1. 概述编辑
1.1 版本
| 报表服务器版本 | 功能变更 |
|---|---|
| 11.0 | - |
| 11.0.14 | 1)默认传输加密算法类型由「对称加密」更改为「非对称加密」 2)提供 transmission.asymmetric 参数,用于切换默认传输加密算法类型 |
1.2 应用场景
出于行业限制和风险管控,部分行业和公司需要使用国产化加密方式,对系统数据和安全进行管控。
1.3 功能简介
管理员可在数据决策系统中切换「加密算法」。
管理员可在默认加密方式和国密间切换,切换加密方式后,传输、存储、用户密码等都统一使用国密算法进行加密。
加密方式的切换,不影响数据决策系统的正常使用,用户和权限保留。
1.4 注意事项
1)数据决策系统必须配置「外接数据库」,使用「内置数据库」的系统不支持切换「加密算法」。
2)切换国密前,外接数据库的 db.properties 文件需要写入权限。
3)集群环境下切换加密算法后,其他节点无法连接 Finedb,节点间无法通信,无法做到节点之间加密方式同步切换。
因此如需切换集群环境下的加密算法,请关闭其他节点,仅在单节点环境下进行切换操作。
成功切换后,请手动拷贝该节点下的%FR_HOME%\webapps\webroot\WEB-INF\config文件夹至其他节点,并重启其他节点,方可成功切换加密算法。
4)系统使用「国密算法」时,工程无法回退到更低版本。
5)切换「加密算法」后,超级管理员密码需要重新设置。
6)切换「加密算法」后,手动添加/导入/同步且用户信息可编辑的用户密码将自动重置为 123456 。
7)切换「加密算法」后,远程连接该系统的设计器版本必须和系统保持一致,JAR 包不一致会导致远程连接失败或访问系统失败等问题。
8)由于切换「加密算法」功能会重置超级管理员的密码,请超级管理员慎重分配「系统管理」的「管理系统权限」。
9)若工程使用的加密方式为 A,要启用的数据库的加密方式为 B 。
需将工程的加密方式切换为 B, 保证工程和启用的数据库之间使用的加密方式一致,再去启用数据库。
若不保持加密方式一致,启用外接数据库后将导致工程无法登录等严重问题。
2. 加密算法编辑
管理员登录数据决策系统,点击「管理系统>系统管理>常规」,点击加密算法处的「切换」按钮,如下图所示:
工程内置了两种加密算法:「默认算法」和「国密算法」,默认使用「默认算法」。如下图所示:
用户可以替换购买/开发的商用国密算法,具体请联系技术支持。技术支持联系方式:前往「服务」,选择「在线支持」、电话「400-811-8890」。
注:若选择的加密算法与系统当前加密算法一致,则「一键切换」按钮灰化,不可点击。
3. 切换示例编辑
本示例将从「默认算法」切换至「国密算法」,用户也可从「国密算法」切换至「默认算法」,步骤完全相同。
3.1 选择算法
选择「国密算法」,点击「一键切换」,跳出提示框,如下图所示:
更改加密方式前将备份当前工程,可能需要较长时间,请确保系统不在使用状态。
更改加密方式时将重置添加/导入/同步且用户信息可编辑的用户密码(重置密码为 123456 )及管理员账号,确定更改?
3.2 备份工程
点击「确定」按钮,自动备份当前工程,提示「备份中,请勿关闭服务器」,如下图所示:
注1:备份的文件在「管理系统>智能运维>备份还原>手动备份」下显示,详情请参见:备份还原 。
注2:备份时,正在使用数据决策系统的用户将无法正常使用工程,待超管账号密码重置成功方可正常访问工程。
3.3 切换算法
开始切换加密算法,切换时提示「加密算法切换中...」,如下图所示:
切换完成后,提示「加密算法切换成功,请重置管理员账号,若使用设计器请将其升级至同一版本」,如下图所示:
3.4 重置密码
点击「确定」按钮,加密算法切换成功。超级管理员自动跳转至「重置超级管理员账号密码」界面,如下图所示:
4. 切换结果编辑
4.1 整体成功
所有的流程正确,传输和存储加密切换成功,加密算法切换成功。
加密算法切换完成后,会自动替换系统中已存的密码。具体如下:
1)超级管理员自动跳转至「重置超级管理员账号密码」界面,重置超管账号密码。
2)对于用户密码
同步用户,但未设置用户信息可编辑,则触发同步,用户密码保留
同步用户,且设置了用户信息可编辑,则重置用户密码,明文为 123456
手动添加/导入的用户,则重置用户密码,明文为 123456
3)系统将自动变更 FineDB 数据库 中密码字段的加密算法,替换为新加密算法生成的密码。
4)系统将自动变更传输过程中的加密算法,变更外接数据库的连接密码算法。
4.2 整体失败
加密算法整体切换失败,传输和存储使用之前的加密算法。
1)使用了错误的商用国密
2)备份工程失败
3)外接数据库密码更新失败
4.3 部分失败
部分密码切换失败,其余切换成功。
1)数据库存储密码切换失败
提示:
数据库存储密码(如数据库连接密码、邮箱密码等)更新失败;
请在重置管理员账号后重新设置,若使用设计器请将其升级至同一版本。
2)用户密码切换失败(内置,同步)
提示:
只有内置失败:同步用户切换成功,内置用户切换失败,用户密码无法更新
只有同步失败:同步用户切换失败,内置用户切换成功,用户密码无法更新
内置+同步都失败:同步用户切换失败,内置用户切换失败,用户密码无法更新
内置+同步都成功:不会出现提示
3)数据库存储密码和用户密码都切换失败
上面两个场景的提示一起出现
5. 传输加密编辑
5.1 传输加密算法
11.0.14 及之后版本的工程默认使用非对称加密算法,11.0.13 及之前版本的工程默认使用对称加密算法,具体如下表所示:
| 加密算法类型 | 默认算法 | 国密算法 |
|---|---|---|
| 非对称加密算法 | RSA | SM2 |
| 对称加密算法 | AES | SM4 |
5.2 传输加密算法切换
用户可根据自身需求,在对称加密算法和非对称加密算法间进行切换,具体操作步骤如下:
注:默认传输加密算法切换只支持 11.0.14 及之后版本的工程。
1)进入%FR_HOME%\webroot\WEB-INF\config目录,找到encryption.properties配置文件,如下图所示:
2)编辑encryption.properties文件中,修改参数transmission.asymmetric的值,并重启工程,即可更换加密方式,如下图所示:
参数说明如下:
| 参数 | 参数值 | 含义 |
|---|---|---|
| transmission.asymmetric | true | 开启非对称传输加密,传输加密方式为非对称加密 |
| false | 关闭非对称传输加密,传输加密方式为对称加密 |