国密改造——银⾏系统国产密码改造应⽤
中国人民银行安全控件下载安装⼀、何为国密改造?
2012年,⼯信部和公安部通告了RSA1024算法被破解的风险,为保证⾦融⾏业各基础信息系统安全,中国⼈民银⾏要求各银⾏对⽹上银⾏等信息系统进⾏国产密码算法改造。2012年,中国⼈民银⾏向多家银⾏发布了《银⾏业国产密码应⽤总体规划》及《总体⽅案》征求意见稿;同年,⼈民银⾏转发了发改委的试点通知并建议⽹银⽤户5000万以上的银⾏参与⽹银系统国密算法改造试点项⽬。2014年国务院转发了多部门联合制定的《⾦融领域密码应⽤指导意见》(国办发【2014】6号),要求各⾦融机构5年内完成在⽹上银⾏、移动⽀付、⽹上证券等重点领域国产密码算法的全⾯应⽤。
⼆、改造要求
按照中国⼈民银⾏关于推进国产密码在⾦融领域应⽤的实施⽅案,银⾏需在⽹银系统对安全⼯具、安全基础设施进⾏国产密码算法的应⽤改造,改造需求包括:
1. 需使⽤包含国密数字证书和国密算法的USBKey(智能密码钥匙);
2. 需使⽤基于国密算法的动态令牌;
3. 需使⽤通过使⽤国密专⽤浏览器建⽴国密SSL(Secure Sockets Layer,安全套接层)隧道连接到⽹银系统;
4. 需使⽤基于国密算法对交易等数据进⾏电⼦签名。
三、⽹银系统国密改造
前端改造:
密码控件⼚商提供国密算法⽀持,替换之前的标准密码控件版本,引⽤最新的国密密码控件和提供最新的密码控件API。
前端对国密算法密码控件集成,替换之前的标密API引⽤,同时替换加密平台公钥信息。
前端提供最新控件下载⼊⼝,替换之前页⾯的控件下载链接。
控件解密改造:
⽹银后台根据密码控件⼚商提供最新的国密算法API,重新集成新的密码控件解密API,对国密算法密码键盘加密后的上送数据进⾏对称解密
应⽤转加密改造:
登录密码:
前端更新密码控件为国密算法控件,加密所需的公钥为加密平台最新的国密公钥数据,最终⽹银前端上送到⽹银后台的登录密码密⽂数据为国密算法密⽂,⽹银应⽤先调⽤密码控件API做对称解密后,在调⽤加密平台制定的转加密API,最终返回的转加密后的密⽂,有如下两种情况:
国密控件调⽤最新的公钥加密后的密⽂,调⽤加密机转加密API1,返回的密⽂串与原先的标密转加密密⽂⼀致,则⽹银应⽤直接做密⽂验证即可。
国密密码控件调⽤最新的公钥加密后的密⽂,调⽤加密机转加密接⼝,返回的密⽂串与原先的标密转加密密⽂⼀致,此时判断⽤户是否⾸次使⽤新的密码控件登录,若是则调⽤加密特殊的转加密API2,转加密后的密⽂与标密⼀致,⽹银应⽤做验证,验证通过后调⽤转加密API3,返回国密算法密⽂数据,并保存在数据库中,否则直接与保存在数据库中的国密密⽂数据进⾏⽐对。
交易密码:
⽹银账号交易密码不在⽹银系统落地,在前端更新的情况下,密码控件加密后上送的密⽂是国密密⽂,加密平台需要提供转加密API给⽹银应⽤后台调⽤,转加密后返回新的密⽂库,待⽹银应⽤核⼼验
证接⼝进⾏交易密码验证,验证通过后交易成功。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论