企業網銀系統國產密碼算法改造方案研究

雷東生

【摘要】 本文通過對企業網銀系統中密碼算法的應用場景進行分析，提出了基于模塊化方式將系統通用算法全部升級為國產算法的改造方案。為解決客戶端瀏覽器對部分國產算法不兼容問題，引入了國密專用瀏覽器，實現了國產算法的全面應用。為確保新舊系統平滑切換，采用了密碼服務中間件對應用系統進行了多算法支持，降低了方案實施難度，保障了系統服務的連續性和穩定性。

【關鍵詞】 網銀系統 國產密碼算法 改造方案

前言

商業銀行對其信息系統進行國密算法升級改造既是一項監管政策要求，也是銀行提高信息技術安全可控能力的重要途徑。企業網銀系統是銀行針對企業客戶提供支付結算等多種金融服務的應用系統，相比個人網銀系統，雖然單筆交易金額大、安全防護要求高，但也有用戶數量少、交易筆數少、系統架構簡單的特點。因此選擇以企業網銀系統為樣本進行國密算法升級改造具有相對較低的實施難度，并可為其他重要信息系統的改造積累經驗。本文針對基于公鑰密碼體系的典型企業網銀系統，研究制定國密算法升級改造方案，并對其中涉及的關鍵環節和問題進行了分析。

一、企業網銀系統現狀分析

1.1企業網銀系統的典型架構

企業網銀系統一般采用B/S模式部署。在網絡上，采用分區縱深防護的原則，劃分為網銀外聯區、網銀DMZ區、網銀應用服務區和核心內網區，系統服務器分為典型的Web、應用、數據庫三層次。同時，通過在客戶端、服務器端部署智能密碼鑰匙（USB-key）、安全網關、簽名驗簽服務器等密碼組件，實現加密技術的應用，確保交易過程的安全。以下為網銀系統部署示意圖。

各區域主要功能為：

（1）網銀外聯區：到互聯網的線路連接，外部用戶接入區。

（2）網銀DMZ區：負責驗證客戶身份并處理用戶訪問請求，客戶與SSL安全網關建立安全傳輸通道，對系統Web服務器進行保護。

（3）網銀應用區：部署網銀系統應用服務器和簽名驗簽服務器。

（4）核心內網區：部署數據庫服務器，并通過此區域和銀行其他信息系統進行數據交互。

（5）證書認證區：部署電子認證系統，負責客戶數字證書的生成和核驗。

（6）客戶端：客戶采用瀏覽器和智能密碼鑰匙（USBkey）與網銀系統通信。

1.2系統密碼算法應用場景及對應關系

密碼技術在企業網銀中一般起到保障數據傳輸安全、身份認證安全和交易信息安全三種職能。在數據傳輸方面，瀏覽器與網銀安全網關之間通過建立SSL加密通道方式確保數據傳輸過程的安全，在建立SSL會話過程中，采用了對稱加密算法AES協商會話密鑰。在身份認證方面，通過客戶、服務器建立雙向數字證書認證機制，數字證書一般采用RSA算法生成，防止被仿冒。在業務交易環節，網銀系統對客戶提交的交易信息采用摘要雜湊算法SHA-1進行了簽名加密，服務器端對應進行了驗簽，確保交易信息安全。

綜上，網銀系統中密碼算法的應用共有數字證書生成、身份認證、通信協商、簽名驗簽四個場景。國密算法改造需將各個應用場景中的國際通用算法替換為對應的國產SM系列算法。

二、系統算法升級改造方案

根據企業網銀系統架構，采用分區域分模塊改造的方式，對系統采用的全部通用算法進行改造。具體可分為安全基礎設施改造、業務應用系統改造、客戶端改造三部分。

2.1安全基礎設施改造

安全基礎設施改造的主要任務是對企業網銀系統服務器端使用的安全接入設備、簽名驗簽服務器等密碼產品進行升級，替換為由國家密碼主管部門批準的產品，使企業網銀系統在軟硬件上具備使用國密SM系列算法的基礎。

2.1.1安全網關改造

通過對安全網關進行升級，實現安全網關可支持與客戶端建立基于國產算法SM4的雙向SSL加密鏈路，提高SSL協議傳輸的加密強度。

2.1.2簽名驗簽改造

簽名驗簽服務器作為底層硬件密碼設備，將為應用服務器提供硬件密碼生成和核驗服務。改造后，新的簽名驗簽服務器應支持對國產SM系列算法密鑰的加密和解密。

2.2電子認證（CA）系統改造

網銀系統一般采用第三方CA系統簽發數字證書，對CA改造的目標是實現支持國密算法SM2簽發的數字證書。銀行應選擇具有電子認證服務使用密碼許可資質的單位合作建設基于國密算法的證書認證系統。

2.3網銀應用系統改造

2.3.1應用系統改造內容

應用系統改造的內容是與新算法的簽名驗簽服務器對接，可以直接調用新的簽名驗簽服務器提供的開發接口方式實現。然而考慮到新的密碼算法上線后，舊的密碼體系并不會立刻中斷，應用系統將會同時收到由SM2算法和RSA算法簽發的兩種不同類型的數字證書認證信息以及由SHA-1算法和SM3算法簽名的兩種不同類型的客戶交易信息。因此應用服務器改造后還必須具備同時識別不同算法的數字證書和簽名信息的能力。考慮到對重要生產系統實施大規模改造的復雜度以及對客戶服務連續性的影響，可以通過部署密碼服務中間件的方式，降低應用系統改造工作的難度。

2.3.2密碼服務中間件的設計

密碼服務中間件將簽名驗簽、數據加解密過程采用中間件進行包裝，由密碼服務中間件同時連接新舊算法的密碼設備，并自動判斷是報文的加密算法并進行相應的解密。應用系統則改造為直接調用密碼服務中間件的標準接口，實現了密碼服務與應用系統的松耦合，從而簡化了系統算法兼容性改造的復雜度。密碼服務中間件的架構如圖2。

2.4客戶端改造

2.4.1硬件改造

新的客戶端硬件設備需要選用內置了國密算法的設備（智能密碼鑰匙），同時該設備作為數字證書的載體需要兼容國密算法的數字證書。

2.4.2軟件改造

客戶端軟件改造的核心內容是實現瀏覽器對國密算法的支持。目前SM2算法尚未被Windows系統和IE瀏覽器兼容，導致SM2算法數字證書無法直接應用在現有的客戶端環境中。由于這一現實困難，一些機構在系統國密改造時，采用了通用算法和國密算法混搭使用的多證書方式，即使用瀏覽器支持的通用算法（RSA2048和AES）用于會話協商和證書認證，在需要簽名時，再調用國密算法（SM2）證書進行簽名。這種方式作為過渡方案有其合理性，但由于算法改造不夠徹底，后續還面臨較高的升級成本。國內相關安全廠商已于2015年推出了國密專用瀏覽器，實現了對國產密碼算法和安全協議的完整支持，且通過了國家主管部門的檢測。因此，在本次網銀系統改造中，我們在客戶端采用專用瀏覽器的方式，實現系統密碼算法的全面國產化和改造的徹底性。采用國密瀏覽器的不足之處是需要給客戶額外安裝專用瀏覽器，需要做好客戶引導說明。

三、系統上線和推廣

3.1新舊系統的并行過渡期

系統國產算法升級改造完成后，原有通用算法體系下的存量客戶會在一段時間內逐步遷移到新的系統。這就需要考慮新舊密碼體系的并行和過渡問題。

為降低技術復雜度和對現有生產系統運行的影響，可以采用新增國密算法系統前端網絡入口的方式，將國密算法的網銀系統Web層服務器獨立進行部署。一是啟用新的國密網銀系統域名，便于區分網絡流量和用戶群體。二是配置獨立的國密SSL安全網關，對新的密碼算法體系下的客戶建立國密安全通道并完成身份認證。

3.2新系統的推廣應用

國密算法的企業網銀系統的推廣應用工作影響因素多、實施周期長，為高效快捷完成新國密系統的推廣，可以從三個方面展開工作：一是加強組織領導，周密部署，總分行聯合制定推廣工作方案，將推廣任務逐層分解，設定目標和考核機制。二是采用短信通知、電話熱線、網站提示等多種服務渠道加強宣介，積極引導客戶主動到當地機構網點進行客戶端設備的升級更換。三是對重要客戶采用客戶經理會同信息科技人員上門服務支持等方式，提升服務質量和客戶滿意度。

四、小結

企業網銀系統國密算法升級改造工作必須統籌考慮密碼改造工作的技術復雜度和實施難度，為保障信息系統服務的連續性和穩定性，還需要在算法升級改造過程中進行大量的測試和驗證工作。通過企業網銀系統的改造，提高了銀行業金融機構重要信息系統的安全強度，具有較強的現實意義。

參 考 文 獻

[1]王勇，岑榮偉，郭紅，李新友. 國家電子政務外網電子認證系統SM2國密算法升級改造方案研究[J]. 信息網絡安全，2012，10：83-85.

[2]付朋俠. 推進國產密碼算法應用 實現信息系統自主可控[J]. 科學家，2015，10：104-105.

[3]王曉甜. SM密碼算法在銀行業中的推廣和應用研究[J]. 網絡安全技術與應用，2015，08：42+45.