国密SM4/SM3
SM4:对称加密算法,分组长度128位,密钥长度128位,适用于数据加密(如数据库字段、通信报文)】
加密存储:用户身份证号、银行卡号等敏感字段(配合ShardingSphere等中间件自动加解密)
通信安全:API传输敏感数据时加密报文Body。
//加密银行卡号(SpringBoot+BouncyCastle Provider)
public class SM4Util{
public static String encrypt(String plaintext,String key)throws Exception{
Cipher cipher = Cipher.getInstance("SM4/ECB/PKCS5Padding","BC");
/**
private static final String ALGORITHM_NAME = "SM4";
private static final String HSM_PROVIDER = "SunPKCS11-HSM";
*/
//KeyStore keyStore = KeyStore.getInstance("PKCS11", HSM_PROVIDER);
//SecretKey keySpec = (SecretKey) keyStore.getKey("sm4_key", null);
SecretKeySpec keySpec = new SecretKeySpec(key,getBytes(),"SM4");
cipher.init(Cipher.ENCRYPT_MODE, keySpec);
byte[] encrypted = cipher.doFinal(plaintext.getBytes(StandardCharsets.UTF_8));
return Base64.getEncoder().encodeToString(encrypted);
}
}
#基于ShardingSphere的加密配置(YAML)
spring:
shardingsphere:
datasource:
encrypt:
encryptors:
sm4_encryptor:
type: SM4
props:
sm4.key: ${secure.key} # 密钥从HSM获取
tables:
t_user:
columns:
id_card:
cipherColumn: id_card_cipher
encryptorName: sm4_encryptor
phone:
cipherColumn: phone_cipher
encryptorName: sm4_encryptor
SM3:哈希算法,输出256位摘要,用于数据完整性校验(如交易签名、文件防篡改)
交易签名:将交易流水号、金额、时间戳拼接后哈希,作为防篡改签名
文件校验:下载对账文件时验证SM3哈希值是否匹配
// 生成交易签名(防止篡改)
public class SM3Util {
public static String hash(String data) throws Exception {
MessageDigest md = MessageDigest.getInstance("SM3", "BC");
byte[] digest = md.digest(data.getBytes(StandardCharsets.UTF_8));
return Hex.toHexString(digest);
}
}
符合《中华人民共和国密码法》及金融行业安全标准。
等保三级要求核心敏感数据必须使用国密算法或AES-256。
硬件加密机
HSM:专用硬件设备,用于安全生成/存储密钥、执行加密运算,提供物理级防护(如防拆机自毁)
常见厂商:Thales Luna HSMs、IBM Crypto Express、阿里云加密服务
密钥管理
- 根密钥(Master Key)永不离开HSM,应用仅获取加密后的临时密钥
- 执行SM4/SM3运算时,由HSM硬件加速(提升10倍以上性能)
# 通过PKCS#11标准接口调用HSM(示例命令)
pkcs11-tool --module /usr/lib/libCryptoki2.so --login --pin 123456 \
--generate-random 32 --output-file random.key
数字证书
- 签发金融级数字证书(如网银U盾)
- 区块链交易签名(避免私钥泄漏风险)
// 从HSM获取证书签名(Java)
KeyStore keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-HSM");
keyStore.load(null, "hsm-password".toCharArray());
PrivateKey privateKey = (PrivateKey) keyStore.getKey("signing-key", null);
Signature signature = Signature.getInstance("SM3withSM2", "BC");
signature.initSign(privateKey);
signature.update(data.getBytes());
byte[] signed = signature.sign();
PCI DSS要求:信用卡相关密钥必须存储在HSM中
银联标准:跨境支付系统必须使用HSM保护密钥
动态密钥管理
动态密钥:每次会话或交易生成临时密钥,通过密钥派生函数(KDF)从主密钥派生,有效期内自动失效
关键技术:密钥轮换、前向保密(PFS)、密钥分发协议(如KMIP)
支付交易动态密钥
每笔支付交易使用唯一密钥加密卡号,即使某次密钥泄漏也不影响其他交易
# 使用HMAC-SM3派生会话密钥(Python示例)
import hmac, hashlib
def derive_key(master_key, transaction_id):
derived_key = hmac.new(master_key, transaction_id.encode(), hashlib.sm3).digest()
return derived_key[:16] # 取前128位作为SM4密钥
数据库列级加密
定期轮换密钥(如每月更换),旧数据通过密钥ID解密后重新加密
-- 动态密钥管理方案(配合KMS)
CREATE TABLE users (
id BIGINT,
phone_cipher TEXT, -- 使用动态密钥加密
key_id VARCHAR(64) -- 记录当前使用的密钥版本
);
从HSM获取密钥
public class HsmKeyLoader{
@PostConstruct
public void init(){
String sm4Key = hsmClient.getKey("sm4_enc_key");// 通过HSM API获取
System.setProperty("shardingsphere.encrypt.encryptors.sm4_encryptor.props.sm4.key", sm4Key);
}
}
巴塞尔协议:要求密钥生命周期管理(生成、分发、轮换、销毁)
GDPR:密钥轮换周期不得超过90天
ShardingSphere加密
写入流程:
应用明文 → ShardingSphere拦截 → 加密字段替换为密文 → 数据库存储
查询流程:
应用查询条件 → ShardingSphere拦截 → 加密字段条件加密 → 数据库查询 → 返回结果解密 → 明文返回应用
一、依赖
<!-- ShardingSphere JDBC + 加密模块 -->
<dependency>
<groupId>org.apache.shardingsphere</groupId>
<artifactId>shardingsphere-jdbc-core-spring-boot-starter</artifactId>
<version>5.3.2</version>
</dependency>
二、配置加密规则
spring:
shardingsphere:
datasource:
names: ds
ds:
type: com.zaxxer.hikari.HikariDataSource
driver-class-name: com.mysql.jdbc.Driver
jdbc-url: jdbc:mysql://localhost:3306/finance_db
username: root
password: 123456
rules:
encrypt:
encryptors:
sm4_encryptor: # 定义SM4加密器
type: SM4
props:
sm4.key: 1234567890abcdef1234567890abcdef # 256-bit密钥(需从HSM获取)
aes_encryptor: # 定义AES加密器(备用)
type: AES
props:
aes.key.value: 1234567890abcdef
tables:
t_user: # 用户表加密配置
columns:
id_card: # 身份证字段
cipherColumn: id_card_cipher # 密文存储列
encryptorName: sm4_encryptor
phone: # 手机号字段
cipherColumn: phone_cipher
plainColumn: phone_plain # 保留明文列(可选,用于模糊查询)
encryptorName: aes_encryptor
三、数据库表设计
CREATE TABLE t_user (
id BIGINT PRIMARY KEY,
name VARCHAR(100),
id_card_cipher VARCHAR(200), -- SM4加密后的密文
phone_cipher VARCHAR(200), -- AES加密后的密文
phone_plain VARCHAR(20) -- 明文(如需模糊查询)
);
四、业务代码
// 插入数据(无需手动加密)
@Repository
public interface UserRepository extends JpaRepository<User, Long> {
@Query("INSERT INTO t_user (name, id_card, phone) VALUES (:name, :idCard, :phone)")
void saveUser(@Param("name") String name,
@Param("idCard") String idCard, // 自动加密
@Param("phone") String phone);
}
// 查询数据(自动解密)
public User getUserById(Long id) {
return userRepository.findById(id).orElse(null); // 返回的idCard/phone已是明文
}
审计日志脱敏
// 使用ShardingSphere的SQL解析器拦截日志
@Bean
public ShardingSphereDataSource dataSource() throws SQLException {
Properties props = new Properties();
props.setProperty("sql.show", "true"); // 显示SQL日志(自动脱敏)
return ShardingSphereDataSourceFactory.createDataSource(dataSourceMap, Collections.singleton(encryptRule), props);
}