商业银行交易报文脱敏方法与模型以及在综合场

商业银行的交易报文中含有大量的敏感信息，在使用过程中存在数据泄露的风险，而综合场景测试中交易报文与脱敏后的铺底数据不匹配会导致测试成功率低的问题。为解决这两大问题，本文提出了以一种交易报文脱敏为核心的研究思路。首先介绍交易报文脱敏并分析交易报文和铺底数据不匹配的原因，引入“动态脱敏”的概念;其次引入一套适用于商业银行的交易报文脱敏系统，并利用该系统对生产交易报文脱敏，进而将脱敏后的交易报文应用到综合场景测试中验证;最后介绍了应用在综合场景测试工具发压和回放的效果，以此验证方法和模型的实用性。

一、背景

近年来，随着商业银行的测试任务越来越繁复繁重，传统人工测试的局限性逐步显现，特别是大量的回归测试导致人力、物力及财力的巨大耗费，自动化综合场景测试技术在商业银行中得到了越来越广泛地应用。综合场景发压与回放测试中，一般都涉及大量的生产交易报文，其中包含大量敏感信息，如客户姓名、电话号码、身份证号、磁道信息和密码等。如果生产上的交易报文使用不规范，容易造成大量敏感信息泄露，后果不堪设想。

商业银行为了进行综合场景测试，通常采用大量真实的生产上的交易报文对被测环境中的铺底数据进行回放，由于银行铺底数据大多是脱敏后的数据，为了保证交易报文回放的成功率，必须对交易报文进行脱敏，与被测环境中的数据相匹配。交易报文脱敏既能满足去除敏感信息的要求，也能将其应用到综合场景测试中。

二、交易报文脱敏

1.交易报文脱敏的特点

交易报文是测试工作中非常重要的原始数据。银行等金融机构每天产生大量交易报文日志，其中的数据敏感性非常高。因此在构造测试环境时，如果大规模使用这些交易报文进行综合场景发压测试和业务验收测试，需要对这些包含敏感数据的交易报文进行脱敏处理，以使测试环境中的交易报文丧失敏感性。据了解，截止目前尚无银行进行交易报文日志脱敏。对于国内银行业来说，敏感数据数量一般都非常庞大，达到亿甚至几十亿量级，脱敏方法及其效率为首要制约因素。测试环境中交易报文的质量以及与铺底测试数据的匹配度决定了测试工作的质量，这要求脱敏方法需具备以下五个方面的特征。

（1）效率高和灵活配置。本文提出的方法适用于敏感数据量非常大且交易种类繁多（如数据条目数在几亿甚至更多）。

（2）“动态脱敏”结果具备交易报文的分布特征。评价敏感数据处理效果的一个重要指标是去除敏感性的同时，是否保留了原交易报文的其他重要特征。

（3）“动态脱敏”结果具备原交易报文的逻辑特征。逻辑特征是指数据所表现出来的特定含义，如敏感数据为磁道数据，那么“动态脱敏”处理后，原有敏感数据被脱敏交易报文替换，新数据仍然具备磁道数据的特点。如果使用“动态脱敏”后的数据用于应用系统测试中，分布特征与逻辑特征对于测试效果的影响是至关重要的。

（4）“动态脱敏”后的交易报文要与铺底数据具有很高的匹配度，才能达到发压和回放的高可用性。

（5）“动态脱敏”中保留了磁道静态脱敏（重写磁）中所过滤掉的卡片信息。

2.交易报文敏感信息分析

通过分析铺底数据脱敏以及根据敏感信息分类，敏感信息大致包括客户姓名、电话号码、身份证号、磁道信息、IC卡55域和密码等。依据生产上交易日志在脱敏后的被测环境铺底数据中的回放，我们得到了一些错误信息，如客户姓名不符（包括收款人户名不一致、账号户名不一致等）、客户尚未注册该渠道服务、该证件在系统中未登记、磁道校验错误、ARQC（AuthorizatI/On Request Cryptogram）校验失败、CVV验证失败和PIN(密码)验证失败等典型错误，也是我们交易报文日志脱敏时分析的重点。

（1）客户姓名不符。交易报文中的客户姓名字段与铺底数据的相应数据表里的客户姓名不匹配，由于测试环境数据表里的客户姓名被脱敏所致。

（2）客户尚未注册该渠道服务。交易报文中的电话号码与在铺底数据相应数据表里不存在，由于测试环境数据表里的电话号码被脱敏所致。

（3）磁道校验错误。由于测试环境数据表里的秘钥均为测试环境的伪秘钥，导致交易报文中的磁道信息（二磁、三磁）与经过测试环境中测试秘钥加密计算的磁道信息（二磁、三磁）校验不匹配。

文章来源：《中国测试》 网址: http://www.zgcszzs.cn/qikandaodu/2021/0504/1122.html