企业网银系统国产密码算法改造方案研究
前言
商业银行对其信息系统进行国密算法升级改造既是一项监管政策要求,也是银行提高信息技术安全可控能力的重要途径。企业网银系统是银行针对企业客户提供支付结算等多种金融服务的应用系统,相比个人网银系统,虽然单笔交易金额大、安全防护要求高,但也有用户数量少、交易笔数少、系统架构简单的特点。因此选择以企业网银系统为样本进行国密算法升级改造具有相对较低的实施难度,并可为其他重要信息系统的改造积累经验。本文针对基于公钥密码体系的典型企业网银系统,研究制定国密算法升级改造方案,并对其中涉及的关键环节和问题进行了分析。
一、企业网银系统现状分析
1.1企业网银系统的典型架构
企业网银系统一般采用B/S模式部署。在网络上,采用分区纵深防护的原则,划分为网银外联区、网银DMZ区、网银应用服务区和核心内网区,系统服务器分为典型的Web、应用、数据库三层次。同时,通过在客户端、服务器端部署智能密码钥匙(USB-key)、安全网关、签名验签服务器等密码组件,实现加密技术的应用,确保交易过程的安全。以下为网银系统部署示意图。
各区域主要功能为:
(1)网银外联区:到互联网的线路连接,外部用户接入区。
(2)网银DMZ区:负责验证客户身份并处理用户访问请求,客户与SSL安全网关建立安全传输通道,对系统Web服务器进行保护。
(3)网银应用区:部署网银系统应用服务器和签名验签服务器。
(4)核心内网区:部署数据库服务器,并通过此区域和银行其他信息系统进行数据交互。
(5)证书认证区:部署电子认证系统,负责客户数字证书的生成和核验。
(6)客户端:客户采用浏览器和智能密码钥匙(USBkey)与网银系统通信。
1.2系统密码算法应用场景及对应关系
密码技术在企业网银中一般起到保障数据传输安全、身份认证安全和交易信息安全三种职能。在数据传输方面,浏览器与网银安全网关之间通过建立SSL加密通道方式确保数据传输过程的安全,在建立SSL会话过程中,采用了对称加密算法AES协商会话密钥。在身份认证方面,通过客户、服务器建立双向数字证书认证机制,数字证书一般采用RSA算法生成,防止被仿冒。在业务交易环节,网银系统对客户提交的交易信息采用摘要杂凑算法SHA-1进行了签名加密,服务器端对应进行了验签,确保交易信息安全。
综上,网银系统中密码算法的应用共有数字证书生成、身份认证、通信协商、签名验签四个场景。国密算法改造需将各个应用场景中的国际通用算法替换为对应的国产SM系列算法。
二、系统算法升级改造方案
根据企业网银系统架构,采用分区域分模块改造的方式,对系统采用的全部通用算法进行改造。具体可分为安全基础设施改造、业务应用系统改造、客户端改造三部分。
2.1安全基础设施改造
安全基础设施改造的主要任务是对企业网银系统服务器端使用的安全接入设备、签名验签服务器等密码产品进行升级,替换为由国家密码主管部门批准的产品,使企业网银系统在软硬件上具备使用国密SM系列算法的基础。
2.1.1安全网关改造
通过对安全网关进行升级,实现安全网关可支持与客户端建立基于国产算法SM4的双向SSL加密链路,提高SSL协议传输的加密强度。
2.1.2签名验签改造
签名验签服务器作为底层硬件密码设备,将为应用服务器提供硬件密码生成和核验服务。改造后,新的签名验签服务器应支持对国产SM系列算法密钥的加密和解密。
2.2电子认证(CA)系统改造
网银系统一般采用第三方CA系统签发数字证书,对CA改造的目标是实现支持国密算法SM2签发的数字证书。银行应选择具有电子认证服务使用密码许可资质的单位合作建设基于国密算法的证书认证系统。
2.3网银应用系统改造
2.3.1应用系统改造内容
应用系统改造的内容是与新算法的签名验签服务器对接,可以直接调用新的签名验签服务器提供的开发接口方式实现。然而考虑到新的密码算法上线后,旧的密码体系并不会立刻中断,应用系统将会同时收到由SM2算法和RSA算法签发的两种不同类型的数字证书认证信息以及由SHA-1算法和SM3算法签名的两种不同类型的客户交易信息。因此应用服务器改造后还必须具备同时识别不同算法的数字证书和签名信息的能力。考虑到对重要生产系统实施大规模改造的复杂度以及对客户服务连续性的影响,可以通过部署密码服务中间件的方式,降低应用系统改造工作的难度。
2.3.2密码服务中间件的设计
密码服务中间件将签名验签、数据加解密过程采用中间件进行包装,由密码服务中间件同时连接新旧算法的密码设备,并自动判断是报文的加密算法并进行相应的解密。应用系统则改造为直接调用密码服务中间件的标准接口,实现了密码服务与应用系统的松耦合,从而简化了系统算法兼容性改造的复杂度。密码服务中间件的架构如图2。 2.4客户端改造
2.4.1硬件改造
新的客户端硬件设备需要选用内置了国密算法的设备(智能密码钥匙),同时该设备作为数字证书的载体需要兼容国密算法的数字证书。
2.4.2软件改造
客户端软件改造的核心内容是实现浏览器对国密算法的支持。目前SM2算法尚未被Windows系统和IE浏览器兼容,导致SM2算法数字证书无法直接应用在现有的客户端环境中。由于这一现实困难,一些机构在系统国密改造时,采用了通用算法和国密算法混搭使用的多证书方式,即使用浏览器支持的通用算法(RSA2048和AES)用于会话协商和证书认证,在需要签名时,再调用国密算法(SM2)证书进行签名。这种方式作为过渡方案有其合理性,但由于算法改造不够彻底,后续还面临较高的升级成本。国内相关安全厂商已于2015年推出了国密专用浏览器,实现了对国产密码算法和安全协议的完整支持,且通过了国家主管部门的检测。因此,在本次网银系统改造中,我们在客户端采用专用浏览器的方式,实现系统密码算法的全面国产化和改造的彻底性。采用国密浏览器的不足之处是需要给客户额外安装专用浏览器,需要做好客户引导说明。
三、系统上线和推广
3.1新旧系统的并行过渡期
系统国产算法升级改造完成后,原有通用算法体系下的存量客户会在一段时间内逐步迁移到新的系统。这就需要考虑新旧密码体系的并行和过渡问题。
为降低技术复杂度和对现有生产系统运行的影响,可以采用新增国密算法系统前端网络入口的方式,将国密算法的网银系统Web层服务器独立进行部署。一是启用新的国密网银系统域名,便于区分网络流量和用户群体。二是配置独立的国密SSL安全网关,对新的密码算法体系下的客户建立国密安全通道并完成身份认证。
3.2新系统的推广应用
国密算法的企业网银系统的推广应用工作影响因素多、实施周期长,为高效快捷完成新国密系统的推广,可以从三个方面展开工作:一是加强组织领导,周密部署,总分行联合制定推广工作方案,将推广任务逐层分解,设定目标和考核机制。二是采用短信通知、电话热线、网站提示等多种服务渠道加强宣介,积极引导客户主动到当地机构网点进行客户端设备的升级更换。三是对重要客户采用客户经理会同信息科技人员上门服务支持等方式,提升服务质量和客户满意度。
四、小结
企业网银系统国密算法升级改造工作必须统筹考虑密码改造工作的技术复杂度和实施难度,为保障信息系统服务的连续性和稳定性,还需要在算法升级改造过程中进行大量的测试和验证工作。通过企业网银系统的改造,提高了银行业金融机构重要信息系统的安全强度,具有较强的现实意义。
