加密机在广东邮政个性化平台的应用
摘要 本文阐述在广东邮政个性化平台系统建设中期,为了更好地保证信息安全,引入加密机系统。本文重点介绍加密原理、加密机原理、加密机部署以及加密机在个性化平台应用。
【关键词】加密 加密机 密钥 邮政应用
1 背景介绍
应业务发展需要,2008年广东邮政在个性化平台上开发自邮一族系统。自邮一族系统是一套为车主提供交通违章、年票、车船税等与车有关的代办业务系统。系统一期开发了字符终端受理系统以及WEB后台管理系统,这两个系统用户都是邮政内部员工,部署的环境属于邮政内部综合网。在综合网相对封闭的区域网中,信息几乎不存在安全问题。
随着业务发展,系统从渠道上进行了拓展,逐步建设了各渠道子系统,包括:自助终端系统、会员网站系统以及代办点PC系统。自助终端系统为社会人员提供便利的车管业务办理;会员网站系统为自邮一族会员在互联网上办理服务套餐、业务受理;代办点PC系统是邮政加盟商用于为社会人员受理业务的代理系统。这些子系统有两个特点:一是使用者不是邮政内部人员而是普通用户;二是系统接入方式不是通过邮政区域网而是通过互联网。
这两个特点对系统提出一个新的要求,那就是信息安全。在互联网大环境中如何保障客户敏感信息传输安全、会员资料保存安全、业务信息存储安全等成为急迫需要解决的新问题。为达到这一目的,系统建设于2012年引入了加密机。
2 加密
2.1 加密的概念
加密是数据经过某种算法加工后形成不可读代码,使得未授权者即使在
获取该段代码后也了解不到原信息内容的数据处理手段。它包括五要素:
明文:需要加密的数据;
密文:加密后的不可读数据;
密钥:使明文变成密文或者密文变成明文的参数数据;
加密算法:用密钥对明文进行加密的运算方法;
解密算法:用密钥对密文进行解密的运算方法。
2.2 软加密与硬加密
加密根据载体不同,分为两种:软加密和硬加密。软加密是不依赖硬件而仅仅利用加解密算法实现对软件保护的技术。硬加密是依托硬件进行物理加密实现对软件保护的的技术。软加密与硬加密比较,如表1所示。
从表1对比,可以看出,尽管硬加密成本较高,但是它的加密强度、加密性能、加密方式等比软加密有很大的优势。做为为上百万客户服务的中大型系统,信息安全至关重要,硬加密是必然的选择加密方式,加密机正是实现硬加密的设备。
2.3 加密机原理
加密机是通过国家安全主管部门签定并批准使用的主机加密设备。加密机主要由以下四个部分组成:
(1)硬件加密:通过专用的加密芯片、专用电子钥匙、加密机硬盘实现加密过程,三者捆绑在一起,缺一不可。
(2)密钥管理:主要是密钥产生与分发、密钥备份与恢复、密钥更新以及使用情况监控。
(3)服务进程:负责响应应用系统加密请求、负载均衡调度加密机、实现无缝切换加密机。
(4)监控进程:负责监控加密机服务进程与硬件加密部件,并在出故障时进行报警提示。
2.4 加密机密钥体系
在加密五要素中,加解密算法是公开的,能起到加密效果的关键因素是密钥,本节重点介绍加密机密钥体系。
广东邮政个性化平台采用的SJL05金融数据加密机,它的密钥体系如图1所示。
(1)本地主密钥(LMK):是加密机的主密钥,用于加密保护存储在加密机外的各种密钥及PIN等不能以明文存储的关键信息。
(2)通信主密钥:包括区域主密钥(ZMK)与终端主密钥(TMK),用于在通信对象间交换工作密钥时加密工作密钥。通信双方必须使用相同的通信主密钥,通信主密钥一般事先约定,通过码单或密钥卡等方式脱机分发。
(3)工作密钥:直接用于对敏感数据进行加密的密钥。
3 广东邮政加密机体系
本节重点介绍广东邮政个性化平台加密机体系组成以及加密机与个性化平台网络部署对接。
3.1 系统组成
加密机体系由四部分组成:金融安全管理平台、金融安全服务平台、加密机组成以及接口API。
3.1.1 金融安全管理平台
金融安全管理平台部署于Windows XP的PC机上专供管理员使用的,其主要功能是结点管理、用户信息管理以及密钥管理。
节点管理:泛指对终端设备,例如ATM机、自助终端等的管理。
密钥管理:对节点产生以及分发密钥。
3.1.2 金融安全服务平台
金融安全服务平台单独部署于一台服务器,是连接加密机与应用服务器的中间桥梁。它负责转发应用服务器的加密请求,对加密机实现负载均衡调用,实时监控加密机并在危险时给予报警。
3.1.3 加密机
加密机受控于金融安全服务进程,负载响应服务进程的各种请求,包括产生工作密钥、导入导出工作密钥、PIN转加密等等。金融安全服务是调用加密机的唯一入口,隔开了非授权服务器的访问权限,提高了安全性。
3.1.4 接口API
根据实际应用,加密机为个性化平台提供了如下接口:
(1)工作密钥产生:根据节点随机产生工作密钥,用于加密交易数据。
(2)导入工作密钥:导入第三方工作密钥,用于与第三方数据加解密。
(3)导出工作密钥:从加密机导出工作密钥,可注入USB KEY等介质。
(4)PIN转加密:用于与第三方交易时密码信息转加密。
3.2 硬件和网络部署图
3.2.1 网络图
如图2所示。
3.2.2 网络图说明
(1)金融安全服务平台、加密机、个性化平台应用服务器在同一网段中。
(2)金融安全服务平台可同时对接多台加密机,实现负载均衡与双机热备。
(3)个性化平台与金融安全服务平台采用SOCKET进行通信。
4 实际应用
本节重点介绍加密机在个性化平台具体的应用场景。下面是详细的实例:
4.1 代办点PC系统
4.1.1 应用场景
代办点PC系统是个性化平台渠道子系统,专为邮政加盟商用于办理违章代缴、水电费代缴、电信充值等等便民服务。广东省目前大约有五千多个加盟商,为了提高系统安全性,系统登录方式采用USB KEY模式,USB KEY是类似于U盘的设备,插入电脑即可使用。
本实例通过登录模块详细介绍加密机工作密钥的产生机制以及加解密过程。
4.1.2 基本流程图
如图3所示。
4.1.3 流程图说明
(1)设置次主密钥:次主密钥是通过加密机产生的,也称为应用服务器本地主密钥,在加密机上线时必须为应用服务器分配好。
(2)初始化USB KEY:系统管理员通过金融安全管理平台申请一批密钥,并注入KEY中,每一个KEY仅注入一个密钥,完成把KEY分发到加盟商手上。
(3)获取本地主密钥:加盟商把KEY插入电脑后,系统安全控件会自动读取存储于KEY 中的密钥并保存作为本地主密钥。
(4)产生工作密钥:加盟商输入用户名以及密码后,终端系统向应用服务器发工作密钥申请交易,金融安全服务平台是收到请求后调用加密机产生一个用第2步加密的随机工作密钥,最后下发到终端系统。
(5)加密密码:终端安全控件先用第2步密钥解密工作密钥,解密后的工作密钥再对加盟商输入的密码进行加密,完成后发送到应用服务器进行验证。
(6)密码验证:应用服务器向金融安全服务平台请求转PIN码操作。转PIN码过程:加密机用第4步产生的工作密码对加密密码进行解密,接着用第1步的次主密码加密,最后传出转PIN操作的密码。应用服务器用第1步的次主密码先进行解密,接着用个性化平台加密算法(本算法与加密机无关)加密,最后与保存于数据库中的密码进行对比,如果一致,则校验通过,否则给出相应的错误提示。
从登录流程中可以了解到:随机工作密钥的产生机制对保障密码安全起到了关键的作用,大大提高了密码被破解的难度,有效地保障了加盟商登录安全。
4.2 自助终端系统
4.2.1 应用场景
自助终端系统也是个性化平台渠道子系统,类似于ATM机,多安装在写字楼、大型商场、楼盘小区等人流量较多的区域,也是为客户提供车辆相关的代办服务。与代办点PC系统不同的是,自助终端系统的支付方式是银联,用户通过输入银行卡交易密码实现实时扣款支付。
本实例通过对银行卡密码加解密过程介绍加密机转加密机制。
4.2.2 基本流程图
如图4所示。
4.2.3 流程图说明
(1)注入自助终端密钥:管理员通过加密机申请密钥,并且把它注入自助终端,一般是一个终端一个密钥。
(2)导入银行密钥:管理员把银行的通信密钥导入加密机。
(3)加密密码:自助终端对用户输入的密码用第1步密钥进行加密,然后上传给应用服务器。
(4)转加密:应用服务器转发密文密码给加密机,加密机先用第1 步的密钥进行解密,再用第2步密码进行加密。
(5)银行验证:银行收到密文密码后,用第2步密钥进行解密,解密后就能验证密码是否正确,完成整个密码验证过程。
从银行卡密码加解密过程中可以了解到:加解密过程是在加密机内部进行的,对应用服务器而言是透明的,换句话说,应用服务器是无法获取到密码明文的,加密机的转加密机制在不同系统交互过程中有效地保障了用户的密码安全。
5 未来展望
这几年业务突飞猛进地增长,除了要保障系统稳定运行,同时也要保障交易数据与用户信息安全。分析敏感信息、为第三方系统提供安全准入接口、规范不同业务对安全服务接口的调用等是系统下一阶段建设目标。加密机仅仅是保障信息安全的一种手段,随着技术更新换代,新的安全手段会层出不穷,系统安全建设也要跟上技术的步伐,不能停滞不前。信息就是资源,信息就是竞争力,谁掌握了资源谁就有主动权,信息安全已成为衡量系统最重要的指标之一。
作者单位
广东省邮政信息技术局广东省广州市510520
