浅谈加密机在金融网络中的应用.doc

浅谈加密机在金融网络中的应用余文峰(中国人民银行武汉分行营业管理部科技处，湖北 武汉 430015)【摘 要】金融机构目前大多采用同步数字序列(sdh)和异步转移模式(atm)等数据网络提供固定(虚拟)线路来连接需要通信的部门和分支机构。从内部网络流出的数据不加防范地在网际线路中穿行，给使用搭线窃听、电磁泄露等入 侵手段的不法黑客以可趁之机。因此，需要利用网络密码机提供访问控制、无连接完整性、数据源鉴别、载荷机密性 和有限流量机密等安全功能，弥补由于 tcp/ip 协议体系自身带来的安全漏洞。【关键词】金融网络线路；网络密码机；数据加解密；数据安全性【中图分类号】tp393【文献标识码】a【文章编号】1009-8054(2009) 12-0096-03discussion on encryptor application in banking network systemyu wen -fe n g(o ffi ce of s cie nce an d tech nol ogy, de pt. of op era tion an d m ana gem ent , wuhan br anc h, peop les b ank of china , wuha n hube i 4300 15, ch ina)【abstract】nowadays, the financial organizations mostly employs sdh and atm data network and provides fixed(virtual)circ uit fo r conn ection of var ious de partme nts an d branc hes. a nd dat a from intran et, wi thout a ny pro tection , is t ransfe rredo ve r t he i n te rn a ti on a l ci r cu it , t hu s g iv in g t he ha ck e r a c ha nc e t o u se v a ri ou s i nt r us io n m ea su r es , s uc h a s in t er ce p ti ng ,electromagnetic eavesdropping. therefore, it is necessary to use network encryptor and provide various security functions,in clud ing acce ss c ontr ol, conn ecti onle ss i nteg rity , au then tica tion of data sou rce, loa d co nfid enti alit y, a nd c onfi dent iali tyof lim ite d tr affi c, thus re medy ing the sec uri ty l ooph ole s br oug ht a long by tcp /ip pro toco l s yste m.【key word s】ba nki ng ne two rk; ne two rk en cry pto r; dat a enc ryp tio n/d ec ryp tio n; dat a sec uri ty据不加防范地在网际线路中穿行，给使用搭线窃听、电磁泄露等入侵手段的不法黑客以可趁之机。为此，很多金融 机构使用网络加密机在这方面进行了一些尝试，文中结合 实践，主要阐述了加密机在实际应用中是如何配置，有哪些数据保护措施，以及实际维护的一些经验1。0引言随着金融电子化的不断发展，金融领域无论从资金业务到办公自动化等信息业务都越来越依赖于计算机网络。 由于金融机构从横向到纵向、从时间到空间都在不断地延 伸，计算机网络的数据安全问题将是技术维护部门长期而 艰巨的任务。金融机构大都比较重视加强内部网络的安全， 而暴露在各机构局域网间的广域网络就显得比较薄弱了。金融机构目前大多采用同步数字序列(sdh)和异步转 移模式(atm)等数据网络提供固定(虚拟)线路来连接需要通 信的部门和分支机构。用户目前对所谓的“专线”方式的 安全性没有太大质疑，因此，在这些线路中传递信息时没 有过多考虑数据安全。但也应该清醒地认识到，所有这些基础架构的权限掌握在别人的手中。从内部网络流出的数1加密机配置于何处加密机根据工作类型不同一般采用应用层加密、ip层加密和链路层加密三种方式进行，应用层加密传输往往与 具体的业务系统软件紧密结合在一起，需要针对每种应用 系统开发应用层加密系统；链路层加密是对链路层帧数据 进行加密，链路层加密对链路协议有严格的要求，每一种 不同协议的线路都要采用相应的链路加密设备，而且链路 层加密设备都是端到端加密设备，所以在大型复杂网络中 如果采用链路层加密方式，必须投入巨大的资金量。ip加密方式是在ip层对网络数据进行加密，对链路层 协议透明，ip加密设备往往是一对多的方式运行，也可以对每个ip地址或地址段采用不同的加密策略，既经济又灵收稿日期：2009-11-10作者简介：余文峰，1966 年生，男，工程师，中国人民银行 武汉分行营业管理部，从事信息化管理工作。9 6学术研究 a c a d e m i c r e s e a r c h 活。ip 加密一般采用 ipsec 协议进行，ipsec 是 ietf 制定的标准，其中包括一整套ip层安全协议集，用于在两个ip 网络设备之间实施所采用的加密和数字签名方法。ipsec 提供了访问控制、无连接完整性、数据源鉴别、载荷机密 性和有限流量机密等安全服务，完全弥补了由于 tcp/ip 协议体系自身带来的安全漏洞2。从性价比、可操作性以及网络扩展等因素考虑，金融 机构大多采用基于ip层加密的网络密码机，加密机可采用 透明模式接入，完全可以做到不影响原有网络结构。ip加 密系统组建网络安全平台的思想是：将网络密码机部署在 网络的出口处，并将网络密码机置于密钥管理中心设置的 统一安全策略(包括密钥管理体系)的管理下，使各网络密码 机之间以及网络加密机相互对ip包进行加密处理，协调一 致地通信，从而在ip层上构建起网络安全传输信道，为网 络的连接安全和传输安全提供有效的保障。由于ip加密系统通过在网络层对ip数据包进行相应的 安全处理来组建安全传输信道，故采用ip加密系统组建的 虚拟专用网络，无须考虑底层传输协议，具有极强的适应 性，能够有效地为网络的各级交换节点提供信息安全保障， 符合安全技术发展的方向，具有易于管理、易于适应网络 链路变化的特点。根据应用系统的特点，目前一般使用以 下两种接入方式： 加密机部署于防火墙出口和对端交换机之间。如图1左边，这种配置相当于点对点接入，要求防火墙与交换机 间接入网段留有足够的ip以便配置加密机，并使用这些ip 地址对其进行管理。防火墙以主从模式运行，加密机接入 网络后应该进行反复的主从线路切换，从实际效果来看，这 种接入方式没有影响原网络的运行，完全符合设计要求； 加密机部署于两组交换机之间。这种接入方式是为 了保持原来的本地局域网络结构，机构搬迁后可申请透明 线路更替原来的本地双绞线，两端接口配置 trunk 模式，传输若干个 vlan 。如图 1 右边部分接入加密机，采用其中某个 vlan 中的ip配置加密机，接下来进行热备线路切换，当断开经过 生成树协议确定的主线路后，备线没有按预定计划启用，整 个网络不通，经检测线路情况为连通，加密机之间连通，切 回主线路，整个网络仍然不通，关闭所有设备，重新启动， 网络恢复通信。经过互换线路和加密机组，都不能成功切 换。在后续的实验中，当断开主线，并对各位置的网络设 备进行分析时，网络竟然在中断 15 min 后，恢复了通信。 反复进行多次实验均可再现这种现象，无论是断开主线还 是恢复主线，均出现同样效果。在搭建的模拟测试环境中， 网络恢复的时间虽然不同，但也呈现了经过相对较长的、固 定的一段时间后，网络才能恢复通信的情况，而从网络中 拿掉加密机，该现象消失，说明加密机的这种接入方式确 实对现有网络造成了影响。经过对两种接入方式以及抓取模拟环境数据包的比较 和分析，最终确定，该种类型加密机不适合接入传输多 vlan 的 trunk 网络中，因为它的操作系统处理带 trunk 标志的数据包有不完善的地方，而这种缺陷在第 一种接入方式中被单一的 vlan 掩盖了。加密机经过提供 商定制的扩展版本升级，圆满地解决了切换问题。接下来，应该在城市网的入口处接入了密管中心设备， 如图 1中“密管中心”位置，通过对网络各防火墙的配置， 使其能够管理分散在各处的加密机，定期为各加密机更换 密钥，达到了既方便管理又节约成本的良好效果。经过实践证明，ip加密系统在ip层保护了数据的安全， 并且与上层应用无关。随着加密机技术的不断发展，ip加 密系统已经能够实现 100 m 线速，支持 qos 策略的实现， 对网络带宽资源占用小、时延小、易管理，能很好地满足金融应用系统信息传输的“实时、保密、高速”的要求。2如何保护数据在实际工作中，金融网络主要存在如下4方面的风险： 传输数据机密性破坏：攻击者通过非法手段窃取 金融系统网络内部的传输信息，或对信道数据进行破译分 析，使内联网传输内容泄露给未被授权的用户； 传输数据完整性破坏：攻击者篡改金融系统网络 线路上传输的数据内容，或数据传输中的错误、丢失或次 序差异等都可能导致数据的完整性被破坏； 传输数据真实性破坏：攻击者通过伪造金融系统 网络数据进行欺骗； 传输线路没有高强度隔离措施：攻击者通过中国电信或中国网通公众网络以路由穿透、口令破译等攻击方图1 网络结构信息安全与通信保密2 00 9.129 7学术研究 a c a d e m i c r e s e a r c h 3加密机运行维护密钥管理是加密机日常管理的核心内容，而密钥管式可以进入到金融系统网络中，获取内部网中的关键数据，或者对内部网络进行破坏。 ip加密系统采用国家主管部门规定的高强度密码算法对数据进行加密处理，任何以明文方式对ip加密设备的访 问都会认为是非法访问而被拒绝，因此，即使攻击者通过 中国电信或中国联通等公司的公用网络以路由穿透方式登 录到内联网接入路由器上，也不能访问金融系统内部的网 络。另外，在金融系统总行和各下属分行、支行之间建立 ip虚拟专用通道，只有配置了ip密码设备的单位才能进行 加密通信，没有配置加密机的单位一般不能和配有ip密码 设备的单位互通。ip加密系统可以让用户自行选择以下两种方式对传输 数据进行加密： 净荷加密方式：所谓净荷加密就是直接对数据包 中的上层净荷数据实施加密，不修改原数据包头，净荷加 密的特点是只对净荷数据实施加解密，不对数据包头实施 任何修改和保护，对线路透明，不需要占用更多 ip 地址， 这种加密方式对 qos 的适应性较好，便于数据的传输； ipsec 方式：ipsec 有传输模式(transport mode) 和隧道模式(tunneling mode)两种工作模式。传输模式的 工作原理是在ip包的包头与上层数据之间插入一个ipsec 头，并将上层数据进行加密，然后在公共网络上传输。这 种模式的特点是保留了原ip头信息，即信源/宿地址不变， 所有安全相关信息包括在ipsec头中，传输双方依此进行安 全封装传输和拆封还原。隧道模式的工作原理是先将ip数 据包整个进行加密后再加上 ipsec头和新的ip头，这个新 的 ip 头中包含有隧道源 / 宿的地址，当通过 ipsec隧道的 数据包到达目的网关(即隧道的另一端)后，利用ipsec头中 的安全相关信息对加密过的原ip包进行安全处理，将已还 原的高层数据按原ip头标明的ip地址递交，以完成信源/ 信宿之间的安全传输3。加密机还可以针对特定ip间传输信息进行加密，通过 配置主要的端对端通信ip，可以提高线路通信效率，将加 密机介入后对网络通信的影响降低到最小程度。数据加密如图 2所示。理的核心问题是保证密钥分配的安全。密钥管理主要包括密钥的生成、存贮、保护、备份、分发、使用、归档、 销毁等。密钥管理中心作为整个系统的枢纽和核心，在其中保 存有整个系统所有网络密码机的密钥信息、网络参数(ip地 址、路由表、网关信息、网管信息)，以及安全规则设置(根 据 ip数据包的源地址、目的地址、源端口、目的端口、tcp 头的信息等参数来决定对数据包采取加密、允许、拒绝处 理)。这些信息的安全与否直接影响到网络密码机和密钥管 理中心自身的安全以及被保护网络的安全，因此，它们的 存放不能采用明文的方式，必须经过加密存放。同时，在 各地的网络密码机也都有密钥数据、访问控制规则、网络 参数等关键数据，对它们也需要实现加密存放。加密设备硬件日常维护事项如下： 在工作过程中，请勿直接插拔设备，以免数据损坏 或丢失； 设备运行过程中，应注意防震和防压，以免引起设 备工作不正常； 请勿在带电状态下插拔该设备及外设； 请勿将与该设备配套使用的ic卡插到其他ic卡设 备及系统中使用； 如果较长时间不使用设备，请每隔6个月对设备进 行状态检查，并对该设备连续通电 8 h，进行充电； 设备长期停放时，注意防潮、防虫、防腐蚀等。 以上是加密机日常维护所应该注意的事项。在实际操作中，由于密管中心自动、定期对其所辖加密机进行维护， 人工操作极少，其稳定性获得用户好评。另外，由于加密机配置于 sdh 专线两端，天然地成为 了测试专线连通性的工具。以第一种方式为例，因为防火 墙配置为主从模式，备用防火墙处于休眠状态，其状态无法 测知，连于其端口的备用线路也处于未知状态，一旦主线 故障，备线也可能在数天前就断了，则对重要业务的影响 将是灾难性的。现在可以在备线加密机上接入一台测试 pc，始终检测备线的连通性，预先测知备线状态，及时修复线路故障，确保重要业务畅通。4线路加密机的未来随着信息技术的不断发展，对线路加密机的要求也会越来越高，线路加密机的分类会进一步细化，针对不同线(下转第 101 页)图2 数据加密示意图9 8学术研究 a c a d e m i c r e s e a r c h 25o，分别采用 toeplitz 算法、奇异值分解法(svd)以及本文提到的 tsvd 进行 doa 估计，每一信噪比情况下独立实 验 100 次。从图 3 和图 4 中可以看出 tsvd 算法有极高的分 辨成功概率，当 rsn=-10 db 时估计成功概率接近 100%，而svd 算法成功概率几乎为 0，toeplitz也具有极好的成功概率，但分辨误差极大。从实验中可以看出，文中所提出的 tsvd 具有极好的分辨能力和稳定性。最后通过对奇异值分解法(svd)、toeplitz算法和文中提出的方法进行性能上的比较，仿真和分析结果说明该 方法估计性能稳定，在低信噪比情况下有很高的成功概率和分辨能力，估计精度高，是一种高效的 doa 算法。参考文献1 krim h，viberg m. two decades of array signal processing researchj. ieee signal processing magazine，1996(07)：67-94.2 williams r t，prasad s，mahalanabis a k，et al.an improved spatial smoothing technique for bear- ing estimation in a multipath enviormentj. ieee trans on assp，1998，36(04)：425-432.3 tufts d w，kot a c，vacco r j. the threshold analysis of svd-based algorithmsc/ieee. acoustics speech，signal processing(icassp). s.l. ：ieee publication，1988：2416-2419.4 kung s y，lo c k，foka r. a toeplitz approxi- mation approach to coherent source direction finding c/ieee. acoustics，speech and signal processing. s.l.：ieee publication，1986：193-196.5 kaneko，kazumasa sano，akira. music-like itera- tive doa estimation in multipath environments c/ieee. sensor arra