背景介紹

證監(jiān)辦發(fā)文《關(guān)于加強(qiáng)證券期貨領(lǐng)域國(guó)產(chǎn)密碼應(yīng)用推進(jìn)工作的通知》及《證券期貨業(yè)密碼應(yīng)用工作規(guī)劃(2015-2020年)》，金融信息安全是國(guó)檢信息安全的重要組成部分，密碼技術(shù)作為保障信息安全的核心技術(shù)，在金融領(lǐng)域得到了廣泛應(yīng)用，密碼的安全可靠和科學(xué)應(yīng)用關(guān)系到我國(guó)金融安全。因國(guó)密算法應(yīng)用涉及密碼設(shè)備的升級(jí)替換和應(yīng)用系統(tǒng)的改造，為確保業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)，前期將選取技術(shù)實(shí)力較強(qiáng)的行業(yè)機(jī)構(gòu)，在充分測(cè)試的前提下，采取先邊緣系統(tǒng)再核心系統(tǒng)、先試點(diǎn)再擴(kuò)大的步驟，穩(wěn)步實(shí)現(xiàn)全行業(yè)國(guó)密算法應(yīng)用工作目標(biāo)。對(duì)于試點(diǎn)中發(fā)現(xiàn)的問題及時(shí)整改、快速迭代，并將經(jīng)驗(yàn)在行業(yè)內(nèi)推廣。

需求分析

隨著移動(dòng)互聯(lián)網(wǎng)的普及，證券用戶越來越多依賴移動(dòng)端。滿足國(guó)密需求需要每個(gè)用戶采購(gòu)智能密碼鑰匙，導(dǎo)致證券系統(tǒng)成本高且攜帶不便，用戶需要在手機(jī)之外攜帶額外的硬件介質(zhì);同時(shí)，證券用戶手機(jī)的多樣性增加了硬件接口對(duì)接復(fù)雜度，針對(duì)硬件調(diào)用的中間件開發(fā)難度較大。

證券面向最終用戶安全通道服務(wù)大部分基于國(guó)際標(biāo)準(zhǔn)算法，但是隨著信息技術(shù)高速發(fā)展，很多算法(如RSA1024,RC4等)存在安全漏洞，已不再被信任。通用基于口令保護(hù)身份私鑰、證書及密鑰容易被復(fù)制，證券客戶、服務(wù)身份可被冒用。

國(guó)家等保、密評(píng)及證券行業(yè)政策等都對(duì)數(shù)據(jù)的保密性、完整性、一致性、不可否認(rèn)性有明確國(guó)密要求。用于強(qiáng)身份認(rèn)證、數(shù)據(jù)加解密的密碼算法應(yīng)符合國(guó)家密碼管理局等相關(guān)部委制定的政策、法規(guī)，以保證系統(tǒng)服務(wù)的安全性。

證券行業(yè)對(duì)信息實(shí)時(shí)要求度高，證券服務(wù)對(duì)業(yè)務(wù)穩(wěn)定性、高效性具有高標(biāo)準(zhǔn)要求，實(shí)現(xiàn)及時(shí)、全面、準(zhǔn)確的信息傳輸，對(duì)加密產(chǎn)品及應(yīng)用提出更高需求挑戰(zhàn)。

典型案例

證券服務(wù)光潤(rùn)通提供的智能加密網(wǎng)卡國(guó)密安全接入技術(shù)，通過工業(yè)標(biāo)準(zhǔn)的加密算法保障安全性，具有身份認(rèn)證、傳輸加密等多種功能。光潤(rùn)通深入?yún)⑴c了證券業(yè)務(wù)安全接入的加密建設(shè)工作，硬件加密網(wǎng)卡接入網(wǎng)關(guān)設(shè)備后面向主站業(yè)務(wù)系統(tǒng)，提供集中、統(tǒng)一的安全認(rèn)證服務(wù);

技術(shù)特性

· 海量用戶支撐

方案可根據(jù)證券業(yè)務(wù)的響應(yīng)能力進(jìn)行資源的動(dòng)態(tài)調(diào)整，有效的支撐證券海量用戶業(yè)務(wù)系統(tǒng)的并發(fā)能力，最終用戶支撐量達(dá)億級(jí)。

· 簽名密鑰分割

方案依托密鑰分割技術(shù)，將傳統(tǒng)密鑰進(jìn)行數(shù)學(xué)分割為客戶端密鑰因子與服務(wù)器端密鑰因子兩部分，保證密鑰的安全存儲(chǔ)。

· 密鑰存儲(chǔ)應(yīng)用安全

證券用戶的服務(wù)器端密鑰因子存儲(chǔ)采用硬件級(jí)加密，不會(huì)明文出現(xiàn)在硬件之外;在證券業(yè)務(wù)簽名過程中，密鑰因子的調(diào)用要求用戶的授權(quán)許可，充分保證密鑰存儲(chǔ)應(yīng)用安全。