企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究_第1頁
企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究_第2頁
企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究_第3頁
企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究_第4頁
企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、    企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究    雷東生【摘要】 本文通過對企業(yè)網(wǎng)銀系統(tǒng)中密碼算法的應用場景進行分析,提出了基于模塊化方式將系統(tǒng)通用算法全部升級為國產(chǎn)算法的改造方案。為解決客戶端瀏覽器對部分國產(chǎn)算法不兼容問題,引入了國密專用瀏覽器,實現(xiàn)了國產(chǎn)算法的全面應用。為確保新舊系統(tǒng)平滑切換,采用了密碼服務中間件對應用系統(tǒng)進行了多算法支持,降低了方案實施難度,保障了系統(tǒng)服務的連續(xù)性和穩(wěn)定性?!娟P(guān)鍵詞】 網(wǎng)銀系統(tǒng) 國產(chǎn)密碼算法 改造方案前言商業(yè)銀行對其信息系統(tǒng)進行國密算法升級改造既是一項監(jiān)管政策要求,也是銀行提高信息技術(shù)安全可控能力的重要途徑。企業(yè)網(wǎng)

2、銀系統(tǒng)是銀行針對企業(yè)客戶提供支付結(jié)算等多種金融服務的應用系統(tǒng),相比個人網(wǎng)銀系統(tǒng),雖然單筆交易金額大、安全防護要求高,但也有用戶數(shù)量少、交易筆數(shù)少、系統(tǒng)架構(gòu)簡單的特點。因此選擇以企業(yè)網(wǎng)銀系統(tǒng)為樣本進行國密算法升級改造具有相對較低的實施難度,并可為其他重要信息系統(tǒng)的改造積累經(jīng)驗。本文針對基于公鑰密碼體系的典型企業(yè)網(wǎng)銀系統(tǒng),研究制定國密算法升級改造方案,并對其中涉及的關(guān)鍵環(huán)節(jié)和問題進行了分析。一、企業(yè)網(wǎng)銀系統(tǒng)現(xiàn)狀分析1.1企業(yè)網(wǎng)銀系統(tǒng)的典型架構(gòu)企業(yè)網(wǎng)銀系統(tǒng)一般采用b/s模式部署。在網(wǎng)絡上,采用分區(qū)縱深防護的原則,劃分為網(wǎng)銀外聯(lián)區(qū)、網(wǎng)銀dmz區(qū)、網(wǎng)銀應用服務區(qū)和核心內(nèi)網(wǎng)區(qū),系統(tǒng)服務器分為典型的web、

3、應用、數(shù)據(jù)庫三層次。同時,通過在客戶端、服務器端部署智能密碼鑰匙(usb-key)、安全網(wǎng)關(guān)、簽名驗簽服務器等密碼組件,實現(xiàn)加密技術(shù)的應用,確保交易過程的安全。以下為網(wǎng)銀系統(tǒng)部署示意圖。各區(qū)域主要功能為:(1)網(wǎng)銀外聯(lián)區(qū):到互聯(lián)網(wǎng)的線路連接,外部用戶接入?yún)^(qū)。(2)網(wǎng)銀dmz區(qū):負責驗證客戶身份并處理用戶訪問請求,客戶與ssl安全網(wǎng)關(guān)建立安全傳輸通道,對系統(tǒng)web服務器進行保護。(3)網(wǎng)銀應用區(qū):部署網(wǎng)銀系統(tǒng)應用服務器和簽名驗簽服務器。(4)核心內(nèi)網(wǎng)區(qū):部署數(shù)據(jù)庫服務器,并通過此區(qū)域和銀行其他信息系統(tǒng)進行數(shù)據(jù)交互。(5)證書認證區(qū):部署電子認證系統(tǒng),負責客戶數(shù)字證書的生成和核驗。(6)客戶端:客

4、戶采用瀏覽器和智能密碼鑰匙(usbkey)與網(wǎng)銀系統(tǒng)通信。1.2系統(tǒng)密碼算法應用場景及對應關(guān)系密碼技術(shù)在企業(yè)網(wǎng)銀中一般起到保障數(shù)據(jù)傳輸安全、身份認證安全和交易信息安全三種職能。在數(shù)據(jù)傳輸方面,瀏覽器與網(wǎng)銀安全網(wǎng)關(guān)之間通過建立ssl加密通道方式確保數(shù)據(jù)傳輸過程的安全,在建立ssl會話過程中,采用了對稱加密算法aes協(xié)商會話密鑰。在身份認證方面,通過客戶、服務器建立雙向數(shù)字證書認證機制,數(shù)字證書一般采用rsa算法生成,防止被仿冒。在業(yè)務交易環(huán)節(jié),網(wǎng)銀系統(tǒng)對客戶提交的交易信息采用摘要雜湊算法sha-1進行了簽名加密,服務器端對應進行了驗簽,確保交易信息安全。綜上,網(wǎng)銀系統(tǒng)中密碼算法的應用共有數(shù)字證書

5、生成、身份認證、通信協(xié)商、簽名驗簽四個場景。國密算法改造需將各個應用場景中的國際通用算法替換為對應的國產(chǎn)sm系列算法。二、系統(tǒng)算法升級改造方案根據(jù)企業(yè)網(wǎng)銀系統(tǒng)架構(gòu),采用分區(qū)域分模塊改造的方式,對系統(tǒng)采用的全部通用算法進行改造。具體可分為安全基礎設施改造、業(yè)務應用系統(tǒng)改造、客戶端改造三部分。2.1安全基礎設施改造安全基礎設施改造的主要任務是對企業(yè)網(wǎng)銀系統(tǒng)服務器端使用的安全接入設備、簽名驗簽服務器等密碼產(chǎn)品進行升級,替換為由國家密碼主管部門批準的產(chǎn)品,使企業(yè)網(wǎng)銀系統(tǒng)在軟硬件上具備使用國密sm系列算法的基礎。2.1.1安全網(wǎng)關(guān)改造通過對安全網(wǎng)關(guān)進行升級,實現(xiàn)安全網(wǎng)關(guān)可支持與客戶端建立基于國產(chǎn)算法sm

6、4的雙向ssl加密鏈路,提高ssl協(xié)議傳輸?shù)募用軓姸取?.1.2簽名驗簽改造簽名驗簽服務器作為底層硬件密碼設備,將為應用服務器提供硬件密碼生成和核驗服務。改造后,新的簽名驗簽服務器應支持對國產(chǎn)sm系列算法密鑰的加密和解密。2.2電子認證(ca)系統(tǒng)改造網(wǎng)銀系統(tǒng)一般采用第三方ca系統(tǒng)簽發(fā)數(shù)字證書,對ca改造的目標是實現(xiàn)支持國密算法sm2簽發(fā)的數(shù)字證書。銀行應選擇具有電子認證服務使用密碼許可資質(zhì)的單位合作建設基于國密算法的證書認證系統(tǒng)。2.3網(wǎng)銀應用系統(tǒng)改造2.3.1應用系統(tǒng)改造內(nèi)容應用系統(tǒng)改造的內(nèi)容是與新算法的簽名驗簽服務器對接,可以直接調(diào)用新的簽名驗簽服務器提供的開發(fā)接口方式實現(xiàn)。然而考慮到新

7、的密碼算法上線后,舊的密碼體系并不會立刻中斷,應用系統(tǒng)將會同時收到由sm2算法和rsa算法簽發(fā)的兩種不同類型的數(shù)字證書認證信息以及由sha-1算法和sm3算法簽名的兩種不同類型的客戶交易信息。因此應用服務器改造后還必須具備同時識別不同算法的數(shù)字證書和簽名信息的能力??紤]到對重要生產(chǎn)系統(tǒng)實施大規(guī)模改造的復雜度以及對客戶服務連續(xù)性的影響,可以通過部署密碼服務中間件的方式,降低應用系統(tǒng)改造工作的難度。2.3.2密碼服務中間件的設計密碼服務中間件將簽名驗簽、數(shù)據(jù)加解密過程采用中間件進行包裝,由密碼服務中間件同時連接新舊算法的密碼設備,并自動判斷是報文的加密算法并進行相應的解密。應用系統(tǒng)則改造為直接調(diào)用

8、密碼服務中間件的標準接口,實現(xiàn)了密碼服務與應用系統(tǒng)的松耦合,從而簡化了系統(tǒng)算法兼容性改造的復雜度。密碼服務中間件的架構(gòu)如圖2。2.4客戶端改造2.4.1硬件改造新的客戶端硬件設備需要選用內(nèi)置了國密算法的設備(智能密碼鑰匙),同時該設備作為數(shù)字證書的載體需要兼容國密算法的數(shù)字證書。2.4.2軟件改造客戶端軟件改造的核心內(nèi)容是實現(xiàn)瀏覽器對國密算法的支持。目前sm2算法尚未被windows系統(tǒng)和ie瀏覽器兼容,導致sm2算法數(shù)字證書無法直接應用在現(xiàn)有的客戶端環(huán)境中。由于這一現(xiàn)實困難,一些機構(gòu)在系統(tǒng)國密改造時,采用了通用算法和國密算法混搭使用的多證書方式,即使用瀏覽器支持的通用算法(rsa2048和a

9、es)用于會話協(xié)商和證書認證,在需要簽名時,再調(diào)用國密算法(sm2)證書進行簽名。這種方式作為過渡方案有其合理性,但由于算法改造不夠徹底,后續(xù)還面臨較高的升級成本。國內(nèi)相關(guān)安全廠商已于2015年推出了國密專用瀏覽器,實現(xiàn)了對國產(chǎn)密碼算法和安全協(xié)議的完整支持,且通過了國家主管部門的檢測。因此,在本次網(wǎng)銀系統(tǒng)改造中,我們在客戶端采用專用瀏覽器的方式,實現(xiàn)系統(tǒng)密碼算法的全面國產(chǎn)化和改造的徹底性。采用國密瀏覽器的不足之處是需要給客戶額外安裝專用瀏覽器,需要做好客戶引導說明。三、系統(tǒng)上線和推廣3.1新舊系統(tǒng)的并行過渡期系統(tǒng)國產(chǎn)算法升級改造完成后,原有通用算法體系下的存量客戶會在一段時間內(nèi)逐步遷移到新的系

10、統(tǒng)。這就需要考慮新舊密碼體系的并行和過渡問題。為降低技術(shù)復雜度和對現(xiàn)有生產(chǎn)系統(tǒng)運行的影響,可以采用新增國密算法系統(tǒng)前端網(wǎng)絡入口的方式,將國密算法的網(wǎng)銀系統(tǒng)web層服務器獨立進行部署。一是啟用新的國密網(wǎng)銀系統(tǒng)域名,便于區(qū)分網(wǎng)絡流量和用戶群體。二是配置獨立的國密ssl安全網(wǎng)關(guān),對新的密碼算法體系下的客戶建立國密安全通道并完成身份認證。3.2新系統(tǒng)的推廣應用國密算法的企業(yè)網(wǎng)銀系統(tǒng)的推廣應用工作影響因素多、實施周期長,為高效快捷完成新國密系統(tǒng)的推廣,可以從三個方面展開工作:一是加強組織領導,周密部署,總分行聯(lián)合制定推廣工作方案,將推廣任務逐層分解,設定目標和考核機制。二是采用短信通知、電話熱線、網(wǎng)站提示等多種服務渠道加強宣介,積極引導客戶主動到當?shù)貦C構(gòu)網(wǎng)點進行客戶端設備的升級更換。三是對重要客戶采用客戶經(jīng)理會同信息科技人員上門服務支持等方式,提升服務質(zhì)量和客戶滿意度。四、小結(jié)企業(yè)網(wǎng)銀系統(tǒng)國密算法升級改造工作必須統(tǒng)籌考慮密碼改造工作的技術(shù)復雜度和實施難度,為保障信息系統(tǒng)服務的連續(xù)性和穩(wěn)定性,還需要在算法升級改造過程中進行大量的測試和驗證工作。通過企業(yè)網(wǎng)銀系統(tǒng)的改造,提高了銀行業(yè)金融機構(gòu)重要信息系統(tǒng)的安全強度,具有較強的現(xiàn)實意義。參 考 文 獻1王勇,岑榮偉,郭紅,李新

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論