企業(yè)網(wǎng)銀系統(tǒng)國(guó)產(chǎn)密碼算法改造方案研究

雷東生

【摘要】 本文通過(guò)對(duì)企業(yè)網(wǎng)銀系統(tǒng)中密碼算法的應(yīng)用場(chǎng)景進(jìn)行分析，提出了基于模塊化方式將系統(tǒng)通用算法全部升級(jí)為國(guó)產(chǎn)算法的改造方案。為解決客戶(hù)端瀏覽器對(duì)部分國(guó)產(chǎn)算法不兼容問(wèn)題，引入了國(guó)密專(zhuān)用瀏覽器，實(shí)現(xiàn)了國(guó)產(chǎn)算法的全面應(yīng)用。為確保新舊系統(tǒng)平滑切換，采用了密碼服務(wù)中間件對(duì)應(yīng)用系統(tǒng)進(jìn)行了多算法支持，降低了方案實(shí)施難度，保障了系統(tǒng)服務(wù)的連續(xù)性和穩(wěn)定性。

【關(guān)鍵詞】 網(wǎng)銀系統(tǒng) 國(guó)產(chǎn)密碼算法 改造方案

前言

商業(yè)銀行對(duì)其信息系統(tǒng)進(jìn)行國(guó)密算法升級(jí)改造既是一項(xiàng)監(jiān)管政策要求，也是銀行提高信息技術(shù)安全可控能力的重要途徑。企業(yè)網(wǎng)銀系統(tǒng)是銀行針對(duì)企業(yè)客戶(hù)提供支付結(jié)算等多種金融服務(wù)的應(yīng)用系統(tǒng)，相比個(gè)人網(wǎng)銀系統(tǒng)，雖然單筆交易金額大、安全防護(hù)要求高，但也有用戶(hù)數(shù)量少、交易筆數(shù)少、系統(tǒng)架構(gòu)簡(jiǎn)單的特點(diǎn)。因此選擇以企業(yè)網(wǎng)銀系統(tǒng)為樣本進(jìn)行國(guó)密算法升級(jí)改造具有相對(duì)較低的實(shí)施難度，并可為其他重要信息系統(tǒng)的改造積累經(jīng)驗(yàn)。本文針對(duì)基于公鑰密碼體系的典型企業(yè)網(wǎng)銀系統(tǒng)，研究制定國(guó)密算法升級(jí)改造方案，并對(duì)其中涉及的關(guān)鍵環(huán)節(jié)和問(wèn)題進(jìn)行了分析。

一、企業(yè)網(wǎng)銀系統(tǒng)現(xiàn)狀分析

1.1企業(yè)網(wǎng)銀系統(tǒng)的典型架構(gòu)

企業(yè)網(wǎng)銀系統(tǒng)一般采用B/S模式部署。在網(wǎng)絡(luò)上，采用分區(qū)縱深防護(hù)的原則，劃分為網(wǎng)銀外聯(lián)區(qū)、網(wǎng)銀DMZ區(qū)、網(wǎng)銀應(yīng)用服務(wù)區(qū)和核心內(nèi)網(wǎng)區(qū)，系統(tǒng)服務(wù)器分為典型的Web、應(yīng)用、數(shù)據(jù)庫(kù)三層次。同時(shí)，通過(guò)在客戶(hù)端、服務(wù)器端部署智能密碼鑰匙（USB-key）、安全網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器等密碼組件，實(shí)現(xiàn)加密技術(shù)的應(yīng)用，確保交易過(guò)程的安全。以下為網(wǎng)銀系統(tǒng)部署示意圖。

各區(qū)域主要功能為：

（1）網(wǎng)銀外聯(lián)區(qū)：到互聯(lián)網(wǎng)的線(xiàn)路連接，外部用戶(hù)接入?yún)^(qū)。

（2）網(wǎng)銀DMZ區(qū)：負(fù)責(zé)驗(yàn)證客戶(hù)身份并處理用戶(hù)訪(fǎng)問(wèn)請(qǐng)求，客戶(hù)與SSL安全網(wǎng)關(guān)建立安全傳輸通道，對(duì)系統(tǒng)Web服務(wù)器進(jìn)行保護(hù)。

（3）網(wǎng)銀應(yīng)用區(qū)：部署網(wǎng)銀系統(tǒng)應(yīng)用服務(wù)器和簽名驗(yàn)簽服務(wù)器。

（4）核心內(nèi)網(wǎng)區(qū)：部署數(shù)據(jù)庫(kù)服務(wù)器，并通過(guò)此區(qū)域和銀行其他信息系統(tǒng)進(jìn)行數(shù)據(jù)交互。

（5）證書(shū)認(rèn)證區(qū)：部署電子認(rèn)證系統(tǒng)，負(fù)責(zé)客戶(hù)數(shù)字證書(shū)的生成和核驗(yàn)。

（6）客戶(hù)端：客戶(hù)采用瀏覽器和智能密碼鑰匙（USBkey）與網(wǎng)銀系統(tǒng)通信。

1.2系統(tǒng)密碼算法應(yīng)用場(chǎng)景及對(duì)應(yīng)關(guān)系

密碼技術(shù)在企業(yè)網(wǎng)銀中一般起到保障數(shù)據(jù)傳輸安全、身份認(rèn)證安全和交易信息安全三種職能。在數(shù)據(jù)傳輸方面，瀏覽器與網(wǎng)銀安全網(wǎng)關(guān)之間通過(guò)建立SSL加密通道方式確保數(shù)據(jù)傳輸過(guò)程的安全，在建立SSL會(huì)話(huà)過(guò)程中，采用了對(duì)稱(chēng)加密算法AES協(xié)商會(huì)話(huà)密鑰。在身份認(rèn)證方面，通過(guò)客戶(hù)、服務(wù)器建立雙向數(shù)字證書(shū)認(rèn)證機(jī)制，數(shù)字證書(shū)一般采用RSA算法生成，防止被仿冒。在業(yè)務(wù)交易環(huán)節(jié)，網(wǎng)銀系統(tǒng)對(duì)客戶(hù)提交的交易信息采用摘要雜湊算法SHA-1進(jìn)行了簽名加密，服務(wù)器端對(duì)應(yīng)進(jìn)行了驗(yàn)簽，確保交易信息安全。

綜上，網(wǎng)銀系統(tǒng)中密碼算法的應(yīng)用共有數(shù)字證書(shū)生成、身份認(rèn)證、通信協(xié)商、簽名驗(yàn)簽四個(gè)場(chǎng)景。國(guó)密算法改造需將各個(gè)應(yīng)用場(chǎng)景中的國(guó)際通用算法替換為對(duì)應(yīng)的國(guó)產(chǎn)SM系列算法。

二、系統(tǒng)算法升級(jí)改造方案

根據(jù)企業(yè)網(wǎng)銀系統(tǒng)架構(gòu)，采用分區(qū)域分模塊改造的方式，對(duì)系統(tǒng)采用的全部通用算法進(jìn)行改造。具體可分為安全基礎(chǔ)設(shè)施改造、業(yè)務(wù)應(yīng)用系統(tǒng)改造、客戶(hù)端改造三部分。

2.1安全基礎(chǔ)設(shè)施改造

安全基礎(chǔ)設(shè)施改造的主要任務(wù)是對(duì)企業(yè)網(wǎng)銀系統(tǒng)服務(wù)器端使用的安全接入設(shè)備、簽名驗(yàn)簽服務(wù)器等密碼產(chǎn)品進(jìn)行升級(jí)，替換為由國(guó)家密碼主管部門(mén)批準(zhǔn)的產(chǎn)品，使企業(yè)網(wǎng)銀系統(tǒng)在軟硬件上具備使用國(guó)密SM系列算法的基礎(chǔ)。

2.1.1安全網(wǎng)關(guān)改造

通過(guò)對(duì)安全網(wǎng)關(guān)進(jìn)行升級(jí)，實(shí)現(xiàn)安全網(wǎng)關(guān)可支持與客戶(hù)端建立基于國(guó)產(chǎn)算法SM4的雙向SSL加密鏈路，提高SSL協(xié)議傳輸?shù)募用軓?qiáng)度。

2.1.2簽名驗(yàn)簽改造

簽名驗(yàn)簽服務(wù)器作為底層硬件密碼設(shè)備，將為應(yīng)用服務(wù)器提供硬件密碼生成和核驗(yàn)服務(wù)。改造后，新的簽名驗(yàn)簽服務(wù)器應(yīng)支持對(duì)國(guó)產(chǎn)SM系列算法密鑰的加密和解密。

2.2電子認(rèn)證（CA）系統(tǒng)改造

網(wǎng)銀系統(tǒng)一般采用第三方CA系統(tǒng)簽發(fā)數(shù)字證書(shū)，對(duì)CA改造的目標(biāo)是實(shí)現(xiàn)支持國(guó)密算法SM2簽發(fā)的數(shù)字證書(shū)。銀行應(yīng)選擇具有電子認(rèn)證服務(wù)使用密碼許可資質(zhì)的單位合作建設(shè)基于國(guó)密算法的證書(shū)認(rèn)證系統(tǒng)。

2.3網(wǎng)銀應(yīng)用系統(tǒng)改造

2.3.1應(yīng)用系統(tǒng)改造內(nèi)容

應(yīng)用系統(tǒng)改造的內(nèi)容是與新算法的簽名驗(yàn)簽服務(wù)器對(duì)接，可以直接調(diào)用新的簽名驗(yàn)簽服務(wù)器提供的開(kāi)發(fā)接口方式實(shí)現(xiàn)。然而考慮到新的密碼算法上線(xiàn)后，舊的密碼體系并不會(huì)立刻中斷，應(yīng)用系統(tǒng)將會(huì)同時(shí)收到由SM2算法和RSA算法簽發(fā)的兩種不同類(lèi)型的數(shù)字證書(shū)認(rèn)證信息以及由SHA-1算法和SM3算法簽名的兩種不同類(lèi)型的客戶(hù)交易信息。因此應(yīng)用服務(wù)器改造后還必須具備同時(shí)識(shí)別不同算法的數(shù)字證書(shū)和簽名信息的能力?？紤]到對(duì)重要生產(chǎn)系統(tǒng)實(shí)施大規(guī)模改造的復(fù)雜度以及對(duì)客戶(hù)服務(wù)連續(xù)性的影響，可以通過(guò)部署密碼服務(wù)中間件的方式，降低應(yīng)用系統(tǒng)改造工作的難度。

2.3.2密碼服務(wù)中間件的設(shè)計(jì)

密碼服務(wù)中間件將簽名驗(yàn)簽、數(shù)據(jù)加解密過(guò)程采用中間件進(jìn)行包裝，由密碼服務(wù)中間件同時(shí)連接新舊算法的密碼設(shè)備，并自動(dòng)判斷是報(bào)文的加密算法并進(jìn)行相應(yīng)的解密。應(yīng)用系統(tǒng)則改造為直接調(diào)用密碼服務(wù)中間件的標(biāo)準(zhǔn)接口，實(shí)現(xiàn)了密碼服務(wù)與應(yīng)用系統(tǒng)的松耦合，從而簡(jiǎn)化了系統(tǒng)算法兼容性改造的復(fù)雜度。密碼服務(wù)中間件的架構(gòu)如圖2。

2.4客戶(hù)端改造

2.4.1硬件改造

新的客戶(hù)端硬件設(shè)備需要選用內(nèi)置了國(guó)密算法的設(shè)備（智能密碼鑰匙），同時(shí)該設(shè)備作為數(shù)字證書(shū)的載體需要兼容國(guó)密算法的數(shù)字證書(shū)。

2.4.2軟件改造

客戶(hù)端軟件改造的核心內(nèi)容是實(shí)現(xiàn)瀏覽器對(duì)國(guó)密算法的支持。目前SM2算法尚未被Windows系統(tǒng)和IE瀏覽器兼容，導(dǎo)致SM2算法數(shù)字證書(shū)無(wú)法直接應(yīng)用在現(xiàn)有的客戶(hù)端環(huán)境中。由于這一現(xiàn)實(shí)困難，一些機(jī)構(gòu)在系統(tǒng)國(guó)密改造時(shí)，采用了通用算法和國(guó)密算法混搭使用的多證書(shū)方式，即使用瀏覽器支持的通用算法（RSA2048和AES）用于會(huì)話(huà)協(xié)商和證書(shū)認(rèn)證，在需要簽名時(shí)，再調(diào)用國(guó)密算法（SM2）證書(shū)進(jìn)行簽名。這種方式作為過(guò)渡方案有其合理性，但由于算法改造不夠徹底，后續(xù)還面臨較高的升級(jí)成本。國(guó)內(nèi)相關(guān)安全廠商已于2015年推出了國(guó)密專(zhuān)用瀏覽器，實(shí)現(xiàn)了對(duì)國(guó)產(chǎn)密碼算法和安全協(xié)議的完整支持，且通過(guò)了國(guó)家主管部門(mén)的檢測(cè)。因此，在本次網(wǎng)銀系統(tǒng)改造中，我們?cè)诳蛻?hù)端采用專(zhuān)用瀏覽器的方式，實(shí)現(xiàn)系統(tǒng)密碼算法的全面國(guó)產(chǎn)化和改造的徹底性。采用國(guó)密瀏覽器的不足之處是需要給客戶(hù)額外安裝專(zhuān)用瀏覽器，需要做好客戶(hù)引導(dǎo)說(shuō)明。

三、系統(tǒng)上線(xiàn)和推廣

3.1新舊系統(tǒng)的并行過(guò)渡期

系統(tǒng)國(guó)產(chǎn)算法升級(jí)改造完成后，原有通用算法體系下的存量客戶(hù)會(huì)在一段時(shí)間內(nèi)逐步遷移到新的系統(tǒng)。這就需要考慮新舊密碼體系的并行和過(guò)渡問(wèn)題。

為降低技術(shù)復(fù)雜度和對(duì)現(xiàn)有生產(chǎn)系統(tǒng)運(yùn)行的影響，可以采用新增國(guó)密算法系統(tǒng)前端網(wǎng)絡(luò)入口的方式，將國(guó)密算法的網(wǎng)銀系統(tǒng)Web層服務(wù)器獨(dú)立進(jìn)行部署。一是啟用新的國(guó)密網(wǎng)銀系統(tǒng)域名，便于區(qū)分網(wǎng)絡(luò)流量和用戶(hù)群體。二是配置獨(dú)立的國(guó)密SSL安全網(wǎng)關(guān)，對(duì)新的密碼算法體系下的客戶(hù)建立國(guó)密安全通道并完成身份認(rèn)證。

3.2新系統(tǒng)的推廣應(yīng)用

國(guó)密算法的企業(yè)網(wǎng)銀系統(tǒng)的推廣應(yīng)用工作影響因素多、實(shí)施周期長(zhǎng)，為高效快捷完成新國(guó)密系統(tǒng)的推廣，可以從三個(gè)方面展開(kāi)工作：一是加強(qiáng)組織領(lǐng)導(dǎo)，周密部署，總分行聯(lián)合制定推廣工作方案，將推廣任務(wù)逐層分解，設(shè)定目標(biāo)和考核機(jī)制。二是采用短信通知、電話(huà)熱線(xiàn)、網(wǎng)站提示等多種服務(wù)渠道加強(qiáng)宣介，積極引導(dǎo)客戶(hù)主動(dòng)到當(dāng)?shù)貦C(jī)構(gòu)網(wǎng)點(diǎn)進(jìn)行客戶(hù)端設(shè)備的升級(jí)更換。三是對(duì)重要客戶(hù)采用客戶(hù)經(jīng)理會(huì)同信息科技人員上門(mén)服務(wù)支持等方式，提升服務(wù)質(zhì)量和客戶(hù)滿(mǎn)意度。

四、小結(jié)

企業(yè)網(wǎng)銀系統(tǒng)國(guó)密算法升級(jí)改造工作必須統(tǒng)籌考慮密碼改造工作的技術(shù)復(fù)雜度和實(shí)施難度，為保障信息系統(tǒng)服務(wù)的連續(xù)性和穩(wěn)定性，還需要在算法升級(jí)改造過(guò)程中進(jìn)行大量的測(cè)試和驗(yàn)證工作。通過(guò)企業(yè)網(wǎng)銀系統(tǒng)的改造，提高了銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)的安全強(qiáng)度，具有較強(qiáng)的現(xiàn)實(shí)意義。

參 考 文 獻(xiàn)

[1]王勇，岑榮偉，郭紅，李新友. 國(guó)家電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)SM2國(guó)密算法升級(jí)改造方案研究[J]. 信息網(wǎng)絡(luò)安全，2012，10：83-85.

[2]付朋俠. 推進(jìn)國(guó)產(chǎn)密碼算法應(yīng)用 實(shí)現(xiàn)信息系統(tǒng)自主可控[J]. 科學(xué)家，2015，10：104-105.

[3]王曉甜. SM密碼算法在銀行業(yè)中的推廣和應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，08：42+45.