金融行业国产密码应用解决方案

行业国产密码应用解决方案

7

01法律法规摘要

3

IIIIIII法律法规

密集的法律法规出台，助推商密产业进入发展快车道。

《密码法》于2020年1月1日起正式施行。

《信息安全技术网络安全等级保护基本要求》（等保2Q）2019年12月1日正式实施

金融和重要领域密码应用与创新发展工作规划（2018・2022年）的通知（36号文）。

《信息系统密码测评要求》发布，首批27家密码测评机构审批通过。

（GB/T39786-2021信息系统密码应用基本要求》2021年10月1日正式实施

《关键信息基础设备安全保护条例》（征求意见稿）发布

《商用密码产品生产和保障能力建设实施指南》发布

《商用密码管理条例》1999年发布

《手机银行信息系统密码应用技术要求》、《网上银行密码应用技术要求》等4项要求发布。

《金融行业信息系统商用密码应用基本要求》（送审稿）

银行业国密改造背景

2016年-实际性推进：银行开始改造

•各银行开始着手进行改造

2015年-产业化推进：发改委第二批试点申报

•银发[2015]11号：关于推动移动金融技术创新健康发展的指导意见

•金密组发[2015]2号：金融领域国产密码应用推进工作2015年工作安排

•国办发[2015]44号：关于加强重要领域密码应用的工作安排

•国家发改办高技[2015]1541号：加快推进重要行业重要信息系统网络安全试点示范

2014年-产业化推进：一批试点

•国办发[2014]6号：国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知

•金密组发[2014]2号：金融领域国产密码应用推进工作2014W工作安排

•国办发[2014]4号：关于加强重要领域密码应用的重要意见

•公信安[2014]2182号：关于加强国家级重要信息系统安全保障工作有关事项的通知

•银办发[2014]246号：中国人民银行关于进一步做好金融IC卡应用工作的通知

2013年-产业化推进：发改委首批试点落地（典范鹤壁银行）

•中国人民银行PBOC3Q:中国金融集成电路（IC）卡规范银监办函

•中国银监会办公厅[2013]89号：关于报送在华外资银行国产密码应用推进总体策略的报告

56后程二总林婉划

•国发[2012]23号：国务院关于大力推进信息化发展和切实保障信息安全的若干意见

•中国人民银行：中国金融移动支付标准（报批稿）

•发改办高技[2012]3096号：金融领域安全IC卡和密码应用专项

金融行业信创

信创二信息技术应用创新

金融信创二金融行业信息技术应用创新

国密改造于金融信创

银行业国产密码应用解决方案

3

银行业国产密码应用解决方案-典型场景

目

§目…一典我一庭

璐双用场II

!金机卡-鬻

分辐中躯身

!@§

0日

：两哼具：[esses：

•・・・・・・・・・・・・・•:7W,

ftlHS网极案姥••••••••••••••»••旺•

：3传：

00[30S•iig

：：

：ae：

•3913—•••••••••••••••

：eswt*o

___________________

「滞窗；

：IOS：：XS：

«••••••••••••*•••••••・・•・••・

3，王说一

；•・・・2•・m・・M・・I・M・•・W・・E・・・/：:!•4••应••用•••坦••文•••加••密•••!;%•横•••叼•••■•••建•••：

圜回回画回

g播卷网曾

用户

银行业国产密码应用解决方案-典型场景

银行业典型信息系统包括客户服务渠道(无卡渠道和有卡渠道)、银行核心业务系统、银行业中心节点关

键系统等。

(1)身份认证：使用金融IC卡、动态令牌、智能密码钥匙等密码产品实现对客户身份、服务器身份等的认证。

(2)终端机具认证：使用密码技术对柜面终端、ATM机、POS机等进行认证。

(3)传输通道加密：使用密码技术建立安全通道，实现终端与银行业务系统间、银行业务系统与非银行业第

三方对接系统间、银行业务系统与银行业中心节点关键系统间重要敏感信息的加密传输。

(4)应用报文加密：使用密码技术，实现终端与银行业务系统间报文、银行业务系统与非银行业第三方对接

系统间报文、银行业务系统与银行业中心节点关键系统间报文等的加密传输。

(5)存储加密：使用密码技术，实现对系统存储的用户口令、用户隐私信息、重要交易数据等的加密保护。

(6)签名验签：发送方使用密码技术对关键数据进行数字签名，接收方对签名进行验证，用以确认数据完整、

身份真实，确保行为不可抵赖。

(7)密钥管理：根据安全策略，对银行信息系统所采用的各种密钥进行全生命周期的安全管理。

银行业国产密码应用解决方案一国密算法改造

银行业第

集成设计

方案

业务系统密管、数据准备系统ATM、POS浏览器、客户端

升级

个人化系统前置系统、IC卡管理系统SSLVPNsUKEY

发卡环节交易环节网银环节

算法调用同时支持国产加密算法与国际加密算法

安全支撑

统一密码服务平台

平台升级

密码设备金融数据密码机签名验签服务器

升级

银行业国产密码应用解决方案-网银国密改造

数字证书改造USBKey改造

浏览器改造密码控件改造

SSLVPN改造签名验证服务器改造

柜面密码键盘改造柜面系统改造

个人网银客户端改造个人网银服务端改造

企业网银客户端改造企业网银服务端改造

II

银行业国产密码应用解决方案-网银国密改造

银行业国产密码应用解决方案-非银行支付

•终端安全模块和密码控件为支付终端外

部系统提供密码应用支撑

/智能移动终端安全密码模块及相关移动一

终端安全加固类模块

/密码控件付

•支付平台安全模块为手机钱包、商户中线

心、电商收银台等业务系统提供密码应会

用支撑，可对接第三方CA,提供在线证XLLI计

系

书管理服务乂而统

/密码服名平台

/认证管理服务系统

g度中心

/密码机

/密码控件

♦联前・

银行业国产密码应用解决方案-移动支付

采用协同签名技术，密钥分段存储，加解密的计算均采取分段计算模式，保证计算的安全性。为移动终端提供加解密服务、密钥管

理、证书管理、身份认证、敏感信息安全访问、传输和存储等服务，实现手机银行的高安全认证，保证交易信息的完整性、机密性

和不可抵赖性。系统由密码软卡和密码服务平台系统组成，密码软模块安装在移动终端，可对外提供API库与应用系统集成，也可

自运行，统一密码服务平台系统部署在银行中心端。

移动终端密码服务平台

密码服务管理系统

集中式的密钥分发和认证管理

手机银行其他应用

•开放架构基于标准的认证服务平台，能够与各种认证

密码服务管理系统SDK

方式对接

I•集中式的密钥分发和处理，通过密码设备集群提升认

密码服务管理系统证性能

VPN通道

证书管理系统公钥

服务端/客户端开发套件

密钥管理系统私钥d2

•提供服务端和客户端开发接口（SDK）,可嵌入在

।a2手机银行APP中使用

•JAVA开发，支持多种操作系统

密码机池

金电密码机…金融密码机•支持IOS和安卓系统

银行业国产密码应用解决方案-互联网金融交易

保障环

保障方式

节

百队SIY

认证要素

硬件更体提供USBKEY作为PC设备认证要素载体；提供蓝牙

key作为智能移动终谎认证要素栽体

身份江证

保障队节通过*户端安全套件发起认证请求；通过SSLVPN网

关建立安全通信连接；通过签名验签服务器验证身份

人发■拿怜，・

0合法性

PC支付刖户安9

卜人9•0・

身份认证

保障环节通过金IB数据密码机甄证用户身份合法性

加京。ae

况❷移动终坳身份“证通过签名验签股务器、金联据密码机设备对支付认

支忖用户保障环节

证要素的传递进行加密保护；通过平台核心系统金鼬

Q数据S?码机或银行网银系统完成支付认讦尊素的验证

B门数据俣护

5R通过客户端安全套件对提交的重要数据进行签名；由

♦个义签名验签服务同验证数据完整性

周忖1用户.酚队*-XJ~0

1器斓

岛数据俣护

环书通过签名编签服务H、金融数搪密码机完成数据的传

输加密与存储加塞

联机攵。网户Q

fllllll银行业国产密码应用解决方案-数据存储加密

银行系统涉及大量个人信息数据、身份鉴别数据、重要业务数据，如果发生数据泄露可能会对大部

分银行用户造成严重损害和社会秩序损害，应使用国产密码技术保障数据存储的机密性和有效性。

■统一密码服务平台提供SaaS服务，服务订阅开通使用便捷，高

可用。

■统一密码服务平台提供加解密管理，权控策略，密钥生命周期,

审计日志，数据可视化等集中管理服务，安全服务尽在掌控。

■数据库插件端和统一密码服务平台之间信息交互使用高安全的

国密加密，密钥和策略分发高安全保障。

■数据库数据透明加密使用国密SM4加密，提供密钥轮换等高安

全加密机制保障。

03保险、证券业国产密码应用解决方案

3

腼W保险、证券业国产密码应用解决方案-电子保单系统

电子俣单

幅答名

网箱平台

雌2殿雪

U字签名

电了保单仲

4线检if平台

赛建舞名

电子保单办理环节密码应用