本报告版权属于北京金融信息化研究所有限责任公司,并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 主任: 潘润红 副主任: 黄程林、庄文君、张海燕 编委会成员(排名不分先后,按姓氏拼音排序): 陈德锋、黄涛、孔庆强、李瑞荣、李振、卢科兵、邵淼、宋歌、宋爽、唐辉、王佳坤、吴炜、徐翥、俞枫、曾海泉 编写组成员(排名不分先后,按姓氏拼音排序): 程林、陈梦霄、戴辛伟、方优、侯宇、黄韦、呼跃豪、韩宝玲、黄宏章、居红伟、李爱宏、李凡、梁乐、刘红波、邵志杰、孙国栋、王佟、王先伟、王尧、魏荣、武志勇、项楠、徐庆、闫立志、姚长远、乐华、赵欢、赵闪,赵宇轩、赵旭、郑光宇 主要执笔人(排名不分先后,按姓氏拼音排序):陈晨、潘世杰、杨希 主编单位: 北京金融信息化研究所 北京国家金融科技认证中心中国工商银行股份有限公司中国银行股份有限公司 中国建设银行股份有限公司平安银行股份有限公司 华夏银行股份有限公司深圳证券交易所 国泰君安证券股份有限公司泰康保险集团股份有限公司北京数字认证股份有限公司兴唐通信科技有限公司 参编单位: 华为技术有限公司 格尔软件股份有限公司 商用密码产业近年来取得了快速发展,由我国自主设计的一系列商用密码算法已被纳入国际标准,成为构筑我国网络安全与数据安全的基石。金融机构坚持统筹发展和安全,贯彻新发展理念,通过与密码产业联合创新,促进形成了完整且安全可控的金融业商用密码产品服务供给体系,并对新技术应用带来的隐性风险和不确定性风险提供了解决方案,有力支持了金融科技应用创新与金融业数字化转型,助力加快实现高质量发展。 同时,商用密码技术在金融业的规范应用与探索创新仍面临挑战,包括相关标准规范待完善;商用密码应用改造工作涉及范围广,实施难度较大;产品服务在性能、兼容性,以及对新技术支撑方面需进一步优化;检测认证力量有待加强等。这些挑战对商用密码技术在金融业的进一步推广应用造成了一定阻碍,仍需坚持发展和安全并重,加强统筹力度,补短板锻长板,扩大应用范围,不断增强应对风险挑战的生存力、竞争力、发展力和持续力。 一、前言1 二、金融业商用密码应用概况3 (一)顶层设计不断完善3 (二)算法底座不断夯实5 (三)市场体系日益完善6 三、金融业商用密码技术应用的实践与探索9 (一)金融业密评密改及行业应用全面有序推进9 (二)金融业商用密码技术的典型应用分析14 (三)金融业商用密码技术不断融合创新21 四、金融业商用密码技术应用的风险与挑战30 (一)金融业商用密码标准体系期统筹完善30 (二)金融业商用密码改造工作待专项攻关30 (三)金融业商用密码市场活力宜充分激发31 (四)金融业密码全面检测能力应加快提升32 (五)金融业密码设备安全威胁需加强应对32 五、金融业商用密码技术应用的建议与展望33 (一)夯实金融业密码标准体系发展基础33 (二)提升金融业商用密码管理运维效率33 (三)推动金融业商用密码应用开放兼容34 (四)开展产学研用联合攻关新模式探索35 (五)升级金融业态感平台密码相关功能35 六、应用案例集36 案例1:国家开发银行新核心增值税电子发票系统商用密码应用实践36 案例2:中国工商银行企业网上银行适配信创终端完成商用密码改造37 案例3:中国建设银行后量子安全增强商用密码平台应用实践38 案例4:中国银行基于商密算法的终端双向认证SSL传输应用实践40 案例5:中国银行征信查询前置系统征信数据安全防护应用实践41 案例6:中银香港跨境支付系统商用密码应用实践42 案例7:中国民生银行基于鲲鹏可信执行环境密码系统的应用实践44 案例8:中国平安银行敏感数据加密存储实践45 案例9:华夏银行基于商用密码的信用卡申请个人征信线上授权实践46 案例10:南京银行互联网渠道商用密码应用实践47 案例11:广东农信银移动营销协同签名应用实践49 案例12:绍兴银行统一密码服务平台应用实践50 案例13:顺德农商银行加密存储应用实践51 案例14:深交所业务管理系统完成商用密码改造53 案例15:国泰君安证券PC端和移动端商用密码应用实践54 案例16:泰康保险集团电子保单数字签名认证项目实践55 图1金融业商用密码产业链图7 图22017-2023年商用密码市场规模及增长率图8 图3金融信息系统商用密码产品应用情况图12 图4商用密码产品应用调研情况图13 图5隐私计算技术应用场景情况图13 图6区块链技术应用场景情况图14 图7银行支付清算平台方案架构示意图16 图8网上银行方案架构示意图17 图9电子保单方案架构示意图19 图10证券交易系统商用密码改造方案架构示意图21 图11可信执行环境与商用密码融合应用特点图22 图12同态加密技术应用示意图23 图13密码服务平台架构图27 图14统一电子签章方案架构图28 图15后量子安全增强商用密码平台整体结构图39 图16跨境支付(CIPS)商用密码安全系统示意图43 图17鲲鹏可信执行环境密码系统应用架构图44 图18互联网渠道信创和非信创SSL安全认证网关示意图48 图19广东农信协同签名应用架构图49 图20绍兴银行统一密码服务平台应用架构图51 图21华为OceanStorK系列存储架构图52 图22广东农信协同签名应用架构图53 图23国泰君安网上交易系统商用密码改造框架图55 伴随着数字经济的快速发展,网络安全与数据安全成为包括金融业在内各行业的关注焦点。据工信部数据显示,2012年至2021年,我国数字经济规模从11万亿元增长至超45万亿元,占国内生产总值比重由21.6%提升至39.8%,已连续数年稳居世界第二。随着数字经济不断发展,金融领域积累了大量关乎金融稳定和机构核心竞争力的重要数据。然而研究表明,金融隐私泄露事件大约以每年35%的幅度增长,金融业安全威胁事件频发。在我国安全监管力度加大、安全审核趋严等背景要求下,金融机构如何利用专业化手段维护网络与数据安全,保障安全运转成为了行业关注的重点问题。 我国的商用密码技术作为维护金融行业网络安全与数据安全最重要手段之一,不仅能够帮助行业打造安全可控的技术体系,也在当前背景下迎来了密码技术产业发展的新机遇。战略上,党中央高度重视金融领域密码技术应用工作,明确提出建立以商用密码为主要支撑的金融网络安全保障体系总目标,并制定了相关应用与创新发展规划。应用上,我国自主设计的SM系列与ZUC算法已成为国际标准,并被广泛应用于金融领域身份认证、数据加密校验等环节。实践中,我国各类密码产品供给质量不断提升,基本满足了现有信息系统的安全需求,对金融科技应用创新、金融业数字化转型发展形成了有力支撑,并 为应对贸易摩擦、地缘冲突等不稳定因素带来的供应链安全风险提供了坚实基础和可靠保障。随着金融业网络结构和应用日趋复杂,金融机构如何“用好”商用密码技术保障金融安全,既是行业当前面临的严峻考验,也为商用密码技术产业指明了新的发展方向。 (一)顶层设计不断完善 1.政策法规方面 《数据安全法》等相关法律的出台与实施为商用密码技术应用创造发展机会。近年来,国家对数据安全与个人信息保护进行了前瞻性的战略部署。随着2021年《数据安全法》《个人 信息保护法》,以及密码领域相关法律、制度及条例1的全面部署实施,我国网络空间治理形成了以《电子签名法》《密码法》 《网络安全法》《数据安全法》《个人信息保护法》等基本法构成的基础框架。作为数据开发利用的基础保障与稳固底盘,商用密码技术成为了解决数据有序流动、共享数据安全及隐私保护问题的核心技术,并获得了主动创造价值的能力与革新的机会。 商用密码技术保障数据安全可控应用已写入国家级及行业 规划。2021年12月,中央网络安全和信息化委员会印发 《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展做出部署安排,其中,数据加密保护机制及相关技术检测手段被纳入数字基础设施体系建设要求,密码学、共识机制、智能合约等核心技术研究也成为了 1注:即《密码法》《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发 〔2019〕57号)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》 (公网安〔2020〕1960号)、《关键信息基础设施安全保护条例(征求意见稿)》《商用密码管理条例 (修订草案征求意见稿)》 《规划》中的优先行动任务。人民银行提出利用商用密码等技术健全网络身份认证体系的工作要求,明确行业管理规范,组织开展包括商用密码应用改造(以下简称“密改”)、商用密码应用安全性评估(以下简称“密评”)在内各类专项工作,使金融业商用密码建设得以向纵深发展。 2.标准方面 根据《密码标准应用指南》,我国商用密码标准体系框架由技术维、管理维、应用维三个维度组成,截至2021年8月, 已发布密码国家标准39项,密码行业标准115项,团体标准正处于研究探索阶段。同时,作为重要密码应用维度之一,金融业近年来重点制修订了金融IC卡、终端机具商用密码算法兼容系列标准,同时健全完善了线下支付场景商用密码应用标准体系。 国家标准方面,人民银行牵头或参与编制《信息安全技术 信息系统密码应用基本要求》《银行核心信息系统密码应用技术要求》《商用密码应用安全性评估监督检查规范》等十余项标准,并指导金融业密评机构积极参与密标委和信安标委密码标准体系建设。 行业标准方面,2022年11月,人民银行组织和指导编制 了《金融行业信息系统商用密码应用基本要求》(JR/T0255 —2022)、《金融行业信息系统商用密码应用测评要求》 (JR/T0256—2022)和《金融行业信息系统商用密码应用测 评过程指南》(JR/T0257—2022)三项金融行业密码应用标准,为金融机构、密评机构及金融管理部门实施信息系统商用密码应用的规划、建设、运行、测评及监督管理工作提供了有效依据。同时,《网上银行系统信息安全通用规范》(JR/T0068— 2020)、《金融大数据平台总体技术要求》(JR/T0237— 2021)、《云计算技术金融应用规范安全技术要求》(JR/T 0167—2020)、《金融行业网络安全等级保护实施指引》 (JR/T0071—2020)系列标准等十余项标准明确了金融行业商用密码的应用要求。 (二)算法底座不断夯实 作为密码学领域的重要参与者,美国有关机构参与制定了大量标准,这些标准在被全球多国使用的同时,也对国家安全造成了威胁。 为保障密码和国家安全,我国从世纪初开始就大力推动自主设计商用密码的发展,并发布了一系列算法和相关标准,包括分组标准对称算法SM1、椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、分组密码算法SM4、分组标准对称算法SM7、标识密码算法SM9,以及序列密码算法祖冲之(ZUC)等。其中SM1算法暂未公开,仅以IP核的形式存在于芯片中,需要通过加密芯片的接口进行调用,其安全保密强度跟AES相当;SM2算法包括数字签名、密钥交换和公钥加密,安全强度比RSA-2048位高,且运算速度快于RSA,用于替换RSA/DH/ECDSA/ECDH等国 际算法;SM3算法在SHA-256的基础上改进,用于替代MD5/SHA-1/SHA-2等国际算法,且安全性更高;SM4算法与AES算法具有相同的密钥长度与分组长度,用于替代DES/AES等国际算法;SM7算法同样未公开,需通过加密芯片的接口进行调用;SM9算法是基于双线性对的标识密码算法,将用户的标识作为公钥,可以替代基于数字证书的PKI/CA体系;祖冲之序列密码算法ZUC则是中国第一个成为国际密码标准的密码算法。 自主设计的密码算法逐渐构筑成为我国网络与数据安全的 基石。2011年后,随着密码行业标准化技术委员会的成立,我国的商用密码算法进入快速发展阶段。在被纳入国家标准后, 我国的密码算法在近年来又先后被国际标准组织纳入相关标准,极大推动了我国商用密码的发展。尽管现有商用密码算法的安全性