基于SM4、MD5 密鑰及業務全流程加解密技術的流量批發、轉增解決方案

□王 琳 郝 琳

一、概述

(一)背景。河北聯通移動互聯網渠道管理平臺是互動營銷平臺基礎上建設的子系統，從合作伙伴管理、信息安全、合理利用接入資源及用戶體驗角度出發，渠道運營合作伙伴通過此平臺對接，進行用戶消費信息、產品訂購信息、產品互斥等信息查詢及用戶產品訂購，全面支撐渠道伙伴增值業務產品營銷，實現增值產品的分銷、統一、高效、規范的渠道運營管理。從流量拉動提升及用戶流量自由分配角度出發，擴大流量銷售渠道，提供流量批發業務，實現用戶流量自由控制及使用將是目前重要發展方向。

(二)技術創新方向。

1．SM4 加/解密技術運用。此算法是一個分組算法，用于無線局域網產品。該算法的分組長度為128 比特，密鑰長度為128 比特。加密算法與密鑰擴展算法都采用32 輪非線性迭代結構。解密算法與加密算法的結構相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。此算法采用非線性迭代結構，每次迭代由一個輪函數給出，其中輪函數由一個非線性變換和線性變換復合而成，非線性變換由S 盒所給出。與傳統的軟件加密方式相比，SM4 加解密算法具有以下特點:

(1)計算速度快、效率高。虛擬卡平臺與加密平臺采用WebService 接口的方式進行加解密處理，在處理比較大的訂單時(如百萬級)，為了及時給虛擬卡平臺反饋加密結果，對加解密算法的執行效率要求較高。SM4 加密算法可以在短時間內對大批量的卡號進行加密操作，正是由于SM4 加密算法計算速度快、效率高的特點，在虛擬卡密文安全的同時，提升了虛擬卡加解密的執行效率。

(2)安全性高。SM4 算法是我國自主研制的分組密碼算法，由2006年國家密碼管理局公布至今，還未被攻破，目前仍然是安全的。并且SM4 算法密鑰長度為128 位，若采用窮舉攻擊法，需要2，128 次運算，遠比DES 算法256 次運算大得多，要想要用窮舉攻擊法破解需要相當長的時間，在目前看來是不現實的。

SM4 加/解密技術平臺應用:渠道平臺與加密平臺之間使用WebService 接口進行交互，渠道平臺將生成的虛擬卡號及訂單號發送到加密平臺后，由加密平臺對卡號進行檢驗、加密處理。

2．MD5 加密技術運用。MD5 屬于單向加密算法，是不可逆的加密方式，也就是說，采用了MD5 加密方式加密之后，就不能對加密的結果進行解密，得到原有的字符串，這是不可以的。MD5 是散列算法，將任意大小的數據映射到一個較小的、固定長度的唯一值。加密性強的散列一定是不可逆的，這就意味著通過散列結果，無法推出任何部分的原始信息。任何輸入信息的變化，哪怕僅一位，都將導致散列結果的明顯變化，這稱之為雪崩效應。散列還應該是防沖突的，即找不出具有相同散列結果的兩條信息。具有這些特性的散列結果就可以用于驗證信息是否被修改。MD5 就和人的指紋一樣，每個人的指紋都是唯一的，而文件的MD5 值也是唯一的。

MD5 算法特點:一是壓縮性:任意長度的數據，算出的MD5 值長度都是固定的。二是容易計算:從原數據計算出MD5 值很容易。三是抗修改性:對原數據進行任何改動，哪怕只修改1 個字節，所得到的MD5 值都有很大區別。四是弱抗碰撞:已知原數據和其MD5 值，想找到一個具有相同MD5值的數據(即偽造數據)是非常困難的。五是強抗碰撞:想找到兩個不同的數據，使它們具有相同的MD5 值，是非常困難的。

MD5 加密技術平臺應用:第三方渠道與管理平臺做信息交互的時候，管理平臺從用戶名密碼鑒權、IP 鑒權、業務類型鑒權這三個方面做身份鑒權，所有鑒權通過后才能進行業務流程申請。IP 鑒權依托DCN 網絡安全保護，業務類型鑒權依托計費系統安全保護，此次加密工作是對用戶名密碼鑒權做的二次加密保障。

二、實施方案

(一)虛擬卡SM4 加/解密技術(全流程加密技術)。

1．加密處理。渠道平臺與加密平臺之間使用WebService接口進行交互，渠道平臺將生成的虛擬卡號及訂單號發送到加密平臺后，由加密平臺對卡號進行檢驗、加密處理，加密過程如下:一是渠道平臺批量發送卡號、訂單號到加密平臺;二是加密平臺對收到的卡號、訂單號的有效性進行檢驗，若檢驗失敗，則駁回加密請求。三是根據訂單號、時間截進行MD5 加密，并生成加密密鑰;四是根據卡號、加密密鑰進行SM4 加密，并將虛擬卡密文存儲到數據庫中;五是向渠道平臺應答成功加密的卡號數量。

2．解密處理。渠道平臺在收到用戶短信上行的虛擬卡密文，并且密文的格式校驗通后，由渠道平臺向加密平臺發起解密請求，對收到的虛擬卡密文進行解密。解密過程如下:一是渠道平臺發送解密請求，將虛擬卡密文發送到加密平臺;二是加密平臺在收到虛擬卡密文后，對該密文的有效性進行校驗;三是校驗通過后，根據訂單號、時間截進行MD5加密，并生成解密密鑰;四是根據虛擬卡密文、解密密鑰，對虛擬卡密文進行SM4 解密操作，并得到虛擬卡號;五是向渠道平臺應答解密后的虛擬卡號。

(1)虛擬卡生成。分銷商在運營商處購買虛擬卡并繳費后，操作員根據批發商信息、購買資源信息(如:流量、短信等)創建虛擬卡訂單，并設置這批虛擬卡的有效時間、截止時間等信息。訂單提交后，需要由管理員進行審核，訂單審核通過后，方可開通虛擬卡，并進行卡號等信息的分配。

(2)虛擬卡加密。為保證虛擬卡信息的安全性，虛擬卡平臺采用卡密分離的方式進行存儲。由虛擬卡平臺創建訂單，并生成虛擬卡，然后交由加密平臺對卡號進行加密操作，并且卡密始終保存在加密平臺內。整個交互過程中，虛擬卡平臺不會接觸到卡密信息。

(3)卡密導出。虛擬卡開通、加密完成后，分銷商通過登錄虛擬卡平臺將卡密信息進行導出。虛擬卡平臺通過動態短信驗證碼方式進行登錄，登錄前，分銷商需要填寫登錄賬號、訂單號、動態短信密碼，所有信息必須驗證通過后才可以登錄系統。為避免分銷商重復導出卡密信息，系統設置一次性導出，每個訂單只允許分銷商導出一次。導出卡密時，系統向分銷商發送一條動態密碼短信，分銷商接收到密碼短信并驗證成功后，再進行卡密文件的下載。

(4)虛擬卡使用。分銷商獲取卡密以后，將卡密分發到用戶手中。用戶通過發送上行短信，將卡密發送到指定接入號。系統接收到上行卡密信息后，向加密平臺發送解密請求，并返回對應的虛擬卡號，系統判斷該虛擬卡號是否有效，若有效，則對為該用戶添加相應的資源，若無效，則短信通知用戶。

(二)第三方接口MD5 加密技術。傳統的客戶端訪問服務器各接口時，需要輸入賬號和密碼等信息，服務器接收用戶傳來的數據包，提取用戶的賬號信息和密碼信息，再查詢服務器的數據庫，最后反饋認證成功或者失敗信息給用戶。這種身份認證模式是目前最常用的一種遠程認證方式，然而卻存在請求數據包被竊取及數據庫密碼泄露的隱患。由于MD5 算法具有加密單向性和數字指紋性的特點，因此在遠程身份認證中引入MD5 算法就能彌補傳統模式的缺陷。MD5算法就是將任意長度的輸入信息經過復雜的線性變換成一個定長為128 位(bits)且唯一的新數據，我們稱這個過程為產生數字指紋，通過MD5 加密的數據具有很高的可靠性。為了保證數據的安全性，在進行身份鑒別的過程必須保證安全可靠。所以需要滿足的條件是鑒別過程中數據要具有保密性，同時為保證數據發送過程中不被修改，也要保證數據的完整性。在鑒別過程中需要使用報文鑒別技術來保證完整性，同時需要使用密碼算法技術來保證數據的安全性。那么在接口數據鑒權之前，需要將加密算法及密鑰告知各第三方渠道。

1．平臺的安全管理。第三方渠道與管理平臺做信息交互的時候，管理平臺從用戶名密碼鑒權、IP 鑒權、業務類型鑒權這三個方面做身份鑒權，所有鑒權通過后才能進行業務流程申請。IP 鑒權依托DCN 網絡安全保護，業務類型鑒權依托計費系統安全保護，此次加密工作是對用戶名密碼鑒權做的二次加密保障。

2．業務描述。第三方渠道與渠道管理平臺交互，發送查詢及訂購業務請求，管理平臺收到后對信息報文判斷，判斷包頭字段的合法性及有效性(依據接口標準文檔)，判斷包體內產品代碼、業務模式(依據接口文檔)、用戶鑒權(用戶名密碼判斷)、生成本平臺識別的訂單流水號，并加入到BSS 交互隊列里，BSS 返回記過后自動匹配訂單流水號后分發給不同渠道方。

3．加密流程。第三方渠道在訪問管理平臺的時候，把平臺所分配給其的鑒權密碼加上動態時間戳后自動混合加密，生成32 位秘鑰隨信息報文一起發送到管理平臺，管理平臺收到全部的信息報文后，先根據用戶名解析出該用戶的鑒權密碼，再根據該用戶的發起時間自動混合加密后，生成32 位秘鑰，與第三方渠道申請報文中的秘鑰進行配匹判斷，判斷結果相同后再啟動下一步業務流程。

三、系統實施效果

本項目始于2014年1月，2014年3月完成了功能模塊的開發，經驗收合格后投入上線運營。本項目中基于安全加密及話單采集處理技術的流量轉贈、批發應用為國內首創，期間針對河北省移動互聯網渠道的統一接入管理建設了移動互聯網渠道管理平臺，通過建設統一接入接口，合作伙伴通過對接，進行用戶消費信息、產品訂購信息、產品互斥等信息查詢及用戶產品訂購，全面支撐渠道伙伴增值業務產品營銷，實現增值產品的分銷、統一、高效、規范的渠道運營管理;2014年增收四百多萬元，取得了良好的社會效益和經濟價值。