作者简介
唐明环,中国信息通信研究院云计算与大数据研究所金融科技部金融科技应用与安全工程师,主要研究领域包括商用密码应用、金融科技技术与应用、金融网络安全等。
许一骏,中国信息通信研究院云计算与大数据研究所金融科技部技术总监,主要研究领域包括金融科技技术应用、信息技术风险防控、商用密码与区块链技术应用等。
徐秀,中国信息通信研究院云计算与大数据研究所金融科技部工程师,中科院信工所密码学博士,主要从事公钥密码算法的研究,特别是椭圆曲线密码和超奇异同源后量子密码,在亚密上发表过学术论文。
一、商用密码产业迎来重大发展机遇
密码是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。密码不仅可以实现对信息的加密保护、完整性保护,还可以实现对实体身份和信息来源的安全认证。2019年10月26日,十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》(以下简称“《密码法》”),并于2020年1月1日起正式施行。《密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益。
根据《密码法》的规定,国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码。商用密码用于保护不属于国家秘密的信息。《密码法》明确提出要鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,鼓励和促进商用密码产业发展。在我国,商用密码已经广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融、电子政务、税务、公安、社保、交通、卫生健康、能源、通信等众多领域。随着《密码法》的施行,商用密码产业迎来重大发展机遇。
二、金融行业是商用密码应用的先行者
金融安全是国家安全的重要组成部分。信息化浪潮推动了金融领域深层次的变革与创新,信息技术的广泛应用极大地促进了金融业务的发展。与此同时,各类金融信息系统都不同程度地涉及用户个人属性、资金交易、合同等敏感信息,对金融信息安全带来了极大的威胁与风险。密码作为保障信息安全的核心技术,在身份认证、信息完整性和保密性、电子合同不可抵赖性等方面发挥着关键性的作用,有效防止了敏感信息泄露、财产损失或业务中断,对维护金融信息安全具有重要的意义。
正因如此,金融行业一直是商用密码应用的积极实践者和先行者。
2013年,央行发布了支持SM 系列算法的PBOC 3.0标准,推动金融领域密码应用,取得显著成效。
2015年,证监会和保监会分别制定了工作规划,明确要求逐步在各类业务系统中完成密码应用建设和升级改造。
2019年,央行发布《金融科技发展规划(2019-2021年)》,制定了利用密码等技术健全网络身份认证体系的重点任务。目前,商用密码在金融领域得到了广泛的应用,有力地保障了金融信息安全和金融系统安全运行,保护了公民个人隐私和财产安全。
三、金融行业商用密码应用的典型场景
金融行业的商用密码应用场景包括传统的金融柜面系统,网上银行、网上证券交易、网上投保等各种网上系统,以及各种金融机构之间的横向信息系统,如支付清算系统、登记结算系统、保单登记平台等。以下分别就银行、证券、保险行业商用密码应用的典型场景进行介绍。
1. 金融IC卡中的商用密码应用
金融 IC 卡是国际通用的基础支付方式,是整个支付产业的重要基础。用户通过ATM机、POS机等终端完成交易,为保证线下交易的安全性,银联协同商业银行完成了商用密码算法在金融IC卡领域的应用,采用芯片技术和多种密码安全认证技术保障持卡人用卡安全,有利地推进了金融行业商用密码技术的应用进程。线下交易过程中,商用密码发挥的主要作用包括:
(1)通过数据加密、消息验证、认证技术等,保证卡片密钥的装载安全;
(2)通过对用户进行身份标识和身份鉴别,保证用户身份的真实性;
(3)通过加密技术和认证技术,保证金融IC卡数据、持卡人数据、交易信息和日志信息等在传输和存储过程中的保密性和完整性;
(4)基于商用密码算法进行加密,保证PIN在网络传输和验证时始终不以明文形式出现,保证工作密钥在应用系统交易中始终不以明文形式出现。中国银联商用密码算法应用的实践过程充分验证了产业实施密码体系升级的可行性,有效带动了整个金融行业进行密码算法升级改造。据统计,截至2017年上半年,银行业商用密码芯片供货量超过亿片,超过600万台POS机和近50万台ATM机完成了密码应用升级改造 ,同时多家银行和收单机构的业务系统也已完成商用密码算法的升级改造。
2. 网上证券交易系统商用密码应用
网上证券交易系统是指证券公司推出的面向企业用户、个人用户提供证券交易等服务的信息系统。网上证券交易系统一般提供交易下单、查询成交回报、资金划转、金融资讯、实时行情等一体化服务。与传统的交易渠道相比,网上证券交易系统能为更广泛的客户群体实时提供多样信息,使用户可以足不出户就能安全便捷地使用金融服务。网上证券交易过程中,商用密码其中发挥的作用为:
(1)通过动态令牌或数字证书客户端工具实现用户和券商的身份认证,保证身份真实性、合法性;
(2)客户端与交易系统之间建立基于商用密码算法的SSL加密传输通道,保证数据在互联网传输过程的保密性;
(3)通过数字签名技术和散列函数保证交易信息不被窜改,保证了交易信息的完整性;
(4)通过数字证书和数字签名技术保证了用户和券商的交易行为的不可否认性。商用密码技术在证券行业的应用可以更好地保障客户的账号安全、资产安全、交易安全,但证券交易的高并发和低延时等要求,给证券行业商用密码改造工作带来了巨大的挑战。当前,证券行业稳步推进信息系统商用密码应用改造,某证券公司推出的网上交易系统实现了国密SSL、协同签名等技术在证券行业信息系统中的首次应用。
3. 电子保单中的商用密码应用
保险单简称为保单,是指保险公司与投保人订立保险合同的正式书面证明,保单记载的内容是合同双方履行权力和义务的依据。随着互联网和信息技术的发展,互联网线上交易逐渐在保险行业普及,客户购买保险不再依赖传统的保险办理方式,电子保单已成为重要途径。电子保单是保险公司基于电子签名技术和数字证书为客户签发的具有法律效力的电子化保单,实现网上投保、在线支付、保单签署等全流程的电子化。电子保单办理过程中,商用密码发挥的作用包括:
(1)通过身份认证技术,保证投保人与保险公司双方身份真实性。
(2)基于数字签名和电子签章技术保证电子保单完整性和不可否认性,并为投保人提供电子保单真实性验证方式。
(3)对电子保单办理过程中的相关信息(如身份证件、图像、签名)与电子保单结合进行数字签名和加密处理,并进行归档,保障电子保单具备法律效应,以便日后调阅或举证。电子保单的应用,提高了投保人的办理速度和保险公司的销售效率,而商用密码算法在电子保单的应用,保障了电子保单业务的安全,是网上保险发展的重要基石。
四、促进金融行业商密应用的发展建议
商用密码技术在金融行业得到了广泛的应用,然而,银行、证券、保险行业商用密码应用程度存在差异。银行业商用密码应用较为成熟,但是体系化建设仍需增强。证券、保险行业商用密码应用相对较少,而且证券交易对时延、稳定性要求高,对商用密码技术和产品的性能提出了巨大的挑战。随着大数据、云计算、人工智能、区块链等新兴技术在金融领域的应用,金融服务更加多样化,金融行业网络结构和网络应用日趋复杂,如何更好地应用商用密码技术保障金融安全,成为目前行业面临的严峻考验。为此,我们提出以下几点建议。
1. 稳步开展持续推进,完善密码应用体系
银行业要以稳步开展、持续推进为原则,不断巩固现有的商用密码应用改造成果。
一是要发挥国有大型银行机构的示范带动作用,为中小银行提供可资借鉴的经验;
二是要集中精力攻克核心业务系统改造的难关,以核心系统为枢纽,进一步推动各个系统的商用密码改造;
三是要从服务端到用户端形成商用密码应用的完整闭环,由当前的点状应用拓展到端到端应用,逐步解决底层设施、计算分析、应用服务、网络通道、接入终端等全体系商用密码改造,最终完成商用密码的全面应用,系统性完善商用密码应用体系。
2. 坚持分类分步原则,有序推进密码应用
证券、保险行业商用密码应用推广应充分借鉴银行业的实践经验,坚持分类推进、分步实施。
一是通过制定政策标准,开展密码专项研究,树立行业示范项目,奖励密码应用等方式,推动商用密码在行业的应用;
二是坚决执行主管部门的政策要求,将密码应用纳入到本单位科技规划和信息化工作中;
三是从边缘系统的密码改造入手,逐步向核心系统过渡,成熟后尽快启动规模化应用。
3. 布局新兴技术领域,推动科技融合创新
金融行业应及早布局新兴技术中的商用密码应用,推动商用密码技术与前沿技术的深度融合和协同创新。一方面,发挥密码技术在处理海量数据机密性保护、复杂网络实体认证等方面的独特优势,使其成为金融新技术、新业态的重要支撑。另一方面,密码技术本身就是金融科技创新的重要内容,例如,密码技术是实现数字货币技术安全和可信的核心要素。金融行业应加强金融科技创新中商用密码技术的研究及监管政策的制定,防患于未然,保障金融科技创新的安全。
(来源:中国信通院CAICT,2020年5月)