(金融保險(xiǎn))金融數(shù)據(jù)安全建設(shè)建議書

1、LOGObeikezha ngYOUR COMPANY NAME IS HERE專業(yè)丨專注丨精心丨卓越隨心編輯,值得下載擁有!（金融保險(xiǎn)）金融數(shù)據(jù)安全建設(shè)建議書XXXX年XX月XX日ZZZ科技仍；之上；且；當(dāng)下；和；可是;能夠；倆；見；某公司；運(yùn)營；文檔名稱XXX公司金融數(shù)據(jù)安全建設(shè)建議 書文檔編號(hào)XXX公司金融數(shù)據(jù)安全建設(shè)建議書-V0.1文檔類別技術(shù)文檔版本信息V0.1內(nèi)部密級(jí)外部密級(jí)創(chuàng)建人創(chuàng)建日期修改歷史版本號(hào)日期*狀態(tài)修訂人摘要V0.12009-04-08C創(chuàng)建*狀態(tài)：C -創(chuàng)建 A -增加 M -修改 D -刪除目錄第一章 前言 11.1 概述 11.2 商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四

2、個(gè)階段 11.2.1 未采用專業(yè)技術(shù)的裸奔階段 11.2.2 軟件密碼技術(shù)的使用 21.2.3 硬件密碼設(shè)備的應(yīng)用 21.2.4 金融數(shù)據(jù)安全的完善階段 3第二章 技術(shù)基礎(chǔ)篇 52.1 加密算法分類 52.1.1 對(duì)稱密鑰算法和非對(duì)稱密鑰算法 52.1.2 分組密碼算法和流密碼算法 62.2關(guān)于3DES算法62.3 MAC 計(jì)算7第三章 商業(yè)銀行對(duì)數(shù)據(jù)安全的基本要求 8第四章 金融數(shù)據(jù)安全密鑰體系 94.1 金卡體系 94.2 RACAL密鑰體系概述 104.3 PKI 體系11第五章 商業(yè)銀行數(shù)據(jù)安全解決方案 135.1 金融業(yè)務(wù)系統(tǒng)簡單模型下數(shù)據(jù)安全 135.2 設(shè)備部署 135.3 業(yè)務(wù)

3、終端數(shù)據(jù)安全功能 135.4 前置機(jī)系統(tǒng)的數(shù)據(jù)安全 145.5 帳務(wù)主機(jī)的數(shù)據(jù)安全功能 145.6 密鑰的分發(fā) 155.7 業(yè)務(wù)數(shù)據(jù)安全傳輸 155.8發(fā)卡中PIN的安全165.9 聯(lián)盟總體安全結(jié)構(gòu) 175.10 加密機(jī)集群系統(tǒng) 185.10.1 網(wǎng)絡(luò)結(jié)構(gòu)圖 185.10.2 主要功能 195.10.3 部署方式 20第六章 技術(shù)指標(biāo) 216.1 SJL06 金融數(shù)據(jù)加密機(jī)技術(shù)說明 216.1.1 各模塊的功能及作用 216.1.2 IC卡的設(shè)計(jì)246.1.3 密鑰庫設(shè)計(jì) 246.2 SJL06金融數(shù)據(jù)加密機(jī)的技術(shù)特點(diǎn)256.3 SJL06加密機(jī)的安全措施 26第七章 技術(shù)規(guī)格 287.1 S

4、JL06E加密機(jī)技術(shù)規(guī)格 287.1.1 技術(shù)規(guī)格287.1.2 工作環(huán)境要求 287.1.3 性能指標(biāo)297.2 SJL06S加密機(jī)技術(shù)規(guī)格297.2.1 技術(shù)特點(diǎn) 297.2.2 技術(shù)指標(biāo)297.2.3 性能指標(biāo)297.3 加密機(jī)備件仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；專用工具清單 30第八章 配置建議 318.1 壓力測試 318.1.1服務(wù)器A的集群系統(tǒng)雙機(jī) 318.1.2服務(wù)器B集群系統(tǒng)雙機(jī) 338.2 峰值業(yè)務(wù)量估計(jì)及配置建議 348.2.1 聯(lián)盟中心 348.2.2 商行運(yùn)行中心 368.2.3 網(wǎng)點(diǎn)368.2.4 終端和 ATM378.2.5 外聯(lián)系統(tǒng)37

5、第九章 數(shù)據(jù)安全技術(shù)其它討論 389.1 關(guān)于 PINBLOCK格式389.1.1 常用的 PINBLOCK 格式 389.1.2 安全分析 409.2 關(guān)于主機(jī)端 PIN 存放和校驗(yàn) 419.3 小額本票密押 429.4 舊系統(tǒng)密碼移植 429.5 CVN 移植 429.6 分散網(wǎng)點(diǎn)的安全問題 42第十章 安全管理原則 4310.1 基本原則 4310.2 密鑰的相關(guān)原則 43第十一章 附件 4511.1 近期工作建議 45第 一 章 前 言1.1 概 述金融電子化的發(fā)展，使得越來越多的貨幣以數(shù)字化的形式在銀行網(wǎng)絡(luò)中流動(dòng)，而各金 融網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)形成了一張遍布全球的金融服務(wù)網(wǎng)絡(luò)。如何在如

6、此大的業(yè)務(wù)網(wǎng)絡(luò)中 保護(hù)客戶和銀行的利益不受損害將是銀行信息安全的一個(gè)核心問題。因?yàn)榻鹑谛袠I(yè)的高風(fēng) 險(xiǎn)特點(diǎn)使得其對(duì)安全的要求也格外的苛刻。金融行業(yè)的信息安全問題不但囊括了其他行業(yè)信息安全的全部因素（防病毒、入侵監(jiān) 測、通訊數(shù)據(jù)加密、身份認(rèn)證、災(zāi)難備份等等），同時(shí)金融行業(yè)也有其特殊要求。因?yàn)橛?戶 PIN 的安全是銀行為用戶負(fù)責(zé)保障用戶合法利益的關(guān)鍵。 我國新刑法中關(guān)于取證條款的 修改使得當(dāng)用戶仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；銀行發(fā) 生沖突時(shí)（如用戶資金丟失責(zé)任問題）銀行能夠證明自己為用戶提供了足夠的安全保護(hù)甚 至連銀行內(nèi)部人員也不可能獲得，因此 如何保護(hù)用戶的帳號(hào)密碼（

7、 PIN ）的安全 是金融業(yè) 務(wù)中最特殊的安全要求。要保證數(shù)據(jù)的安全性（保密性、完整性）最有效的手段是采用加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加 密處理。本文討論的數(shù)據(jù)安全主要是指銀行以卡業(yè)務(wù)為代表的用戶以個(gè)人密碼（PIN ）為身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（ PIN ）的安全和交易的安全。1.2 商 業(yè) 銀 行 金 融 數(shù) 據(jù) 安 全 建 設(shè) 中 的 四 個(gè) 階 段金融數(shù)據(jù)安全技術(shù)的發(fā)展也是隨著金融業(yè)務(wù)的發(fā)展而發(fā)展起來的。這里將銀行數(shù)據(jù)安 全劃為四個(gè)階段是代表金融數(shù)據(jù)安全從無到有從弱到強(qiáng)的一個(gè)過程。同時(shí)，在很多銀行因 為業(yè)務(wù)系統(tǒng)眾多建設(shè)時(shí)間前后不一等原因使四個(gè)階段描述的狀態(tài)可能都存在。1.2.1 未 采用

8、專業(yè) 技術(shù) 的裸 奔階 段在金融電子劃的初始階段，銀行的主要目標(biāo)是建立和發(fā)展銀行業(yè)務(wù)網(wǎng)絡(luò)。由于觀念、 技術(shù)、時(shí)間、資金等方面的原因沒有或較少使用密碼技術(shù)對(duì)業(yè)務(wù)信息進(jìn)行安全保護(hù)。 此時(shí)， 在金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中存在大量的 PIN 明文且對(duì)于數(shù)據(jù)信息的完整性和有效性也常不進(jìn) 行校驗(yàn)，其安全性僅僅依靠網(wǎng)絡(luò)系統(tǒng)的物理安全性和操作系統(tǒng)本身的安全性來保證，而很 少采用專業(yè)技術(shù)。這樣的系統(tǒng)無論從金融系統(tǒng)內(nèi)部仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公 司；運(yùn)營；是外部都仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；非常 容易獲取交易中的機(jī)密信息仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公

9、司；運(yùn)營； 發(fā)起攻擊行為，銀行和銀行客戶的資產(chǎn)面臨巨大風(fēng)險(xiǎn)。1.2.2 軟 件密 碼技 術(shù)的 使用隨著銀行卡應(yīng)用的普及、金融網(wǎng)絡(luò)的不斷擴(kuò)大，數(shù)據(jù)在傳輸過程中的安全性得到了一 定重視，在各種應(yīng)用系統(tǒng)中使用軟件對(duì)交易信息進(jìn)行加密和完整性運(yùn)算的方法得到廣泛使 用。此時(shí)大家認(rèn)為在銀行外流動(dòng)的信息是不安全的， 而忽略了信息在銀行內(nèi)部的安全。 仍； 之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；金融犯罪實(shí)際上有 80% 仍； 之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；來自內(nèi)部，特別是隨著金融 機(jī)構(gòu)本身以及為金融機(jī)構(gòu)服務(wù)的公司人員流動(dòng)的加快，這種不安全性越來越明顯。概括來 說使用軟件加密

10、技術(shù)存在以下不足：軟件的運(yùn)行要占用主機(jī)資源，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見； 某公司；運(yùn)營；且軟件的處理速度較慢軟件運(yùn)作時(shí)很多重要的資料 （如用來做密碼運(yùn)算的密鑰， 或顧客的 PIN） 都會(huì)在某時(shí)間清 晰的出現(xiàn)于計(jì)算機(jī)的記憶或磁盤上，而對(duì)計(jì)算機(jī)數(shù)據(jù)安全有一定研究的不法分子便有機(jī)會(huì) 把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。軟件不能提供一種有效的機(jī)制保護(hù)密鑰的存儲(chǔ)安全密鑰一旦被人盜取，則客戶密碼 PIN 也就無安全可言，因而國際銀行卡組織（ VISA 、 萬事達(dá)）和我國銀聯(lián)中心均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。 仍；之上； 且；當(dāng)下；和；可是；能夠；倆；見；某公司；

11、運(yùn)營；且根據(jù)我國有關(guān)法規(guī)，不能使用進(jìn) 口涉密產(chǎn)品。1.2.3 硬 件密 碼設(shè) 備的 應(yīng)用為了解決軟件加密在安全上的不足，產(chǎn)生了專門解決金融業(yè)務(wù)數(shù)據(jù)安全的硬件加密設(shè) 備。國外將其稱為 HSM （主機(jī)安全模塊），國內(nèi)稱為金融數(shù)據(jù)加密機(jī)或金融數(shù)據(jù)加密機(jī)。在我國金融數(shù)據(jù)加密機(jī)的大量使用是隨金卡工程實(shí)施開始的。金卡中心（銀聯(lián)）對(duì)于聯(lián)網(wǎng)交易在關(guān)鍵信息保密性、信息的完整性和密鑰交換管理等方面都一一規(guī)定，使得金卡交易 的安全性在一定范圍得到了保證。仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司； 運(yùn)營；多數(shù)銀行是迫于銀聯(lián)的要求仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司； 運(yùn)營；且因?yàn)槁?lián)網(wǎng)工作時(shí)間緊

12、迫等原因僅僅在仍；之上；且；當(dāng)下；和；可是；能夠；倆； 見；某公司；運(yùn)營；金卡中心的接口業(yè)務(wù)中使用了硬件密碼設(shè)備而在其它地方依然是使用軟 件加密甚至仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；使用 PIN 明文 傳輸?shù)那闆r。這些問題的存在實(shí)際上使得使用硬件加密設(shè)備的作用打了折扣，這有一點(diǎn)象安 裝了高級(jí)防盜門的房子有一個(gè)虛掩的窗戶一樣。但這是一個(gè)好的開端，很多銀行在次過程中 認(rèn)識(shí)到了現(xiàn)有系統(tǒng)在銀行卡業(yè)務(wù)中安全方面的種種不足仍；之上；且；當(dāng)下；和；可是；能 夠；倆；見；某公司；運(yùn)營；開始對(duì)它的完善做準(zhǔn)備。1.2.4 金 融數(shù) 據(jù)安 全的 完善 階段對(duì)現(xiàn)有系統(tǒng)進(jìn)行完善使得用戶 PIN

13、不能被任何人（包括銀行內(nèi)部人員）獲取或非法使 用，為用戶提供一個(gè)安全的銀行卡使用環(huán)境將是金融機(jī)構(gòu)今后工作的一個(gè)重點(diǎn)。在當(dāng)前各 個(gè)商業(yè)銀行在建立完善自己的數(shù)據(jù)安全體系方面主要關(guān)注以下幾個(gè)方面：制定應(yīng)用安全規(guī)范應(yīng)用系統(tǒng)的建設(shè)必須遵循本行安全規(guī)范，全行應(yīng)用系統(tǒng)安全改造計(jì)劃及實(shí)施方案的制 定設(shè)立安全崗位、完善管理制度：將密鑰、口令、密碼設(shè)備等管理和工作流程制度化。建設(shè)本行數(shù)據(jù)安全服務(wù)平臺(tái)將應(yīng)用開發(fā)、安全開發(fā)、安全管理分離。本文討論的數(shù)據(jù)安全是指銀行以卡業(yè)務(wù)為代表的用戶以個(gè)人密碼 （PIN ）為身份鑒別手 段的業(yè)務(wù)中用戶關(guān)鍵信息（ PIN ）和交易的安全。一個(gè)完善的數(shù)據(jù)安全系統(tǒng)應(yīng)該符合以下 要求：“用戶

14、 PIN 在銀行業(yè)務(wù)系統(tǒng)中永遠(yuǎn)不以明文形式出仍； 之上；且；當(dāng)下；和；可是； 能夠；倆；見；某公司；運(yùn)營；硬件安全模塊以外 ”，這是保證用戶 PIN 安全的第一步。密碼設(shè)備使用安全密碼設(shè)備本身設(shè)計(jì)或使用不當(dāng)可能會(huì)成為他人對(duì)密文信息攻擊的工具，因而必須采取 措施保證任何人未經(jīng)授權(quán)不能利用密碼設(shè)備對(duì)保密信息進(jìn)行攻擊。密鑰管理安全對(duì)稱密鑰算法安全的關(guān)鍵在于密鑰的安全，對(duì)于使用公開的商業(yè)密碼算法的系統(tǒng)任何 人獲得密鑰都仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；對(duì)相關(guān)信 息進(jìn)行解密、篡改、偽造。因而要保證 PIN 在金融網(wǎng)絡(luò)系統(tǒng)中不能被任何人獲得就必須首 先保證系統(tǒng)中使用的相關(guān)密鑰不能被

15、任何人獲得。管理安全對(duì)一個(gè)系統(tǒng)安全的評(píng)估不能建立在對(duì)一個(gè)群體信任的基礎(chǔ)之上（包括內(nèi)部人員、系統(tǒng) 開發(fā)商、設(shè)備供應(yīng)商），相關(guān)安全的責(zé)任人必須明確仍；之上；且；當(dāng)下；和；可是；能 夠；倆；見；某公司；運(yùn)營；且可控、可審記，對(duì)于關(guān)鍵安全要素必須由多人共同掌管避 免風(fēng)險(xiǎn)集中。第 二 章 技 術(shù) 基 礎(chǔ) 篇2.1 加 密 算 法 分 類2.1.1 對(duì) 稱密 鑰算 法和 非對(duì) 稱密 鑰算 法對(duì)稱密鑰算法是指對(duì)數(shù)據(jù)的加密和解密過程使用同一把密鑰（如下圖所示）。代表算法有DES、IDEA、AES等，其中DES是當(dāng)前公開算法中使用最為廣泛的算法。非對(duì)稱密鑰算法（又稱公開密鑰算法）是指加密和解密使用的密鑰不同，雖

16、然仍；之 上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；個(gè)密鑰有必然的聯(lián)系仍；之上； 且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；不能夠從加密密鑰得到解密密鑰， 這樣就仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；將加密密鑰公開 （不需要保密）。通常將加密密鑰稱為公開密鑰（或公鑰）將解密密鑰稱為私有密鑰（或 私鑰）。如下圖所示：非對(duì)稱密鑰算法相對(duì)對(duì)稱密鑰算法的優(yōu)勢就在于加密密鑰仍；之上；且；當(dāng)下；和； 可是；能夠；倆；見；某公司；運(yùn)營；公開，這樣就方便了密鑰的分發(fā)。又因?yàn)樗借€只有 信息的接收方才有，反向如果使用私鑰對(duì)數(shù)據(jù)加密雖然數(shù)據(jù)的保密性不能保證仍；之上； 且；當(dāng)下；和

17、；可是；能夠；倆；見；某公司；運(yùn)營；數(shù)據(jù)的接收方仍；之上；且；當(dāng)下； 和；可是；能夠；倆；見；某公司；運(yùn)營；判斷該數(shù)據(jù)是私鑰所有者發(fā)送。當(dāng)前的 CA及 數(shù)字簽名正是利用了公開密鑰算法的這一特性實(shí)現(xiàn)信息的不可抵賴性。當(dāng)前主要的公開密 鑰算法是 RSA 算法。仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；當(dāng)前的公開密鑰算 法處理速度要比對(duì)稱密鑰算法慢很多，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見； 某公司；運(yùn)營；且公開密鑰算法密鑰的產(chǎn)生非常復(fù)雜必須使用專門工具而不象對(duì)稱密鑰隨 機(jī)一個(gè)數(shù)字就仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；作為密鑰使用。因而通常將公開密鑰用在身

18、份認(rèn)證和對(duì)稱密鑰的交換上，而大量的數(shù)據(jù)加密仍；之 上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；使用對(duì)稱密鑰算法。2.1.2分組密碼算法和流密碼算法如果從加密方式來區(qū)分算法又仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公 司；運(yùn)營；分為分組密碼算法和流密碼算法。分組密碼算法每次對(duì)固定長度的信息進(jìn)行加 密，因而在加密數(shù)據(jù)前需要將數(shù)據(jù)分為等長的若干組，一組一組進(jìn)行加密計(jì)算。分組算法 的密鑰長度也是一定的，因此對(duì)一個(gè)分組密碼算法最重要的仍；之上；且；當(dāng)下；和；可 是；能夠；倆；見；某公司；運(yùn)營；個(gè)概念是密鑰長度和分組長度。流密碼算法是產(chǎn)生一 個(gè)密鑰流和被加密的數(shù)據(jù)按位（bit ）異或計(jì)算，而

19、沒有密鑰長度和分組長度的概念。流密 碼算法的技術(shù)核心是密鑰流的產(chǎn)生和同步技術(shù)。因?yàn)樵O(shè)計(jì)一個(gè)好的流密碼算法對(duì)技術(shù)要求非常高同時(shí)實(shí)施成本也很高，所以我們通常 商用密碼大部分都是分組密碼，對(duì)安全要求更高的普密核密使用流密碼技術(shù)較多。我們常 用的DES算法就是一個(gè)64分組的分組算法。2.2關(guān)于3DES 算法DES算法是當(dāng)前使用最為廣泛的加密算法，在金融數(shù)據(jù)安全領(lǐng)域基本全部也是使用的DES算法。因?yàn)槠涿荑€長度太?。―ES密鑰長度是64bits其中只有56bits有效位）其安 全性在當(dāng)前的計(jì)算技術(shù)能力情況下已經(jīng)不能滿足各方面安全的需要，仍；之上；且；當(dāng)下;和；可是；能夠；倆；見；某公司；運(yùn)營；使用新的算法

20、有存在兼容性，因此人們提出了 3-DES的替代方案。我國金融行業(yè)是從 2002年開始在金融行業(yè)使用3-DES替代DES算 法工作的。3DES算法加密數(shù)據(jù)說明3-DES加密算法實(shí)際上是使用仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公 司；運(yùn)營；個(gè)或三個(gè)密鑰密鑰對(duì)一個(gè)數(shù)據(jù)分組進(jìn)行三次 DES運(yùn)算。因?yàn)閺臄?shù)學(xué)上人們證明 了 DES算法的是不成群的，因此通過增加通過該方法仍；之上；且；當(dāng)下；和；可是；能 夠；倆；見；某公司；運(yùn)營；有效提高算法的安全強(qiáng)度。下面說明3DES算法的兼容性問題。以雙倍長密鑰（128bits ）為例，我們將前半部分稱為 KEY1后半部分稱為KEY2。其計(jì)算過程如下圖所示:加

21、密過程解密過程64 b備明文KEY丄64血密文KEY*DJS1 這樣當(dāng)KEY仁KEY2時(shí)就相當(dāng)KEY1進(jìn)行DES計(jì)算了。同樣三倍長（192bits ）算法 分為KEY1、KEY2、KEY3依次使用，KEY1=KEY2時(shí)兼容雙倍長密鑰 KEY1=KEY2=KEY3 時(shí)兼容單倍長 DES 算法了。2.3 MAC 計(jì) 算ANSI X9.19 定義了使用雙倍長密鑰計(jì)算 MAC 的方法,它完全兼容 ANSI X9.9 的單 DES MAC 計(jì)算方法。 ANSI X9.19 標(biāo)準(zhǔn)使用 MAC 雙倍長密鑰前半部分對(duì) MAC 數(shù)據(jù)按 X9.9 計(jì)算,然后使用 MAC 密鑰后半部分對(duì)結(jié)果解密計(jì)算 ,再用前半部分

22、加密得到 MAC 值。 算法如下圖所示：我國銀聯(lián)定義的算法和 ANSI X9.19 不同，它是對(duì)每一個(gè)分組進(jìn)行 3DES 計(jì)算當(dāng)然它 也是兼容單 DES MAC 計(jì)算的，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司； 運(yùn)營；處理工作量要比 ANSI X9.19 大一些。第 三 章 商 業(yè) 銀 行 對(duì) 數(shù) 據(jù) 安 全 的 基 本 要 求金融行業(yè)業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)安全的主要要求包括以下三點(diǎn)：關(guān)鍵信息（ PIN ）的保密性對(duì)于銀行卡業(yè)務(wù)，用戶密碼（ PIN ）是用戶身份認(rèn)證的關(guān)鍵信息， PIN 的泄露會(huì)使得它 人假冒持卡人進(jìn)行取現(xiàn)、消費(fèi)、轉(zhuǎn)帳等業(yè)務(wù)將對(duì)持卡人的利益造成難以估計(jì)的損失。對(duì)于 PIN

23、的安全一方面用戶自己必須防止 PIN 的泄露，而對(duì)于銀行更要保證用戶 PIN 在金融網(wǎng) 絡(luò)和業(yè)務(wù)系統(tǒng)的安全。對(duì) PIN 的保密性包括 PIN 的產(chǎn)生、存儲(chǔ)、傳輸、更改、校驗(yàn)等過程 中不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用。換句話說應(yīng)該是除了持卡人任何 人都無法得到 PIN 的明文。數(shù)據(jù)的完整性數(shù)據(jù)的完整性是確保信息由產(chǎn)生至接收的途中沒有被意外或人為修改。例如銀行發(fā)出 一個(gè)指令給柜員機(jī) , 內(nèi)容為允許付款若干金額 , 可是此信息在途中出現(xiàn)問題 , 令金額數(shù)值 改變。雖然銀行本身仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；不 知情 , 但此失誤卻直接影響銀行及持卡人的結(jié)帳數(shù)目

24、；或者用戶在使用自助設(shè)備完成轉(zhuǎn)帳 時(shí)攻擊者修改了轉(zhuǎn)入帳號(hào)這樣攻擊者就仍；之上；且；當(dāng)下；和；可是；能夠；倆；見； 某公司；運(yùn)營；在不知道持卡人 PIN 的情況下盜取資金。來源的可信性來源的可信性是為了防止攻擊者假冒合法業(yè)務(wù)終端（如銀行 ATM 、CDM ）向銀行業(yè) 務(wù)系統(tǒng)發(fā)送假冒交易或者假冒銀行主機(jī)系統(tǒng)應(yīng)答業(yè)務(wù)終端的業(yè)務(wù)請求從而給銀行或合法 用戶造成損失。除此之外在一些業(yè)務(wù)系統(tǒng)中也要求對(duì)數(shù)據(jù)進(jìn)行傳輸加密這相對(duì) PIN 安全要求要簡單很 多，因此在本文不再討論。第四 章 金 融 數(shù)據(jù) 安 全 密鑰 體 系在基于密碼技術(shù)的安全系統(tǒng)中密鑰管理是最為重要的一個(gè)方面。我們需要對(duì)密鑰的產(chǎn) 生、分配、貯存、

25、轉(zhuǎn)換、分工和分層等制定一套方案。不同加密機(jī)生產(chǎn)廠商可能提供不同 的密鑰管理體系。當(dāng)前國內(nèi)金融行業(yè)存在多種密鑰體系，其中使用最廣泛的是 RACAL 密 鑰體系。該體系因?yàn)槭侨蜃畲蟮慕鹑跀?shù)據(jù)加密機(jī)提供商 RACAL 創(chuàng)建而得名。金卡體系 為銀聯(lián)所建立，多應(yīng)用于銀聯(lián)聯(lián)網(wǎng)系統(tǒng)，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見； 某公司；運(yùn)營；種結(jié)構(gòu)沒有本質(zhì)上的區(qū)別。4.1 金 卡 體 系其中：MAK 和 PIK 統(tǒng)稱工作密鑰；MAK 密鑰用于對(duì)組成數(shù)據(jù)包的關(guān)鍵欄位進(jìn)行 MAC 運(yùn)算（ ANSI X9.9 ），生成 MAC （信息完整性校驗(yàn)碼）；PIK密鑰用于對(duì)用戶個(gè)人密碼進(jìn)行 PIN運(yùn)算（ANSI X9.

26、8 ）,生成傳輸數(shù)據(jù)包中的PIN 密文；工作密鑰以由中心統(tǒng)一生成，以數(shù)據(jù)格式中的 ResetKey 交易指令進(jìn)行密鑰分發(fā)；工作密鑰以密文形式保存，由應(yīng)用系統(tǒng)直接調(diào)用；BMK 銀行主密鑰：為確保工作密鑰的安全，在 SJL06 T主機(jī)加密模塊中，提供了 BMK （銀行主密鑰）對(duì) 工作密鑰進(jìn)行加密保護(hù)；BMK 由仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；個(gè)成分（ 32位十六進(jìn)制數(shù)）組成，由中心和網(wǎng)點(diǎn)各出一份，采用“背對(duì)背”形式進(jìn)行輸入；BMK 以密文存儲(chǔ)在中心和網(wǎng)點(diǎn)的主機(jī)加密模塊 (中心和網(wǎng)點(diǎn)的 BMK 為一一對(duì)應(yīng)關(guān)系) 中，通過索引號(hào)進(jìn)行調(diào)用，永遠(yuǎn)不以明文形式出現(xiàn)；MK 加密機(jī)主密

27、鑰：在 SJL06T 主機(jī)加密模塊中采用 MK (加密機(jī)主密鑰)對(duì) BMK 進(jìn)行加密保護(hù)；MK 由三個(gè)成分( 32 位十六進(jìn)制數(shù))組成，由加密機(jī)使用單位通過行政手段分派專人 管理和維護(hù)，一般由 23 人采用“背對(duì)背”形式進(jìn)行輸入；MK 以密文形式存儲(chǔ)在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文形式出現(xiàn)。4.2 RACAL 密 鑰 體 系 概 述在傳統(tǒng)金融業(yè)務(wù)中數(shù)據(jù)安全全部使用對(duì)稱密鑰算法實(shí)現(xiàn)， RACAL 定義了如下的三層密 鑰管理體系：第一層密鑰：本地主密鑰 (LMK)本地主密鑰( Local Master Key - LMK )存放在加密機(jī)內(nèi)的，由三個(gè)成分組合生成， 是整個(gè)安全體系中的最高層密鑰。 L

28、MK 不會(huì)出仍；之上；且；當(dāng)下；和；可是；能夠；倆； 見；某公司；運(yùn)營；加密機(jī)以外的地方，它采用雙倍標(biāo)準(zhǔn)對(duì)稱密鑰(長 128 位)實(shí)現(xiàn)三重 數(shù)據(jù)加密。所有的密鑰和加密數(shù)據(jù)存放在本地時(shí)都必須經(jīng) LMK 進(jìn)行加密。加密機(jī)投入運(yùn)行時(shí)，必須先產(chǎn)生和裝載 LMK。LMK通常由三個(gè)成分組成，由加密機(jī) 使用單位通過行政手段分派專人管理和維護(hù)，一般由 3 人采用“背對(duì)背”形式進(jìn)行輸入；LMK 在本地是唯一的，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn) 營；且仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；系統(tǒng)中其他交易 節(jié)點(diǎn)沒有關(guān)系。LMK 以密文形式存儲(chǔ)在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文

29、形式出現(xiàn)。第二層密鑰：區(qū)域 / 終端主密鑰 (ZMK/TMK) 第二層密鑰通常稱為密鑰加密密鑰或密鑰交換密鑰( Key-encrypting key 或 Key Exchange Key )。它的作用是加密在通訊線路上需要傳遞的工作密鑰。從而實(shí)現(xiàn)工作密 鑰的自動(dòng)分配。在本地或共享網(wǎng)絡(luò)中。不同的仍；之上；且；當(dāng)下；和；可是；能夠；倆； 見；某公司；運(yùn)營；個(gè)通訊網(wǎng)點(diǎn)或終端設(shè)備使用不同的密鑰加密密鑰，從而實(shí)現(xiàn)密鑰的分 工管理，它在本地存放時(shí)，處于本地主密鑰 LMK 的加密保護(hù)之下或直接保存在硬件加密 機(jī)中。區(qū)域主密鑰 ZMK 用于總行、分行、支行、網(wǎng)點(diǎn)等仍；之上；且；當(dāng)下；和；可是； 能夠；倆；見；

30、某公司；運(yùn)營；個(gè)區(qū)域之間加密傳輸工作密鑰；而終端主密鑰 TMK 用于 銀行系統(tǒng)仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；各種自助終端 或 POS 設(shè)備之間加密傳輸工作密鑰。第三層密鑰：工作密鑰 (ZPK/ZAK/TPK/TAK/PVK)第三層密鑰，通常稱為工作密鑰或數(shù)據(jù)加密密鑰。包括 ZPK、ZAK、TPK、TAK 等密 鑰，它的作用是加密各種不同的業(yè)務(wù)數(shù)據(jù)，從而實(shí)現(xiàn)數(shù)據(jù)的保密，信息的認(rèn)證，以及數(shù)字 簽名的功能，這些數(shù)據(jù)密鑰在本地存放時(shí)，處于本地主密鑰 LMK 的加密保護(hù)之下。ZPK 或 TPK 用于加密仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營； 個(gè)通訊節(jié)點(diǎn)之間

31、需要傳輸?shù)?PIN ，從而實(shí)現(xiàn) PIN 的傳輸、處理的安全性。 ZAK 或 TAK 用 于在仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；個(gè)通訊節(jié)點(diǎn)之間傳 送信息時(shí)，生產(chǎn)和檢驗(yàn)一個(gè)信息認(rèn)證代碼 (MAC) ，從而達(dá)到信息認(rèn)證的目的。除此之外仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；有一些其 它工作密鑰這里不再一一介紹。4.3 PKI 體 系由于傳統(tǒng) HSM 密鑰體系只采用對(duì)稱密鑰機(jī)制來保證金融尤其是銀行敏感數(shù)據(jù)傳輸、 處理以及存儲(chǔ)地安全性，所以仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司； 運(yùn)營；存在以下天生地缺陷：區(qū)域主密鑰和終端主密鑰 (ZMK/TMK)

32、需要人工分發(fā)，導(dǎo)致保密性不強(qiáng)，更換不方便， 造成了整個(gè)系統(tǒng)維護(hù)的效率低下。雖然仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；保證交易傳輸、 處理的安全性，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；無法保 證交易操作的不可抵賴性。對(duì)網(wǎng)點(diǎn)的身份認(rèn)證有一定的難度，同時(shí)很難進(jìn)行高強(qiáng)度的訪問控制特別是網(wǎng)上銀行的安全問題已經(jīng)不能使用對(duì)稱密鑰算法有效解決，同時(shí) EMV2000 中 也包含了對(duì)RSA算法的要求。金融數(shù)據(jù)安全引入 RSA算法為RSA密鑰定義了仍；之上； 且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；種功能：使用數(shù)字簽名和密鑰管理。 因此和對(duì)稱密鑰不同它兼有工作密鑰（

33、數(shù)字簽名）和管理密鑰（保護(hù)對(duì)稱密鑰在通訊雙方 實(shí)現(xiàn)交換）的雙重功能。RSA在本地存放使用LMK保護(hù)或直接保存在加密機(jī)中，通訊雙 方僅僅需要交換公鑰（不必加密），而私鑰僅僅在本地使用不需要分發(fā)。仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；傳統(tǒng)密鑰體系相比， 新密鑰體系引入了 RSA密鑰對(duì)，給第二層密鑰（ZMK/TMK）的分發(fā)和更新提供了一種自動(dòng) 在線的方式，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營；這種自動(dòng) 在線分發(fā)和更新方式，仍；之上；且；當(dāng)下；和；可是；能夠；倆；見；某公司；運(yùn)營； 不排除傳統(tǒng)密鑰體系中的人工背對(duì)背分發(fā)和更新方式。下圖是增加了 RSA密鑰對(duì)（PK

34、、SK）后的密鑰結(jié)構(gòu)：第 五 章 商 業(yè) 銀 行 數(shù) 據(jù) 安 全 解 決 方 案5.1 金 融 業(yè) 務(wù) 系 統(tǒng) 簡 單 模 型 下 數(shù) 據(jù) 安 全金融業(yè)務(wù)交易網(wǎng)絡(luò)是由業(yè)務(wù)終端設(shè)備（柜臺(tái)、 ATM 、POS 等）、存放用戶帳戶信息的 業(yè)務(wù)主機(jī)以及網(wǎng)絡(luò)交易鏈中的中間系統(tǒng)（ ATM 前置、 POS 前置、綜合前置、銀聯(lián)前置、 銀聯(lián)系統(tǒng)、國際卡系統(tǒng)等等） 。為簡單起見我們的討論僅僅考慮一個(gè)中間環(huán)節(jié)的簡單模型。 下面我們以 ATM 、綜合前置和業(yè)務(wù)主機(jī)組成的金融網(wǎng)絡(luò)為例的金融數(shù)據(jù)安全解決方案。5.2 設(shè) 備 部 署在綜合前置機(jī)和業(yè)務(wù)主機(jī)端連接金融數(shù)據(jù)加密機(jī)（這里以 SJL06 加密機(jī)為例）作為本 機(jī)的安全服務(wù)模塊。而 ATM 通常有自己的加密模塊，根據(jù)廠家不同或提供加密密碼鍵盤 或獨(dú)立的安全模塊（這里稱為 TSM ）。5.3 業(yè) 務(wù) 終 端 數(shù) 據(jù) 安 全 功 能業(yè)務(wù)終端將需要將用戶輸入的 PIN 進(jìn)