基于商用密码技术构建法院统一身份认证系统创新方案

　　【引言】：2023年12月，中央经济工作会议指出：“要以科技创新推动产业创新，特别是以颠覆性技术和前沿技术催生新产业、新模式、新动能，发展新质生产力。”在围绕加快形成新质生产力发展转型的过程中，实现法治引领创新至关重要。通过构建政法系统统一身份认证管理体系，推动法治建设更加安全高效地紧跟新兴产业、未来产业发展，不断加强智能化法律服务供给引领高质量发展，使法律成为带动技术、资本发展市场经济的强大生产力，为人民群众的高品质生活提供更多更好的服务保障。

　　一、法院统一身份认证体系概述

　　法治建设是科技发展和创新的有力支撑。而新质生产力的合规性和制度性则是掌握国际标准制定权的基础保障。建立全国法院统一身份认证体系，有助于在新质生产力发展初期，快速形成围绕促进新产业、新模式、新动能健康发展的法律服务质态，以维护市场秩序和活力。

　　根据《人民法院信息化建设五年发展规划 (2016—2020)》，按照《统一身份认证技术要求》（FYB/T 52007-2017）和等保2.0规范的指导，在人民法院构建以数字证书技术为核心的统一身份认证体系，分阶段完成最高人民法院身份认证中心、高级人民法院身份认证中心以及中级人民法院和基层人民法院注册中心的建设，建立了一套完整的统一身份认证系统，实现法院用户身份的可信性、资源访问的合法性、业务系统的安全性，为保障新质生产力发展提供有力的法律支撑和有效的知识产权保护。

　　二、法院统一身份认证体系建设目标

　　法院统一身份认证体系依据2019年12月1日实施的国家标准《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019），参照人民法院“以身份为中心，以体系为原则，以合规为导向，以安全为核心”的实际需求，遵循信息安全等级保护三级要求，建设覆盖全国最高人民法院、高级人民法院、中级人民法院、基层人民法院的PKI/CA统一身份认证系统，基于数字证书技术，提供统一身份管理、统一认证管理、统一授权管理、统一应用管理、统一审计管理服务。建设目标完成后，各级人民法院统一身份认证系统可分别管理本级资源，并同步至全国法院统一身份认证系统，实现全国各级人民法院单位之间的身份互信、签名验证、授权访问等，达到法院用户的“一处认证，全网访问”，为全网漫游提供安全技术保证。

　　三、法院统一身份认证体系设计原则

　　法院统一身份认证体系设计，应遵循践行“统一身份、集中管理、简化应用、保障安全”的总体要求，设计原则具体如下：

　　（一）合规性原则

　　符合国家相关法律法规、行业政策及其它相关规则、标准的约定，符合信息安全等级保护、计算机安全产品销售许可、密码管理等要求。

　　（二）前瞻性原则

　　立足国家和行业相关的政策和法规，建设“智能化、一体化、自动化”平台。

　　（三）先进性原则

　　采用成熟、具有国内先进水平的技术体系，以保证系统具有较长的生命力和扩展能力。

　　（四）自主性原则

　　优先采用国产化环境、符合信创建设要求的成熟软硬件设备，适应国产化业务应用及发展变化的需要。

　　（五）可扩展性原则

　　系统采用松散耦合架构和微服务化设计，支持用户自愿绑定可信任的设备或系统，支持通过界面配置文件灵活配置，支持读写服务器分离，方便采用存储设备管理数据，便于数据备份与恢复。

　　四、法院统一身份认证体系架构

　　法院统一身份认证系统,可实现身份管理、授权管理、认证管理、应用管理和安全审计功能，通过标准微服务接口为应用系统提供身份供应、身份认证、访问控制、安全审计等方面的有效安全服务支撑。法院统一身份认证体系架构，如图1所示：

　　图1 法院统一身份认证的体系架构

　　五、法院统一身份认证体系解决方案

　　法院统一身份认证体系解决方案，基于根证书签发系统（根CA系统）、证书签发系统（CA系统）、注册机构（RA系统）、证书在线查询系统（OCSP系统）、目录服务系统（LDAP系统）、时间戳服务器等，可为用户提供一套完整的基于X.509数字证书的生命周期管理体系和身份鉴别服务。

　　（一）法院统一身份认证基础设施总体布局

　　当前，法院系统主要采用四级管理体系，分别是最高法院、高级法院、中级法院和基层法院。法院四级管理层级统一身份认证基础设施总体布局，如图2所示：

　　图2 法院统一身份认证基础设施总体布局

　　1.在最高人民法院离线部署人民法院根CA，为所有二级CA签发机构证书，制定和发布证书认证系统的证书策略；

　　2.在最高人民法院、各高级人民法院建设二级CA，负责管理本级和下级法院用户的数字证书，提供身份认证服务。各二级CA的机构证书统一由人民法院根CA签发；

　　3.在各中级人民法院建设RA，负责代理证书签发系统，完成本地和下级法院用户证书的注册、审核以及制证等管理工作；

　　4.有业务需求的基层人民法院可建立LRA（本地RA），提供本地用户证书申请、下载制证等功能。

　　（二）法院统一身份认证体系物理部署设计

　　全国法院统一身份认证体系的物理部署设计，如图3所示：

　　图3 法院统一身份认证体系的物理部署

　　依托最高人民法院已建的PKI/CA等设备设施，通过设计部署统一用户管理、统一认证管理、统一授权管理、统一应用管理、统一审计管理以及统一接口，在全国法院服务区开展统一身份认证系统建设。

　　1.统一用户管理：通过部署UIM（统一用户管理系统），为已对接的应用系统提供统一的用户管理、机构管理等服务。UIM系统与最高人民法院已建设的UIM系统级联，实现用户上报和统一管理。

　　2.统一认证管理：通过部署安全网关为用户接入终端提供基于数字证书的高强度身份认证服务和访问控制服务。部署2台安全网关及对应负载均衡服务，体现高可用性；通过统一认证系统与最高人民法院已建设的统一认证系统级联，实现信任传递；通过部署单点登录系统和Redis系统，为安全网关提供高效的单点登录服务部署。

　　3.统一授权管理：通过部署UPM（统一授权管理系统），为策略网关及已对接的应用系统提供统一的用户权限管理等服务；通过统一授权管理系统与最高人民法院已建设的统一授权管理系统级联，实现用户的统一授权和统一鉴权。

　　4.统一应用管理：提供统一的应用接入管理服务，可支持CAS/JWT/SAML/OIDC等标准协议的应用系统单点登录，支持密码代填等功能，为不具备改造能力的应用提供单点登录功能。

　　5.统一审计管理：通过部署Audit系统，为用户提供统一的用户访问日志/平台管理日志采集、关联分析及相关审计服务。

　　6.统一接口：通过部署Inf系统，为平台接口提供统一的注册管理服务，为应用提供统一的平台接口调用服务（包括但不限于机构信息、用户信息、授权信息等）。

　　六、标准规范设计

　　全国法院统一身份认证体系建设中，制定了一系列适用于最高人民法院/高级人民法院/中级人民法院的标准规范，用于指导统一身份认证系统的建设、级联和应用系统对接。

　　1.统一身份认证系统建设指南，包括《人民法院统一身份认证系统技术规范-总体架构要求》、《人民法院统一身份认证系统技术规范-接入技术要求》。

　　2.统一身份认证系统级联规范，包括《人民法院统一身份认证系统技术规范-数据级联技术要求》、《人民法院统一身份认证系统技术规范-数据报送接口规范》。

　　3.统一身份认证系统集成规范，包括《人民法院统一身份认证系统技术规范-身份认证级联技术要求》。

　　4.《人民法院统一身份认证系统技术规范-身份认证级联接口规范》、《统一身份认证系统资源同步接口规范》、《统一身份认证系统在线鉴权接口规范》、《统一身份认证系统统一认证接口规范》、《统一身份认证系统统一审计接口规范》、《统一身份认证系统移动端集成接口规范》。

　　七、结论

　　新质生产力的发展高度依赖于大数据、云计算等现代信息技术。法院统一身份认证体系，以等级保护第三级为建设基线，基于PKI/CA公钥密码体制，是人民法院推进信息安全的重要基础设施。通过法院统一身份认证体系建设，从合规、安全、管理和使用四方面构建了以“身份为中心，以密码为基础，以应用为对象”的可信安全体系，能够确保关键数据的安全性，为新质生产力的稳定发展提供保障。

　　（一）合规方面。

　　全面构建以安全可靠为基础的法院安全保障支撑层生态，符合相应的法律法规要求和人民法院的总体规划。

　　（二）安全方面。

　　以数字证书为核心构建了可信的网络空间，增强了行为使用的可信性，提升了整体应用的安全性，满足应用系统在身份管理、访问控制、身份认证和安全审计方面的合规性要求。

　　（三）管理方面。

　　实现了全网安全集中管控，规避了由于信息孤岛所造成的整体环境安全风险，同时便于整个安全管理理念和措施的落实和执行。

　　（四）使用方面。

　　通过体系化的安全服务简化了用户使用流程，减少了操作环节，提高了用户的使用体验。

　　责任编辑：广汉