文章总结： 本文探讨基于国产芯片的可信密码应用。针对高并发低延时挑战，提出以国产CPU内置模块替代外置加密卡的安全内生方案。通过构建密码服务平台，实现核心交易全链路加固及数据加密。该方案提升安全性与性能，为行业提供合规高效的商密改造路径，未来将向量子安全演进。 综合评分： 86 文章分类： 安全建设,解决方案,数据安全,技术标准

专题·金融安全 | 证券行业可信密码应用实践

原创

俞枫

中国信息安全

2025年12月31日 17:47 北京

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 国泰海通证券股份有限公司首席信息官 俞枫

数字技术正重塑金融行业服务形态与边界，从证券交易毫秒级成交到普惠金融全民覆盖，便捷性背后是金融安全的全面承压。数据泄露、交易劫持等安全风险更隐蔽且破坏力惊人，而核心技术对外依赖的现状，将金融安全提升至国家战略高度。在此背景下，需通过自主创新软硬件，降低对特定外部技术的依赖，提升供应链安全可控水平，筑牢安全底座。推广商用密码（以下简称“商密”），作为数据安全保障的核心环节，成为构建可信防护体系的关键支撑。可信密码作为商密技术落地应用的核心载体，既为交易真实性、数据机密性、系统可靠性提供坚实保障，也是金融行业夯实安全根基、实现自主可控与技术创新的必由之路。

一、证券行业密码应用的深化：政策、需求

与技术演进

随着金融安全上升到国家安全高度，国家相关部门和监管机构从国家安全和长远战略出发，提出了推动商密算法应用实施、加强行业安全可控的要求，从技术标准、政策法规、行业监管多维度构建完善保障体系。在技术标准方面，国家密码管理局发布了SM2、SM3、SM4等算法标准，为商密算法升级提供了技术基础。中国人民银行相继发布金融行业信息系统商密应用《基本要求》和《测评要求》，明确金融信息系统密码应用与测评规范。在政策法规方面，2018年中办、国办联合发布的《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》通知，标志着国产密码应用进入全面推进阶段。2020年正式施行《密码法》，进一步规范了国产密码的应用和管理。在行业监管方面，证监会发布《证券公司网络和信息安全三年提升计划（2023-2025）》，进一步明确了证券行业密码应用的实施路径与时间表，推动实现商密的全覆盖，夯实证券行业信息安全基石。这一系列密集而系统的政策部署，为行业创新指明了方向，也带来了多维度要求，驱动企业加快商密落地步伐。

证券行业信息系统在推进商密改造过程中，主要面临高可用、低延时和高并发三大核心挑战。高可用强调业务的连续性，要求系统具备极高的鲁棒性与容灾能力，确保在局部故障或灾难场景下，用户登录和交易指令执行不受影响；低延时则聚焦于极致速度，例如，网上交易系统的端到端时延需控制在毫秒级别，而核心交易系统的内部处理时延更是要求达到微秒级；高并发构成了系统的峰值压力，在早盘等关键时段，系统需瞬时承载百万量级用户的同时委托。这些特点决定了在推进商密应用改造的过程中，必须兼顾安全性、可用性与性能。

面对上述挑战，证券行业在探索商密落地方案时，形成了差异化的技术路径。传统方案普遍采用支持商密算法的硬件加密卡，将其安装在服务器PCI-E总线上，为密码应用提供底层的密码计算、密钥存储和硬件随机数生成等服务，密码应用通过加密卡驱动和标准的接口调用加密卡功能。与此同时，国产CPU芯片的飞速发展，为商密算法的应用带来了新的机遇。在全面推进技术自主可控的背景下，应坚持技术创新，积极与国内相关安全厂商合作，寻求密码技术从能用到好用的解决方案，在此基础上逐步形成了一套基于安全内生的可信密码应用方案。

二、基于国产芯片的可信密码方案研究

为提升商密的易用性和性能，国泰海通在证监会科技司和国家密码局的指导下，联合密码厂商以及芯片厂商，在业内率先探索基于国产芯片的商密创新方案。该方案采用国产CPU内置可信密码模块，结合协同签名网关和密钥管理系统，全面替代外置硬件加密卡，构建了安全内生的可信密码方案，实现了交易通道安全加固和密钥分量安全存储，且无需改变业务流程和上层密码服务。

（一）安全内生的可信密码方案

安全内生的可信密码方案基于国产CPU密码技术，以CPU内置可信密码模块替代传统硬件加密卡，为上层密码应用提供密码计算与密钥存储功能，保障密码运算环境的独立性和安全性。该模块不仅完整实现了原方案中加密卡的全部功能，而且相比于通过PCI-E插槽安装在服务器主板上加密卡，内置于国产CPU的内部，满足业务需求的同时，因密钥管理采用硬件隔离技术，在CPU内部的安全区域中受硬件保护存储与使用，对外部系统（包括应用系统和数据库系统）不可见，仅可通过CPU内的可信密码模块调用相关密码运算功能，实现密钥“可用不可见”，有效防范泄露风险。核心功能包括生成与存储SM2密钥对、支持SM2、SM3、SM4这些国产算法加密解密、产生数字签名和验证、产生物理随机数、控制用户访问权限以及支持密钥备份恢复，为商密应用提供了坚实基础。

该方案的核心优势在于将加密能力从传统的“外挂”硬件形态，升级为CPU“内生”的原生能力，在性能、安全、成本和弹性方面实现了全方位跨越。

（二）可信密码技术原理

国产CPU芯片的商密应用实现，主要依赖于CPU可信密码模块（CCP/TEE）。该模块的边界定义为CPU芯片加密固件，包括执行密码算法的硬件模块和软件模块（如图1所示）。

图1 可信密码模块示意图

在硬件层面，CPU内部集成了密码算法专用加速硬件密码协处理器，提供芯片级密码加速方案，其核心组件包括：真随机数生成器、SM2/SM3/SM4国密算法引擎，以及实现密钥“可用不可见”的安全存储模块，为安全处理器上的密码运算提供加速，实现高效的商密运算。

在软件层面，提供了面向可信密码模块的驱动程序与用户态库，用于访问处理器内部集成的硬件商密算法，实现高效的商密加解密和数字签名等功能。通过标准化的密码模块软件栈（如图2所示），可提供OpenSSL、SDF等标准接口，向上支撑VPP、IPSec、密码机等多种应用。系统还内置智能调度机制，能根据数据包大小，智能选择高性能的密码指令集或高吞吐的可信密码模块。密钥管理环节集成TKM模块，实现了密钥的生成、存储和安全使用的全生命周期管理，同时对应用完全透明，无需修改代码即可无缝替换传统加密卡。

图2 密码模块软件栈

（三）构建可信密码服务平台

为更好赋能各系统商密建设，国泰海通依托国产芯片的商密应用方案，采用分层架构，构建了一套全栈化、全场景的证券期货行业可信密码服务平台。该平台在技术、功能、性能等各方面均具有鲜明特点和创新性。

一是有效管理密码资源池。基于国产CPU的硬件虚拟化能力，平台实现了异构密码资源的池化管理。通过将分散的物理CPU进行逻辑划分和抽象，形成了统一的虚拟密码资源池，支持不同类型、不同性能的密码资源的灵活调度与按需分配。同时，通过资源抽象实现密码基础设施与上层应用的解耦，使资源供给能够动态适应业务变化。

二是提供标准的密码服务能力。平台提供了通用密码服务、典型密码应用服务等多个层次的密码服务，可满足证券行业的多样化密码应用需求。通用密码服务主要面向签名验签、加解密、摘要计算等常见场景，提供SM2、SM3、SM4等商密算法的基础运算能力。在此基础上，平台进一步针对证券行业的典型应用场景，设计并封装了时间戳服务、数字信封服务、电子印章服务等一系列典型密码应用服务，简化了上层调用流程。

三是全生命周期的密钥管理机制。平台提供了完整的密钥全生命周期管理，包括密钥产生、分发、更新、备份、销毁等。密钥生成基于可信密码模块的随机数发生器，保障了随机源的安全性。密钥分发和存储则充分借助国产CPU的内存加密、可信执行环境、安全指令等特性，实现了密钥不落地、不出芯片边界的物理隔离。

该可信密码服务平台立足国产CPU芯片，充分发挥其强大的计算能力和内置的商密协处理器能力，构建起全面、完备、灵活、开放的密码服务功能体系，为业务发展提供多元化的密码服务。

三、证券行业关键信息基础设施系统的应用实践

国泰海通将安全内生的可信密码方案应用于证券行业关键信息基础设施系统，并基于密码服务平台，完成了网上交易系统和集中交易系统的商密改造。该实践覆盖了从网上交易到集中交易等核心业务场景，通过安全内生的密码技术实现业务全链路的安全加固，有效提升了系统整体密码保障水平。

（一）网上交易系统可信密码应用实践

当前，网上交易系统普遍采用加密卡或加密机实现密钥安全存储与数据加密。随着国产芯片技术的快速发展，安全内生密码技术日趋成熟。该技术充分发挥国产服务器安全可控的优势，通过CPU内置可信密码模块，实现从网上交易系统客户端到接入服务端的全链路安全加固。

国产服务器CPU内置的可信密码模块，不仅完整覆盖传统加密卡的全部功能，还在性能、安全性及系统稳定性方面展现出显著优势，能够充分满足网上交易系统对高并发、高安全性的业务需求。

基于密码服务平台，采用安全内生技术对网上交易系统通信链路进行了商密加固。在网上交易客户端侧，终端安全密码模块负责生成客户端密钥分量，并配合协同签名服务端完成协同签名流程；同时，集成安全认证网关软件开发工具包，构建符合商密标准的传输层安全客户端协议，为业务通道提供加密传输能力。在服务端侧，协同签名网关与密钥管理系统部署于国产化服务器，依托CPU内置的可信密码模块，为系统提供密码运算、密钥安全存储及真随机数生成等核心密码功能，全面保障密钥生命周期安全。

目前，该方案已实现全部节点的部署替换，系统运行平稳、各项监控指标正常，系统在高峰业务场景下表现优异，进一步验证了方案的技术成熟度与业务支撑能力。

（二）集中交易系统可信密码应用实践

基于密码服务平台，采用安全内生技术，在集中交易系统中成功实现通信链路加固与数据库存储加密并通过密评。

在通信链路加固方面，改造覆盖了所有接入集中交易系统的客户端通信环节。具体包括三类终端接入场景：一是外围系统，如网上交易系统、综合理财系统等，通过接入网关与集中交易系统建立安全连接；二是营业部柜台，通过交易管理网关与集中交易系统建立安全连接；三是运维侧，运维人员通过国密浏览器访问BS运维系统执行数据上场、下场等日常运维操作时的通信通道安全加固。

在数据库存储加密方面，针对集中交易系统所使用的分布式数据库，根据数据重要程度对数据库字段进行分类分级，并对敏感字段实施数据库透明加密存储，从而在存储层面提升核心业务数据的机密性与完整性。

在应用实践中，通过安全合规的国密网关中间件，对网络边界访问控制信息进行了完整性与机密性保护，确保传输数据不被恶意篡改或读取。在密码运算和密钥管理方面，采用安全内生的密码技术和数据库透明加密方案实现数据加密，该加密方案的优势在于集中交易系统无需任何改动，只需数据库完成与可信密码模块适配即可；支持复杂的存储过程，所有加密解密运算均在CPU可信密码模块内完成，该方案尤其适用于证券行业复杂且延时要求高的系统商密应用场景。

四、总结与展望

安全内生的可信密码方案将商密与国产软硬件平台结合起来，基于国产芯片，提供了一种安全内生的商密应用新方案。该方案基于国产CPU内置的可信密码模块，采用一种集成度更高的密码解决方案，将安全可控的商密算法集成在CPU内部芯片中。同时，将密码资源进行抽象打造统一的密码服务平台，为其他系统的密码应用提供标准的密码服务和统一的接口。外部应用无需过多关心底层硬件的适配，在满足商密要求的同时，全面适配国产软硬件环境。该方案获得由中国证监会和国家密码局组织的密码专家的一致认可，为证券行业关基系统商密改造提供了一套安全、高效、经济的一站式商密改造解决方案，增强了系统的安全性、稳定性以及健壮性，实现了商密服务从能用到好用的转化。

国产平台基于安全内生的可信密码方案具有安全稳定、接入简单、性能卓越、扩容方便、成本经济的特点，在各行业各系统均有极高的可推广可复制性，能够极大提升各行业各系统商密和国产化改改造的进度，降低系统商密改造和部署成本，有效增强国内系统网络安全防护水平，促进标准化和生态化发展，提升商密算法国际竞争力。

面向未来，我们仍要以创新为核心驱动力，推动密码体系从当前的合规应用向面向未来的“安全内生”与“量子安全”演进。技术演进路径将立足于现有成熟的国密算法与可信密码模块生态，以前瞻性布局抗量子密码算法与国产芯片的深度融合为突破口。在生态构建上，将坚持“产学研用”联合攻关的模式，共同推动下一代密码体系的成熟与落地。

最终的应用愿景是打造“安全内生+量子安全”的双重保障体系。该体系不仅能够有效抵御未来量子计算带来的破解威胁，更能将安全能力作为一种内生要素，深度融合到从芯片、系统到应用的全技术栈中，实现从被动防御到主动免疫的范式转变。我们致力于引领行业安全标准的升级，通过夯实全集团的协同安全防护能力，为数字资产的全生命周期构建起一道可信、可控、可验证的主动安全防护管理体系，从容应对后量子时代的全新安全挑战。

（本文刊登于《中国信息安全》杂志2025年第12期）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 俞枫《专题·金融安全 | 证券行业可信密码应用实践》