密碼學在銀行安全系統的應用

楊衛衛，劉功朝，張幫振

隨著科技的發展，計算機技術和網絡技術在銀行的應用越來越廣泛，使銀行的數據更加集中，提高了銀行的處理決策水平，在為客戶提高更優質、更便捷、更豐富的服務同時，也帶來了一定的數據集中風險，同時銀行的計算機網絡系統已成為黑客侵犯的對象和渠道，不僅影響了網絡穩定運行和用戶的正常使用，造成重大經濟損失，而且還會威脅到國家金融安全。所以，銀行需要自身建立一個多層次、多功能、全方位、立體化的安全防御體系。

在銀行安全系統中，數據加密是最基礎的安全防衛措施，能夠有效的保護數據、文件、信息。根據實際需求，構建銀行數據加密系統實現網絡通訊保密是銀行安全的主要措施。而數據的加密方式應用了密碼學范疇。密碼學是一門古老的學科，已有4 000 多年歷史，可分為傳統密碼學和現代密碼學。目前銀行應用比較廣泛的是現代密碼學中的對稱密鑰算法和非對稱密鑰算法。

1 密碼學分類

1.1 傳統密碼學

傳統密碼學根據加密的方式可以分為替代密碼和換位密碼兩類。替代密碼顧名思義就是使用一個字符去替代另一個字符，主要有以下幾類：簡單替代密碼（明文和密碼相互對應）、多明碼替代密碼（一個明文可以用多個密碼替代）、多字母替代密碼（字符塊被成組加密）、多表替代密碼（有多個簡單替代密碼組成）。例如，最古老的一種密碼是凱撒密碼，在這種方法中，a 換成D，b 換成E，c 換成F…，z 換成C。于是attack 就變成了DWWDFN。換位密碼是根據一定的規則，將明文的順序打亂，重新組合。

1.2 現代密碼學

現代密碼學根據密鑰的不同可以分為兩類，對稱密鑰算法和非對稱密鑰算法。對稱密鑰加密算法始于1977 年美國國家標準局正式公布實施的美國數據加密標準DES。對稱密鑰算法可以分為序列算法（一次對單個明文加密）和分組算法（一次對一組明文加密）。對稱密鑰算法在加密過程解密過程使用同樣的密鑰。如圖1 所示，在整個加解密之前，發送者和接收者需約定好加解密密鑰。發送者使用雙方約定好的密鑰對數據進行加密，然后將密文發送到接受者，接受者再使用相同的密鑰進行解密操作。由于使用的密鑰相同，比較簡便高效，加解密過程簡單。若選取的密鑰長度足夠，則很難破解。但是通信雙方需要在通信前交換密鑰，不能提供認證和抗抵賴的功能。主要包括三重3DES、IDEA、RC5、RC6、AES、SSF33、SCB2 等算法。

圖1 對稱密鑰算法加密過程

1976 年，Hellman 為解決密鑰管理問題，研究出全新的密鑰交換協議，該協議以數學理論為基礎，可以保證發送方和接收方在不安全的媒介上達成安全一致的密鑰，從而保證數據加密的安全性。這篇文章引導了整個密碼學歷史上最大的而且也許是惟一真正的革命。非對稱密鑰算法建立在大素數不可分解質因數的數學理論上，有別于傳統密碼學。非對稱密鑰算法由于使用兩個不同的密鑰，所以它的密碼是非對稱的。兩個密鑰對于保密通信、密鑰分配和鑒別等領域都有著深遠的影響。在加密過程之前，接受者將自己的公鑰交給發送者。在加密過程中，發送者使用收到的公鑰對明文進行加密，接受者收到密文后使用己方私鑰進行解密，如圖2 所示。在加解密過程中，通信雙方可以隨時通信，有很好的密鑰分發功能，能提供保密性、完整性、真實性、不可否認性，但是加解密速度慢。常見的非對稱密鑰算法主要有RSA、ECC、EI、DSA、Knapsack 等算法。目前在銀行應用比較廣泛的有數字信封、數字簽名、密鑰分發等。

圖2 非對稱密鑰算法加密過程

2 非對稱密鑰加密算法在銀行安全系統的應用

2.1 數字信封

對稱密鑰算法具有運算快，但是密鑰的分發、統一管理比較困難，相比之下，非對稱密碼算法則克服了這類缺點，但運算速度較慢，所以經常需要將二者結合。

數字信封將私鑰密碼算法和公鑰密碼算法有效的結合使用。如圖3 所示，在加密的過程中，發送方會產生一個隨機的對稱密鑰來對數據進行加密，產生信息密文，然后在使用接收方的公鑰對隨機的對稱密鑰加密，產生數字信封，將信息密文和數字信封一同傳送到接收方。接收方使用自身的私鑰對數字信封進行解密，得到對稱密鑰，在使用對稱密鑰對信息密文進行解密。

數字信封完美的結合了對稱密鑰算法和非對稱密鑰算法的特點，發揮了各自的優點。數字信封既發揮了對稱加密算法速度快、效率高的特點，又發揮了非對稱加密技術安全性的特點。

圖3 數字信封加密過程

2.2 數字簽名

在現實生活中，可以使用親筆簽名來鑒定書信的真偽性。同樣，銀行的信息流、數據流也可以使用數字簽名技術來進行驗證。其實現的原理簡單的說，就是簽名和驗簽兩個過程。如圖4 所示，首先發送方使用哈希算法對信息原文進行計算，得到一個哈希值，然后使用發送方的私鑰，對該哈希值加密，得到數字簽名。將消息和數字簽名一同送至接收方，接收方使用發送方公鑰對數字簽名解密，得到一個哈希值，然后使用哈希算法對消息進行哈希運算得到另一個哈希值，兩個哈希值比較，相同則報文來自發送方。

圖4 數字簽名加密過程

3 結束語

數據加密是銀行安全系統的首要屏障，是整個銀行安全體系的重要組成部分，能夠以很小的代價達到很大的防護作用，有效的保證銀行數據的機密性。單一的非對稱密鑰算法和對稱密鑰算法無法滿足銀行數據加密的需要，數字信封、數字簽名等組合算法成為銀行安全系統的首選，是銀行信息安全的重要保障。