企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究

企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造方案研究企業(yè)網(wǎng)銀系統(tǒng)國產(chǎn)密碼算法改造計(jì)劃研究

前言

商業(yè)銀行對其信息系統(tǒng)進(jìn)行國密算法升級(jí)改造既是一項(xiàng)監(jiān)管政策要求，也是銀行提高信息技術(shù)平安可控能力的重要途徑。企業(yè)網(wǎng)銀系統(tǒng)是銀行針對企業(yè)客戶提供支付結(jié)算等多種金融效勞的應(yīng)用系統(tǒng)，相比個(gè)人網(wǎng)銀系統(tǒng)，雖然單筆交易金額大、平安防護(hù)要求高，但也有用戶數(shù)量少、交易筆數(shù)少、系統(tǒng)架構(gòu)簡單的特點(diǎn)。因此選擇以企業(yè)網(wǎng)銀系統(tǒng)為樣本進(jìn)行國密算法升級(jí)改造具有相對較低的實(shí)施難度，并可為其他重要信息系統(tǒng)的改造積累經(jīng)驗(yàn)。本文針對基于公鑰密碼體系的典型企業(yè)網(wǎng)銀系統(tǒng)，研究制定國密算法升級(jí)改造計(jì)劃，并對其中波及的關(guān)鍵環(huán)節(jié)和問題進(jìn)行了分析。

一、企業(yè)網(wǎng)銀系統(tǒng)現(xiàn)狀分析

1.1企業(yè)網(wǎng)銀系統(tǒng)的典型架構(gòu)

企業(yè)網(wǎng)銀系統(tǒng)一般采用B/S模式部署。在網(wǎng)絡(luò)上，采用分區(qū)縱深防護(hù)的原那么，劃分為網(wǎng)銀外聯(lián)區(qū)、網(wǎng)銀DMZ區(qū)、網(wǎng)銀應(yīng)用效勞區(qū)和核心內(nèi)網(wǎng)區(qū)，系統(tǒng)效勞器分為典型的Web、應(yīng)用、數(shù)據(jù)庫三層次。同時(shí)，通過在客戶端、效勞器端部署智能密碼鑰匙〔USB-key〕、平安網(wǎng)關(guān)、簽名驗(yàn)簽效勞器等密碼組件，實(shí)現(xiàn)加密技術(shù)的應(yīng)用，確保交易過程的平安。下列為網(wǎng)銀系統(tǒng)部署示意圖。

各區(qū)域主要功能為：

〔1〕網(wǎng)銀外聯(lián)區(qū)：到互聯(lián)網(wǎng)的線路連接，外部用戶接入?yún)^(qū)。

〔2〕網(wǎng)銀DMZ區(qū)：負(fù)責(zé)驗(yàn)證客戶身份并處理用戶訪問請求，客戶與SSL平安網(wǎng)關(guān)建立平安傳輸通道，對系統(tǒng)Web效勞器進(jìn)行愛護(hù)。

〔3〕網(wǎng)銀應(yīng)用區(qū)：部署網(wǎng)銀系統(tǒng)應(yīng)用效勞器和簽名驗(yàn)簽效勞器。

〔4〕核心內(nèi)網(wǎng)區(qū)：部署數(shù)據(jù)庫效勞器，并通過此區(qū)域和銀行其他信息系統(tǒng)進(jìn)行數(shù)據(jù)交互。

〔5〕證書認(rèn)證區(qū)：部署電子認(rèn)證系統(tǒng)，負(fù)責(zé)客戶數(shù)字證書的生成和核驗(yàn)。

〔6〕客戶端：客戶采用瀏覽器和智能密碼鑰匙〔USBkey〕與網(wǎng)銀系統(tǒng)通信。

1.2系統(tǒng)密碼算法應(yīng)用場景及對應(yīng)關(guān)系

密碼技術(shù)在企業(yè)網(wǎng)銀中一般起到保障數(shù)據(jù)傳輸平安、身份認(rèn)證平安和交易信息平安三種職能。在數(shù)據(jù)傳輸方面，瀏覽器與網(wǎng)銀平安網(wǎng)關(guān)之間通過建立SSL加密通道方式確保數(shù)據(jù)傳輸過程的平安，在建立SSL會(huì)話過程中，采用了對稱加密算法AES協(xié)商會(huì)話密鑰。在身份認(rèn)證方面，通過客戶、效勞器建立雙向數(shù)字證書認(rèn)證機(jī)制，數(shù)字證書一般采用RSA算法生成，避免被仿冒。在業(yè)務(wù)交易環(huán)節(jié)，網(wǎng)銀系統(tǒng)對客戶提交的交易信息采用摘要雜湊算法SHA-1進(jìn)行了簽名加密，效勞器端對應(yīng)進(jìn)行了驗(yàn)簽，確保交易信息平安。

綜上，網(wǎng)銀系統(tǒng)中密碼算法的應(yīng)用共有數(shù)字證書生成、身份認(rèn)證、通信協(xié)商、簽名驗(yàn)簽四個(gè)場景。國密算法改造需將各個(gè)應(yīng)用場景中的國際通用算法替換為對應(yīng)的國產(chǎn)SM系列算法。

二、系統(tǒng)算法升級(jí)改造計(jì)劃

根據(jù)企業(yè)網(wǎng)銀系統(tǒng)架構(gòu)，采用分區(qū)域分模塊改造的方式，對系統(tǒng)采用的全部通用算法進(jìn)行改造。具體可分為平安根底設(shè)施改造、業(yè)務(wù)應(yīng)用系統(tǒng)改造、客戶端改造三局部。

2.1平安根底設(shè)施改造

平安根底設(shè)施改造的主要任務(wù)是對企業(yè)網(wǎng)銀系統(tǒng)效勞器端使用的平安接入設(shè)備、簽名驗(yàn)簽效勞器等密碼產(chǎn)品進(jìn)行升級(jí)，替換為由國家密碼主管部門批準(zhǔn)的產(chǎn)品，使企業(yè)網(wǎng)銀系統(tǒng)在軟硬件上具備使用國密SM系列算法的根底。

2.1.1平安網(wǎng)關(guān)改造

通過對平安網(wǎng)關(guān)進(jìn)行升級(jí)，實(shí)現(xiàn)平安網(wǎng)關(guān)可支持與客戶端建立基于國產(chǎn)算法SM4的雙向SSL加密鏈路，提高SSL協(xié)議傳輸?shù)募用軓?qiáng)度。

2.1.2簽名驗(yàn)簽改造

簽名驗(yàn)簽效勞器作為底層硬件密碼設(shè)備，將為應(yīng)用效勞器提供硬件密碼生成和核驗(yàn)效勞。改造后，新的簽名驗(yàn)簽效勞器應(yīng)支持對國產(chǎn)SM系列算法密鑰的加密和解密。

2.2電子認(rèn)證〔CA〕系統(tǒng)改造

網(wǎng)銀系統(tǒng)一般采用第三方CA系統(tǒng)簽發(fā)數(shù)字證書，對CA改造的目標(biāo)是實(shí)現(xiàn)支持國密算法SM2簽發(fā)的數(shù)字證書。銀行故選擇具有電子認(rèn)證效勞使用密碼許可資質(zhì)的單位合作建設(shè)基于國密算法的證書認(rèn)證系統(tǒng)。

2.3網(wǎng)銀應(yīng)用系統(tǒng)改造

2.3.1應(yīng)用系統(tǒng)改造內(nèi)容

應(yīng)用系統(tǒng)改造的內(nèi)容是與新算法的簽名驗(yàn)簽效勞器對接，可以直接調(diào)用新的簽名驗(yàn)簽效勞器提供的開發(fā)接口方式實(shí)現(xiàn)。然而考慮到新的密碼算法上線后，舊的密碼體系并不會(huì)立刻中斷，應(yīng)用系統(tǒng)將會(huì)同時(shí)收到由SM2算法和RSA算法簽發(fā)的兩種不同類型的數(shù)字證書認(rèn)證信息以及由SHA-1算法和SM3算法簽名的兩種不同類型的客戶交易信息。因此應(yīng)用效勞器改造后還必須具備同時(shí)辨認(rèn)不同算法的數(shù)字證書和簽名信息的能力?？紤]到對重要生產(chǎn)系統(tǒng)實(shí)施大規(guī)模改造的復(fù)雜度以及對客戶效勞連續(xù)性的影響，可以通過部署密碼效勞中間件的方式，降低應(yīng)用系統(tǒng)改造工作的難度。

2.3.2密碼效勞中間件的設(shè)計(jì)

密碼效勞中間件將簽名驗(yàn)簽、數(shù)據(jù)加解密過程采用中間件進(jìn)行包裝，由密碼效勞中間件同時(shí)連接新舊算法的密碼設(shè)備，并自動(dòng)判斷是報(bào)文的加密算法并進(jìn)行相應(yīng)的解密。應(yīng)用系統(tǒng)那么改造為直接調(diào)用密碼效勞中間件的規(guī)范接口，實(shí)現(xiàn)了密碼效勞與應(yīng)用系統(tǒng)的松耦合，從而簡化了系統(tǒng)算法兼容性改造的復(fù)雜度。密碼效勞中間件的架構(gòu)如圖2。2.4客戶端改造

2.4.1硬件改造

新的客戶端硬件設(shè)備需要選用內(nèi)置了國密算法的設(shè)備〔智能密碼鑰匙〕，同時(shí)該設(shè)備作為數(shù)字證書的載體需要兼容國密算法的數(shù)字證書。

2.4.2軟件改造

客戶端軟件改造的核心內(nèi)容是實(shí)現(xiàn)瀏覽器對國密算法的支持。目前SM2算法尚未被Windows系統(tǒng)和IE瀏覽器兼容，導(dǎo)致SM2算法數(shù)字證書無法直接應(yīng)用在現(xiàn)有的客戶端環(huán)境中。由于這一現(xiàn)實(shí)困難，一些機(jī)構(gòu)在系統(tǒng)國密改造時(shí)，采用了通用算法和國密算法混搭使用的多證書方式，即使用瀏覽器支持的通用算法〔RSA2048和AES〕用于會(huì)話協(xié)商和證書認(rèn)證，在需要簽名時(shí)，再調(diào)用國密算法〔SM2〕證書進(jìn)行簽名。這種方式作為過渡計(jì)劃有其合理性，但由于算法改造不夠徹底，后續(xù)還面臨較高的升級(jí)本錢。國內(nèi)相關(guān)平安廠商已于2022年推出了國密專用瀏覽器，實(shí)現(xiàn)了對國產(chǎn)密碼算法和平安協(xié)議的完整支持，且通過了國家主管部門的檢測。因此，在本次網(wǎng)銀系統(tǒng)改造中，我們在客戶端采用專用瀏覽器的方式，實(shí)現(xiàn)系統(tǒng)密碼算法的全面國產(chǎn)化和改造的徹底性。采用國密瀏覽器的缺乏之處是需要給客戶額外安裝專用瀏覽器，需要做好客戶引導(dǎo)表明。

三、系統(tǒng)上線和推廣

3.1新舊系統(tǒng)的并行過渡期

系統(tǒng)國產(chǎn)算法升級(jí)改造完成后，原有通用算法體系下的存量客戶會(huì)在一段時(shí)間內(nèi)逐步遷移到新的系統(tǒng)。這就需要考慮新舊密碼體系的并行和過渡問題。

為降低技術(shù)復(fù)雜度和對現(xiàn)有生產(chǎn)系統(tǒng)運(yùn)行的影響，可以采用新增國密算法系統(tǒng)前端網(wǎng)絡(luò)入口的方式，將國密算法的網(wǎng)銀系統(tǒng)Web層效勞器獨(dú)立進(jìn)行部署。一是啟用新的國密網(wǎng)銀系統(tǒng)域名，便于辨別網(wǎng)絡(luò)流量和用戶群體。二是配置獨(dú)立的國密SSL平安網(wǎng)關(guān)，對新的密碼算法體系下的客戶建立國密平安通道并完成身份認(rèn)證。

3.2新系統(tǒng)的推廣應(yīng)用

國密算法的企業(yè)網(wǎng)銀系統(tǒng)的推廣應(yīng)用工作影響因素多、實(shí)施周期長，為高效快捷完成新國密系統(tǒng)的推廣，可以從三個(gè)方面展動(dòng)工作：一是加強(qiáng)組織領(lǐng)導(dǎo)，周密部署，總分行聯(lián)合制定推廣工作計(jì)劃，將推廣任務(wù)逐層分解，設(shè)定目標(biāo)和考核機(jī)制。二是采用短信通知、熱線、網(wǎng)站提示等多種效勞渠道加強(qiáng)宣介，積極引導(dǎo)客戶主動(dòng)到當(dāng)?shù)貦C(jī)構(gòu)網(wǎng)點(diǎn)進(jìn)行客戶端設(shè)備的升級(jí)更換。三是對重要客戶采用客戶經(jīng)理會(huì)同信息科技人員上門效勞支持等