金融數(shù)據(jù)安全建設(shè)建議書-V01

ZZZ科技有限公司

XXX公司金融數(shù)據(jù)安全建設(shè)

文檔名稱XXX公司金融數(shù)據(jù)安全建設(shè)建議書文檔編號

建議書-V0.1

文檔類別技術(shù)文檔版本信息V0.1

內(nèi)部密級外部密級

創(chuàng)建人創(chuàng)建日期

修改歷史

版本號日期*狀態(tài)修訂人摘要

V0.12009-04-08C創(chuàng)建

*狀態(tài)：C-創(chuàng)建A—增加M—修改D-刪除

目錄

第一章前言...................................................................1

1.1概述................................................................1

1.2商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四個階段...............................1

1.2.1未采用專業(yè)技術(shù)的裸奔階段......................................1

1.22軟件密碼技術(shù)的使用............................................2

1.23硬件密碼設(shè)備的應(yīng)用............................................2

1.2.4金融數(shù)據(jù)安全的完善階段......................................3

第二章技術(shù)基礎(chǔ)篇.............................................................5

2.1加密算法分類.......................................................5

21.1對稱密鑰算法和非對稱密鑰算法..................................5

212分組密碼算法和流密碼算法......................................6

2.2關(guān)于3DES算法.....................................................6

2.3MAC計算..........................................................7

第三章商業(yè)銀行對數(shù)據(jù)安全的基本要求..........................................9

第四章金融數(shù)據(jù)安全密鑰體系..................................................10

4.1金卡體系...........................................................10

4.2RACAL密鑰體系蹴述...............................................11

4.3PKI體系..........................................................12

第五章商業(yè)銀行數(shù)據(jù)安全解決方案..............................................14

5.1金融業(yè)務(wù)系統(tǒng)簡單模型下數(shù)據(jù)安全....................................14

5.2設(shè)備部署..........................................................14

5.3業(yè)務(wù)終端數(shù)據(jù)安全功能..............................................14

5.4前置機(jī)系統(tǒng)的數(shù)據(jù)安全..............................................15

5.5帳務(wù)主機(jī)的數(shù)據(jù)安全功能............................................16

5.6密鑰的分發(fā)........................................................16

ZZZ科技限公司第I頁

5.7業(yè)務(wù)數(shù)據(jù)安全傳輸..................................................17

5.8發(fā)卡中PIN的安全..................................................18

5.9聯(lián)盟總體安全結(jié)構(gòu)..................................................19

5.10加密機(jī)集群系統(tǒng)...................................................21

5.10.1網(wǎng)絡(luò)結(jié)構(gòu)圖...................................................21

5.10.2主要功能.....................................................22

5.103部署方式....................................................23

第六章技術(shù)指標(biāo)..............................................................24

6.1SJL06金融數(shù)據(jù)加密機(jī)技術(shù)說明......................................24

6.1.1各模塊的功能及作用..........................................25

6.12IC卡的設(shè)計...................................................27

6.13密鑰庫設(shè)計...................................................28

6.2SJL06金融數(shù)據(jù)加密機(jī)的技術(shù)特點....................................28

6.3SJL06加密機(jī)的安全措施............................................29

第七章技術(shù)規(guī)格..............................................................31

7.1SJL06E加密機(jī)技術(shù)規(guī)格.............................................31

7.1.1技術(shù)規(guī)格......................................................31

7.1.2工作環(huán)境要求.................................................31

7.13性能指標(biāo)....................................................32

7.2SJL06S加密機(jī)技術(shù)規(guī)格.............................................32

72.1技術(shù)特點......................................................32

722技術(shù)指標(biāo)......................................................32

723性能指標(biāo)......................................................33

7.3加密機(jī)備件與專用工具清單..........................................33

第八章配置建議..............................................................34

8.1壓力測狀..........................................................34

8.1.1服務(wù)器A的集群系統(tǒng)雙機(jī).......................................34

8.1.2服務(wù)器B集群系統(tǒng)雙機(jī).........................................36

8.2峰值業(yè)務(wù)量估計及配置建議..........................................37

ZZZ科技限公司第H頁

8.2.1聯(lián)盟中心......................................................37

822商行運行中心..................................................39

823網(wǎng)點..........................................................39

82.4終端和ATM..............................................................................................................39

825外聯(lián)系統(tǒng)......................................................40

第九章數(shù)據(jù)安全技術(shù)其它討論..................................................41

9.1關(guān)于PINBLOCK格式...............................................41

9.1.1常用的PINBLOCK格式.......................................41

9.12安全分析.....................................................42

9.2關(guān)于主機(jī)端PIN存放和校驗.........................................43

9.3小額本票密押......................................................44

9.4舊系統(tǒng)密碼移植....................................................44

9.5CVN,多植.........................................................44

9.6分散網(wǎng)點的安全問題................................................45

第十章安全管理原則..........................................................46

10.1基本原則.........................................................46

10.2密鑰的相關(guān)原則...................................................46

第十一章附件................................................................47

11.1近期工作建議.....................................................47

ZZZ科技限公司第HI頁

第一章前言

1.1概述

金融電子化的發(fā)展，使得越來越多的貨幣以數(shù)字化的形式在銀行網(wǎng)絡(luò)中流動，而各金

融網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)形成了?張遍布全球的金融服務(wù)網(wǎng)絡(luò)。如何在如此大的業(yè)務(wù)網(wǎng)絡(luò)中

保護(hù)客戶和銀行的利益不受損害將是銀行信息安全的一個核心問題。因為金融行業(yè)的高風(fēng)

險特點使得其對安全的要求也格外的苛刻。

金融行業(yè)的信息安全問題不但囊括了其他行業(yè)信息安全的全部因素（防病毒、入侵監(jiān)

測、通訊數(shù)據(jù)加密、身份認(rèn)證、災(zāi)難備份等等），何時金融行業(yè)也有其特殊要求。因為用

戶PIN的安全是銀行為用戶負(fù)責(zé)保障用戶合法利益的關(guān)鍵,我國新刑法中關(guān)于取證條款的

修改使得當(dāng)用戶與銀行發(fā)生沖突時（如用戶資金丟失責(zé)任問題）銀行能夠證明自己為用戶

提供了足夠的安全保護(hù)甚至連銀行內(nèi)部人員也不可能獲得，因此如何保護(hù)用戶的帳號密碼

（PIN）的安全是金融業(yè)務(wù)中最特殊的安全要求。

要保證數(shù)據(jù)的安全性（保密性、完整性）最有效的手段是采用加密技術(shù)對數(shù)據(jù)進(jìn)行加

密處理。本文討論的數(shù)據(jù)安全主要是指銀行以卡業(yè)務(wù)為代表的用戶以個人密碼（PIN）為

身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN）的安全和交易的安全。

1.2商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四個階段

金融數(shù)據(jù)安全技術(shù)的發(fā)展也是隨著金融業(yè)務(wù)的發(fā)展而發(fā)展起來的。這里將銀行數(shù)據(jù)安

全劃為四個階段是代表金融數(shù)據(jù)安全從無到有從弱到強的一個過程。同時?，在很多銀行因

為業(yè)務(wù)系統(tǒng)眾多建設(shè)時間前后不一等原因使四個階段描述的狀態(tài)可能都存在。

1.2.1未采用專業(yè)技術(shù)的裸奔階段

在金融電子劃的初始階段，銀行的主要目標(biāo)是建立和發(fā)展銀行業(yè)務(wù)網(wǎng)絡(luò)。由于觀念、

技術(shù)、時間、資金等方面的原因沒有或較少使用密碼技術(shù)對業(yè)務(wù)信息進(jìn)行安全保護(hù)。此時,

zZZ科技限公司第1頁

在金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中存在大量的PIN明文且對于數(shù)據(jù)信息的完整性和有效性也常不進(jìn)

行校臉，其安全性僅僅依靠網(wǎng)絡(luò)系統(tǒng)的物理安全性和操作系統(tǒng)本身的安全性來保證，而很

少采用專業(yè)技術(shù)。

這樣的系統(tǒng)無論從金融系統(tǒng)內(nèi)部還是外部都可以非常容易獲取交易中的機(jī)密信息并發(fā)起

攻擊行為，銀行和銀行客戶的資產(chǎn)面臨巨大風(fēng)險。

1.2.2軟件密碼技術(shù)的使用

隨著銀行卡應(yīng)用的普及、金融網(wǎng)絡(luò)的不斷擴(kuò)大，數(shù)據(jù)在傳輸過程中的安全性得到了一

定重視，在各種應(yīng)用系統(tǒng)中使用軟件對交易信息進(jìn)行加密和完整性運算的方法得到廣泛使

用。此時大家認(rèn)為在銀行外流動的信息是不安全的，而忽略了信息在銀行內(nèi)部的安全。但

是金融犯罪實際上有80%以上來自內(nèi)部，特別是隨著金融機(jī)構(gòu)本身以及為金融機(jī)構(gòu)服務(wù)的

公司人員流動的加快，這種不安全性越來越明顯。概括來說使用軟件加密技術(shù)存在以下不

足：

?軟件的運行要占用主機(jī)資源，并且軟件的處理速度較慢

軟件運作時很多重要的資料（如用來做密碼運算的密鑰，或顧客的PIN）都會在某時間清

斷的出現(xiàn)于計算機(jī)的記憶或磁盤上，而對計算機(jī)數(shù)據(jù)安全有一定研究的不法分子便有機(jī)會

把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。

?軟件不能提供一種有效的機(jī)制保護(hù)密鑰的存儲安全

密鑰一旦被人盜取，則客戶密碼PIN也就無安全可言，因而國際銀行卡組織（VISA、

萬事達(dá)）和我國銀聯(lián)中心均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。并且根據(jù)

我國有關(guān)法規(guī)，不能使用進(jìn)口涉密產(chǎn)品。

1.2.3硬件密碼設(shè)備的應(yīng)用

為了解決軟件加密在安全上的不足，產(chǎn)生了專門解決金融業(yè)務(wù)數(shù)據(jù)安全的硬件加密設(shè)

備。國外將其稱為HSM（主機(jī)安全模塊），國內(nèi)稱為金融數(shù)據(jù)加密機(jī)或金融數(shù)據(jù)加密機(jī)。

在我國金融數(shù)據(jù)加密機(jī)的大量使用是隨金卡工程熨施開始的。金卡中心（銀聯(lián)）對于聯(lián)

網(wǎng)交易在關(guān)鍵信息保密性、信息的完整性和密鑰交換管理等方面都一一規(guī)定，使得金卡交易

的安全性在一定范圍得到了保證。但是多數(shù)銀行是迫于銀聯(lián)的要求并且因為聯(lián)網(wǎng)工作時間緊

迫等原因僅僅在與金卡中心的接口業(yè)務(wù)中使用了硬件密碼設(shè)備而在其它地方依然是使用軟

2ZZ科技限公司第2頁

件加密甚至還使用PIN明文傳輸?shù)那闆r。這些問題的存在實際上使得使用硬件加密設(shè)備的作

用打了折扣，這有一點象安裝了高級防盜門的房子有一個虛掩的窗戶一樣。但這是一個好的

開端，很多銀行在次過程中認(rèn)識到/現(xiàn)有系統(tǒng)在銀行卡業(yè)務(wù)中安全方面的種種不足并開始對

它的完善做準(zhǔn)備。

1.2.4金融數(shù)據(jù)安全的完善階段

對現(xiàn)有系統(tǒng)進(jìn)行完善使得用戶PIN不能被任何人（包括銀行內(nèi)部人員）獲取或非法使

用，為用戶提供一個安全的銀行卡使用環(huán)境將是金融機(jī)構(gòu)今后工作的一個重點。在當(dāng)前各

個商業(yè)銀行在建立完善自己的數(shù)據(jù)安全體系方面主要關(guān)注以下兒個方面：

?制定應(yīng)用安全規(guī)范

應(yīng)用系統(tǒng)的建設(shè)必須遵循本行安全規(guī)范，全行應(yīng)用系統(tǒng)安全改造計劃及實施方案的制

定設(shè)立安全崗位、完善管理制度：將密鑰、口令、密碼設(shè)備等管理和工作流程制度化。

?建設(shè)本行數(shù)據(jù)安全服務(wù)平臺

將應(yīng)用開發(fā)、安全開發(fā)、安全管理分離。

本文討論的數(shù)據(jù)安全是指銀行以卡業(yè)務(wù)為代表的用戶以個人密碼（PIN）為身份鑒別手

段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN）和交易的安全。一個完善的數(shù)據(jù)安全系統(tǒng)應(yīng)該符合以下

要求：“用戶PIN在銀行業(yè)務(wù)系統(tǒng)中永遠(yuǎn)不以明文形式出現(xiàn)在硬件安全模塊以外”，這是

保證用戶PIN安全的第一步。

?密碼設(shè)備使用安全

密碼設(shè)備本身設(shè)計或使用不當(dāng)可能會成為他人對密文信息攻擊的工具，因而必須采取

措施保證任何人未經(jīng)授權(quán)不能利用密碼設(shè)備對保密信息進(jìn)行攻擊。

?密鑰管理安全

對稱密鑰算法安全的關(guān)鍵在于密鑰的安全，對于使用公開的商業(yè)密碼算法的系統(tǒng)任何

人獲得密鑰都可以對相關(guān)信息進(jìn)行解密、篡改、偽造。因而要保證PIN在金融網(wǎng)絡(luò)系統(tǒng)中

不能被任何人獲得就必須首先保證系統(tǒng)中使用的相關(guān)密鑰不能被任何人獲得。

?管理安全

2ZZ科技限公司第3頁

對一個系統(tǒng)安全的評估不能建立在對一個群體信任的基礎(chǔ)之上（包括內(nèi)部人員、系統(tǒng)

開發(fā)商、設(shè)備供應(yīng)商），相關(guān)安全的責(zé)任人必須明確并且可控、可審記，對于關(guān)鍵安全要

素必須由多人共同掌管避免風(fēng)險集中。

ZZZ科技限公司第4頁

第二章技術(shù)基礎(chǔ)篇

2.1加密算法分類

2.L1對稱密鑰算法和非對稱密鑰算法

對稱密鑰算法是指對數(shù)據(jù)的加密和解密過程使用同一把密鑰（如下圖所示）。代表算

法有DES、IDEA、AES等，其中DES是當(dāng)前公開算法中使用最為廣泛的算法。

非對稱密鑰算法（又稱公開密鑰算法）是指加密和解密使用的密鑰不同，雖然兩個密

鑰有必然的聯(lián)系但是不能夠從加密密鑰得到解密密鑰，這樣就可以將加密密鑰公開（不需

要保密）。通常將加密密鑰稱為公開密鑰（或公鑰）將解密密鑰稱為私有密鑰（或私鑰）。

如下圖所示：

zZZ科技限公司第5頁

非對稱密鑰算法相對對稱密鑰算法的優(yōu)勢就在于加密密鑰可以公開，這樣就方便了密

鑰的分發(fā)。又因為私鑰只有信息的接收方才有，反向如果使用私鑰對數(shù)據(jù)加密雖然數(shù)據(jù)的

保密性不能保證但是數(shù)據(jù)的接收方可以判斷該數(shù)據(jù)是私鑰所有者發(fā)送。當(dāng)前的CA及數(shù)字

簽名正是利用了公開密鑰算法的這一特性實現(xiàn)信息的不可抵賴性。當(dāng)前主要的公開密鑰算

法是RSA算法。

但是當(dāng)前的公開密鑰算法處理速度要比對稱密鑰算法慢很多，并且公開密鑰算法密鑰

的產(chǎn)生非常復(fù)雜必須使用專門工具而不象對稱密鑰隨機(jī)一個數(shù)字就可以作為密鑰使用。因

而通常將公開密鑰用在身份認(rèn)證和對稱密鑰的交換上，而大量的數(shù)據(jù)加密還使用對稱密鑰

算法。

2.L2分組密碼算法和流密碼算法

如果從加密方式來區(qū)分算法又可以分為分組密碼算法和流密碼算法。分組密碼算法每

次對固定長度的信息進(jìn)行加密，因而在加密數(shù)據(jù)前需要將數(shù)據(jù)分為等長的若干組，一組一

組進(jìn)行加密計算。分組算法的密鑰長度也是一定的，因此對一個分組密碼算法最重要的兩

個概念是密鑰長度和分組長度。流密碼算法是產(chǎn)生一個密鑰流和被加密的數(shù)據(jù)按位(bit)

異或計算，而沒有密鑰長度和分組長度的概念。流密碼算法的技術(shù)核心是密鑰流的產(chǎn)生和

同步技術(shù)。

因為設(shè)計一個好的流密碼算法對技術(shù)要求非常高同時實施成本也很高，所以我們通常

商用密碼大部分都是分組密犯，對安全要求更高的普密核密使用流密碼技術(shù)較多。我們常

用的DES算法就是一個64分組的分組算法。

2.2關(guān)于3DES算法

zZZ科技限公司第6頁

DES算法是當(dāng)前使用最為廣泛的加密算法，在金融數(shù)據(jù)安全領(lǐng)域基本全部也是使用的

DES算法。因為其密鑰長度太?。―ES密鑰長度是64bits其中只有56bits有效位）其安全

性在當(dāng)前的計算技術(shù)能力情況下已經(jīng)不能滿足各方面安全的需要，但是使用新的算法有存

在兼容性，因此人們提出了3-DES的替代方案。我國金融行業(yè)是從2002年開始在金融行

業(yè)使用3-DES替代DES算法工作的。

?3DES算法加密數(shù)據(jù)說明

3-DES加密算法實際上是使用兩個或三個密鑰密鑰對一個數(shù)據(jù)分組進(jìn)行三次DES運

算。因為從數(shù)學(xué)上人們證明了DES算法的是不成群的，因此通過增加通過該方法可以有效

提高算法的安全強度。下面說明3DES算法的兼容性問題。

以雙倍長密鑰（128bits）為例，我們將前半部分稱為KEY1后半部分稱為KEY2。其

計算過程如下圖所示：

加密過程解密過程

64bitsB月文KEY64bits密文KEY

KEY1KEY1

KEY2KEY2

KEY1KEY1

64bits密文64bits明文

這樣當(dāng)KEY1=KEY2時就相當(dāng)KEY1進(jìn)行DES計算了。同樣三倍長（192bits）算法分

為KEYI、KEY2、KEY3依次使用，KEYgKEY2時兼容雙倍長密鑰KEY1=KEY2=KEY3

時兼容單倍長DES算法了。

2.3MAC計算

ANSIX9.19定義了使用雙倍長密鑰計算MAC的方法，它完全兼容ANSIX9.9的單DES

MAC計算方法。ANSIX9.19標(biāo)準(zhǔn)使用MAC雙倍長'密鑰前半部分對MAC數(shù)據(jù)按X9.9計

ZZZ科技限公司第7頁

算，然后使用MAC密鑰后半部分對結(jié)果解密計算，再用前半部分加密得到MAC值。算法如

下圖所示：

MAC2

我國銀聯(lián)定義的算法和ANSIX9.19不同，它是對每一個分組進(jìn)行3DES計算當(dāng)然它也

是兼容單DESMAC計算的，但是處理工作量要比ANSIX9.19大一些。

2ZZ科技限公司第8頁

第三章商業(yè)銀行對數(shù)據(jù)安全的基本要求

金融行業(yè)業(yè)務(wù)系統(tǒng)對數(shù)據(jù)安全的主要要求包括以下三點：

?關(guān)鍵信息（PIN）的保密性

對于銀行卡業(yè)務(wù)，用戶密碼（PIN）是用戶身份認(rèn)證的關(guān)鍵信息，PIN的泄露會使得它

人假冒持卡人進(jìn)行取現(xiàn)、消費、轉(zhuǎn)帳等業(yè)務(wù)將對持卡人的利益造成難以估計的損失。對于

PIN的安全一方面用戶自己必須防止PIN的泄露，而對于銀行更要保證用戶PIN在金融網(wǎng)

絡(luò)和業(yè)務(wù)系統(tǒng)的安全。對PIN的保密性包括PIN的產(chǎn)生、存儲、傳輸、更改、校驗等過程

中不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用。換句話說應(yīng)該是除了持卡人任何

人都無法得到PIN的明文。

?數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是確保信息由產(chǎn)生至接收的途中沒有被意外或人為修改。例如銀行發(fā)出

一個指令給柜員機(jī)，內(nèi)容為允許付款若干金額，可是此信息在途中出現(xiàn)問題，令金額數(shù)值

改變。雖然銀行本身并不知情，但此失誤卻直接影響銀行及持卡人的結(jié)帳數(shù)目；或者用戶

在使用自助設(shè)備完成轉(zhuǎn)帳時攻擊者修改了轉(zhuǎn)入帳號這樣攻擊者就可以在不知道持卡人PIN

的情況下盜取資金。

?來源的可信性

來源的可信性是為了防止攻擊者假冒合法業(yè)務(wù)終端（如銀行ATM、CDM）向銀行業(yè)

務(wù)系統(tǒng)發(fā)送假冒交易或者假冒銀行主機(jī)系統(tǒng)應(yīng)答業(yè)務(wù)終端的業(yè)務(wù)請求從而給銀行或合法

用戶造成損失。

除此之外在?些業(yè)務(wù)系統(tǒng)中也要求對數(shù)據(jù)進(jìn)行傳輸加密這相對PIN安全要求要簡單很

多，因此在本文不再討論。

ZZZ科技限公司第9頁

第四章金融數(shù)據(jù)安全密鑰體系

在基于密碼技術(shù)的安全系統(tǒng)中密鑰管理是最為重要的一個方面。我們需要對密鑰的產(chǎn)

生、分配、貯存、轉(zhuǎn)換、分工和分層等制定一-套方案。不同加密機(jī)生產(chǎn)廠商可能提供不同

的密鑰管理體系。當(dāng)前國內(nèi)金融行業(yè)存在多種密鑰體系，其中使用最廣泛的是RACAL密

鑰體系。該體系因為是全球最大的金融數(shù)據(jù)加密機(jī)提供商RACAL創(chuàng)建而得名。金卡體系

為銀聯(lián)所建立，多應(yīng)用于銀聯(lián)聯(lián)網(wǎng)系統(tǒng)，兩種結(jié)構(gòu)沒有本質(zhì)上的區(qū)別。

4.1金卡體系

信息完整性密鑰PIN保護(hù)密鑰終湍密鑰

（用于POS終端）

其中：

?MAK和PIK統(tǒng)稱工作密鑰；

MAK密鑰用于對組成數(shù)據(jù)包的關(guān)鍵欄位進(jìn)行MAC運算（ANSIX9.9）,生成MAC（信

息完整性校驗碼）；

PIK密鑰用于對用戶個人密碼進(jìn)行PIN運算（ANSIX9.8）,生成傳輸數(shù)據(jù)包中的PIN

密文；

工作密鑰以由中心統(tǒng)一生成，以數(shù)據(jù)格式中的ResetKey交易指令進(jìn)行密鑰分發(fā)；

工作密鑰以密文形式保存，由應(yīng)用系統(tǒng)直接調(diào)用；

zZZ科技限公司第10頁

?BMK——銀行主密鑰：

為確保工作密鑰的安全，在SJLO6T主機(jī)加密模塊中，提供了BMK（銀行主密鑰）對

工作密鑰進(jìn)行加密保護(hù)；

BMK由兩個成分（32位十六進(jìn)制數(shù)）組成，由中心和網(wǎng)點各出一份，采用“背對背”

形式進(jìn)行輸入；

BMK以密文存儲在中心和網(wǎng)點的主機(jī)加密模塊（中心和網(wǎng)點的BMK為對應(yīng)關(guān)系）

中，通過索引號進(jìn)行調(diào)用，永遠(yuǎn)不以明文形式出現(xiàn)；

?MK——加密機(jī)主密鑰：

在SJLO6T主機(jī)加密模塊中采用MK（加密機(jī)主密鑰）對BMK進(jìn)行加密保護(hù)；

MK由三個成分（32位十六進(jìn)制數(shù)）組成，由加密機(jī)使用單位通過行政手段分派專人

管理和維護(hù)，一般由2?3人采用“背對背”形式進(jìn)行輸入；

MK以密文形式存儲在加密機(jī)黑I電子中，旦永遠(yuǎn)不以明文形式出現(xiàn)。

4.2RACAL密鑰體系概述

在傳統(tǒng)金融業(yè)務(wù)中數(shù)據(jù)安全全部使用對稱密鑰算法實現(xiàn)，RACAL定義了如下的三層密

鑰管理體系：

?第一層密鑰：本地主密鑰（LMK）

本地主密鑰（LocalMasterKey-LMK）存放在加密機(jī)內(nèi)的，由三個成分組合生成，是

整個安全體系中的最高層密鑰。LMK不會出現(xiàn)在加密機(jī)以外的地方，它采用雙倍標(biāo)準(zhǔn)對稱

ZZZ科技限公司第11頁

密鑰(長128位)實現(xiàn)三重數(shù)據(jù)加密。所有的密鑰和加密數(shù)據(jù)存放在本地時都必須經(jīng)LMK

進(jìn)行加密。

加密機(jī)投入運行時，必須先產(chǎn)生和裝載LMK。LMK通常由三個成分組成，由加密機(jī)

使用單位通過行政手段分派專人管理和維護(hù)，一般由3人采用“背對背”形式進(jìn)行輸入；

LMK在本地是唯一的，并且與系統(tǒng)中其他交易節(jié)點沒有關(guān)系。

LMK以密文形式存儲在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文形式出現(xiàn)。

?第二層密鑰：區(qū)域/終端主密鑰(ZMK/TMK)

第二層密鑰通常稱為密鑰加密密鑰或密鑰交換密鑰(Kcy-cncryptingkey或Key

ExchangeKey)。它的作用是加密在通訊線路上需要傳遞的工作密鑰。從而實現(xiàn)工作密鑰

的自動分配。在本地或共享網(wǎng)絡(luò)中。不同的兩個通訊網(wǎng)點或終端設(shè)備使用不同的密鑰加密

密鑰，從而實現(xiàn)密鑰的分工管理，它在本地存放時，處于本地主密鑰LMK的加密保護(hù)之

下或直接保存在硬件加密機(jī)，中。

區(qū)域主密鑰ZMK用于總行、分行、支行、網(wǎng)點等兩個區(qū)域之間加密傳輸工作密鑰；而

終端主密鑰TMK用于銀行系統(tǒng)與各種自助終端或POS設(shè)備之間加密傳輸工作密鑰。

?第三層密鑰：工作密鑰(ZPK/ZAK/TPK/TAK/PVK)

第三層密鑰，通常稱為工作密鑰或數(shù)據(jù)加密密鑰。包括ZPK、ZAK、TPK、TAK等密

鑰，它的作用是加密各種不同的業(yè)務(wù)數(shù)據(jù)，從而實現(xiàn)數(shù)據(jù)的保密，信息的認(rèn)證，以及數(shù)字

簽名的功能，這些數(shù)據(jù)密鑰在本地存放時，處于本曲主密鑰LMK的加密保護(hù)之下°

ZPK或TPK用于加密兩個通訊節(jié)點之間需要傳輸?shù)腜IN,從而實現(xiàn)PIN的傳輸、處理

的安全性。ZAK或TAK用于在兩個通訊節(jié)點之間傳送信息時，生產(chǎn)和檢驗一個信息認(rèn)證

代碼(MAC),從而達(dá)到信息認(rèn)證的目的。

除此之外還有一些其它工作密鑰這里不再一一介紹。

4.3PKI體系

由于傳統(tǒng)HSM密鑰體系只采用對稱密鑰機(jī)制來保證金融尤其是銀行敏感數(shù)據(jù)傳輸、處

理以及存儲地安全性，所以還存在以下天生地缺陷：

2ZZ科技限公司第12頁

區(qū)域主密鑰和終端主密鑰1ZMK/TMK）需要人工分發(fā)，導(dǎo)致保密性不強，更換不方便，

造成了整個系統(tǒng)維護(hù)的效率低下。

雖然可以保證交易傳輸、處理的安全性，但是無法保證交易操作的不可抵賴性。

對網(wǎng)點的身份認(rèn)證有一定的難度，同時很難進(jìn)行高強度的訪問控制。

特別是網(wǎng)上銀行的安全問題已經(jīng)不能使用對稱密鑰算法有效解決，同時EMV2000中也

包含/對RSA算法的要求。金融數(shù)據(jù)安全引入RSA算法為RSA密鑰定義了兩種功能：使

用數(shù)字簽名和密鑰管理。因此和對稱密鑰不同它兼有工作密鑰（數(shù)字簽名）和管理密鑰（保

護(hù)對稱密鑰在通訊雙方實現(xiàn)交換）的雙重功能。RSA在本地存放使用LMK保護(hù)或直接保

存在加密機(jī)中，通訊雙方僅僅需要交換公鑰（不必加密），而私鑰僅僅在本地使用不需要

分發(fā)。

與傳統(tǒng)密鑰體系相比，新密鑰體系引入J'RSA密鑰對：給第二層密鑰（ZMK/TMK）的

分發(fā)和更新提供了一種自動在線的方式，但是這種自動在線分發(fā)和更新方式，并不排除傳

統(tǒng)密鑰體系中的人工背對背分發(fā)和更新方式。

下圖是增加了RSA密鑰對（PK、SK）后的密鑰結(jié)構(gòu)：

本地主密鑰

傳輸密鑰

工作密鑰

zZZ科技限公司第13頁

第五章商業(yè)銀行數(shù)據(jù)安全解決方案

5.1金融業(yè)務(wù)系統(tǒng)簡單模型下數(shù)據(jù)安全

金融業(yè)務(wù)交易網(wǎng)絡(luò)是由業(yè)務(wù)終端設(shè)備（柜臺、ATM、POS等）、存放用戶帳戶信息的

業(yè)務(wù)主機(jī)以及網(wǎng)絡(luò)交易鏈中的中間系統(tǒng)（ATM前置、POS前置、綜合前置、銀聯(lián)前置、

銀聯(lián)系統(tǒng)、國際卡系統(tǒng)等等）.為簡單起見我們的討論僅僅考慮一個中間環(huán)節(jié)的簡單模型。

下面我們以ATM、綜合前置和業(yè)務(wù)主機(jī)組成的金融網(wǎng)絡(luò)為例的金融數(shù)據(jù)安全解決方案。

5.2設(shè)備部署

TSMATMATM加密鍵盤

在綜合前置機(jī)和業(yè)務(wù)主機(jī)端連接金融數(shù)據(jù)加密機(jī)（這里以SJL06加密機(jī)為例）作為本

機(jī)的安全服務(wù)模塊。而ATM通常有自己的加密模塊，根據(jù)廠家不同或提供加密密碼鍵盤

或獨立的安全模塊（這里稱為TSM）。

5.3業(yè)務(wù)終端數(shù)據(jù)安全功能

2ZZ科技限公司第14頁

業(yè)務(wù)終端將需要將用戶輸入的PIN進(jìn)行加密然后送到上級業(yè)務(wù)節(jié)點（通常是其對應(yīng)的

前置機(jī)），還要對業(yè)務(wù)數(shù)據(jù)計算MAC保證交易的完整性。終端設(shè)備的加密模塊需要具有

以下功能：

按照各種PIN標(biāo)準(zhǔn)格式對PIN進(jìn)行加密；

按照各種規(guī)范進(jìn)行MAC計算功能；

具有密鑰保存功能，保證密鑰安全；

密鑰的安全更換功能保證能夠和上級節(jié)點實時更新密鑰。

為了保證客戶在業(yè)務(wù)終端上輸入個人密碼時PIN的安全，可以使用加密密碼鍵盤替代

普通密碼鍵盤。當(dāng)客戶輸入密碼后，加密密碼鍵盤對PIN進(jìn)行加密處理，輸出一個密文值

到支行前置機(jī)。同時為了更有效的保證客戶PIN的安全，要求相同的PIN值其密文應(yīng)該不

同。同時加密密碼鍵盤應(yīng)該可以支持應(yīng)用的MAC計算調(diào)用，終端的業(yè)務(wù)系統(tǒng)可以調(diào)用它

米完成MAC的計算

5.4前置機(jī)系統(tǒng)的數(shù)據(jù)安全

現(xiàn)在的銀行前置系統(tǒng)很多分類和叫法也不盡相同如ATMP、POSP、銀聯(lián)前置、總行前

置以及各種各樣的外聯(lián)前置等等?？傊藰I(yè)務(wù)終端和銀行帳務(wù)主機(jī)之外的系統(tǒng)統(tǒng)統(tǒng)稱為

前置系統(tǒng)。

前置系統(tǒng)的加密機(jī)主要功能包括

?密鑰分發(fā)向其他通訊方分發(fā)密鑰（如終端）或接受其他方分發(fā)的密鑰（如帳務(wù)主

機(jī)或上級前置系統(tǒng)）；

?按照各種規(guī)范進(jìn)行MAC計算和MAC校驗功能：

?PIN密文轉(zhuǎn)換功能；

?本地密鑰的管理；

前置系統(tǒng)作為不同系統(tǒng)間的連接系統(tǒng)在安全上和業(yè)務(wù)上一樣需要進(jìn)行安全的屏敝和轉(zhuǎn)

換。如PIN轉(zhuǎn)換，它需要在不同系統(tǒng)間轉(zhuǎn)換各種安全要求，包括不同密鑰的轉(zhuǎn)換、不同PIN

格式（PIN格式說明見本文后面內(nèi)容）的轉(zhuǎn)換、不同算法的轉(zhuǎn)換等等，這些轉(zhuǎn)換都需要在

ZZZ科技限公司第15頁

加密機(jī)內(nèi)部完成，所謂的加解密都是在加密機(jī)內(nèi)部完成，而在加密機(jī)外部是不應(yīng)該出現(xiàn)PIN

明文的。

5.5帳務(wù)主機(jī)的數(shù)據(jù)安全功能

在業(yè)務(wù)的帳務(wù)主機(jī)，和其他不同的是需要對用戶PIN進(jìn)行校驗。在帳務(wù)主機(jī)的數(shù)據(jù)庫

中存放用戶PIN的密文值信息（關(guān)于PIN加密方式見本文后面有關(guān)內(nèi)容）。帳務(wù)主機(jī)需要

將其它業(yè)務(wù)系統(tǒng)交易報文中送來的用戶輸入的PIN和數(shù)據(jù)庫中的PIN進(jìn)行比較校驗其是否

相同從而判定客戶身份是否合法。該校驗應(yīng)該是將其它系統(tǒng)送來的PIN密文和本地數(shù)據(jù)庫

中的PIN密文一起送入加密機(jī)，在加密機(jī)內(nèi)部完成PIN的解密和加密等過程從而判定兩者

是否相同。

帳務(wù)主機(jī)系統(tǒng)可能還需要為客戶預(yù)先產(chǎn)生初始PIN的功能，該PIN的產(chǎn)生也需要調(diào)用

加密機(jī)隨機(jī)產(chǎn)生。

5.6密鑰的分發(fā)

密鑰分發(fā)的目的首先是在通訊雙方分別共享相同的密鑰交換密鑰（ZMK/TMK）,以便

工作密鑰的安全傳輸。然后便后可定時生成工作密鑰進(jìn)行加密下傳，從而保證通訊的雙方

具有相同的工作密鑰。下圖以ATM、綜合業(yè)務(wù)前置機(jī)和中心業(yè)務(wù)主機(jī)間密鑰的分配為例:

業(yè)務(wù)主機(jī)

ATM綜合前置機(jī)

[TPK]TMK

TSM

SJL06SJL06

?ZMK的分發(fā)

ZMK的分發(fā)最常用的方式是通訊雙方各定一個密鑰管理人員，每個人各寫一個密鑰成

分，然后兩人到通訊的一方同時將密鑰成分輸入加密機(jī)，在加密機(jī)內(nèi)部合成密鑰。對于距

2ZZ科技限公司第16頁

離較遠(yuǎn)的情況也可以采用信函等方式（VISA、MASTERCARD和成員行就采取該方法）交

換密鑰，但是一個人員不能同時知道兩各密鑰成分。為「安全期間兩密鑰成分最好不要同

時以相同的方式傳送。

?工作密鑰的分發(fā)

ZPK、TPK、ZAK、TAK等工作密鑰的分發(fā)通常是由業(yè)務(wù)系統(tǒng)自動完成。通常通訊的

一方向另一方發(fā)送密鑰申請交易（如：每次開機(jī)簽到時申請）。通常是以ATM向前置申

請，前置向主機(jī)這樣下級向上級申請。上級調(diào)用本地加密機(jī)隨機(jī)生成工作密鑰使用對應(yīng)的

TMK或ZMK輸出，并發(fā)送到密鑰申請方。

5.7業(yè)務(wù)數(shù)據(jù)安全傳輸

SJL06

數(shù)據(jù)安全傳輸是要保證傳輸數(shù)據(jù)的保密性及完整性。用工作密鑰對重要的傳輸數(shù)據(jù)進(jìn)

行加密保護(hù)，對所有傳輸數(shù)據(jù)（全部或部分）作MAC運算保證數(shù)據(jù)的完整性。上圖是一

交易處理流程例圖，其說明如下：

ATM將PIN明文送入TSM加密機(jī)；

TSM將PIK1加密下的PIN返回ATM；

（對于加密密碼鍵盤，ATM得到的直接就是PIN密文）

ATM調(diào)用TSM完成MAC的產(chǎn)生后將交易報文發(fā)送前置機(jī)；

前置機(jī)首先調(diào)用SJL06完成交易MAC校驗，然后將ATM送到的PIN密文，該終端對

應(yīng)的TPK和主機(jī)對應(yīng)的ZPK以及TPK加密下的PIN送入SJL06加密機(jī)；

2ZZ科技限公司第17頁

SJL06加密機(jī)將客戶PIN在加密機(jī)內(nèi)部轉(zhuǎn)換成用ZPK加密保護(hù)返回前置機(jī)，如果需要

加密機(jī)還將完成PINBLOCK的轉(zhuǎn)換；

前置機(jī)調(diào)用SJL06完成和主機(jī)通訊報文的MAC的產(chǎn)生后，將新的交易報文發(fā)送業(yè)務(wù)

主機(jī)；

業(yè)務(wù)主機(jī)主機(jī)首先調(diào)用本地加密機(jī)完成交易MAC校驗，然后將前置機(jī)送到的PIN密

文、前置對應(yīng)的ZPK以及本地數(shù)據(jù)庫中存放的PIN密文及相關(guān)密鑰等信息送到本地加密

機(jī)；

業(yè)務(wù)主機(jī)加密機(jī)完成PIN校驗后將結(jié)果返回業(yè)務(wù)主機(jī)。

業(yè)務(wù)的返回過程中與此相似本文不在說明。

5.8發(fā)卡中PIN的安全

在5.1中提到.業(yè)務(wù)主機(jī)存放的PIN密文。用戶PIN最初產(chǎn)生通常有三種方式：

用戶卡初始沒有PIN,用戶開卡時在柜臺等地方直接輸入PIN,其PIN的安全和5.1類

似，僅在主機(jī)端沒有PIN校驗而是保存用戶設(shè)定的PIN密文。

發(fā)卡時銀行為客戶統(tǒng)一設(shè)定一個簡單的PIN（如111111、000000等）然后由客戶修改。

該方式如果客戶沒有及時修改PIN將會有較大風(fēng)險。

為用戶隨機(jī)設(shè)定一個PIN并打印密碼信封安全的交給客戶.

對于第三種方式為了保證客戶PIN的安全，客戶密碼信封打印機(jī)應(yīng)由加密機(jī)直接驅(qū)動。

如下圖所示：

ZZZ科技限公司第18頁

-

發(fā)卡服務(wù)器一方面與發(fā)卡機(jī)連接完成卡片的客戶化（寫磁、打卡、印字等），另一方

面與加密機(jī)連接完成客戶初始PIN的產(chǎn)生、密碼信封打印等工作）。

發(fā)卡服務(wù)器可以調(diào)用加密機(jī)隨機(jī)產(chǎn)生用戶PIN,加密機(jī)返回服務(wù)器PIN的密文，而PIN

明文直接通過和加密機(jī)連接的打印機(jī)完成打印。然后將PIN密文送到業(yè)務(wù)主機(jī)。

在實際應(yīng)用中，客戶可能將密碼信封打印工作單獨拿出來，而是由主機(jī)產(chǎn)生PIN,然

后將相關(guān)客戶信息和PIN密文打包發(fā)送到密碼信封打印系統(tǒng)，密碼信封打印系統(tǒng)將PIN密

文和其它需要打印的信息（如卡號、客戶姓名等）發(fā)送到加密機(jī)，加密機(jī)將PIN解密后送

到打印機(jī)進(jìn)行打印。

打印機(jī)是一臺具有異步接口的針式打印機(jī)，并且該打印機(jī)不允許安裝色帶。從而保證

PIN明文不會在業(yè)務(wù)系統(tǒng)和業(yè)務(wù)網(wǎng)絡(luò)中出現(xiàn)。僅僅在打印連接線和密封的密碼信封中存在

PIN明文。

5.9聯(lián)盟總體安全結(jié)構(gòu)

下圖是XXX公司基于金融數(shù)據(jù)加密機(jī)進(jìn)行數(shù)據(jù)安全建設(shè)后的結(jié)構(gòu)圖：

zZZ科技限公司第19頁

核心渠道/外圍系統(tǒng)外聯(lián)系統(tǒng)

聯(lián)加格機(jī)集群

CBOD核心人民銀行

盟N10

業(yè)務(wù)系統(tǒng)

中

銀聯(lián)

心N20聯(lián)盟ESB

銀聯(lián)

人民銀行

商

行

運

移動公司

行

中”電信/電力/...

心

加密機(jī)集群

多媒體終端

打印機(jī)

系統(tǒng)部署方案如下：

核心業(yè)務(wù)系統(tǒng)在聯(lián)盟運行中心部署，采用統(tǒng)一應(yīng)用、單一數(shù)據(jù)庫的模式。

在聯(lián)盟和城商行部署ESB（企業(yè)服務(wù)總線）：聯(lián)盟ESB連接未來聯(lián)盟統(tǒng)一接入的渠道

和外圍系統(tǒng)，如銀聯(lián)、柜面通等；城商行ESB連接各城商行的渠道和外圍系統(tǒng)，如ATM

前置、中間業(yè)務(wù)等。

在各網(wǎng)點部署字符前端服務(wù)器，并與終端端和其他外設(shè)進(jìn)行連接。

未來建設(shè)的WebTeller（圖形界面的前端）服務(wù)器將部署在城商行運行中心，網(wǎng)點的

圖形終端通過瀏覽器的方式進(jìn)行連接。

2ZZ科技限公司第20頁

聯(lián)盟的運行中心作為一個特殊的營業(yè)機(jī)構(gòu)，也需要部署WEBTeller和字符終端系統(tǒng)。

另外，如果未來聯(lián)盟建設(shè)統(tǒng)?的外圍系統(tǒng)，如網(wǎng)上銀行、電話銀行等，則也需要通過

送盟的ESB進(jìn)行連接。

根據(jù)聯(lián)盟的整體機(jī)構(gòu)，我們在聯(lián)盟中心內(nèi)部部署一套加密機(jī)集群系統(tǒng)。加密機(jī)集群系

統(tǒng)的硬件主要是安全服務(wù)器。安全服務(wù)器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段IP地址，一個連接加

密機(jī)陣列，一個連接總行內(nèi)網(wǎng)。考慮到聯(lián)盟中心對系統(tǒng)可靠性及容錯能力的要求，安全服

務(wù)器采用雙機(jī)熱備份。安全服務(wù)器位于加密機(jī)之前，在完成業(yè)務(wù)主機(jī)與加密機(jī)交易報文轉(zhuǎn)

換的同時也將加密機(jī)與銀行網(wǎng)絡(luò)隔離，任何對加密機(jī)的訪問必須通過安全服務(wù)器完成。此

外，安全服務(wù)器還負(fù)責(zé)加密機(jī)的負(fù)載均衡、多機(jī)熱備、狀態(tài)檢測等功能。根據(jù)目前估算的

業(yè)務(wù)量，使用4臺SJL6E加密機(jī)可滿足要求，但是考慮到備份及將來業(yè)務(wù)發(fā)展的需要，因

而聯(lián)盟中心加密機(jī)的數(shù)量采用n+2的計算方式。

在商行運行中心內(nèi)部署一套加密機(jī)集群系統(tǒng)（縮減版）和2-3臺SJL06E金融數(shù)據(jù)加密

機(jī)。加密機(jī)集群系統(tǒng)負(fù)貢加密機(jī)的負(fù)載均衡、雙機(jī)熱備、狀態(tài)檢測等功能。

在網(wǎng)點內(nèi)部署?套加密機(jī)集群系統(tǒng)（縮減版）和2臺SJL06S型加密機(jī)。加密機(jī)集群系

統(tǒng)負(fù)責(zé)加密機(jī)的負(fù)載均衡、雙機(jī)熱備、狀態(tài)檢測等功能。

在存在多網(wǎng)點前端系統(tǒng)的網(wǎng)點和和網(wǎng)點服務(wù)器間，采用網(wǎng)絡(luò)加密設(shè)備進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)加

密。

5.10加密機(jī)集群系統(tǒng)

5.10.1網(wǎng)絡(luò)結(jié)構(gòu)圖

ZZZ科技限公司第21頁

1#加密機(jī)n#加密機(jī)n+1#加密機(jī)

磁盤陣列

安全服務(wù)器備份安全服務(wù)器

5.10.2主要功能

加密機(jī)集群系統(tǒng)主要實現(xiàn)以下功能：

?提供統(tǒng)一接口的加解密安全服務(wù)

通過提供統(tǒng)一的接口服務(wù)，加強對各類應(yīng)用系統(tǒng)和加密機(jī)設(shè)備的集中管理和統(tǒng)一維護(hù)。

?'也務(wù)系統(tǒng)與加密機(jī)之間協(xié)議轉(zhuǎn)換

為了保證現(xiàn)有業(yè)務(wù)系統(tǒng)不做任何修改，就能按照原有命令格式將業(yè)務(wù)處理命令發(fā)送給

加密機(jī)集群系統(tǒng)，加密機(jī)集群系統(tǒng)按照預(yù)定規(guī)則將業(yè)務(wù)系統(tǒng)命令格式轉(zhuǎn)換成加密機(jī)能夠識

別的命令格式，同樣將加密機(jī)返回的命令轉(zhuǎn)換成業(yè)務(wù)系統(tǒng)的命令格式。

?實現(xiàn)加密機(jī)多機(jī)熱備

加密機(jī)集群系統(tǒng)可以將所有加密機(jī)設(shè)備設(shè)定在兩種狀態(tài)之下：工作狀態(tài)和備份狀態(tài).

當(dāng)處于工作狀態(tài)的加密機(jī)出現(xiàn)故障時，加密機(jī)集群系統(tǒng)將自動將其切換成故障狀態(tài)，同時

將處于備份狀態(tài)的加密機(jī)切換成工作狀態(tài)，持續(xù)提供加解密安全服務(wù)，保證業(yè)務(wù)系統(tǒng)7x24

不間斷運行，保證了整個安全服務(wù)平臺的高度可靠性和穩(wěn)定性。

?實現(xiàn)加密機(jī)負(fù)載均衡

ZZZ科技限公司第22頁

加密機(jī)集群系統(tǒng)能夠安全預(yù)設(shè)的規(guī)則和策略，根據(jù)所有處于工作狀態(tài)的加密機(jī)的屬性

和特點，進(jìn)行加解密服務(wù)調(diào)度，均衡每臺加密機(jī)的工作負(fù)載，使整個系統(tǒng)處在最優(yōu)工作狀

態(tài)。

?密鑰管理功能

實現(xiàn)本地加密機(jī)密碼同步，并在管理控制中心的控制下完成銀行主密鑰以及工作密鑰

的定期更新和安全分發(fā)等功能。

?狀態(tài)檢測功能

自動檢測加密機(jī)陣列的硬件狀態(tài)和密鑰狀態(tài)，并將相關(guān)信息上傳給管理控制中心。

?密鑰服務(wù)狀態(tài)檢測功能

將所有業(yè)務(wù)系統(tǒng)各類交易中使用密鑰服務(wù)的情況和狀態(tài)，以及相關(guān)信息上傳給管理左

制中心，便于安全服務(wù)平臺進(jìn)行統(tǒng)一管理和集中監(jiān)控加密機(jī)密鑰服務(wù)使用情況。

?多方位安全性功能

地址隔離方式：加密機(jī)集群系統(tǒng)服務(wù)器和銀行網(wǎng)絡(luò)使用銀行內(nèi)網(wǎng)IP地址，但是和加密

機(jī)陣列使用專用的網(wǎng)段IP地址并單獨連接，這樣可以有效保護(hù)加密機(jī)不受任何非法的訪

問。訪問控制方法：加密機(jī)集群系統(tǒng)具有IP識別功能，能有效防止非法用戶的連接。安全

管理手段：加密機(jī)集群系統(tǒng)服務(wù)器拒絕任何遠(yuǎn)程的登陸訪問，并關(guān)閉所有不必要的端口，

從使得服務(wù)器的安全性得以提高。

5.10.3部署方式

加密機(jī)集群系統(tǒng)主要由軟件系統(tǒng)和硬件系統(tǒng)兩大部分組成。

硬件系統(tǒng)采用服務(wù)器方式，該安全服務(wù)器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段IP地址，一個連

接加密機(jī)陣列，一個連接銀行內(nèi)網(wǎng)。安全服務(wù)器位于加密機(jī)之前，在完成業(yè)務(wù)主機(jī)與加密

機(jī)交易報文協(xié)議轉(zhuǎn)換的同時也將加密機(jī)與銀行網(wǎng)絡(luò)隔離，任何對加密機(jī)的訪問必須通過安

全服務(wù)器完成。考慮到總行對系統(tǒng)可靠性及容錯能力的要求，總行內(nèi)安全服務(wù)器采用雙機(jī)

熱備份C各地分行業(yè)務(wù)量相對較小,對穩(wěn)定性要求也相對較低,故在分行只使用一臺安全

服務(wù)器

軟件系統(tǒng)主要負(fù)責(zé)加密機(jī)的負(fù)載均衡、多機(jī)熱備、狀態(tài)檢測等功能。

zZZ科技限公司第23頁

第六章技術(shù)指標(biāo)

6.1SJL06金融數(shù)據(jù)加密機(jī)技術(shù)說明

專門設(shè)計用于金融行業(yè)網(wǎng)絡(luò)主機(jī)加密的SJL06金融數(shù)據(jù)加密機(jī)，采用模塊式結(jié)構(gòu)、集

中式管理，其功能模塊如圖所示。

保密機(jī)

供電系統(tǒng)安全機(jī)械鎖

「

一

異

安

自

尊

身

IC防

卡

常

全

檢

法

份

保

報

控

功

驗

蓄

護(hù)

制

警

能

證

工

工T

自

王

SMS3-01動

裝

寇檢

測

測

路

一

_一

工作密銀庫

備份密鑰庫

1.SJL06金融數(shù)據(jù)加密機(jī)功能框圖

zZZ科技限公司第24頁

6.L1各模塊的功能及作用

?DES和SMS3-01算法

加密機(jī)的主要功能之一。由通信的雙方按約定密鑰，用DES算法或SMS3-01算法對

PIN進(jìn)行加/解密及信息驗證，以達(dá)到保護(hù)數(shù)據(jù)安全的目的。該設(shè)計支持多套加密算法是

本機(jī)的一大特點。DES算法和SMS3-0I算法均由硬件設(shè)計實現(xiàn)，因此運算速度快、可靠性

高。根據(jù)用戶需要和國家密碼委員會的有關(guān)管理規(guī)定，安裝一種算法或兩種算法或多種算

法。算法的選擇，不會影響加密機(jī)的工作指標(biāo)和工作狀態(tài)C

?MAC運算

加密機(jī)的主要功能之一。MAC運算完成消息來源正確性的鑒別，防止數(shù)據(jù)被篡改或非

法用戶的竊入。該運算過程由硬件DES（或SMS3-01算法）和軟件算法并行運算完成。

優(yōu)點是速度快、可重構(gòu)。

?RSA算法

選配模塊，可以支持?jǐn)?shù)字簽名/認(rèn)證，RSA加密/解密等功能。

?密鑰管理

加密機(jī)的主要功能之一。這部分完成兩項工作：一是產(chǎn)生機(jī)內(nèi)隨機(jī)數(shù)，并通過運算和

各種檢驗形成新的數(shù)據(jù)密鑰，加密后提供給主機(jī)使用；二是接收、檢驗、組合、保存人工

輸入的密鑰，并可過濾出各類不符合要求的密鑰。

?密鑰庫

最小配置容量是512組雙倍長密鑰，1024組單倍長密鑰。根據(jù)用戶的需求可成倍擴(kuò)容,

現(xiàn)在提供4096三倍位。密鑰的存儲采取了容錯技術(shù)。

?身份驗證