金融业务安全增强方案：国密SM4/SM3加密+硬件加密机HSM+动态密钥管理+ShardingSphere加密

国密SM4/SM3

SM4：对称加密算法，分组长度128位，密钥长度128位，适用于数据加密（如数据库字段、通信报文）】
加密存储：用户身份证号、银行卡号等敏感字段（配合ShardingSphere等中间件自动加解密）
通信安全：API传输敏感数据时加密报文Body。

//加密银行卡号（SpringBoot+BouncyCastle Provider）
public class SM4Util{public static String encrypt(String plaintext,String key)throws Exception{Cipher cipher = Cipher.getInstance("SM4/ECB/PKCS5Padding","BC");/**private static final String ALGORITHM_NAME = "SM4";private static final String HSM_PROVIDER = "SunPKCS11-HSM";*///KeyStore keyStore = KeyStore.getInstance("PKCS11", HSM_PROVIDER);//SecretKey keySpec = (SecretKey) keyStore.getKey("sm4_key", null);SecretKeySpec keySpec = new SecretKeySpec(key,getBytes(),"SM4");cipher.init(Cipher.ENCRYPT_MODE, keySpec);byte[] encrypted = cipher.doFinal(plaintext.getBytes(StandardCharsets.UTF_8));return Base64.getEncoder().encodeToString(encrypted);}
}

#基于ShardingSphere的加密配置（YAML）
spring:shardingsphere:datasource:encrypt:encryptors:sm4_encryptor:type: SM4props:sm4.key: ${secure.key} # 密钥从HSM获取tables:t_user:columns:id_card:cipherColumn: id_card_cipherencryptorName: sm4_encryptorphone:cipherColumn: phone_cipherencryptorName: sm4_encryptor

SM3：哈希算法，输出256位摘要，用于数据完整性校验（如交易签名、文件防篡改）
交易签名：将交易流水号、金额、时间戳拼接后哈希，作为防篡改签名
文件校验：下载对账文件时验证SM3哈希值是否匹配

// 生成交易签名（防止篡改）
public class SM3Util {public static String hash(String data) throws Exception {MessageDigest md = MessageDigest.getInstance("SM3", "BC");byte[] digest = md.digest(data.getBytes(StandardCharsets.UTF_8));return Hex.toHexString(digest);}
}

符合《中华人民共和国密码法》及金融行业安全标准。
等保三级要求核心敏感数据必须使用国密算法或AES-256。

硬件加密机

HSM：专用硬件设备，用于安全生成/存储密钥、执行加密运算，提供物理级防护（如防拆机自毁）
常见厂商：Thales Luna HSMs、IBM Crypto Express、阿里云加密服务

密钥管理

• 根密钥（Master Key）永不离开HSM，应用仅获取加密后的临时密钥
• 执行SM4/SM3运算时，由HSM硬件加速（提升10倍以上性能）

# 通过PKCS#11标准接口调用HSM（示例命令）
pkcs11-tool --module /usr/lib/libCryptoki2.so --login --pin 123456 \--generate-random 32 --output-file random.key

数字证书

• 签发金融级数字证书（如网银U盾）
• 区块链交易签名（避免私钥泄漏风险）

// 从HSM获取证书签名（Java）
KeyStore keyStore = KeyStore.getInstance("PKCS11", "SunPKCS11-HSM");
keyStore.load(null, "hsm-password".toCharArray());
PrivateKey privateKey = (PrivateKey) keyStore.getKey("signing-key", null);
Signature signature = Signature.getInstance("SM3withSM2", "BC");
signature.initSign(privateKey);
signature.update(data.getBytes());
byte[] signed = signature.sign();

PCI DSS要求：信用卡相关密钥必须存储在HSM中
银联标准：跨境支付系统必须使用HSM保护密钥

动态密钥管理

动态密钥：每次会话或交易生成临时密钥，通过密钥派生函数（KDF）从主密钥派生，有效期内自动失效
关键技术：密钥轮换、前向保密（PFS）、密钥分发协议（如KMIP）

支付交易动态密钥

每笔支付交易使用唯一密钥加密卡号，即使某次密钥泄漏也不影响其他交易

# 使用HMAC-SM3派生会话密钥（Python示例）
import hmac, hashlib
def derive_key(master_key, transaction_id):derived_key = hmac.new(master_key, transaction_id.encode(), hashlib.sm3).digest()return derived_key[:16]  # 取前128位作为SM4密钥

数据库列级加密

定期轮换密钥（如每月更换），旧数据通过密钥ID解密后重新加密

-- 动态密钥管理方案（配合KMS）
CREATE TABLE users (id BIGINT,phone_cipher TEXT,  -- 使用动态密钥加密key_id VARCHAR(64)  -- 记录当前使用的密钥版本
);

从HSM获取密钥

public class HsmKeyLoader{@PostConstructpublic void init(){String sm4Key = hsmClient.getKey("sm4_enc_key");// 通过HSM API获取System.setProperty("shardingsphere.encrypt.encryptors.sm4_encryptor.props.sm4.key", sm4Key);}
}

巴塞尔协议：要求密钥生命周期管理（生成、分发、轮换、销毁）
GDPR：密钥轮换周期不得超过90天

ShardingSphere加密

写入流程：
应用明文 → ShardingSphere拦截 → 加密字段替换为密文 → 数据库存储

查询流程：
应用查询条件 → ShardingSphere拦截 → 加密字段条件加密 → 数据库查询 → 返回结果解密 → 明文返回应用

一、依赖

<!-- ShardingSphere JDBC + 加密模块 -->
<dependency><groupId>org.apache.shardingsphere</groupId><artifactId>shardingsphere-jdbc-core-spring-boot-starter</artifactId><version>5.3.2</version>
</dependency>

二、配置加密规则

spring:shardingsphere:datasource:names: dsds:type: com.zaxxer.hikari.HikariDataSourcedriver-class-name: com.mysql.jdbc.Driverjdbc-url: jdbc:mysql://localhost:3306/finance_dbusername: rootpassword: 123456rules:encrypt:encryptors:sm4_encryptor:  # 定义SM4加密器type: SM4props:sm4.key: 1234567890abcdef1234567890abcdef # 256-bit密钥（需从HSM获取）aes_encryptor:   # 定义AES加密器（备用）type: AESprops:aes.key.value: 1234567890abcdeftables:t_user:  # 用户表加密配置columns:id_card:  # 身份证字段cipherColumn: id_card_cipher  # 密文存储列encryptorName: sm4_encryptorphone:   # 手机号字段cipherColumn: phone_cipherplainColumn: phone_plain      # 保留明文列（可选，用于模糊查询）encryptorName: aes_encryptor

三、数据库表设计

CREATE TABLE t_user (id BIGINT PRIMARY KEY,name VARCHAR(100),id_card_cipher VARCHAR(200),  -- SM4加密后的密文phone_cipher VARCHAR(200),    -- AES加密后的密文phone_plain VARCHAR(20)       -- 明文（如需模糊查询）
);

四、业务代码

// 插入数据（无需手动加密）
@Repository
public interface UserRepository extends JpaRepository<User, Long> {@Query("INSERT INTO t_user (name, id_card, phone) VALUES (:name, :idCard, :phone)")void saveUser(@Param("name") String name, @Param("idCard") String idCard,  // 自动加密@Param("phone") String phone);
}// 查询数据（自动解密）
public User getUserById(Long id) {return userRepository.findById(id).orElse(null); // 返回的idCard/phone已是明文
}

审计日志脱敏

// 使用ShardingSphere的SQL解析器拦截日志
@Bean
public ShardingSphereDataSource dataSource() throws SQLException {Properties props = new Properties();props.setProperty("sql.show", "true"); // 显示SQL日志（自动脱敏）return ShardingSphereDataSourceFactory.createDataSource(dataSourceMap, Collections.singleton(encryptRule), props);
}