加密演算法

1.1 版本

1.2 應用場景

出於行業限制和風險管控，部分行業和公司需要使用國產化加密方式，對系統資料和安全進行管控。

1.3 功能簡介

管理者可在數據決策系統中切換「加密演算法」。

• 管理者可在預設加密方式和國密間切換，切換加密方式後，傳輸、儲存、使用者密碼等都統一使用國密算法進行加密。

• 加密方式的切換，不影響數據決策系統的正常使用，使用者和權限保留。

1.4 注意事項

1）數據決策系統必須配置「外接資料庫」，使用「內建資料庫」的系統不支援切換「加密演算法」。

2）切換國密前，外接資料庫的 db.properties 檔案需要寫入權限。

3）叢集環境下切換加密演算法後，其他節點無法連結 Finedb，節點間無法通訊，無法做到節點之間加密方式同步切換。

     因此如需切換叢集環境下的加密演算法，請關閉其他節點，僅在單節點環境下進行切換操作。

     成功切換後，請手動copy該節點下的%FR_HOME%\webapps\webroot\WEB-INF\config資料夾至其他節點，並重啟其他節點，方可成功切換加密演算法。

4）系統使用「國密加演算法」時，工程無法回退到更低版本。

5）切換「加密演算法」後，超級管理者密碼需要重新設定。

6）切換「加密演算法」後，手動新增/匯入/同步且使用者資訊可編輯的使用者密碼將自動重置為 123456 。

7）切換「加密演算法」後，遠端連結該系統的設計器版本必須和系統保持一致，JAR 包不一致會導致遠端連結失敗或存取系統失敗等問題。

8）由於切換「加密演算法」功能會重置超級管理者的密碼，請超級管理者慎重分配「系統管理」的「管理系統權限」。

9）若工程使用的加密方式為 A，要啟用的資料庫的加密方式為 B 。

       需將工程的加密方式切換為 B， 保證工程和啟用的資料庫之間使用的加密方式一致，再去啟用資料庫。

       若不保持加密方式一致，啟用外接資料庫後將導致工程無法登入等嚴重問題。

管理者登入數據決策系統，點選「管理系統>系統管理>標準」，點選加密演算法處的「切換」按鈕，如下圖所示：

工程內建了兩種加密演算法：「預設演算法」和「國密演算法」，預設使用「預設演算法」。如下圖所示：

使用者可以更換購買／開發的商用國密演算法，具體請交握技術支援。技術支援交握方式：前往「服務」，選擇「線上支援」、電話「400-811-8890」。

注：若選擇的加密演算法與系統當前加密演算法一致，則「一鍵切換」按鈕灰化，不可點選。

本範例將從「預設演算法」切換至「國密演算法」，使用者也可從「國密演算法」切換至「預設演算法」，步驟完全相同。

3.1 選擇演算法

選擇「國密演算法」，點選「一鍵切換」，跳出提示框，如下圖所示：

• 更改加密方式前將備份當前工程，可能需要較長時間，請確定系統不在使用狀態。 

• 更改加密方式時將重置新增/匯入/同步且使用者資訊可編輯的使用者密碼（重置密碼為 123456 ）及管理者帳號，確定更改？

3.2 備份工程

點選「確定」按鈕，自動備份當前工程，提示「備份中，請勿關閉伺服器」，如下圖所示：

注1：備份的檔案在「管理系統>智慧維運>備份還原>手動備份」下顯示，詳情請參見：備份還原 。

注2：備份時，正在使用數據決策系統的使用者將無法正常使用工程，待超管帳號密碼重置成功方可正常存取工程。

3.3 切換演算法

開始切換加密演算法，切換時提示「加密演算法切換中...」，如下圖所示：

切換完成後，提示「加密演算法切換成功，請重置管理者帳號，若使用設計器請將其升級至同一版本」，如下圖所示：

3.4 重置密碼

點選「確定」按鈕，加密演算法切換成功。超級管理者自動跳轉至「重置超級管理者帳號密碼」介面，如下圖所示：

4.1 整體成功

所有的流程正確，傳輸和儲存加密切換成功，加密演算法切換成功。

加密演算法切換完成後，會自動更換系統中已存的密碼。具體如下：

1）超級管理者自動跳轉至「重置超級管理者帳號密碼」介面，重置超管帳號密碼。

2）對於使用者密碼

• 同步使用者，但未設定使用者資訊可編輯，則觸發同步，使用者密碼保留

• 同步使用者，且設定了使用者資訊可編輯，則重置使用者密碼，明文為 123456

• 手動新增/匯入的使用者，則重置使用者密碼，明文為 123456

3）系統將自動變更  FineDB 資料庫 中密碼欄位的加密演算法，更換為新加密演算法生成的密碼。

4）系統將自動變更傳輸程式中的加密演算法，變更外接資料庫的連結密碼演算法。

4.2 整體失敗

加密演算法整體切換失敗，傳輸和儲存使用之前的加密演算法。

1）使用了錯誤的商用國密

2）備份工程失敗

3）外接資料庫密碼更新失敗

4.3 部分失敗

部分密碼切換失敗，其餘切換成功。

1）資料庫儲存密碼切換失敗

提示：

資料庫儲存密碼（如資料庫連結密碼、信箱密碼等）更新失敗；

請在重置管理者帳號後重新設定，若使用設計器請將其升級至同一版本。

2）使用者密碼切換失敗（內建，同步）

提示：

• 只有內建失敗：同步使用者切換成功，內建使用者切換失敗，使用者密碼無法更新

• 只有同步失敗：同步使用者切換失敗，內建使用者切換成功，使用者密碼無法更新

• 內建+同步都失敗：同步使用者切換失敗，內建使用者切換失敗，使用者密碼無法更新

• 內建+同步都成功：不會出現提示

3）資料庫儲存密碼和使用者密碼都切換失敗

上面兩個場景的提示一起出現

5.1 傳輸加密算法

11.0.14 及之後版本的工程預設使用非對稱加密算法，11.0.13 及之前版本的工程預設使用對稱加密算法，具體如下表所示：

5.2 傳輸加密算法切換

使用者可根據自身需求，在對稱加密算法和非對稱加密算法間進行切換，具體操作步驟如下：

注：預設傳輸加密算法切換只支援 11.0.14 及之後版本的工程。

1）進入%FR_HOME%\webroot\WEB-INF\config目錄，找到encryption.properties配置檔案，如下圖所示：

2）編輯encryption.properties檔案中，修改參數transmission.asymmetric的值，並重啟工程，即可更換加密方式，如下圖所示：

參數說明如下：