确保与部本级证书签发管理系统互联互通,实现为全省第三代社保卡提供证书的申请、注册、审核、下载、注销、统计、挂失、解挂、签名验签等应用安全支撑服务,并向下兼容提供综合服务。提供第三代社保卡RA密码服务平台和数据密码机同时,还须提供该产品在本项目服务期内的原厂售后服务承诺。
主要包括:
1. 证书注册管理前置机,负责处理与社保卡发卡相关系统之间的通信与信息交互,针对持卡人证书发放提供数据处理、接口服务、数据加解密等服务,负责证书申请数据预处理、快速发卡系统等的证书申请请求及证书返回处理等。
2. 证书注册管理系统(RA),提供用户数字证书申请的注册受理、证书下载、证书注销、挂失与解挂、证书更新等业务申请,通过业务专网连接到部级证书签发管理系统,由部级证书签发管理系统签发数字证书。
3. 在线证书状态查询系统(OCSP),主要为用户及应用系统提供证书状态的实时在线查询服务。
4. 证书在线自助服务系统,主要面向本省范围内持卡人提供证书在线下载等自助服务。
5. 统一验证系统,主要为省内应用系统提供基于数字证书的持卡人身份认证、签名验签等服务。
6. 服务器密码机,主要分为电子认证专用密码机和应用密码机:电子认证专用密码机指的是RA密码机、OCSP密码机,主要为RA系统、OCSP系统提供数字证书申请注册、审核、下载及查询等过程中的密码服务;应用密码机主要为统一验证系统提供服务端签名/验签、数据加/解密等密码服务。
第三代社保卡RA密码服务平台涉及产品清单如下:
序号 | 产品名称 | 性质 | 数量 |
1 | 证书注册管理软件(RA) | 软件 | 瀚组词1 |
2 | 在线证书状态查询软件(OCSP) | 软件 | 1 |
3 | 目录服务软件(LDAP) | 软件 | 1 |
4 | 电子认证密码机、应用密码机 | 硬件 | 3 |
5 | 应用安全网关 | 硬件 | 2 |
6 | 数字签名服务器 | 硬件 | 2 |
7 | 证书注册管理前置机 | 硬件 | 1 |
| 七夕发红包数字含义 8 | 证书在线自助服务系统 | 软件 | 1 |
9 | 统一验证系统 | 软件 | 1 |
10 | 统一验证密码机 | 硬件 | 2 |
11 | 操作系统 | 软件 皮鞋品牌排名 | 8 |
12 | 数据库管理系统 | 软件 | 4 |
13 | 中间件 | 软件 | 4 |
14 | 应用服务器 | 硬件 | 4 |
15 | 数据库服务器 | 硬件 | 4 |
16 | 防火墙 | 硬件 | 1 |
17 | 交换机 | 硬件 | 2 |
(二)国产密码管理技术支撑服务。
按照第三代社保卡建设要求,为建立第三代社保卡国产密码管理技术支撑体系并向下兼容提供综合服务。
1.提供省集中的统一密码认证服务平台,集中部署在省级社会保障卡管理机构,统一提供社保卡国产密码管理和服务技术支撑,系统网络环境兼容IPV6。统一密码认证服务平台所需的密码服务系统和高性能密码机池(包括省级+省本级和11个地市共13台密码机)由中标商提供,社保卡认证时将通过统一密码服务系统均衡调用密码机池中的硬件密码机进行认证,实现全省集中、高效的密码认证服务。认证架构如图所示:
水煮花生的做法
2.要求进行密码管理技术支撑综合方案讲解和系统演示。
3.统一密码服务系统具体要求:
(1)支持在线社保卡交易鉴权,并兼容已有的原人社部配发和用户原有密码机(卫士通SJL05、SJL05-A、SJJ1312-B等)。
(2)支持Linux、Windows、AIX、HP unix等多平台部署,且有较好移植性,确保系统平台更换时可移植,对现有数据库、中间件、应用服务器软件、防火墙等产品能够很好兼容。
(3)支持密钥集中管理:对各系统、密码机、密码键盘的密钥生成、分发、处理、存储及销毁等各环节进行集中管理。
(4)支持密码机设备多应用系统共享使用;支持用密码信封等方式将终端主密钥安全分发至终端。
(5)支持密码机双机热备,密码机间密钥和配置信息自动同步和负载均衡;支持密码机透明增加和负载均衡自动实现,并能实时监测密码机故障,自动卸载故障密码机。
(6)支持集中整合各业务系统关键敏感信息,并统一提供密码服务接口;支持密码机分组使用和管理,每个分组中密码机实现负载均衡,并对外提供统一通用API接口服务。
(7)支持远程Web端进行密码机日常管理;支持对密码服务平台和密码机运行状态实时图形化监控;支持对系统关键数据及运行情况全面统计,以不同维度和角度展示系统各指标情况。
(8)性能要求:SM4密码算法PIN验证速率不低于10000次/秒,SM4密码算法IC卡联机验证速率不低于10000次/秒,SM3与SM4运算速率不低于10000次/秒;支持业务交易不低于5000笔/秒;任务、API及服务处理时间不高于0.01秒,系统整体备份时间不高于0.5小时,系统恢复时间不高于20分钟;交易、API及服务的成功率不低于99.9999%。
4.数据密码机具体要求:
(1)符合人社部社保卡密码机相关规范和要求,通过人社部检测的社会保障卡专用密码机。
(2)根据国家对密码机相关规定,取得《数据加密服务器软件著作权》、《公安部销售许
龟兔赛跑续写可证》、《商用密码产品销售许可证》和《商用密码产品型号证书》等。
(3)符合密码机相关技术规范GM/T 0002-2012《SM4分组密码算法》、GM/T 0003-2012《SM2椭圆曲线公钥密码算法》、GM/T 0004-2012《SM3密码杂凑算法》、GM/T 0005-2012《随机性检测规范》、GM/T 0009-2012《SM2密码算法使用规范》、GM/T 0010-2012《SM2密码算法加密签名消息语法规范》、GM/T 0015-2012《基于SM2密码算法的数字证书格式规范》、GM/T 0018-2012《密码设备应用接口规范》等。
(4)支持国密SSF33、SM1、SM2、SM3、SM4算法,并满足PBOC2.0和PBOC3.0规范,兼容RSA1024、RSA2048、DES、3DES、AES、RSA、MD5、SHA224、SHA256、SHA384、SHA512等密码算法。
(5)支持以下功能:使用专用密码管理软件(社保卡密码管理系统)进行密码机配置、证书和密钥内部管理,并支持弱密码检测;密钥管理使用三层密钥体系,并支持密钥内部存储;支持USB KEY机制,实现开机控制,一机一KEY,支持使用USB KEY安全模块存管密钥、支持USB KEY口令认证管理密码机;支持密钥全生命周期管理,包括密钥生成、安全存储、导出、导入、备份、恢复、状态查看和销毁;支持全日志记录,并对日志进行集
中管理和审计;提供API接口供调用,包含JAVA语言版本以及C语言版本。
(6)提供至少四个100/1000M自适应网口,10G光口(预留可选配),4个USB口和1个并口,支持双电源;支持集部署模式,并提供高可靠运行方案;具备USB管理接口;前面板具有液晶显示屏方便操作。
(7)支持多种安全保护机制。抗干扰机制;密钥自毁机制;通信端口安全机制;机仓安全机制;并选用通过国家密码管理局批准的安全芯片实现密码运算和随机数发生器。
(8)性能要求:SM4算法ECB加解密速率>360Mbps、SM4算法CBC加解密速率>360Mbps、SM2密钥产生速率>100对/秒、SM2签名速率>2500次/秒、SM2验签速率>1500次/秒、SM3计算Hash速率>200Mbps、SSF33算法加解密速率>50Mbps、可靠性MTBF>30000h。
5.提供密码服务平台和数据密码机同时须提供原厂对该产品在本项目服务期内的原厂售后服务承诺。
(三)第三代社保卡素材和检验服务
1.根据甲方实际需求,提供社保卡“一卡通”建设提供相关海报、视频等汇报宣传材料的制作服务,如长三角社保卡居民服务“一卡通”宣传海报排版设计、视频编制和拍摄制作等。因此产生的费用包含在项目总费用内。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论