金融网络中加密机的应用 - 夏冰加密软件技术博客

金融机构目前大多采用同步数字序列(SDH)和异步转移模式(ATM)等数据网络提供固定（虚拟）线路来连接需要通信的部门和分支机构。从内部网络流出的数据不加防范地在网际线路中穿行，给使用搭线窃听、电磁泄露等入侵手段的不法黑客以可趁之机。为此，很多金融机构使用网络加密机在这方面进行了一些尝试。

一、加密机配置于何处

加密机根据工作类型不同一般采用应用层加密、IP层加密和链路层加密三种方式进行，应用层加密传输往往与具体的业务系统软件紧密结合在一起，需要针对每种应用系统开发应用层加密系统链路层加密是对链路层帧数据
进行加密，链路层加密对链路协议有严格的要求，每一种不同协议的线路都要采用相应的链路加密设备，而且链路层加密设备都是端到端加密设备，所以在大型复杂网络中如果采用链路层加密方式，必须投入巨大的资金量。

IP加密方式是在IP层对网络数据进行加密，对链路层协议透明，IP加密设备往往是一对多的方式运行，也可以对每个IP地址或地址段采用不同的加密策略，既经济又灵活。IP加密一般采用IPsec协议进行，IPsec是IETF制定的标准，其中包括一整套IP层安全协议集，用于在两个IP网络设备之间实施所采用的加密和数字签名方法。IPSEC提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务，完全弥补了由于TCP/IP协议体系自身带来的安全漏洞。

从性价比、可操作性以及网络扩展等因素考虑，金融机构大多采用基于IP层加密的网络密码机，加密机可采用透明模式接入，完全可以做到不影响原有网络结构。IP加密系统组建网络安全平台的思想是将网络密码机部署在网络的出口处，并将网络密码机置于密钥管理中心设置的统一安全策略（包括密钥管理体系）的管理下，使各网络密码机之间以及网络加密机相互对IP包进行加密处理，协调一致地通信，从而在IP层上构建起网络安全传输信道，为网络的连接安全和传输安全提供有效的保障。

由于IP加密系统通过在网络层对IP数据包进行相应的安全处理来组建安全传输信道，故采用IP加密系统组建的虚拟专用网络，无须考虑底层传输协议，具有极强的适应性，能够有效地为网络的各级交换节点提供信息安全保障，符合安全技术发展的方向，具有易于管理、易于适应网络链路变化的特点。根据应用系统的特点，目前一般使用以下两种接入式：

①加密机部署于防火墙出口和对端交换机之间。如图1左边，这种配置相当于点对点接入，要求防火墙与交换机间接入网段留有足够的IP以便配置加密机，并使用这些IP地址对其进行管理。防火墙以主从模式运行，加密机接入网络后应该进行反复的主从线路切换，从实际效果来看，这种接入方式没有影响原网络的运行，完全符合设计要求。

②加密机部署于两组交换机之间。这种接入方式是为了保持原来的本地局域网络结构，机构搬迁后可申请透明线路更替原来的本地双绞线，两端接口配置TRUNK模式，传输若干个VLAN。

如图1右边部分接入加密机，采用其中某个VLAN中的IP配置加密机，接下来进行热备线路切换，当断开经过生成树协议确定的主线路后，备线没有按预定计划启用，整个网络不通，经检测线路情况为连通，加密机之间连通，切回主线路，整个网络仍然不通，关闭所有设备，重新启动，网络恢复通信。经过互换线路和加密机组，都不能成功切换。在后续的实验中，当断开主线，并对各位置的网络设备进行分析时，网络竟然在中断15 min后，恢复了通信。反复进行多次实验均可再现这种现象，无论是断开主线还是恢复主线，均出现同样效果。在搭建的模拟测试环境中，网络恢复的时间虽然不同，但也呈现了经过相对较长的、固定的一段时间后，网络才能恢复通信的情况，而从网络中拿掉加密机，该现象消失，说明加密机的这种接入方式确实对现有网络造成了影响。

经过对两种接入方式以及抓取模拟环境数据包的比较和分析，最终确定，该种类型加密机不适合接入传输多VLAN的TRUNK网络中，因为它的操作系统处理带TRUNK标志的数据包有不完善的地方，而这种缺陷在第一种接入方式中被单一的VLAN掩盖了。加密机经过提供商定制的扩展版本升级，圆满地解决了切换问题。

接下来，应该在城市网的入口处接入了密管中心设备，如图1中“密管中心”位置；通过对网络各防火墙的配置，使其能够管理分散在各处的加密机，定期为各加密机更换密钥，达到了既方便管理又节约成本的良好效果。

经过实践证明，IP加密系统在IP层保护了数据的安全，并且与上层应用无关。随着加密机技术的不断发展，IP加密系统已经能够实现100 M线速。支持QoS策略的实现，对网络带宽资源占用小§时延小h易管理，能很好地满足金融应用系统信息传输的“实时、保密、高速”的要求。

二、如何保护数据

在实际工作中，金融网络主要存在如下4方面的风险：

①传输数据机密性破坏。攻击者通过非法手段窃取金融系统网络内部的传输信息，或对信道数据进行破译分析，使内联网传输内容泄露给未被授权的用户；

②传输数据完整性破坏。攻击者篡改金融系统网络线路上传输的数据内容，或数据传输中的错误、丢失或次序差异等都可能导致数据的完整性被破坏；

⑧传输数据真实性破坏攻击者通过伪造金融系统网络数据进行欺骗；

④传输线路没有高强度隔离措施攻击者通过中国电信或中国网通公众网络以路由穿透、口令破译等攻击方式可以进入到金融系统网络中，获取内部网中的关键数据，或者对内部网络进行破坏。

IP加密系统采用国家主管部门规定的高强度密码算法对数据进行加密处理，任何以明文方式对IP加密设备的访问都会认为是非法访问而被拒绝，因此，即使攻击者通过中国电信或中国联通等公司的公用网络以路由穿透方式登录到内联网接入路由器上，也不能访问金融系统内部的网络。另外，在金融系统总行和各下属分行、支行之间建立IP虚拟专用通道，只有配置了IP密码设备的单位才能进行加密通信，没有配置加密机的单位一般不能和配有IP密码设备的单位互通。

IP加密系统可以让用户自行选择以下两种方式对传输数据进行加密。

①净荷加密方式．所谓净荷加密就是直接对数据包中的上层净荷数据实施加密，不修改原数据包头，净荷加密的特点是只对净荷数据实施加解密，不对数据包头实施任何修改和保护，对线路透明，不需要占用更多IP地址，这种加密方式对QoS的适应性较好，便于数据的传输；

②IPsec方式：IPsec有传输模式(Transport Mode)和隧道模式(Tunneling Mode)两种工作模式。传输模式的工作原理是在IP包的包头与上层数据之间插入一个IPsec头，并将上层数据进行加密，然后在公共网络上传输。这种模式的特点是保留了原IP头信息，即信源／宿地址不变，所有安全相关信息包括在IPsec头中，传输双方依此进行安全封装传输和拆封还原。隧道模式的工作原理是先将IP数据包整个进行加密后再加上IPsec头和新的IP头，这个新的IP头中包含有隧道源／宿的地址，当通过IPsec隧道的数据包到达目的网关（即隧道的另一端）后，利用IPsec头中的安全相关信息对加密过的原IP包进行安全处理，将还原的高层数据按原IP头标明的IP地址递交，以完成信源／信宿之间的安全传输。

加密机还可以针对特定IP间传输信息进行加密，通过配置主要的端对端通信IP，可以提高线路通信效率，将加密机介入后对网络通信的影响降低到最小程度。数据加密如图2所示。