雷東生

【摘要】 本文通過對企業(yè)網(wǎng)銀系統(tǒng)中密碼算法的應(yīng)用場景進(jìn)行分析，提出了基于模塊化方式將系統(tǒng)通用算法全部升級為國產(chǎn)算法的改造方案。為解決客戶端瀏覽器對部分國產(chǎn)算法不兼容問題，引入了國密專用瀏覽器，實現(xiàn)了國產(chǎn)算法的全面應(yīng)用。為確保新舊系統(tǒng)平滑切換，采用了密碼服務(wù)中間件對應(yīng)用系統(tǒng)進(jìn)行了多算法支持，降低了方案實施難度，保障了系統(tǒng)服務(wù)的連續(xù)性和穩(wěn)定性。

【關(guān)鍵詞】 網(wǎng)銀系統(tǒng) 國產(chǎn)密碼算法 改造方案

前言

商業(yè)銀行對其信息系統(tǒng)進(jìn)行國密算法升級改造既是一項監(jiān)管政策要求，也是銀行提高信息技術(shù)安全可控能力的重要途徑。企業(yè)網(wǎng)銀系統(tǒng)是銀行針對企業(yè)客戶提供支付結(jié)算等多種金融服務(wù)的應(yīng)用系統(tǒng)，相比個人網(wǎng)銀系統(tǒng)，雖然單筆交易金額大、安全防護要求高，但也有用戶數(shù)量少、交易筆數(shù)少、系統(tǒng)架構(gòu)簡單的特點。因此選擇以企業(yè)網(wǎng)銀系統(tǒng)為樣本進(jìn)行國密算法升級改造具有相對較低的實施難度，并可為其他重要信息系統(tǒng)的改造積累經(jīng)驗。本文針對基于公鑰密碼體系的典型企業(yè)網(wǎng)銀系統(tǒng)，研究制定國密算法升級改造方案，并對其中涉及的關(guān)鍵環(huán)節(jié)和問題進(jìn)行了分析。

一、企業(yè)網(wǎng)銀系統(tǒng)現(xiàn)狀分析

1.1企業(yè)網(wǎng)銀系統(tǒng)的典型架構(gòu)

企業(yè)網(wǎng)銀系統(tǒng)一般采用B/S模式部署。在網(wǎng)絡(luò)上，采用分區(qū)縱深防護的原則，劃分為網(wǎng)銀外聯(lián)區(qū)、網(wǎng)銀DMZ區(qū)、網(wǎng)銀應(yīng)用服務(wù)區(qū)和核心內(nèi)網(wǎng)區(qū)，系統(tǒng)服務(wù)器分為典型的Web、應(yīng)用、數(shù)據(jù)庫三層次。同時，通過在客戶端、服務(wù)器端部署智能密碼鑰匙（USB-key）、安全網(wǎng)關(guān)、簽名驗簽服務(wù)器等密碼組件，實現(xiàn)加密技術(shù)的應(yīng)用，確保交易過程的安全。以下為網(wǎng)銀系統(tǒng)部署示意圖。

各區(qū)域主要功能為：

（1）網(wǎng)銀外聯(lián)區(qū)：到互聯(lián)網(wǎng)的線路連接，外部用戶接入?yún)^(qū)。

（2）網(wǎng)銀DMZ區(qū)：負(fù)責(zé)驗證客戶身份并處理用戶訪問請求，客戶與SSL安全網(wǎng)關(guān)建立安全傳輸通道，對系統(tǒng)Web服務(wù)器進(jìn)行保護。

（3）網(wǎng)銀應(yīng)用區(qū)：部署網(wǎng)銀系統(tǒng)應(yīng)用服務(wù)器和簽名驗簽服務(wù)器。

（4）核心內(nèi)網(wǎng)區(qū)：部署數(shù)據(jù)庫服務(wù)器，并通過此區(qū)域和銀行其他信息系統(tǒng)進(jìn)行數(shù)據(jù)交互。

（5）證書認(rèn)證區(qū)：部署電子認(rèn)證系統(tǒng)，負(fù)責(zé)客戶數(shù)字證書的生成和核驗。

（6）客戶端：客戶采用瀏覽器和智能密碼鑰匙（USBkey）與網(wǎng)銀系統(tǒng)通信。

1.2系統(tǒng)密碼算法應(yīng)用場景及對應(yīng)關(guān)系

密碼技術(shù)在企業(yè)網(wǎng)銀中一般起到保障數(shù)據(jù)傳輸安全、身份認(rèn)證安全和交易信息安全三種職能。在數(shù)據(jù)傳輸方面，瀏覽器與網(wǎng)銀安全網(wǎng)關(guān)之間通過建立SSL加密通道方式確保數(shù)據(jù)傳輸過程的安全，在建立SSL會話過程中，采用了對稱加密算法AES協(xié)商會話密鑰。在身份認(rèn)證方面，通過客戶、服務(wù)器建立雙向數(shù)字證書認(rèn)證機制，數(shù)字證書一般采用RSA算法生成，防止被仿冒。在業(yè)務(wù)交易環(huán)節(jié)，網(wǎng)銀系統(tǒng)對客戶提交的交易信息采用摘要雜湊算法SHA-1進(jìn)行了簽名加密，服務(wù)器端對應(yīng)進(jìn)行了驗簽，確保交易信息安全。

綜上，網(wǎng)銀系統(tǒng)中密碼算法的應(yīng)用共有數(shù)字證書生成、身份認(rèn)證、通信協(xié)商、簽名驗簽四個場景。國密算法改造需將各個應(yīng)用場景中的國際通用算法替換為對應(yīng)的國產(chǎn)SM系列算法。

二、系統(tǒng)算法升級改造方案

根據(jù)企業(yè)網(wǎng)銀系統(tǒng)架構(gòu)，采用分區(qū)域分模塊改造的方式，對系統(tǒng)采用的全部通用算法進(jìn)行改造。具體可分為安全基礎(chǔ)設(shè)施改造、業(yè)務(wù)應(yīng)用系統(tǒng)改造、客戶端改造三部分。

2.1安全基礎(chǔ)設(shè)施改造

安全基礎(chǔ)設(shè)施改造的主要任務(wù)是對企業(yè)網(wǎng)銀系統(tǒng)服務(wù)器端使用的安全接入設(shè)備、簽名驗簽服務(wù)器等密碼產(chǎn)品進(jìn)行升級，替換為由國家密碼主管部門批準(zhǔn)的產(chǎn)品，使企業(yè)網(wǎng)銀系統(tǒng)在軟硬件上具備使用國密SM系列算法的基礎(chǔ)。

2.1.1安全網(wǎng)關(guān)改造

通過對安全網(wǎng)關(guān)進(jìn)行升級，實現(xiàn)安全網(wǎng)關(guān)可支持與客戶端建立基于國產(chǎn)算法SM4的雙向SSL加密鏈路，提高SSL協(xié)議傳輸?shù)募用軓姸取?/p>

2.1.2簽名驗簽改造

簽名驗簽服務(wù)器作為底層硬件密碼設(shè)備，將為應(yīng)用服務(wù)器提供硬件密碼生成和核驗服務(wù)。改造后，新的簽名驗簽服務(wù)器應(yīng)支持對國產(chǎn)SM系列算法密鑰的加密和解密。

2.2電子認(rèn)證（CA）系統(tǒng)改造

網(wǎng)銀系統(tǒng)一般采用第三方CA系統(tǒng)簽發(fā)數(shù)字證書，對CA改造的目標(biāo)是實現(xiàn)支持國密算法SM2簽發(fā)的數(shù)字證書。銀行應(yīng)選擇具有電子認(rèn)證服務(wù)使用密碼許可資質(zhì)的單位合作建設(shè)基于國密算法的證書認(rèn)證系統(tǒng)。

2.3網(wǎng)銀應(yīng)用系統(tǒng)改造

2.3.1應(yīng)用系統(tǒng)改造內(nèi)容

應(yīng)用系統(tǒng)改造的內(nèi)容是與新算法的簽名驗簽服務(wù)器對接，可以直接調(diào)用新的簽名驗簽服務(wù)器提供的開發(fā)接口方式實現(xiàn)。然而考慮到新的密碼算法上線后，舊的密碼體系并不會立刻中斷，應(yīng)用系統(tǒng)將會同時收到由SM2算法和RSA算法簽發(fā)的兩種不同類型的數(shù)字證書認(rèn)證信息以及由SHA-1算法和SM3算法簽名的兩種不同類型的客戶交易信息。因此應(yīng)用服務(wù)器改造后還必須具備同時識別不同算法的數(shù)字證書和簽名信息的能力。考慮到對重要生產(chǎn)系統(tǒng)實施大規(guī)模改造的復(fù)雜度以及對客戶服務(wù)連續(xù)性的影響，可以通過部署密碼服務(wù)中間件的方式，降低應(yīng)用系統(tǒng)改造工作的難度。

2.3.2密碼服務(wù)中間件的設(shè)計

密碼服務(wù)中間件將簽名驗簽、數(shù)據(jù)加解密過程采用中間件進(jìn)行包裝，由密碼服務(wù)中間件同時連接新舊算法的密碼設(shè)備，并自動判斷是報文的加密算法并進(jìn)行相應(yīng)的解密。應(yīng)用系統(tǒng)則改造為直接調(diào)用密碼服務(wù)中間件的標(biāo)準(zhǔn)接口，實現(xiàn)了密碼服務(wù)與應(yīng)用系統(tǒng)的松耦合，從而簡化了系統(tǒng)算法兼容性改造的復(fù)雜度。密碼服務(wù)中間件的架構(gòu)如圖2。

2.4客戶端改造

2.4.1硬件改造

新的客戶端硬件設(shè)備需要選用內(nèi)置了國密算法的設(shè)備（智能密碼鑰匙），同時該設(shè)備作為數(shù)字證書的載體需要兼容國密算法的數(shù)字證書。

2.4.2軟件改造

客戶端軟件改造的核心內(nèi)容是實現(xiàn)瀏覽器對國密算法的支持。目前SM2算法尚未被Windows系統(tǒng)和IE瀏覽器兼容，導(dǎo)致SM2算法數(shù)字證書無法直接應(yīng)用在現(xiàn)有的客戶端環(huán)境中。由于這一現(xiàn)實困難，一些機構(gòu)在系統(tǒng)國密改造時，采用了通用算法和國密算法混搭使用的多證書方式，即使用瀏覽器支持的通用算法（RSA2048和AES）用于會話協(xié)商和證書認(rèn)證，在需要簽名時，再調(diào)用國密算法（SM2）證書進(jìn)行簽名。這種方式作為過渡方案有其合理性，但由于算法改造不夠徹底，后續(xù)還面臨較高的升級成本。國內(nèi)相關(guān)安全廠商已于2015年推出了國密專用瀏覽器，實現(xiàn)了對國產(chǎn)密碼算法和安全協(xié)議的完整支持，且通過了國家主管部門的檢測。因此，在本次網(wǎng)銀系統(tǒng)改造中，我們在客戶端采用專用瀏覽器的方式，實現(xiàn)系統(tǒng)密碼算法的全面國產(chǎn)化和改造的徹底性。采用國密瀏覽器的不足之處是需要給客戶額外安裝專用瀏覽器，需要做好客戶引導(dǎo)說明。

三、系統(tǒng)上線和推廣

3.1新舊系統(tǒng)的并行過渡期

系統(tǒng)國產(chǎn)算法升級改造完成后，原有通用算法體系下的存量客戶會在一段時間內(nèi)逐步遷移到新的系統(tǒng)。這就需要考慮新舊密碼體系的并行和過渡問題。

為降低技術(shù)復(fù)雜度和對現(xiàn)有生產(chǎn)系統(tǒng)運行的影響，可以采用新增國密算法系統(tǒng)前端網(wǎng)絡(luò)入口的方式，將國密算法的網(wǎng)銀系統(tǒng)Web層服務(wù)器獨立進(jìn)行部署。一是啟用新的國密網(wǎng)銀系統(tǒng)域名，便于區(qū)分網(wǎng)絡(luò)流量和用戶群體。二是配置獨立的國密SSL安全網(wǎng)關(guān)，對新的密碼算法體系下的客戶建立國密安全通道并完成身份認(rèn)證。

3.2新系統(tǒng)的推廣應(yīng)用

國密算法的企業(yè)網(wǎng)銀系統(tǒng)的推廣應(yīng)用工作影響因素多、實施周期長，為高效快捷完成新國密系統(tǒng)的推廣，可以從三個方面展開工作：一是加強組織領(lǐng)導(dǎo)，周密部署，總分行聯(lián)合制定推廣工作方案，將推廣任務(wù)逐層分解，設(shè)定目標(biāo)和考核機制。二是采用短信通知、電話熱線、網(wǎng)站提示等多種服務(wù)渠道加強宣介，積極引導(dǎo)客戶主動到當(dāng)?shù)貦C構(gòu)網(wǎng)點進(jìn)行客戶端設(shè)備的升級更換。三是對重要客戶采用客戶經(jīng)理會同信息科技人員上門服務(wù)支持等方式，提升服務(wù)質(zhì)量和客戶滿意度。

四、小結(jié)

企業(yè)網(wǎng)銀系統(tǒng)國密算法升級改造工作必須統(tǒng)籌考慮密碼改造工作的技術(shù)復(fù)雜度和實施難度，為保障信息系統(tǒng)服務(wù)的連續(xù)性和穩(wěn)定性，還需要在算法升級改造過程中進(jìn)行大量的測試和驗證工作。通過企業(yè)網(wǎng)銀系統(tǒng)的改造，提高了銀行業(yè)金融機構(gòu)重要信息系統(tǒng)的安全強度，具有較強的現(xiàn)實意義。

參 考 文 獻(xiàn)

[1]王勇，岑榮偉，郭紅，李新友. 國家電子政務(wù)外網(wǎng)電子認(rèn)證系統(tǒng)SM2國密算法升級改造方案研究[J]. 信息網(wǎng)絡(luò)安全，2012，10：83-85.

[2]付朋俠. 推進(jìn)國產(chǎn)密碼算法應(yīng)用 實現(xiàn)信息系統(tǒng)自主可控[J]. 科學(xué)家，2015，10：104-105.

[3]王曉甜. SM密碼算法在銀行業(yè)中的推廣和應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，08：42+45.