金融业务安全增强方案:国密SM4/SM3加密+硬件加密机HSM+动态密钥管理+ShardingSphere加密
国密SM4/SM3
SM4:对称加密算法,分组长度128位,密钥长度128位,适用于数据加密(如数据库字段、通信报文)】
加密存储:用户身份证号、银行卡号等敏感字段(配合ShardingSphere等中间件自动加解密)
通信安全:API传输敏感数据时加密报文Body。
//加密银行卡号(SpringBoot+BouncyCastle Provider)
public class SM4Util{public static String encrypt(String plaintext,String key)throws Exception{Cipher cipher = Cipher.getInstance("SM4/ECB/PKCS5Padding","BC");/**private static final String ALGORITHM_NAME = "SM4";private static final String HSM_PROVIDER = "SunPKCS11-HSM";*///KeyStore keyStore = KeyStore.getInstance("PKCS11", HSM_PROVIDER);//SecretKey keySpec = (SecretKey) keyStore.getKey("sm4_key", null);SecretKeySpec keySpec = new SecretKeySpec(key,getBytes(),"SM4");cipher.init(Cipher.ENCRYPT_MODE, keySpec);byte[] encrypted = cipher.doFinal(plaintext.getBytes(StandardCharsets.UTF_8));return Base64.getEncoder().encodeToString(encrypted);}
}
#基于ShardingSphere的加密配置(YAML)
spring:shardingsphere:datasource:encrypt:encryptors:sm4_encryptor:type: SM4props:sm4.key: ${secure.key} # 密钥从HSM获取tables:t_user:columns:id_card:cipherColumn: id_card_cipherencryptorName: sm4_encryptorphone:cipherColumn: phone_cipherencryptorName: sm4_encryptorSM3:哈希算法,输出256位摘要,用于数据完整性校验(如交易签名、文件防篡改)
交易签名:将交易流水号、金额、时间戳拼接后哈希,作为防篡改签名
文件校验:下载对账文件时验证SM3哈希值是否匹配
// 生成交易签名(防止篡改)
public class SM3Util {public static String hash(String data) throws Exception {MessageDigest md = MessageDigest.getInstance("SM3", "BC");byte[] digest = md.digest(data.getBytes(StandardCharsets.UTF_8));return Hex.toHexString(digest);}
}
符合《中华人民共和国密码法》及金融行业安全标准。
等保三级要求核心敏感数据必须使用国密算法或AES-256。
硬件加密机
HSM:专用硬件设备,用于安全生成/存储密钥、执行加密运算,提供物理级防护(如防拆机自毁)
常见厂商:Thales Luna HSMs、IBM Crypto Express、阿里云加密服务
密钥管理
- 根密钥(Master Key)永不离开HSM,应用仅获取加密后的临时密钥
- 执行SM4/SM3运算时,由HSM硬件加速(提升10倍以上性能)
# 通过PKCS#11标准接口调用HSM(示例命令)
pkcs11-tool --module /usr/lib/libCryptoki2.so --login --pin 123456 \--generate-random 32 --output-file random.key
数字证书
- 签发金融级数字证书(如网银U盾)
- 区块链交易签名(避免私钥泄漏风险)
// 从HSM获取证书签名(Java)
KeyStore keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-HSM");
keyStore.load(null, "hsm-password".toCharArray());
PrivateKey privateKey = (PrivateKey) keyStore.getKey("signing-key", null);
Signature signature = Signature.getInstance("SM3withSM2", "BC");
signature.initSign(privateKey);
signature.update(data.getBytes());
byte[] signed = signature.sign();
PCI DSS要求:信用卡相关密钥必须存储在HSM中
银联标准:跨境支付系统必须使用HSM保护密钥
动态密钥管理
动态密钥:每次会话或交易生成临时密钥,通过密钥派生函数(KDF)从主密钥派生,有效期内自动失效
关键技术:密钥轮换、前向保密(PFS)、密钥分发协议(如KMIP)
支付交易动态密钥
每笔支付交易使用唯一密钥加密卡号,即使某次密钥泄漏也不影响其他交易
# 使用HMAC-SM3派生会话密钥(Python示例)
import hmac, hashlib
def derive_key(master_key, transaction_id):derived_key = hmac.new(master_key, transaction_id.encode(), hashlib.sm3).digest()return derived_key[:16] # 取前128位作为SM4密钥
数据库列级加密
定期轮换密钥(如每月更换),旧数据通过密钥ID解密后重新加密
-- 动态密钥管理方案(配合KMS)
CREATE TABLE users (id BIGINT,phone_cipher TEXT, -- 使用动态密钥加密key_id VARCHAR(64) -- 记录当前使用的密钥版本
);
从HSM获取密钥
public class HsmKeyLoader{@PostConstructpublic void init(){String sm4Key = hsmClient.getKey("sm4_enc_key");// 通过HSM API获取System.setProperty("shardingsphere.encrypt.encryptors.sm4_encryptor.props.sm4.key", sm4Key);}
}
巴塞尔协议:要求密钥生命周期管理(生成、分发、轮换、销毁)
GDPR:密钥轮换周期不得超过90天
ShardingSphere加密
写入流程:
应用明文 → ShardingSphere拦截 → 加密字段替换为密文 → 数据库存储
查询流程:
应用查询条件 → ShardingSphere拦截 → 加密字段条件加密 → 数据库查询 → 返回结果解密 → 明文返回应用
一、依赖
<!-- ShardingSphere JDBC + 加密模块 -->
<dependency><groupId>org.apache.shardingsphere</groupId><artifactId>shardingsphere-jdbc-core-spring-boot-starter</artifactId><version>5.3.2</version>
</dependency>
二、配置加密规则
spring:shardingsphere:datasource:names: dsds:type: com.zaxxer.hikari.HikariDataSourcedriver-class-name: com.mysql.jdbc.Driverjdbc-url: jdbc:mysql://localhost:3306/finance_dbusername: rootpassword: 123456rules:encrypt:encryptors:sm4_encryptor: # 定义SM4加密器type: SM4props:sm4.key: 1234567890abcdef1234567890abcdef # 256-bit密钥(需从HSM获取)aes_encryptor: # 定义AES加密器(备用)type: AESprops:aes.key.value: 1234567890abcdeftables:t_user: # 用户表加密配置columns:id_card: # 身份证字段cipherColumn: id_card_cipher # 密文存储列encryptorName: sm4_encryptorphone: # 手机号字段cipherColumn: phone_cipherplainColumn: phone_plain # 保留明文列(可选,用于模糊查询)encryptorName: aes_encryptor
三、数据库表设计
CREATE TABLE t_user (id BIGINT PRIMARY KEY,name VARCHAR(100),id_card_cipher VARCHAR(200), -- SM4加密后的密文phone_cipher VARCHAR(200), -- AES加密后的密文phone_plain VARCHAR(20) -- 明文(如需模糊查询)
);
四、业务代码
// 插入数据(无需手动加密)
@Repository
public interface UserRepository extends JpaRepository<User, Long> {@Query("INSERT INTO t_user (name, id_card, phone) VALUES (:name, :idCard, :phone)")void saveUser(@Param("name") String name, @Param("idCard") String idCard, // 自动加密@Param("phone") String phone);
}// 查询数据(自动解密)
public User getUserById(Long id) {return userRepository.findById(id).orElse(null); // 返回的idCard/phone已是明文
}
审计日志脱敏
// 使用ShardingSphere的SQL解析器拦截日志
@Bean
public ShardingSphereDataSource dataSource() throws SQLException {Properties props = new Properties();props.setProperty("sql.show", "true"); // 显示SQL日志(自动脱敏)return ShardingSphereDataSourceFactory.createDataSource(dataSourceMap, Collections.singleton(encryptRule), props);
}