1
背景介绍
证监办发文《关于加强证券期货领域国产密码应用推进工作的通知》及《证券期货业密码应用工作规划(2015-2020年)》,金融信息安全是国检信息安全的重要组成部分,密码技术作为保障信息安全的核心技术,在金融领域得到了广泛应用,密码的安全可靠和科学应用关系到我国金融安全。因国密算法应用涉及密码设备的升级替换和应用系统的改造,为确保业务系统正常运转,前期将选取技术实力较强的行业机构,在充分测试的前提下,采取先边缘系统再核心系统、先试点再扩大的步骤,稳步实现全行业国密算法应用工作目标。对于试点中发现的问题及时整改、快速迭代,并将经验在行业内推广。
需求分析
随着移动互联网的普及,证券用户越来越多依赖移动端。满足国密需求需要每个用户采购智能密码钥匙,导致证券系统成本高且携带不便,用户需要在手机之外携带额外的硬件介质;同时,证券用户手机的多样性增加了硬件接口对接复杂度,针对硬件调用的中间件开发难度较大。
证券面向最终用户安全通道服务大部分基于国际标准算法,但是随着信息技术高速发展,很多算法(如RSA1024,RC4等)存在安全漏洞,已不再被信任。通用基于口令保护身份私钥、证书及密钥容易被复制,证券客户、服务身份可被冒用。
国家等保、密评及证券行业政策等都对数据的保密性、完整性、一致性、不可否认性有明确国密要求。用于强身份认证、数据加解密的密码算法应符合国家密码管理局等相关部委制定的政策、法规,以保证系统服务的安全性。
证券行业对信息实时要求度高,证券服务对业务稳定性、高效性具有高标准要求,实现及时、全面、准确的信息传输,对加密产品及应用提出更高需求挑战。
典型案例
证券服务光润通提供的智能加密网卡国密安全接入技术,通过工业标准的加密算法保障安全性,具有身份认证、传输加密等多种功能。光润通深入参与了证券业务安全接入的加密建设工作,硬件加密网卡接入网关设备后面向主站业务系统,提供集中、统一的安全认证服务;
技术特性
· 海量用户支撑
方案可根据证券业务的响应能力进行资源的动态调整,有效的支撑证券海量用户业务系统的并发能力,最终用户支撑量达亿级。
· 签名密钥分割
方案依托密钥分割技术,将传统密钥进行数学分割为客户端密钥因子与服务器端密钥因子两部分,保证密钥的安全存储。
· 密钥存储应用安全
证券用户的服务器端密钥因子存储采用硬件级加密,不会明文出现在硬件之外;在证券业务签名过程中,密钥因子的调用要求用户的授权许可,充分保证密钥存储应用安全。