背景
随着信息互联网的快速发展,金融业越来越重视信息安全。金融业对信息安全的要求是保护信息系统的软硬件和数据免受损坏和泄露,确保系统安全可靠运行。信息安全的关键技术是加密技术。面对互联网技术更新速度快的趋势,金融业也对加密系统提出了新的挑战。为了保证银行内部系统的安全运行,有效支持业务的发展,如何选择加密算法,合理部署加密系统架构,将是银行业的一大挑战。
一、加密系统分类
加密系统可分为对称加密系统和非对称加密系统。对称加密系统是指加密/解密的密钥是相同的密钥。信息接收双方都知道密钥和加密算法。该算法主要用于加密敏感数据信息。非对称加密系统是指不同的密钥用于加密/解密,通常有两个密钥,称为“公钥”和“私钥”,在打开加密文件之前,它们可以一起使用。
1.1 对称加密算法
对称加密系统是假设通信双方可以通过安全通道协商会话密钥。当双方通信时,发送者A使用加密密钥k加密算法将原始消息m加密成密文c;接收者B收到密文c之后,使用解密算法和密钥k对密文解密得到原始消息m。
图1:对称加密模型
1.2 非对称加密算法
非对称加密系统又称公钥加密系统,如图2所示。
图2:非对称加密模型
非对称加密系统的特点如下:
1)新闻的接收者有一对公钥和私钥,用于加密数据和解密数据。在使用公钥加密算法之前,需要一个初始化的过程来安全地生成用户的公钥和私钥,并发布公钥。
2)公钥是一共数据,任何用户都可以通过某种方式获得,即公钥不对外保密。
3)在不知道私钥的情况下,使用公钥和密文计算相应的明文是非常困难的。
二、常用的加密算法
加密算法分为对称加密算法、非对称加密算法和散列算法。
对称加密算法
对称加密算法常见:DES、3DES、AES。
DES(DataEncryption Standard):
算法中的数据以64比特分组加密,有效密钥长度为56位,数据加密标准快,适用于大量数据加密。
3DES(TripleDES):
是基于DES用3个或2个算法DES密钥加密一串明文,密码长度至少112位,最多168位。与三个不同的密钥相比,一个数据被三次加密。DES,强度较高。
AES(AdvancedEncryption Standard):
是一种具有可变块长度和可变密钥长度的迭代分组加密方法,分组长度为128位,密钥长度为128位,192位或256位,加密标准高,速度快,安全水平高。
非对称加密算法
非对称加密算法很常见RSA、DSA、ECC。
RSA:
是支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的。
DSA(DigitalSignature Algorithm):
数字签名算法是一种标准的数字签名标准。它主要用于数字签名和认证RSA不同的是,它不能用于加密、解密和密钥交换,只能用于签名。
ECC(EllipticCurves Cryptography):
椭圆曲线密码编码学。ECC和RSA优点是抗攻击性强,计算量小,处理速度快,存储空间占用小,带宽要求低。
散列算法
常见的散列算法MD5、SHA1、SHA256。
MD5(MessageDigest Algorithm 5):
该算法以任何长度的消息文件为输入,产生128比特摘要作为输出,是一种单向散列算法,不可逆,相同的明文产生相同的密文。
SHA1(SecureHash Algorithm 1):
该算法以任何长度的消息文件为输入,产生160比特摘要作为输出。
SHA256(SecureHash Algorithm 256):
是SHA2对于任何长度的消息,SHA256哈希值为256位,内部状态为256位。
三种算法的比较
对称加密算法使用相同的密钥进行加密和解密,速度快,适用于大量数据加密。对称加密的客户端和服务端使用的密钥一样容易破解,安全性低。
非对称加密算法采用公钥加密、私钥解密、私钥签名公钥验证,安全性高于对称加密,但速度相对较慢。非对称加密的客户端不同于服务端使用的密钥,不易破解,安全性高。
散列算法主要用于防篡改签名。它可以输入任何长度的串,以获得固定长度的串。
国密算法
国密是国家密码局认定的国产密码算法,包括对称加密算法、椭圆曲线非对称加密算法和杂凑算法,具体包括SM2、SM3、SM4等等。由于国密算法的高安全性和国产密码算法的特点,现阶段,G行加密系统采用的算法是国密算法。
SM2
椭圆曲线不对称加密算法,密码强度为256位。ECC,256位的SM2密码强度高于2048位RSA密码强度高,安全性高,主要用于实现数字签名和数据加密。
SM3
杂凑算法,又称哈希算法,输出的哈希值长度为256比特,其安全性高于MD5算法以及SHA1算法,主要用于计算新闻摘要,检验新闻的完整性。
SM4
数据分组长度为128比特,密钥分组长度为128比特,安全性高于3DES该算法主要用于实现数据的加密/解密操作,以确保数据和信息的机密性。
三、加密的常见功能
1)防止机密数据泄露或篡改;
2)防止特权用户查看私人数据文件;
3)防止不速之客查看机密数据文件;
4)使入侵者无法轻易找到系统文件。
网络上可以加密数据OSI七层协议(OSI是Open System Interconnect缩写是指开放式系统互联网的多层实现,因此从加密技术应用的逻辑位置来看,有三种方法:
链路加密:
通常把网络层以下的加密叫链路加密,主要用于保护通信节点间传输的数据,加解密由置于线路上的密码设备实现。
节点加密:
这是对链路加密的改进。协议传输层上的加密主要是加密和保护源节点和目标节点之间的传输数据,克服了节点中链路加密容易非法访问的缺点。
端对端加密
网络层以上的加密称为端对端加密。应用层的数据信息加密易于使用软件实现,成本低,但密钥管理难度大,主要适用于大型网络系统中多之间的信息传输。
四、密钥管理系统
4.1 密钥的生命周期
在任何安全系统中,密钥的安全管理都是一个关键环节。如果密钥没有得到有效的保护,无论密码系统的设计有多好,它都有什么用。所谓的密钥管理是指在参与通信的各方中建立和保护密钥的一套完整的过程和机制。如果密钥保持不变,那么密钥管理将非常简单,但安全策略要求用户定期或不定期更换密钥。在一个健全的密钥管理系统中,密钥有自己的生产、使用和死亡过程,构成了子密钥的生命周期。
密钥的生命周期有四种主要状态:
4.2 密钥管理生命周期
密钥管理系统中的一系列不同状态称为密钥管理生命周期。在密钥生命周期的四种状态下,密钥管理生命周期的状态如图3所示。
图3:密钥管理生命周期
4.3 密钥的层次结构
将密钥组织成层次结构是保护密钥的有效方法。除层次结构底部的密钥外,其他层次的密钥的目的是保护其下部的密钥,而底部的密钥用于保护数据通信的安全。根据层次结构,密钥分为以下三类:
1)主密钥:在密钥层次结构的最高层,没有其他密钥保护主密钥,所以主密钥只能手动建立。
2)密钥加密:在密钥传输协议中加密其他密钥,以保护其下层密钥的安全传输。
3)数据密钥:在密钥层次结构的底层,用于加密用户的数据,使数据能够安全传输。
这种层次结构限制了密钥的使用,从而降低了密钥暴露的可能性,大大降低了攻击密钥的风险。
五、加密平台系统部署架构
金融机构通常会购买硬件加密机来满足数据的加解密算法要求。由于加密设备的特殊安全设计,可以保证密钥信息的高度安全:1。加密机确保密钥不会通过逻辑设计暴露到加密机外部,所有的加密数据都在加密机内部完成;2、加密机有自毁装置,密钥不能通过物理方式非法获得。此外,加密机采用高性能国内算法处理芯片,确保加密机一秒钟内处理数十万次加密操作。
以G以行加密系统部署为例,G提高密钥统一安全控制水平,降低密钥管理成本和运行成本,建立加密机综合管理系统,为银行所有系统提供统一的安全加密操作要求。加密机综合管理系统的主要功能包括两个方面,一是密钥管理平台承载的密钥管理功能,实现密钥管理功能的集中生等密钥管理功能;二是加密平台承载的加密算法服务,为业务应用系统提供集中统一的数据加解密服务,主要包括报纸MAC生成验证、用户密码转换验证、机密数据加密解密、数据报纸签名验证。由于加密平台是加密机综合管理系统的核心业务功能,主要介绍了加密平台的应用逻辑架构,如图4所示。
图4:加密系统应用逻辑架构图
为保证加密请求的交易成功率,加密平台采用三层负载均衡的逻辑结构,即:API端负载平衡,接入服务负载平衡,加密机接入负载平衡。在这三层负载平衡框架下,交易系统的成功率可以达到100%。
5.1 主要功能模块
加密平台的主要应用功能模块主要包括:
加密API:
加密算法请求由各应用系统算法请求由各应用系统直接调用。API采用轮询、加时、重发、故障检测、自动恢复等机制,确保设计成功率。
一般加密平台x台一组形成加密集群API轮流将加密请求发送到后面n加密平台的加时设置一般小于z如果加密平台的返回码是系统错误(非业务错误),请求加时自动重新发送到下一个加密平台。API请求将再次自动发送到下一个平台;当要求加密平台连续失败时,将加密平台置于异常状态,不再向平台发送请求,然后在固定时间间隔内启动检测交易。如果检测成功,则添加正常处理队列。
Server1:
接收加密API对于服务请求,对报纸进行格式验证,根据密钥名称和交易代码确认所需的背景加密器,并将交易请求放在相应的共享内存中。为了确保交易处理效率,加密平台将提前将密钥加载到内存中并进行排序。server1当需要获得密钥属性时,可以快速使用二分法搜索算法找到相应的密钥。由于加密平台需要为数百个系统提供服务,server1会面临连接数过高的问题,server1采用多端口和链路汇聚的方式解决。server1同时,启动十几个侦听端口提供外部服务,使交易均衡分布在各个端口,并保留一些端口作为灾难性备份。此外,从中学习nginx采用链路汇聚的方式epoll技术使服务流程能够最大限度地承载数万个连接请求。
Server2:
负责接收共享内存中的请求报告,将请求报告转换为加密机识别格式的请求报告,并发送到相应的加密机。该模块通过基本的加密机指令,实现了主要的业务处理功能,形成了近100个通用报纸数据加解密请求,为上游提供服务。由于对称密钥和非对称密钥在处理效率上存在几十倍的差距,加密机需要分为对称密钥加密机组和非对称密钥加密机组,以避免相互干扰。server2该过程只连接其中一个加密器,同时启动多个加密器server2并发处理共享内存的加密请求。server2当发现加密机异常时,由加密机异常检测,server2将加密器设置为异常状态,然后server2异常加密机的恢复检测由专用服务程序自动退出。
密钥管理功能:
由于加密请求通常只是各种算法操作,不涉及数据更新,加密平台独立于与新相关的功能。密钥更新操作主要是添加和同步密钥。所涉及的模块主要包括server3和server4,server3处理密钥管理交易,server4负责直接与数据库交互。
Server5:
负责将密钥的更新操作同步到同组的其他加密服务器。
由于每个金融业务处理将涉及多个交易,每个交易将在多个系统流通中多次呼叫加密请求,因此加密平台的处理效率对业务的整体处理效率有很大的影响,在系统部署和程序设计中必须特别注意处理效率。目前,加密平台采用接近调用系统、机房和网络域的多集群分布式部署。在这种部署模式下,加密平台可以响应每个加密请求ams在高并发用户下,左右可以提供极高的服务TPS处理性能。
5.2 问题与挑战
随着银行系统的发展,接入系统增长迅速,分布式部署的加密平台服务器数量也迅速增加。主要问题是管理问题,包括:客户端API加密平台管理,密钥管理。
API主要的管理问题是:加密系统不能完全掌握和控制每个系统API存在配置信息不规范、使用方式不规范、运行异常等问题。
加密平台的管理问题主要是:加密平台服务器多,集中维护管理困难,操作复杂,应急处置效率低。
密钥管理的主要问题是:加密平台分布式部署后缺乏集中的密钥管理中心,密钥同步操作复杂,操作风险高,容易出现多服务器间密钥同步遗漏错误的问题。此外,还问题,即加密请求涉及多个密钥,但这些密钥跨加密器不允许直接操作。
随着互联网、大数据、云计算、人工智能、区块链等技术创新与传统金融服务的融合,未来的银行信息系统也将向全面云等技术系统发展。当越来越多的组件集成在一起时,基于云的加密和密钥管理的广泛应用趋势将逐渐加快,云技术可以提供更灵活的安全服务,在数据访问、密钥管理和数据保留策略方面取得更长期的进展;未来,集中加密控制系统的建设可以将加密系统与云技术相结合,更高效、更集中地配置管理加密系统。银行系统建设的架构将进一步丰富银行的基本服务能力。
六、总结展望
信息加密技术作为金融重要组成部分,信息加密技术的重要性不容忽视。随着加密算法的开放和解密技术的发展,加密算法的种类越来越多。其应用场景包括用户登录、身份验证和交易。不同的应用场景将使用不同的加密算法来实现目标。
随着社会数字化的趋势,未来加密算法将继续深入应用于银行系统,技术方向将进一步向分布式架构发展;加密系统的应用和维护管理将更加合理,应急工具和监控的不断改进和丰富也将进一步提高系统运行和维护的效率,提高运行和维护中心的安全运行能力。