安全生产清算网络安全方案草案.docx

1、安全生产清算网络安全方案草案（安全生产）清算网络安全方案草案中国建设银行总行清算网络安全方案(草案)引言随着计算机网络的普及和推广，网络的应用范围的逐渐扩大，计算机网络及信息安全面临的形势越来越严峻，特别是网络上传输数据的保密性、完整性、抗否认性、身份认证等安全问题尤为突出。中国建设银行清算网络是一个覆盖总行、省行、地市分行、县支行等机构的内部公用业务网络，传送着关系建行和客户的敏感金融信息，解决好清算业务数据的保密性、完整性、抗否认性、身份认证和可追踪性对建行有着极其重要的意义。基于上述两点原因，北大青鸟商用信息系统有限责任公司，向中国建设银行总行提交中国建设银行总行清算网络安全方案(草案)

2、并为此感到十分荣幸，衷心感谢贵行对我们的信任和支持。在本方案中，我们将首先分析建行清算网络的拓扑结构、清算业务系统特点、已有安全机制，找出其中存在的安全漏洞，确定达到的安全目标。然后遵循设计原则，为实现建行清算数据的安全提出基于JB-56通用数据加密校验卡的一体化的安全解决方案，并对方案进行安全性分析。接下来介绍方案使用设备的选型，分析JB-56通用数据加密校验卡的功能、特点和性能。最后根据对主机类型、业务流量等因素的综合考虑，进行配置分析，给出所需的设备清单。应当指出的是，本方案尚属于提纲性质，对许多设计和实施细节未加具体说明。这些方面我们将在后续工作中进行深入的阐述。一、需求分析11清算网

3、络拓扑结构建行网络拓扑是树型结构，总行作为根结点，40个省级分行作为一级内部结点，400500个地市级支行作为二级内部结点，2000个左右的县级支行作为三级内部结点。各个内部结点还可以带有分散的网点，作为子结点。具体网络拓扑结构如图1所示：12清算业务系统建行的清算业务系统包括四个部分：总清算中心（总行）、一级清算中心（省级分行）、二级清算中心（地市级支行）和清算组（县级支行）。各级清算中心均有独立的主机进行清算业务处理。业务处理模式由清算网络的树型拓扑结构而决定，即总清算中心与一级清算中心之间进行业务处理，一级清算中心与二级清算中心之间进行业务处理，二级清算中心与清算组之间进行业务处理，同级

4、清算中心没有横向联系，不在同一分支下的业务请求则需通过分支节点清算中心进行业务处理。业务运行模式分为加急业务（实时）和普通业务（定时、定量）。13安全目标目前建行使用的清算业务应用系统已经初步考虑了安全问题。实现了业务数据的软加密和数据完整性校验（MAC），有一定的保密性和防篡改性。但是现有安全措施还很不完善，主要是因为：（1） 所用的加密算法是通过软加密实现的DES算法，强度不足以抵抗外部的进攻，容易被破解。（2） 没有提供强有力的身份认证手段，操作员身份容易被伪冒。（3） 没有提供数字签名的机制，不能保证业务及相关操作的有效性以及抗否认性。上述原因的存在使得有必要设计新的安全方案，提供更高

5、强度的安全保护，增加身份认证机制和数字签名机制，保障清算业务系统安全。要为清算业务系统提供安全保障，需要满足以下安全目标：（1） 网络传输安全性：各级清算中心、清算组以及网点之间的业务数据传输需要经过X.25，DDN，PSTN等多种公共网络，网络本身存在的安全漏洞会对业务数据的安全性造成威胁。如恶意攻击者通过网络窃听技术造成信息泄露，通过地址欺骗技术造成正常的业务数据被冒用和劫持等。（2） 报文数据完整性：即在清算系统的各级清算中心、清算组以及网点之间的业务报文数据生成及传输过程中，不能XX而被修改。（3） 权限控制及制约性：与清算系统运行过程相关的每个业务人员的操作权限都应有明确的划分和严格

6、的控制，并能相互制约。（4） 业务行为抗否认性：任何清算业务活动应留有充足的记录，指明该业务活动的授权、结果和所涉及人员。并能用技术手段保证清算系统业务活动操作人员无法否认自己所进行过的活动。（5） 运行环境安全可靠性：与清算系统相关的硬件资源(主机、服务器、网络设备)、软件资源(操作系统、应用系统)、操作人员的安全可靠性问题。（6） 业务系统间连接安全性：与外行及行内其它业务系统联接时的安全问题。二、总体方案设计21设计原则在分析了清算网络拓扑结构和清算业务系统的特点，看到现有安全机制不足以及提出针对现状的一些安全考虑之后，我们为清算网络安全解决方案的设计制定了以下原则：（1） 提供一体化的

7、安全解决方案；（2） 基本不对现有系统性能产生负面影响；（3） 大幅度地提高业务系统的安全性和保密性；（4） 尽量减少业务系统因采用新的安全方案带来的开发工作量；（5） 加/解密、加/合押、数字签名全部由硬件实现；（6） 安全产品应具有合法性和自主性；22设计思路在设计具体的安全方案之前，我们需要分别考虑各级清算中心之间进行清算数据传输的特点和要求，这里既有相同点，又有不同点。相同点体现在：（1） 各级清算中心之间进行严格的身份认证；（2） 每一笔业务都要有据可查，日志信息要真实准确；（3） 清算数据需要加密/加押/加签后传输，整个过程全部由硬件实现，算法强度遵从国家密码委员会办公室的要求；（

8、4） 处理过程不会对整个业务系统的性能造成较大的负面影响；因为有这些相同点的存在，方案中我们为各级清算中心设计了相同的加/解密、加/合押、身份认证、数字签名的机制。不同点主要体现在两个方面：（1） 业务流量不同。总清算中心与一清算级中心之间、一级清算中心与二级清算中心之间的数据流量远远大于二级清算中心与清算组之间的数据流量。例如总清算中心的业务流量平均为5万笔/天、清算组的业务流量平均为560笔/天。（2） 不同的清算点的清算主机类型及型号不同。例如总清算中心和一级清算中心的主机采用HP9000系列小型机，二级清算中心和清算组的主机大多采用PC服务器或PC机。在方案设计上，我们将根据各级清算中

9、心的业务流量和处理能力进行不同的配置，以适应各级清算中心的实际需求。所以我们整个方案的设计分为两部分：（1） 加/解密、加/合押、身份认证、数字签名机制实现方案设计；（2） 各级清算中心安全产品配置方案设计三、加解密、加合押、身份认证、数字签名机制实现方案遵循提供一体化安全解决方案和大幅度地提高业务系统的安全性和保密性原则，我们对加/解密、加/合押、身份认证、数字签名机制的具体实现进行详细设计。本方案中提到的各种机制适合总行与各级分行、支行。提供业务安全主要使用到的技术有：（1） 加/解密技术对数据加密后传输，可以防止数据泄露，提供数据保密性。（2） 加/合押技术对数据加押后，可以防止数据被篡

10、改，保证数据完整性。（3） 身份认证技术身份认证是实现存取控制和审计的基础，好的身份认证机制可以保证用户身份的真实性，抵制身份伪冒攻击。（4） 数字签名技术数据传输过程中需要增加数字签名，验证发送者的身份。这四种技术的使用配合使用。在下面方案的设计中我们将这四种技术融会贯通，结合使用，提供了很强的安全保障。31方案论述该方案将密钥分为三种：主密钥K_M、身份认证密钥K_C、工作密钥K_W。其中只有主密钥K_M是固定的，身份认证密钥K_C和工作密钥K_W均是在实际业务处理时生成的，每次身份认证和数据传输使用的密钥都是不相同的，每日的工作密钥在签到后加密下发，从而实现了Challenge/Resp

11、onse方式的身份认证和一次一密的机制。本方案的特点是：使用主密钥进行身份认证；公钥不参与认证；在线更改主密钥；公钥以最小使用概率出现；认证速度大大加快。具体业务流程设计如下：场景：下级行业务主机向上级行业务主机签到，之后进行业务数据的传输。要求：签到时上级行需要认证下级行的身份，认证通过后业务数据加密传输，传输内容需要带有数字签名。前提：下级行在硬件加密卡中保存自己的主密钥K_M，上级行可以根据下级行的ID得到保存在本地硬件加密卡中的下级行的主密钥K_M。流程：（见下图）业务请求+ID加密业务数据+数字签名32安全性分析上面的安全方案有以下四个优点：（1） Challenge/Respons

12、e身份认证机制下级行每次向上级行签到时，上级行生成的认证密钥K_C是Challenge，下级行发回的使用K_C加密的认证信息是Response。每次签到进行的身份认证不同，可以防止恶意攻击者在合法操作员完成正常的身份认证之后，截取该次身份认证的内容，伪造该合法操作员的身份，即抵制重复攻击。（2） 一次一密的加密机制每次签到后会使用不同的工作密钥进行传输，这样可以防止恶意攻击者在破解了前一个工作密钥之后对以后的业务数据造成威胁。（3） 数字签名密钥一次一密数据传输过程中需要增加数据签名，保证数据传输的完整性和识别、证实发送者身份。方案将工作密钥作为签名密钥使用，所以签名密钥可以作到一次一密，可以

13、防止恶意攻击者在破解了前一个签名密钥之后对以后的业务数据造成威胁。（4） 密钥管理简单建行业务是两级业务，上级行只需要保存其下属下级行的主密钥。身份认证密钥和工作密钥（数据加/解密和数字签名）是在实际需要认证和传输数据的时候生成的，不需要预先保存。32安全性分析为了提高安全性，还需要注意三个问题：（1） 密钥的安全分发与存放密钥（主密钥、公钥/私钥）的安全性非常重要，因为它是保证身份认证密钥和工作密钥安全的基础。对于建行二级业务结构而言，密钥分发分为以下几步： 上级行产生下级行的公钥/私钥，存放在IC卡中，使用IC卡口令的HASH值保护加密后，下放到各个下级行中； 下级行主机所带加密校验卡通过

14、外带IC读写器将卡中公钥/私钥读到加密校验卡中存放。该过程需要下级行操作员知道IC卡的口令才能进行。 主密钥由利用下级行公钥保护传输、在线更换。只能有和所用公钥相对的私钥才能解密。（2） 身份认证密钥和工作密钥的随机性身份认证密钥和工作密钥实际上是随机数，保证产生随机数的随机性非常重要，否则攻击者按照随机数产生的规律性伪造合法的密钥。加密校验卡中的噪声源用来产生随机数，随机数的产生会用到加密校验卡当前状态，时间，系统状态等信息，这种产生随机数的方式因为有硬件加入带来了良好的随机性。（3） 加密算法的安全性问题加密算法的安全性主要依赖于算法的选择和加密密钥长度，必须选择安全的加密算法，并保证密钥

15、的有一定的长度。加密校验卡中的算法本身是保密的，在一定程度上可以增强抵制抗破解的功能，并且算法是自主设计，自主开发的，不存在密钥长度的限制。四、产品配置方案41加密设备选型遵循选用的安全产品具有合法性和自主性原则，方案中使用的硬件加密卡采用由北大青鸟自主研制的JB-56通用数据加密校验卡。411功能和特点JB-56通用数据加密校验卡的研制是在Internet日渐普及，网络信息安全需求越来越突出、金融电子化程度越来越高的背景下进行的，最初研制时从主客观方面都考虑到目前的金融网络及信息安全的需求，用于解决应用层安全性问题的基于PCI扩展槽的加密校验卡。能够实现数据加/解密、数据加/解押、身份认证和

16、数字签字。支持备份、恢复，动态密钥管理（密钥生成、分发、储存等）、签到管理（身份认证、密钥分发、注销）、营业点管理（增、查、改、删）等。它采用中心存储式是密钥体系结构，挑战应答式的身份认证方式，以C/S体系为核心，支持D-H公钥体系结构的软件扩展。加密校验卡的硬件特点：1 硬件实现加解密、身份认证和数字签名机制。提供加解密子模块、身份认证子模块、密钥管理子模块等。2 对于需要在该卡上进行相应软件开发和系统开发的高级用户，该卡提供了丰富的软件接口，以驱动程序和接口库以及应用程序的形式提供给用户。3 加密校验卡的提供成熟的API接口，这意味着以后即使卡进行升级，其上开发的应用程序不需要重新编译。4

17、 工作在具有PCI扩展槽的PC机上，以扩展卡的形式作为外部设备进行工作。5 开放性API软件接口，与操作系统平台无关。同时考虑到未来版本的升级、扩展、功能完善、性能改进、可移植性等一系列相关问题。6 支持计算机PCI主频33MHZ（5V标准，PCI接口数据吞吐量132MB/S）和66MHZ（3.3V标准，PCI接口数据吞吐量264MB/S）两种接口档次。7 PCI加密卡支持PCI规范2.2版，并对PCI规范2.1版保持兼容。8 兼容PnPBios1.0A以上版本。9 支持无跳线方式和PnP方式。10 兼容大端系统和小端系统。11 支持8位、16位、32位和64位I/O工作方式。12 支持I/O

18、对内存的映射和重定位。13 硬件的配置由软件进行配置。14 设置有配置寄存器，可以进行在线编程。15 每张加密卡有自己唯一的只读ID号，长度为8个字节。前4个字节为类型标识，后4个字节为流水号。16 支持双卡的联机热备份，能够动态切换。17 可以单独使用，也可以多卡配合使用。支持多卡的负载均衡和抢先多任务调度，采用加权FIFO的方式进行任务管理。18 支持多机的任务调度和负载均衡，支持内存写拷贝、总线锁定、寄存器同步、磁盘阵列备份。19 支持加密卡内部信息的其它介质备份和恢复。20 加密卡以嵌入式系统的方式工作。21 支持本地和远程状态监控，客户化API显示，可以动态了解卡工作状态，便于故障排

19、除。提供自检的API和测试软件，以时钟触发与任务空闲调度的后台监控相结合的方式对卡状态进行实时检查。最小任务片断分割采用自适应系统与自校正调节器相结合的方式。22 支持不同客户特殊代码设计，可以为各个客户提供不同产品。加密校验卡的算法特点：1. 加密算法使用硬件逻辑实现，最大限度避免了软件故障问题。2. 密钥加密、带押存储在卡内。3. 关键信息不落地，不在计算机内存中出现。4. 数据加密：在加密卡内实现对称算法和公钥算法。对称算法用国家密码委员会办公室批准的128位密钥高速算法芯片实现，公钥算法用国家密码委员会办公室批准的1024位高速算法芯片实现。5. 数据加押：用国家密码委员会办公室批准的

20、128位密钥高速算法芯片。6. 操作员身份认证：用国家密码委员会办公室批准的128位密钥高速算法芯片。7. 加密校验卡上带有噪声源，生成的随机数随机性好。412加密校验卡的性能（1） 与江南计算所合作，采用国家级工业水平。（2） 经过严格的冷、热和老化实验。（3） 对每块卡出厂前进行严格的检验。（4） 严格遵循ISO9001标准，控制设计、生产、过程检验、最终检验、售后服务等每一个环节。（5） 对称数据加解密速度大于40Mbps，低速卡的数字签字速度大于5次/秒，高速卡数字签字速度大于25次/秒。如果需要提高速度，可以在卡上集成多个加密芯片，峰值加解密速度可以达到每秒约1Gbit。（6） 满足

21、现有业务处理速度需求，并留有相应扩展能力。（7） 适合于建行现有机型和现有系统。（8） 支持多用户管理。（9） 支持两级权限控制仿UNIX技术制：Root级和User级。（10） 支持DTE在线配置和管理。提供完善的专用配置软件，用于配置加密卡的初始状态、用户信息、接口方式、工作模式、大端系统与小端系统切换、密钥管理方式等硬件信息。（11） 支持传统ID/口令字体制和现代IC卡管理体制。可以外带IC卡读写器，支持使用IC卡的认证方式。413加密校验卡在安全方案中的应用JB-56通用数据加密校验卡应用在加密前置机和PC服务器上。业务系统的开发人员可以调用该卡提供的接口函数，按照方案中设计的业务流

22、程，实现加解密、数据加押、身份认证和数字签名的功能。下面简单描述JB-56通用数据加密校验卡使用中的几个问题。(一) 操作员管理1. 一块加密卡支持最多16个用户。2. 采用二级用户权限控制，一个Root和最多15个User。Root对User进行管理，如增、查、改、删等数据库操作以及密钥管理操作等。3. 操作员以操作员ID和口令字进行标识。4. 操作员身份认证支持传统的ID/口令字方式和IC卡身份认证。5. 身份认证的方式通过软件进行配置。6. 用户口令字单向加密后存储在加密卡上的存储器中。7. 加密卡在进行正常业务工作前必须进行操作员身份认证。(二) 密钥管理1. 加密卡内部采用三级密钥管

23、理。公钥/私钥、主密钥和工作密钥。2. 公钥/私钥由操作员口令加密，主密钥由公钥加密，工作密钥由主密钥加密。3. 密文的公钥/私钥和密文的主密钥保存在加密卡内部。4. 工作密钥由加密卡上的噪声源产生。5. 主密钥由公钥保护传输、在线更换。6. 上级节点发送到本级节点的公钥/私钥由IC卡作为传递媒介。7. 加密卡具备生成公钥/私钥的能力，并通过IC卡向下级节点发送。8. 更换主密钥或者公钥/私钥的操作，必须由Root进行。9. 加密卡内部信息的备份和恢复由Root进行。10. 支持密钥的分段管理方式。(三) 逻辑关系1. 加密卡遵从网状模型设计，设置有明确的上下级逻辑关系。2. 下节点的公钥/私

24、钥和主密钥由上级进行分发。3. 下级节点与上级节点会话时使用的工作密钥在下级向上级签到时由上级节点产生，并使用主密钥保护后下发。4. 每张卡支持最多64个上级节点和64个下级节点。(四) 关键流程1. 初始化流程每张卡缺省工作方式为PnP工作方式；缺省身份认证方式为操作员ID和口令字方式；缺省用户ID为Root，口令字为Root；没有上级节点和下级节点。用户使用Root身份进行身份认证。接着配置下次身份认证的方式：如操作员ID和口令字方式，则可以变更下次登录的口令；如为IC卡方式，则必须生成操作员的IC卡，并将操作员的身份设置为Root身份。然后配置上级节点和下级节点的有关内容。上级节点的配发

25、信息由IC卡配发，然后向上级节点进行身份认证。然后生成下级节点的信息，并写入IC卡，由下级节点领用。2. 启动流程首先必须使用IC卡或者ID和口令字方式进行身份认证。然后，接收下级的签到和下载工作密钥，并同时向上级节点进行网点身份认证，并从上级领用本次签到的工作密钥。3. 工作流程在工作过程中，采用交互方式进行。(五) 口令字管理1. 用户ID的长度为8个字节。不足部分用NULL字符填充。2. 每块卡至少有一个操作员，ID为Root，口令字缺省为Root。3. 其余操作员由Root负责管理。Root有权随时指定用户和口令字。4. 操作员可以在核对口令字正确后修改自己的口令。Root有权修改自己

26、和其他操作员的口令。5. 使用专用配置软件可以将用户情况恢复到初始状态。(六) IC卡1. IC卡包括传输介质型（用于传输公钥/私钥）和身份认证型（用于表明操作员身份）两种。2. 用于传输密钥的IC卡设置口令，并利用口令表明操作员的身份。IC卡中存储的密钥被口令字加密，在没有正确口令字的情况下不可读取和复制。IC卡中记录有加密卡的ID号，和加密卡一一对应。3. 用于表明身份的IC卡由加密卡本身产生，上面记录有用户的ID、口令字和登录信息指纹。在每次登录后，该指纹发生变化。(七) 国别转换1. 内核采用宽字符格式。2. 支持HZ、GB2312和BIG5等多表码自动识别。3. 支持宽字符和ANSI

27、字符的自动识别。(八) 版本1. 在加密卡硬件内部记录有可以设置的版本号，当前版本为1.0版。2. 高版本的软件兼容版本的软件。3. 软件在初始化过程中检测加密卡的版本号，只有必须大于或者等于加密卡版本号时才能正常工作。4. 加密卡内部程序升级过程中也升级版本号。5. 版本检查可以屏蔽。42配置方案421总清算中心配置分析由于总清算中心主机使用的是HP9000系列小型机，其硬件接口与标准的ISA、PCI总线接口不兼容。我们采用在主机之前设置加密前置机，将加密校验卡安装在加密前置机中的方法解决这个问题。根据业务量的需要，可设置多台加密前置机，在每台加密前置机上安装多块加密校验卡，以提高总吞吐量。

28、并通过合理分配每台前置机、每块加密卡的负载，实现负载平衡。目前总清算中心的日平均流量为5万笔，高峰可达67万笔。一笔业务大约需要传输700800个字节。一般业务集中在下午。我们假设下午两点到三点业务量达到峰值，总清算中心和下属40个一级清算中心通信的x.25网络流量达到饱和，x.25网络实际吞吐率为256Kbps，总清算中心峰值流量为256Kbps*4010Mbps。根据数据加密校验卡加密速度的理论值估算，支持PCI接口的校验卡完全可以满足现有要求。综合考虑到未来业务量的增长、负载分配的效率、理论计算值的误差和其它不可预见因素，建议总清算中心的配置为两台加密前置机，每台前置机上使用三块PCI总

29、线的加密卡。此外，由于银行业务的不间断性的要求，硬件设备使用过程可能出现意外情况，应有充分的冗余备份措施。如采用一备一的方案，总清算中心应配置四台加密前置机，每台前置机上使用三块PCI总线的加密卡。422一级清算中心配置分析各一级清算中心主机大多为HP9000系列小型机，业务流量一般在5000笔/天，高峰可达60007000笔/天。假设某个一级清算中心带有20个二级清算中心，DDN网络流量为128Kbps。按照总清算中心的配置分析方法，流量峰值为128Kbps*202.5M。综合考虑各种因素，各一级清算中心的配置应达到两台加密前置机，每台前置机上使用两块PCI总线加密卡。对于业务量较大的中心，

30、可考虑增加一台加密前置机。423二级清算中心配置分析由于二级清算中心大量采用HPPC服务器，考虑其硬件接口的兼容性，可选用PCI总线的加密卡，直接插在服务器上使用。假设某个二级清算中心带有5个清算组，DDN网络流量为128Kbps，流量峰值为128Kbps*40.5M。根据业务流量的需要，综合考虑未来业务增长、冗余备份等因素，各二级清算中心应达到两块PCI总线加密卡的配置。部分使用PC机做主机以及服务器PCI插槽数不够的二级中心，可通过使用ISA总线加密卡或增加加密前置机的方式解决。424清算组配置分析清算组机构数量较大，业务比较零散，大多数以PC机做主机，可选用PCI总线加密卡直接插在机器上

31、使用，这样也比较好的控制了成本。如考虑冗余备份等因素则至少应有两块加密卡。425与“友邻”系统联接情况分析“友邻”系统指建行计算机网络内但在清算系统之外的各计算机系统，及其他银行的计算机系统。这些系统之间经常有业务往来和数据交换。注意到，“友邻”系统并不处于本系统的直接控制之下，故是不可信任的。这些网络连接也将对清算系统构成一定的威胁。此部分待进一步明确需求后，在第二版方案中作详细分析。426各级清算中心网络拓扑图总清算中心与一级清算中心网络拓扑如下图：二级清算中心与清算组网络拓扑如下图：五、设备清单机构名称机构数量配置方式加密前置机台数加密卡类型单台加密前置机配置加密卡块数加密卡块数合计总清算中心1前置机4PCI312一级清算中心40前置机2PCI2160二级清算中心500插卡/前置机数量不详PCI2（插卡）1000清算组2000插卡无PCI2（插卡）4000注：以上数