金融數(shù)據(jù)安全建設建議書_V01

1、ZZZ科技有限公司文檔名稱XXX公司金融數(shù)據(jù)安全建設建議書文檔編號XXX公司金融數(shù)據(jù)安全建設建議書-V0.1文檔類別技術(shù)文檔版本信息V0.1內(nèi)部密級外部密級創(chuàng)建人創(chuàng)建日期修改歷史版本號日期*狀態(tài)修訂人摘要V0.12009-04-08:C創(chuàng)建*狀態(tài)：C -創(chuàng)建 A -增加 M -修改 D -刪除目錄第一章 前言 11.1 概述 . 11.2 商業(yè)銀行金融數(shù)據(jù)安全建設中的四個階段 . 11.2.1 未采用專業(yè)技術(shù)的裸奔階段 11.2.2 軟件密碼技術(shù)的使用 21.2.3 硬件密碼設備的應用 21.2.4 金融數(shù)據(jù)安全的完善階段 3第二章 技術(shù)基礎篇 52.1 加密算法分類 . 52.1.1 對稱密

2、鑰算法和非對稱密鑰算法 52.1.2 分組密碼算法和流密碼算法 622關(guān)于3DES!法 62.3 MAC計算 7第三章 商業(yè)銀行對數(shù)據(jù)安全的基本要求 9第四章 金融數(shù)據(jù)安全密鑰體系 104.1 金卡體系 104.2 RACAL密鑰體系概述 114.3 PKI 體系 12第五章 商業(yè)銀行數(shù)據(jù)安全解決方案 145.1 金融業(yè)務系統(tǒng)簡單模型下數(shù)據(jù)安全 145.2 設備部署 145.3 業(yè)務終端數(shù)據(jù)安全功能 155.4 前置機系統(tǒng)的數(shù)據(jù)安全 155.5 帳務主機的數(shù)據(jù)安全功能 165.6 密鑰的分發(fā) 165.7 業(yè)務數(shù)據(jù)安全傳輸 . 175.8發(fā)卡中PIN的安全 185.9 聯(lián)盟總體安全結(jié)構(gòu) 195.

3、10 加密機集群系統(tǒng) 215.10.1 網(wǎng)絡結(jié)構(gòu)圖 215.10.2 主要功能 225.10.3 部署方式 23256.1 SJL06金融數(shù)據(jù)加密機技術(shù)說明 256.1.1 各模塊的功能及作用 266.1.2 IC 卡的設計 286.1.3 密鑰庫設計 29第六章 技術(shù)指標6.2 SJL06 金融數(shù)據(jù)加密機的技術(shù)特點 296.3 SJL06 加密機的安全措施 30第七章 技術(shù)規(guī)格 327.1 SJL06E加密機技術(shù)規(guī)格 327.1.1 技術(shù)規(guī)格 327.1.2 工作環(huán)境要求 327.1.3 性能指標 337.2 SJL06S加密機技術(shù)規(guī)格 337.2.1 技術(shù)特點 337.2.2 技術(shù)指標 3

4、37.2.3 性能指標 347.3 加密機備件與專用工具清單 34第八章 配置建議 358.1 壓力測試 35服務器A的集群系統(tǒng)雙機 35服務器B集群系統(tǒng)雙機 378.2 峰值業(yè)務量估計及配置建議 388.2.1 聯(lián)盟中心 388.2.2 商行運行中心 408.2.3 網(wǎng)點 408.2.4 終端和 ATM 408.2.5 外聯(lián)系統(tǒng) 41第九章 數(shù)據(jù)安全技術(shù)其它討論 429.1 關(guān)于 PINBLOC格式 42常用的PINBLOC格式 429.1.2 安全分析 439.2關(guān)于主機端PIN存放和校驗 449.3 小額本票密押 459.4 舊系統(tǒng)密碼移植 459.5 CVN 移植459.6 分散網(wǎng)點的

5、安全問題 46第十章 安全管理原則4710.1 基本原則 4710.2 密鑰的相關(guān)原則 47第十一章 附件 4811.1 近期工作建議 48第 一 章 前 言1.1 概 述金融電子化的發(fā)展，使得越來越多的貨幣以數(shù)字化的形式在銀行網(wǎng)絡中流動，而各金 融網(wǎng)絡的互聯(lián)互通已經(jīng)形成了一張遍布全球的金融服務網(wǎng)絡。如何在如此大的業(yè)務網(wǎng)絡中 保護客戶和銀行的利益不受損害將是銀行信息安全的一個核心問題。因為金融行業(yè)的高風 險特點使得其對安全的要求也格外的苛刻。金融行業(yè)的信息安全問題不但囊括了其他行業(yè)信息安全的全部因素（防病毒、入侵監(jiān) 測、通訊數(shù)據(jù)加密、身份認證、災難備份等等），同時金融行業(yè)也有其特殊要求。因為用

6、 戶 PIN 的安全是銀行為用戶負責保障用戶合法利益的關(guān)鍵。我國新刑法中關(guān)于取證條款的 修改使得當用戶與銀行發(fā)生沖突時（如用戶資金丟失責任問題）銀行能夠證明自己為用戶 提供了足夠的安全保護甚至連銀行內(nèi)部人員也不可能獲得，因此 如何保護用戶的帳號密碼（PIN）的安全是金融業(yè)務中最特殊的安全要求。要保證數(shù)據(jù)的安全性（保密性、完整性）最有效的手段是采用加密技術(shù)對數(shù)據(jù)進行加密處理。本文討論的數(shù)據(jù)安全主要是指銀行以卡業(yè)務為代表的用戶以個人密碼（PIN）為身份鑒別手段的業(yè)務中用戶關(guān)鍵信息（PIN ）的安全和交易的安全。1.2 商 業(yè) 銀 行 金 融 數(shù) 據(jù) 安 全 建 設 中 的 四 個 階 段金融數(shù)據(jù)安

7、全技術(shù)的發(fā)展也是隨著金融業(yè)務的發(fā)展而發(fā)展起來的。這里將銀行數(shù)據(jù)安 全劃為四個階段是代表金融數(shù)據(jù)安全從無到有從弱到強的一個過程。同時，在很多銀行因 為業(yè)務系統(tǒng)眾多建設時間前后不一等原因使四個階段描述的狀態(tài)可能都存在。1.2.1 未 采用 專 業(yè)技 術(shù)的 裸奔階段在金融電子劃的初始階段，銀行的主要目標是建立和發(fā)展銀行業(yè)務網(wǎng)絡。由于觀念、 技術(shù)、時間、資金等方面的原因沒有或較少使用密碼技術(shù)對業(yè)務信息進行安全保護。 此時， 在金融網(wǎng)絡和業(yè)務系統(tǒng)中存在大量的 PIN 明文且對于數(shù)據(jù)信息的完整性和有效性也常不進 行校驗，其安全性僅僅依靠網(wǎng)絡系統(tǒng)的物理安全性和操作系統(tǒng)本身的安全性來保證，而很 少采用專業(yè)技術(shù)

8、。這樣的系統(tǒng)無論從金融系統(tǒng)內(nèi)部還是外部都可以非常容易獲取交易中的機密信息并發(fā)起 攻擊行為，銀行和銀行客戶的資產(chǎn)面臨巨大風險。1.2.2 軟 件密 碼 技術(shù) 的使 用隨著銀行卡應用的普及、金融網(wǎng)絡的不斷擴大，數(shù)據(jù)在傳輸過程中的安全性得到了一 定重視，在各種應用系統(tǒng)中使用軟件對交易信息進行加密和完整性運算的方法得到廣泛使 用。此時大家認為在銀行外流動的信息是不安全的，而忽略了信息在銀行內(nèi)部的安全。但 是金融犯罪實際上有 80%以上來自內(nèi)部，特別是隨著金融機構(gòu)本身以及為金融機構(gòu)服務的 公司人員流動的加快，這種不安全性越來越明顯。概括來說使用軟件加密技術(shù)存在以下不 足：軟件的運行要占用主機資源，并且軟

9、件的處理速度較慢軟件運作時很多重要的資料（如用來做密碼運算的密鑰，或顧客的 PIN）都會在某時間 清晰的出現(xiàn)于計算機的記憶或磁盤上，而對計算機數(shù)據(jù)安全有一定研究的不法分子便有機 會把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。軟件不能提供一種有效的機制保護密鑰的存儲安全密鑰一旦被人盜取，則客戶密碼 PIN也就無安全可言，因而國際銀行卡組織（VISA、 萬事達）和我國銀聯(lián)中心均作出了在金融系統(tǒng)中必須使用硬件加密設備的規(guī)定。并且根據(jù) 我國有關(guān)法規(guī)，不能使用進口涉密產(chǎn)品。1.2.3 硬 件密 碼 設備 的應 用為了解決軟件加密在安全上的不足，產(chǎn)生了專門解決金融業(yè)務數(shù)據(jù)安全的硬件加密設備。國外將其稱為

10、HSM（主機安全模塊），國內(nèi)稱為金融數(shù)據(jù)加密機或金融數(shù)據(jù)加密機。在我國金融數(shù)據(jù)加密機的大量使用是隨金卡工程實施開始的。金卡中心（銀聯(lián)）對于聯(lián) 網(wǎng)交易在關(guān)鍵信息保密性、信息的完整性和密鑰交換管理等方面都一一規(guī)定，使得金卡交易 的安全性在一定范圍得到了保證。 但是多數(shù)銀行是迫于銀聯(lián)的要求并且因為聯(lián)網(wǎng)工作時間緊 迫等原因僅僅在與金卡中心的接口業(yè)務中使用了硬件密碼設備而在其它地方依然是使用軟 件加密甚至還使用 PIN 明文傳輸?shù)那闆r。 這些問題的存在實際上使得使用硬件加密設備的作 用打了折扣，這有一點象安裝了高級防盜門的房子有一個虛掩的窗戶一樣。但這是一個好的 開端，很多銀行在次過程中認識到了現(xiàn)有系統(tǒng)

11、在銀行卡業(yè)務中安全方面的種種不足并開始對 它的完善做準備。1.2.4 金 融數(shù) 據(jù) 安全 的完 善階段對現(xiàn)有系統(tǒng)進行完善使得用戶 PIN 不能被任何人（包括銀行內(nèi)部人員）獲取或非法使 用，為用戶提供一個安全的銀行卡使用環(huán)境將是金融機構(gòu)今后工作的一個重點。在當前各 個商業(yè)銀行在建立完善自己的數(shù)據(jù)安全體系方面主要關(guān)注以下幾個方面：制定應用安全規(guī)范應用系統(tǒng)的建設必須遵循本行安全規(guī)范，全行應用系統(tǒng)安全改造計劃及實施方案的制 定設立安全崗位、完善管理制度：將密鑰、口令、密碼設備等管理和工作流程制度化。建設本行數(shù)據(jù)安全服務平臺 將應用開發(fā)、安全開發(fā)、安全管理分離。本文討論的數(shù)據(jù)安全是指銀行以卡業(yè)務為代表的

12、用戶以個人密碼（PIN）為身份鑒別手段的業(yè)務中用戶關(guān)鍵信息（PIN）和交易的安全。一個完善的數(shù)據(jù)安全系統(tǒng)應該符合以下 要求：“用戶 PIN 在銀行業(yè)務系統(tǒng)中永遠不以明文形式出現(xiàn)在硬件安全模塊以外 ”，這是 保證用戶 PIN 安全的第一步。密碼設備使用安全密碼設備本身設計或使用不當可能會成為他人對密文信息攻擊的工具，因而必須采取 措施保證任何人未經(jīng)授權(quán)不能利用密碼設備對保密信息進行攻擊。密鑰管理安全對稱密鑰算法安全的關(guān)鍵在于密鑰的安全，對于使用公開的商業(yè)密碼算法的系統(tǒng)任何 人獲得密鑰都可以對相關(guān)信息進行解密、篡改、偽造。因而要保證 PIN 在金融網(wǎng)絡系統(tǒng)中 不能被任何人獲得就必須首先保證系統(tǒng)中使

13、用的相關(guān)密鑰不能被任何人獲得。管理安全對一個系統(tǒng)安全的評估不能建立在對一個群體信任的基礎之上（包括內(nèi)部人員、系統(tǒng) 開發(fā)商、設備供應商），相關(guān)安全的責任人必須明確并且可控、可審記，對于關(guān)鍵安全要 素必須由多人共同掌管避免風險集中。第二章技術(shù)基礎篇2.1加密算法分類對稱密鑰算法和非對稱密鑰算法對稱密鑰算法是指對數(shù)據(jù)的加密和解密過程使用同一把密鑰（如下圖所示）。代表算 法有DES IDEA、AES等，其中DES是當前公開算法中使用最為廣泛的算法。非對稱密鑰算法（又稱公開密鑰算法）是指加密和解密使用的密鑰不同，雖然兩個密 鑰有必然的聯(lián)系但是不能夠從加密密鑰得到解密密鑰，這樣就可以將加密密鑰公開（不需

14、要保密）。通常將加密密鑰稱為公開密鑰（或公鑰）將解密密鑰稱為私有密鑰（或私鑰） 如下圖所示：公開密鑰非對稱密鑰算法相對對稱密鑰算法的優(yōu)勢就在于加密密鑰可以公開，這樣就方便了密 鑰的分發(fā)。又因為私鑰只有信息的接收方才有，反向如果使用私鑰對數(shù)據(jù)加密雖然數(shù)據(jù)的 保密性不能保證但是數(shù)據(jù)的接收方可以判斷該數(shù)據(jù)是私鑰所有者發(fā)送。當前的CA及數(shù)字簽名正是利用了公開密鑰算法的這一特性實現(xiàn)信息的不可抵賴性。當前主要的公開密鑰算 法是RSA算法。但是當前的公開密鑰算法處理速度要比對稱密鑰算法慢很多，并且公開密鑰算法密鑰 的產(chǎn)生非常復雜必須使用專門工具而不象對稱密鑰隨機一個數(shù)字就可以作為密鑰使用。因 而通常將公開密

15、鑰用在身份認證和對稱密鑰的交換上，而大量的數(shù)據(jù)加密還使用對稱密鑰 算法。分組密碼算法和流密碼算法如果從加密方式來區(qū)分算法又可以分為分組密碼算法和流密碼算法。分組密碼算法每 次對固定長度的信息進行加密，因而在加密數(shù)據(jù)前需要將數(shù)據(jù)分為等長的若干組，一組一 組進行加密計算。分組算法的密鑰長度也是一定的，因此對一個分組密碼算法最重要的兩 個概念是密鑰長度和分組長度。流密碼算法是產(chǎn)生一個密鑰流和被加密的數(shù)據(jù)按位（bit）異或計算，而沒有密鑰長度和分組長度的概念。流密碼算法的技術(shù)核心是密鑰流的產(chǎn)生和 同步技術(shù)。因為設計一個好的流密碼算法對技術(shù)要求非常高同時實施成本也很高，所以我們通常 商用密碼大部分都是分

16、組密碼，對安全要求更高的普密核密使用流密碼技術(shù)較多。我們常 用的DES算法就是一個64分組的分組算法。2.2關(guān)于3DES算法DES算法是當前使用最為廣泛的加密算法，在金融數(shù)據(jù)安全領域基本全部也是使用的DES算法。因為其密鑰長度太?。―ES密鑰長度是64bits其中只有56bits有效位）其安 全性在當前的計算技術(shù)能力情況下已經(jīng)不能滿足各方面安全的需要，但是使用新的算法有 存在兼容性，因此人們提出了 3-DES的替代方案。我國金融行業(yè)是從 2002年開始在金融 行業(yè)使用3-DES替代DES算法工作的。3DES算法加密數(shù)據(jù)說明3-DES加密算法實際上是使用兩個或三個密鑰密鑰對一個數(shù)據(jù)分組進行三次D

17、ES運算因為從數(shù)學上人們證明了 DES算法的是不成群的，因此通過增加通過該方法可以有效提高 算法的安全強度。下面說明3DES算法的兼容性問題。以雙倍長密鑰（128bits ）為例，我們將前半部分稱為 KEY1后半部分稱為KEY2其計算過程如下圖所示:加密過程64皿明文KEYKEY1DES(EiuctypticiTi)y*DE2(Deciyphon-KEY2JDES(Encryption)-KEY164 b也密文解密過程64 密袁 +KEYDES(Deciyptia 町KEY1DES (Encryptioii)KEY2IDES (DaciypticnJwKEY1r64 bih明文這樣當KEY仁K

18、EY時就相當KEY1進行DES計算了。同樣三倍長（192bits ）算法分為KEY1 KEY2 KEY3依次使用，KEY仁KEY時兼容雙倍長密鑰 KEY1=KEY2=KEY3兼容單倍 長DES算法了。2.3 MAC計算ANSI X9.19定義了使用雙倍長密鑰計算 MAC勺方法,它完全兼容ANSIX9.9的單DESMAC計算方法。ANSIX9.19標準使用MAC雙倍長密鑰前半部分對 MAC數(shù)據(jù)按X9.9計算,然后使 用MAC密鑰后半部分對結(jié)果解密計算,再用前半部分加密得到MACS。算法如下圖所示：我國銀聯(lián)定義的算法和 ANSI X9.19不同，它是對每一個分組進行 3DES計算當然它也 是兼容單

19、DES MA計算的，但是處理工作量要比 ANSI X9.19大一些。第 三 章 商 業(yè) 銀 行 對 數(shù) 據(jù) 安 全 的 基 本 要 求金融行業(yè)業(yè)務系統(tǒng)對數(shù)據(jù)安全的主要要求包括以下三點：關(guān)鍵信息（PIN）的保密性對于銀行卡業(yè)務，用戶密碼（PIN）是用戶身份認證的關(guān)鍵信息，PIN的泄露會使得它 人假冒持卡人進行取現(xiàn)、消費、轉(zhuǎn)帳等業(yè)務將對持卡人的利益造成難以估計的損失。對于 PIN的安全一方面用戶自己必須防止 PIN的泄露，而對于銀行更要保證用戶PIN在金融網(wǎng)絡和業(yè)務系統(tǒng)的安全。對 PIN 的保密性包括 PIN 的產(chǎn)生、存儲、傳輸、更改、校驗等過程 中不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用。

20、換句話說應該是除了持卡人任何 人都無法得到 PIN 的明文。數(shù)據(jù)的完整性數(shù)據(jù)的完整性是確保信息由產(chǎn)生至接收的途中沒有被意外或人為修改。例如銀行發(fā)出 一個指令給柜員機 , 內(nèi)容為允許付款若干金額 , 可是此信息在途中出現(xiàn)問題 , 令金額數(shù)值 改變。雖然銀行本身并不知情 , 但此失誤卻直接影響銀行及持卡人的結(jié)帳數(shù)目；或者用戶 在使用自助設備完成轉(zhuǎn)帳時攻擊者修改了轉(zhuǎn)入帳號這樣攻擊者就可以在不知道持卡人 PIN 的情況下盜取資金。來源的可信性來源的可信性是為了防止攻擊者假冒合法業(yè)務終端（如銀行ATM CDM向銀行業(yè)務系統(tǒng)發(fā)送假冒交易或者假冒銀行主機系統(tǒng)應答業(yè)務終端的業(yè)務請求從而給銀行或合法用戶 造成損

21、失。除此之外在一些業(yè)務系統(tǒng)中也要求對數(shù)據(jù)進行傳輸加密這相對PIN安全要求要簡單很多，因此在本文不再討論。第四章金融數(shù)據(jù)安全密鑰體系在基于密碼技術(shù)的安全系統(tǒng)中密鑰管理是最為重要的一個方面。我們需要對密鑰的產(chǎn) 生、分配、貯存、轉(zhuǎn)換、分工和分層等制定一套方案。不同加密機生產(chǎn)廠商可能提供不同 的密鑰管理體系。當前國內(nèi)金融行業(yè)存在多種密鑰體系，其中使用最廣泛的是RACA密鑰體系。該體系因為是全球最大的金融數(shù)據(jù)加密機提供商RACAL創(chuàng)建而得名。金卡體系為銀聯(lián)所建立，多應用于銀聯(lián)聯(lián)網(wǎng)系統(tǒng)，兩種結(jié)構(gòu)沒有本質(zhì)上的區(qū)別。4.1金卡體系(用干FOE絡淸)信鼎完璋性歸PIN杲護密鈣其中：MAK和PIK統(tǒng)稱工作密鑰；M

22、AK密鑰用于對組成數(shù)據(jù)包的關(guān)鍵欄位進行 MAC運算(ANSI X9.9)，生成MAC(信息 完整性校驗碼)；PIK密鑰用于對用戶個人密碼進行 PIN運算(ANSI X9.8 )，生成傳輸數(shù)據(jù)包中的 PIN 密文；工作密鑰以由中心統(tǒng)一生成，以數(shù)據(jù)格式中的ResetKey交易指令進行密鑰分發(fā)；工作密鑰以密文形式保存，由應用系統(tǒng)直接調(diào)用;BM 銀行主密鑰:為確保工作密鑰的安全，在 SJL06 T主機加密模塊中，提供了 BMK（銀行主密鑰）對 工作密鑰進行加密保護；BMK由兩個成分（32位十六進制數(shù)）組成，由中心和網(wǎng)點各出一份，采用“背對背” 形式進行輸入；BMK以密文存儲在中心和網(wǎng)點的主機加密模塊（

23、中心和網(wǎng)點的BMK為一一對應關(guān)系）中，通過索引號進行調(diào)用，永遠不以明文形式出現(xiàn)；MK加密機主密鑰：在SJL06T主機加密模塊中采用 MK（加密機主密鑰）對BMK4行加密保護；MK由三個成分（32位十六進制數(shù)）組成，由加密機使用單位通過行政手段分派專人管 理和維護，一般由23人采用“背對背”形式進行輸入；MK以密文形式存儲在加密機黑匣子中，且永遠不以明文形式出現(xiàn)。4.2 RACAL密鑰體系概述在傳統(tǒng)金融業(yè)務中數(shù)據(jù)安全全部使用對稱密鑰算法實現(xiàn)，RACAL定義了如下的三層密鑰管理體系：第一層密鑰：本地主密鑰（LMK）本地主密鑰（Local Master Key - LMK ）存放在加密機內(nèi)的，由三個

24、成分組合生成， 是整個安全體系中的最高層密鑰。LMK不會出現(xiàn)在加密機以外的地方，它采用雙倍標準對稱密鑰(長 128 位)實現(xiàn)三重數(shù)據(jù)加密。 所有的密鑰和加密數(shù)據(jù)存放在本地時都必須經(jīng) LMK 進行加密。加密機投入運行時，必須先產(chǎn)生和裝載 LMK LMK通常由三個成分組成，由加密機使用 單位通過行政手段分派專人管理和維護，一般由 3 人采用“背對背”形式進行輸入；LMK在本地是唯一的，并且與系統(tǒng)中其他交易節(jié)點沒有關(guān)系。LMK以密文形式存儲在加密機黑匣子中，且永遠不以明文形式出現(xiàn)。第二層密鑰：區(qū)域 /終端主密鑰 (ZMK/TMK) 第二層密鑰通常稱為密鑰加密密鑰或密鑰交換密鑰( Key-encryp

25、ting key 或 KeyExcha nge Key)。它的作用是加密在通訊線路上需要傳遞的工作密鑰。從而實現(xiàn)工作密鑰 的自動分配。在本地或共享網(wǎng)絡中。不同的兩個通訊網(wǎng)點或終端設備使用不同的密鑰加密 密鑰，從而實現(xiàn)密鑰的分工管理，它在本地存放時，處于本地主密鑰LMK的加密保護之下或直接保存在硬件加密機中。區(qū)域主密鑰ZMK用于總行、分行、支行、網(wǎng)點等兩個區(qū)域之間加密傳輸工作密鑰；而 終端主密鑰TMK用于銀行系統(tǒng)與各種自助終端或 POS設備之間加密傳輸工作密鑰。第三層密鑰：工作密鑰 (ZPK/ZAK/TPK/TAK/PVK)第三層密鑰，通常稱為工作密鑰或數(shù)據(jù)加密密鑰。包括ZPK ZAK TPK

26、TAK等密鑰，它的作用是加密各種不同的業(yè)務數(shù)據(jù)，從而實現(xiàn)數(shù)據(jù)的保密，信息的認證，以及數(shù)字簽名 的功能，這些數(shù)據(jù)密鑰在本地存放時，處于本地主密鑰LMK的加密保護之下。ZPK或 TPK用于加密兩個通訊節(jié)點之間需要傳輸?shù)?PIN,從而實現(xiàn)PIN的傳輸、處理的 安全性。ZAK或 TAK用于在兩個通訊節(jié)點之間傳送信息時，生產(chǎn)和檢驗一個信息認證代碼 (MAC),從而達到信息認證的目的。除此之外還有一些其它工作密鑰這里不再一一介紹。4.3 PKI 體 系由于傳統(tǒng)HSM鑰體系只采用對稱密鑰機制來保證金融尤其是銀行敏感數(shù)據(jù)傳輸、處 理以及存儲地安全性，所以還存在以下天生地缺陷：區(qū)域主密鑰和終端主密鑰（ZMK/T

27、MK需要人工分發(fā)，導致保密性不強，更換不方便，造 成了整個系統(tǒng)維護的效率低下。雖然可以保證交易傳輸、處理的安全性，但是無法保證交易操作的不可抵賴性。對網(wǎng)點的身份認證有一定的難度，同時很難進行高強度的訪問控制。特別是網(wǎng)上銀行的安全問題已經(jīng)不能使用對稱密鑰算法有效解決，同時EMV200C中也包含了對RSA算法的要求。金融數(shù)據(jù)安全引入 RSA算法為RSA密鑰定義了兩種功能：使用 數(shù)字簽名和密鑰管理。因此和對稱密鑰不同它兼有工作密鑰（數(shù)字簽名）和管理密鑰（保 護對稱密鑰在通訊雙方實現(xiàn)交換）的雙重功能。RSA在本地存放使用LMK呆護或直接保存在加密機中，通訊雙方僅僅需要交換公鑰（不必加密），而私鑰僅僅在

28、本地使用不需要分 發(fā)。與傳統(tǒng)密鑰體系相比，新密鑰體系引入了 RSA密鑰對，給第二層密鑰（ZMK/TMK的分發(fā) 和更新提供了一種自動在線的方式，但是這種自動在線分發(fā)和更新方式，并不排除傳統(tǒng)密 鑰體系中的人工背對背分發(fā)和更新方式。下圖是增加了 RSA密鑰對（PK SK后的密鑰結(jié)構(gòu)：車地主密饗傳輸密鑰工作密鑰第五章 商業(yè)銀行數(shù)據(jù)安全解決方案5.1金融業(yè)務系統(tǒng)簡單模型下數(shù)據(jù)安全金融業(yè)務交易網(wǎng)絡是由業(yè)務終端設備（柜臺、ATM POS等）、存放用戶帳戶信息的業(yè)務主機以及網(wǎng)絡交易鏈中的中間系統(tǒng)（ATM前置、POSt置、綜合前置、銀聯(lián)前置、銀聯(lián) 系統(tǒng)、國際卡系統(tǒng)等等）。為簡單起見我們的討論僅僅考慮一個中間環(huán)節(jié)

29、的簡單模型。下 面我們以ATM綜合前置和業(yè)務主機組成的金融網(wǎng)絡為例的金融數(shù)據(jù)安全解決方案。5.2設備部署SJLO6SJLO6TSN1 AIMAIM在綜合前置機和業(yè)務主機端連接金融數(shù)據(jù)加密機（這里以SJL06加密機為例）作為本機的安全服務模塊。而 ATM通常有自己的加密模塊，根據(jù)廠家不同或提供加密密碼鍵盤或 獨立的安全模塊（這里稱為TSM o5.3 業(yè) 務 終 端 數(shù) 據(jù) 安 全 功 能業(yè)務終端將需要將用戶輸入的 PIN 進行加密然后送到上級業(yè)務節(jié)點（通常是其對應的 前置機），還要對業(yè)務數(shù)據(jù)計算 MAC呆證交易的完整性。終端設備的加密模塊需要具有以 下功能：按照各種PIN標準格式對PIN進行加密

30、；按照各種規(guī)范進行MAC計算功能；具有密鑰呆存功能，呆證密鑰安全；密鑰的安全更換功能呆證能夠和上級節(jié)點實時更新密鑰。為了保證客戶在業(yè)務終端上輸入個人密碼時PIN的安全，可以使用加密密碼鍵盤替代普通密碼鍵盤。當客戶輸入密碼后，加密密碼鍵盤對 PIN 進行加密處理，輸出一個密文值 到支行前置機。同時為了更有效的保證客戶PIN的安全，要求相同的PIN值其密文應該不同。同時加密密碼鍵盤應該可以支持應用的 MAC計算調(diào)用，終端的業(yè)務系統(tǒng)可以調(diào)用它來 完成MAC勺計算5.4 前 置 機 系 統(tǒng) 的 數(shù) 據(jù) 安 全現(xiàn)在的銀行前置系統(tǒng)很多分類和叫法也不盡相同如ATMP POSP銀聯(lián)前置、總行前置以及各種各樣的

31、外聯(lián)前置等等?？傊藰I(yè)務終端和銀行帳務主機之外的系統(tǒng)統(tǒng)統(tǒng)稱為前 置系統(tǒng)。前置系統(tǒng)的加密機主要功能包括密鑰分發(fā)向其他通訊方分發(fā)密鑰（如終端）或接受其他方分發(fā)的密鑰（如帳務主機或上級前置系統(tǒng)）；按照各種規(guī)范進行MA（計算和MAC校驗功能；PIN 密文轉(zhuǎn)換功能；本地密鑰的管理；前置系統(tǒng)作為不同系統(tǒng)間的連接系統(tǒng)在安全上和業(yè)務上一樣需要進行安全的屏蔽和轉(zhuǎn) 換。如PIN轉(zhuǎn)換，它需要在不同系統(tǒng)間轉(zhuǎn)換各種安全要求，包括不同密鑰的轉(zhuǎn)換、不同PIN格式（PIN格式說明見本文后面內(nèi)容）的轉(zhuǎn)換、不同算法的轉(zhuǎn)換等等，這些轉(zhuǎn)換都需要在 加密機內(nèi)部完成，所謂的加解密都是在加密機內(nèi)部完成，而在加密機外部是不應該出現(xiàn) PIN

32、 明文的。5.5帳務主機的數(shù)據(jù)安全功能在業(yè)務的帳務主機，和其他不同的是需要對用戶PIN進行校驗。在帳務主機的數(shù)據(jù)庫中存放用戶PIN的密文值信息（關(guān)于PIN加密方式見本文后面有關(guān)內(nèi)容）。帳務主機需要 將其它業(yè)務系統(tǒng)交易報文中送來的用戶輸入的PIN和數(shù)據(jù)庫中的PIN進行比較校驗其是否相同從而判定客戶身份是否合法。該校驗應該是將其它系統(tǒng)送來的PIN密文和本地數(shù)據(jù)庫中的PIN密文一起送入加密機，在加密機內(nèi)部完成PIN的解密和加密等過程從而判定兩者是否相同。帳務主機系統(tǒng)可能還需要為客戶預先產(chǎn)生初始PIN的功能，該PIN的產(chǎn)生也需要調(diào)用加密機隨機產(chǎn)生。5.6密鑰的分發(fā)密鑰分發(fā)的目的首先是在通訊雙方分別共享

33、相同的密鑰交換密鑰（ZMK/TMK，以便工作密鑰的安全傳輸。然后便后可定時生成工作密鑰進行加密下傳，從而保證通訊的雙方具 有相同的工作密鑰。下圖以 ATM綜合業(yè)務前置機和中心業(yè)務主機間密鑰的分配為例：ATM綜合前琶機SJL06業(yè)務主機ZMK勺分發(fā)ZMK勺分發(fā)最常用的方式是通訊雙方各定一個密鑰管理人員，每個人各寫一個密鑰成 分，然后兩人到通訊的一方同時將密鑰成分輸入加密機，在加密機內(nèi)部合成密鑰。對于距 離較遠的情況也可以采用信函等方式（VISA、MASTERCARDS員行就采取該方法）交換密 鑰，但是一個人員不能同時知道兩各密鑰成分。為了安全期間兩密鑰成分最好不要同時以 相同的方式傳送。工作密鑰

34、的分發(fā)ZPK TPK ZAK TAK等工作密鑰的分發(fā)通常是由業(yè)務系統(tǒng)自動完成。通常通訊的一方 向另一方發(fā)送密鑰申請交易（如：每次開機簽到時申請）。通常是以ATM向前置申請，前置向主機這樣下級向上級申請。上級調(diào)用本地加密機隨機生成工作密鑰使用對應的TMK或ZMK俞出，并發(fā)送到密鑰申請方。5.7業(yè)務數(shù)據(jù)安全傳輸ATM綜合前置機SJL06業(yè)務主機SJLIX?數(shù)據(jù)安全傳輸是要保證傳輸數(shù)據(jù)的保密性及完整性。用工作密鑰對重要的傳輸數(shù)據(jù)進 行加密保護，對所有傳輸數(shù)據(jù)（全部或部分）作MAC運算保證數(shù)據(jù)的完整性。上圖是一交易處理流程例圖，其說明如下：ATM將PIN明文送入TSM加密機；TSM將PIK1加密下的P

35、IN返回ATM（對于加密密碼鍵盤，ATM得到的直接就是PIN密文）ATM調(diào)用TSM完成MAC的產(chǎn)生后將交易報文發(fā)送前置機;前置機首先調(diào)用SJL06完成交易MA（校驗，然后將ATM送到的PIN密文，該終端對應 的TPK和主機對應的ZPK以及TPK加密下的PIN送入SJL06加密機；SJL06加密機將客戶PIN在加密機內(nèi)部轉(zhuǎn)換成用ZPK加密保護返回前置機，如果需要 加密機還將完成PIN BLOCK的轉(zhuǎn)換；前置機調(diào)用SJL06完成和主機通訊報文的MAC勺產(chǎn)生后，將新的交易報文發(fā)送業(yè)務主 機；業(yè)務主機主機首先調(diào)用本地加密機完成交易MA（校驗，然后將前置機送到的PIN密文、前置對應的ZPK以及本地數(shù)據(jù)庫

36、中存放的PIN密文及相關(guān)密鑰等信息送到本地加密機；業(yè)務主機加密機完成PIN校驗后將結(jié)果返回業(yè)務主機。業(yè)務的返回過程中與此相似本文不在說明。5.8 發(fā) 卡 中 PIN 的 安 全在5.1中提到業(yè)務主機存放的PIN密文。用戶PIN最初產(chǎn)生通常有三種方式：用戶卡初始沒有PIN，用戶開卡時在柜臺等地方直接輸入 PIN，其PIN的安全和5.1類 似，僅在主機端沒有 PIN 校驗而是保存用戶設定的 PIN 密文。發(fā)卡時銀行為客戶統(tǒng)一設定一個簡單的 PIN （如 111111、000000等）然后由客戶修改。 該方式如果客戶沒有及時修改 PIN 將會有較大風險。為用戶隨機設定一個PIN并打印密碼信封安全的交

37、給客戶。對于第三種方式為了保證客戶 PIN的安全，客戶密碼信封打印機應由加密機直接驅(qū)動。 如下圖所示：發(fā)卡服務器一方面與發(fā)卡機連接完成卡片的客戶化（寫磁、打卡、印字等），另一方 面與加密機連接完成客戶初始 PIN的產(chǎn)生、密碼信封打印等工作）。發(fā)卡服務器可以調(diào)用加密機隨機產(chǎn)生用戶PIN，加密機返回服務器PIN的密文，而PIN明文直接通過和加密機連接的打印機完成打印。然后將PIN密文送到業(yè)務主機。在實際應用中，客戶可能將密碼信封打印工作單獨拿出來，而是由主機產(chǎn)生PIN，然后將相關(guān)客戶信息和PIN密文打包發(fā)送到密碼信封打印系統(tǒng)，密碼信封打印系統(tǒng)將PIN密文和其它需要打印的信息（如卡號、客戶姓名等）發(fā)

38、送到加密機，加密機將PIN解密后送到打印機進行打印。打印機是一臺具有異步接口的針式打印機，并且該打印機不允許安裝色帶。從而保證 PIN明文不會在業(yè)務系統(tǒng)和業(yè)務網(wǎng)絡中出現(xiàn)。僅僅在打印連接線和密封的密碼信封中存在 PIN明文。5.9聯(lián)盟總體安全結(jié)構(gòu)下圖是XXX公司基于金融數(shù)據(jù)加密機進行數(shù)據(jù)安全建設后的結(jié)構(gòu)圖：渠道/外圍系統(tǒng)外聯(lián)系統(tǒng)聯(lián)盟中心匚人民銀行銀聯(lián)銀聯(lián)加密機集群電話銀行人民銀行 1 /商行運行中心N30商行ESB短信通移動公司中間業(yè)務前置N40商行Web Teller系統(tǒng)信貸管理系統(tǒng)國際結(jié)算系統(tǒng)ATM前置N41Web Teller前端IN50網(wǎng)點字符 前端系統(tǒng)N51字符前端ZL加密機集群打印機

39、| 讀卡器| |密碼鍵盤| 其他 !I系統(tǒng)部署方案如下：核心業(yè)務系統(tǒng)在聯(lián)盟運行中心部署，采用統(tǒng)一應用、單一數(shù)據(jù)庫的模式。在聯(lián)盟和城商行部署ESB（企業(yè)服務總線）：聯(lián)盟ESB連接未來聯(lián)盟統(tǒng)一接入的渠道 和外圍系統(tǒng)，如銀聯(lián)、柜面通等；城商行 ESB連接各城商行的渠道和外圍系統(tǒng)，如 ATM前 置、中間業(yè)務等。在各網(wǎng)點部署字符前端服務器，并與終端端和其他外設進行連接。未來建設的Web Teller （圖形界面的前端）服務器將部署在城商行運行中心，網(wǎng)點的 圖形終端通過瀏覽器的方式進行連接。聯(lián)盟的運行中心作為一個特殊的營業(yè)機構(gòu)，也需要部署WEB Teller 和字符終端系統(tǒng)另外，如果未來聯(lián)盟建設統(tǒng)一的外圍

40、系統(tǒng)，如網(wǎng)上銀行、電話銀行等，則也需要通過 聯(lián)盟的ESB進行連接。根據(jù)聯(lián)盟的整體機構(gòu)，我們在聯(lián)盟中心內(nèi)部部署一套加密機集群系統(tǒng)。加密機集群系 統(tǒng)的硬件主要是安全服務器。安全服務器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段 IP 地址，一個連接 加密機陣列，一個連接總行內(nèi)網(wǎng)?？紤]到聯(lián)盟中心對系統(tǒng)可靠性及容錯能力的要求，安全 服務器采用雙機熱備份。安全服務器位于加密機之前，在完成業(yè)務主機與加密機交易報文 轉(zhuǎn)換的同時也將加密機與銀行網(wǎng)絡隔離，任何對加密機的訪問必須通過安全服務器完成。 此外，安全服務器還負責加密機的負載均衡、多機熱備、狀態(tài)檢測等功能。根據(jù)目前估算 的業(yè)務量，使用4臺SJL6E加密機可滿足要求，但是考慮

41、到備份及將來業(yè)務發(fā)展的需要， 因而聯(lián)盟中心加密機的數(shù)量采用 n+2的計算方式。在商行運行中心內(nèi)部署一套加密機集群系統(tǒng)（縮減版）和2-3臺SJL06E金融數(shù)據(jù)加密機。加密機集群系統(tǒng)負責加密機的負載均衡、雙機熱備、狀態(tài)檢測等功能。在網(wǎng)點內(nèi)部署一套加密機集群系統(tǒng)（縮減版）和 2臺SJL06S型加密機。加密機集群系 統(tǒng)負責加密機的負載均衡、雙機熱備、狀態(tài)檢測等功能。在存在多網(wǎng)點前端系統(tǒng)的網(wǎng)點和和網(wǎng)點服務器間，采用網(wǎng)絡加密設備進行網(wǎng)絡數(shù)據(jù)加 密。5.10 加 密 機 集 群 系 統(tǒng)網(wǎng)絡結(jié)構(gòu)圖1*加密機機安全脈勢汙備檢寶全凰務器主要功能加密機集群系統(tǒng)主要實現(xiàn)以下功能：提供統(tǒng)一接口的加解密安全服務通過提供統(tǒng)

42、一的接口服務，加強對各類應用系統(tǒng)和加密機設備的集中管理和統(tǒng)一維護。業(yè)務系統(tǒng)與加密機之間協(xié)議轉(zhuǎn)換為了保證現(xiàn)有業(yè)務系統(tǒng)不做任何修改，就能按照原有命令格式將業(yè)務處理命令發(fā)送給 加密機集群系統(tǒng)，加密機集群系統(tǒng)按照預定規(guī)則將業(yè)務系統(tǒng)命令格式轉(zhuǎn)換成加密機能夠識 別的命令格式，同樣將加密機返回的命令轉(zhuǎn)換成業(yè)務系統(tǒng)的命令格式。實現(xiàn)加密機多機熱備加密機集群系統(tǒng)可以將所有加密機設備設定在兩種狀態(tài)之下：工作狀態(tài)和備份狀態(tài)， 當處于工作狀態(tài)的加密機出現(xiàn)故障時，加密機集群系統(tǒng)將自動將其切換成故障狀態(tài)，同時 將處于備份狀態(tài)的加密機切換成工作狀態(tài)， 持續(xù)提供加解密安全服務，保證業(yè)務系統(tǒng)7x24 不間斷運行，保證了整個安全服

43、務平臺的高度可靠性和穩(wěn)定性。實現(xiàn)加密機負載均衡加密機集群系統(tǒng)能夠安全預設的規(guī)則和策略，根據(jù)所有處于工作狀態(tài)的加密機的屬性 和特點，進行加解密服務調(diào)度，均衡每臺加密機的工作負載，使整個系統(tǒng)處在最優(yōu)工作狀 態(tài)。密鑰管理功能實現(xiàn)本地加密機密碼同步，并在管理控制中心的控制下完成銀行主密鑰以及工作密鑰 的定期更新和安全分發(fā)等功能。狀態(tài)檢測功能自動檢測加密機陣列的硬件狀態(tài)和密鑰狀態(tài)，并將相關(guān)信息上傳給管理控制中心。密鑰服務狀態(tài)檢測功能將所有業(yè)務系統(tǒng)各類交易中使用密鑰服務的情況和狀態(tài)，以及相關(guān)信息上傳給管理控 制中心，便于安全服務平臺進行統(tǒng)一管理和集中監(jiān)控加密機密鑰服務使用情況。多方位安全性功能地址隔離方式

44、： 加密機集群系統(tǒng)服務器和銀行網(wǎng)絡使用銀行內(nèi)網(wǎng) IP 地址，但是和加密 機陣列使用專用的網(wǎng)段 IP 地址并單獨連接，這樣可以有效保護加密機不受任何非法的訪 問。訪問控制方法：加密機集群系統(tǒng)具有 IP 識別功能，能有效防止非法用戶的連接。安 全管理手段： 加密機集群系統(tǒng)服務器拒絕任何遠程的登陸訪問， 并關(guān)閉所有不必要的端口， 從使得服務器的安全性得以提高。部署方式加密機集群系統(tǒng)主要由軟件系統(tǒng)和硬件系統(tǒng)兩大部分組成。硬件系統(tǒng)采用服務器方式，該安全服務器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段 IP 地址，一個連 接加密機陣列，一個連接銀行內(nèi)網(wǎng)。安全服務器位于加密機之前，在完成業(yè)務主機與加密 機交易報文協(xié)議轉(zhuǎn)換的同

45、時也將加密機與銀行網(wǎng)絡隔離，任何對加密機的訪問必須通過安 全服務器完成?？紤]到總行對系統(tǒng)可靠性及容錯能力的要求，總行內(nèi)安全服務器采用雙機 熱備份。各地分行業(yè)務量相對較小，對穩(wěn)定性要求也相對較低，故在分行只使用一臺安全 服務器軟件系統(tǒng)主要負責加密機的負載均衡、多機熱備、狀態(tài)檢測等功能第六章技術(shù)指標6.1 SJL06金融數(shù)據(jù)加密機技術(shù)說明專門設計用于金融行業(yè)網(wǎng)絡主機加密的 中式管理，其功能模塊如圖所示。SJL06金融數(shù)據(jù)加密機，采用模塊式結(jié)構(gòu)、集保密機II防1IIC卡鬍 月伯噓證通祖腔制運1.異常報磬 自動檢測王豐測-ISJL06金融數(shù)據(jù)加密機功能框圖6.1.1 各 模塊 的 功能 及作 用DES

46、和 SMS3-01 算法加密機的主要功能之一。由通信的雙方按約定密鑰，用DES算法或SMS3-01算法對PIN 進行加解密及信息驗證，以達到保護數(shù)據(jù)安全的目的。該設計支持多套加密算法是本機 的一大特點。DES算法和SMS3-01算法均由硬件設計實現(xiàn)，因此運算速度快、可靠性高。 根據(jù)用戶需要和國家密碼委員會的有關(guān)管理規(guī)定，安裝一種算法或兩種算法或多種算法。 算法的選擇，不會影響加密機的工作指標和工作狀態(tài) 。MAC!算加密機的主要功能之一。MAC!算完成消息來源正確性的鑒別，防止數(shù)據(jù)被篡改或非 法用戶的竊入。該運算過程由硬件 DES（或 SMS3-01算法）和軟件算 法并行運算完成。 優(yōu)點是速度快

47、、可重構(gòu)。RSA算 法選配模塊，可以支持數(shù)字簽名/認證，RSA加密/解密等功能。密鑰管理加密機的主要功能之一。這部分完成兩項工作：一是產(chǎn)生機內(nèi)隨機數(shù)，并通過運算和 各種檢驗形成新的數(shù)據(jù)密鑰，加密后提供給主機使用；二是接收、檢驗、組合、保存人工 輸入的密鑰，并可過濾出各類不符合要求的密鑰。密鑰庫最小配置容量是 512組雙倍長密鑰， 1 024組單倍長密鑰。 根據(jù)用戶的需求可成倍擴容， 現(xiàn)在提供 4096 三倍位。密鑰的存儲采取了容錯技術(shù)。身份驗證采用 IC 卡實現(xiàn)對加密機操作人員的身份驗證。 只有合法身份者才有權(quán)輸入更改主密鑰 或次主密鑰成份。每臺機器配有 A卡、B卡、C卡三張身份卡，分別由兩個

48、或三個負責人 掌管，持A卡者有權(quán)輸入密鑰的成份1,有權(quán)對加密機進行包括功能設置在內(nèi)的各種管理 操作；持B卡者有權(quán)輸入密鑰的成份2或3,及對加密機進行部份管理操作；持 C卡只有 權(quán)輸入次主密鑰密文。安全保護該模塊實現(xiàn)對保存在機內(nèi)的各類密鑰和工作參數(shù)進行保護。如果加密機機殼被打開或 加密機機倉遭到破壞， 加密機將自動銷毀機內(nèi)保存的所有密鑰和參數(shù)， 避免造成密鑰遺失。 這個保護裝置同時可以保證密鑰在電源受到強干擾，甚至在電源頻繁開關(guān)時也不會遭到破 壞。面板操作控制包括液晶顯示屏、鍵盤、 IC 卡、報警控制等功能。用于輸入密鑰、功能設定、故障提 示、機內(nèi)狀態(tài)檢查等。通訊控制通信控制器支持 ASYN、C

49、 SDLC、SNA SDLC、X.25、TCP/IP 等通信協(xié)議，并可分析各種 數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)和主機之間的交互對話， 傳輸速率9.6 kbps64kbps , 10Mbps 100Mbps 物理接口支持RS-232、RS-449 V.35及RJ-45 10/100M以太網(wǎng)接口。用戶可根據(jù)需要任選一種 接口與主機相連。在同步操作的情況下，既允許主機作為同步源，也允許加密機本身為同 步源，由硬件設置編程決定。過流過壓保護檢測加密機與主機的接口電路，一旦發(fā)現(xiàn)連接信號有過流過壓跡象，立即切斷加密 機與主機的連接，直至接口的電流和電壓恢復正常再自動接通加密機與主機的連接。異常報警該模塊不但可實時檢測到加

50、密機的自身故障，立即報警通知操作員，還可檢測到主機 對加密機的危害性操作、人為的危害性操作，并立即發(fā)出警告。自檢功能該模塊可執(zhí)行加密機鍵盤命令或主機命令， 完成對上述各功能模塊、 關(guān)鍵電路的檢測， 如發(fā)現(xiàn)故障，則提示出故障位置，提高設備的可維護性。加密機本身利用工作間隙也可定 時自動完成特定測試程序。供電系統(tǒng)采用高性能開關(guān)電源，220V, 50HZ市電供電?？煽?76V至264V的市電變化安全鎖一把安全鎖，保證密封機倉不易被打開，便于對加密機的安全管理。機倉一旦被打開 將會觸發(fā)安全保護裝置。6.1.2 IC 卡 的設 計SJL06金融數(shù)據(jù)加密機設計的IC卡裝置不但具有讀卡能力還具備寫卡能力，故

51、不需再 額外配置寫卡器。因此SJL06金融數(shù)據(jù)加密機不單是一臺加密機，它本身還是一臺密鑰中 心管理設備，可通過它編寫密鑰、復制成卡，下發(fā)到各成員機構(gòu)。IC卡的作用：實現(xiàn)通行字(PASSWOR功能。身份認證。權(quán)限劃分。 提供主密鑰、銀行主密鑰傳送載體。選用的 IC 卡屬于加密存儲器卡，主要具有如下特性：帶有加密邏輯存貯校驗密碼，只有密碼有效后才能訪問數(shù)據(jù) 對密碼操作進行計數(shù)，連續(xù)四次密碼給錯后，器件將永久損壞 提供密碼移交容量 1KX 1 (2 個 512 X 1),串行 EEPROM支持 ISOIEC 78163 同步協(xié)議特定存儲區(qū)讀寫保護2us讀周期，1ms寫循環(huán)周期掉電復位采用低功耗CMO

52、S：藝內(nèi)部產(chǎn)生 Vpp溫度范圍-25 C 至70 CESD 抗性 4KV高可靠性： 100,000 擦寫循環(huán)， 100 年數(shù)據(jù)保留期6.1.3 密 鑰 庫設 計SJL06金融數(shù)據(jù)加密機內(nèi)設計了可以存放 4096個密鑰，每個密鑰最大長度可以達到 192bits 。這些密鑰庫均由硬件加密邏輯物理保護，數(shù)據(jù)容錯技術(shù)存放，具有完善的災害修復能 力。所有出現(xiàn)在加密機之外的密鑰，都是受更高層密鑰保護。密鑰庫控制邏輯，嚴密地控制密鑰的明文被讀出。為了便于了解密鑰庫內(nèi)的密鑰存放 情況，控制邏輯可提供不可逆的庫內(nèi)密鑰相關(guān)信息，送到顯示器供操作員分析。6.2 SJL06 金 融 數(shù)據(jù)加 密 機 的 技 術(shù) 特 點

53、多算法保密體制：該機除具有 DES算法和RSA算法（選裝）之外，還有國家商用密碼 管理部門批準，指定北京數(shù)安科技有限公司提供的專用金融密碼算法SMS3-01。運算速度快：完成一個 DES算法最多只需2微秒（0.000002秒）。雙密鑰管理界面：提供操作面板密鑰管理界面和 PC機密鑰管理界面。兩者具有相同的 功能。完善的密鑰管理功能：能自動產(chǎn)生、驗證、比較、存貯各類密鑰，提供密鑰管理上的 各種服務功能。IC 卡身份驗證：配有 IC 卡裝置。加密機只為合法持卡人提供界面服務。物理安全措施：安全鎖，只有持鑰匙的人才能打開機器。機殼一旦被打開或機殼遭到 破壞，自毀裝置立即銷毀內(nèi)部各類密鑰和機內(nèi)各種數(shù)據(jù)

54、。智能程度高：正常工作時，該機不需人員管理和操作，并能對主機傳輸?shù)臄?shù)據(jù)進行各 種驗證。故障監(jiān)控：機內(nèi)監(jiān)控系統(tǒng)一旦發(fā)現(xiàn)機器故障，可進行自動恢復，恢復無效后自動報警。封閉式操作：機器前的面板裝有操作鍵盤、液晶顯示器、指示燈，所有操作過程中的 數(shù)據(jù)不會暴露在加密機之外。帶背光的液晶顯示器即使在夜里也能方便地操作。工具功能：能為密鑰管理人員提供運算工具。模塊式結(jié)構(gòu)：可多機構(gòu)成一個較大的加密系統(tǒng)，由一個機柜統(tǒng)一管理。全雙工、半雙工操作。具有較高的抗電磁干擾、抗電源沖擊能力。電子鐘功能：可配合網(wǎng)上的數(shù)據(jù)和密鑰管理。先進的技術(shù)：采用90年代DSF技術(shù)和超大規(guī)模門陣列技術(shù)設計。6.3 SJL06 加密機的安全措 施SJL06金融數(shù)據(jù)加密機已經(jīng)通過有國家商用密碼管理部門組織的安全審查，所采用的 安全措施主要有以下兩個方面：加密機的物理安全措施密碼算法采用專用的ASIC實現(xiàn)；密鑰庫均由硬件加密邏輯物理保護，數(shù)據(jù)容錯技術(shù)存放，具有完善的災害修復能力；通信接口采用過壓 / 過流保護電路對其進行保護；機倉設置密鑰銷毀開關(guān)，遇有特殊情況，用戶可以選擇主動銷毀加密機內(nèi)各種密鑰；