金融數(shù)據(jù)安全建設(shè)建議書_V01

1、ZZZ科技有限公司文檔名稱XXX公司金融數(shù)據(jù)安全建設(shè)建議書文檔編號XXX公司金融數(shù)據(jù)安全建設(shè)建議書-V0.1文檔類別技術(shù)文檔版本信息V0.1內(nèi)部密級外部密級創(chuàng)建人創(chuàng)建日期修改歷史版本號日期*狀態(tài)修訂人摘要V0.12009-04-08:C創(chuàng)建*狀態(tài)：C -創(chuàng)建 A -增加 M -修改 D -刪除目錄第一章 前言 11.1 概述 . 11.2 商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四個階段 . 11.2.1 未采用專業(yè)技術(shù)的裸奔階段 11.2.2 軟件密碼技術(shù)的使用 21.2.3 硬件密碼設(shè)備的應(yīng)用 21.2.4 金融數(shù)據(jù)安全的完善階段 3第二章 技術(shù)基礎(chǔ)篇 52.1 加密算法分類 . 52.1.1 對稱密

2、鑰算法和非對稱密鑰算法 52.1.2 分組密碼算法和流密碼算法 622關(guān)于3DES!法 62.3 MAC計(jì)算 7第三章 商業(yè)銀行對數(shù)據(jù)安全的基本要求 9第四章 金融數(shù)據(jù)安全密鑰體系 104.1 金卡體系 104.2 RACAL密鑰體系概述 114.3 PKI 體系 12第五章 商業(yè)銀行數(shù)據(jù)安全解決方案 145.1 金融業(yè)務(wù)系統(tǒng)簡單模型下數(shù)據(jù)安全 145.2 設(shè)備部署 145.3 業(yè)務(wù)終端數(shù)據(jù)安全功能 155.4 前置機(jī)系統(tǒng)的數(shù)據(jù)安全 155.5 帳務(wù)主機(jī)的數(shù)據(jù)安全功能 165.6 密鑰的分發(fā) 165.7 業(yè)務(wù)數(shù)據(jù)安全傳輸 . 175.8發(fā)卡中PIN的安全 185.9 聯(lián)盟總體安全結(jié)構(gòu) 195.

3、10 加密機(jī)集群系統(tǒng) 215.10.1 網(wǎng)絡(luò)結(jié)構(gòu)圖 215.10.2 主要功能 225.10.3 部署方式 23256.1 SJL06金融數(shù)據(jù)加密機(jī)技術(shù)說明 256.1.1 各模塊的功能及作用 266.1.2 IC 卡的設(shè)計(jì) 286.1.3 密鑰庫設(shè)計(jì) 29第六章 技術(shù)指標(biāo)6.2 SJL06 金融數(shù)據(jù)加密機(jī)的技術(shù)特點(diǎn) 296.3 SJL06 加密機(jī)的安全措施 30第七章 技術(shù)規(guī)格 327.1 SJL06E加密機(jī)技術(shù)規(guī)格 327.1.1 技術(shù)規(guī)格 327.1.2 工作環(huán)境要求 327.1.3 性能指標(biāo) 337.2 SJL06S加密機(jī)技術(shù)規(guī)格 337.2.1 技術(shù)特點(diǎn) 337.2.2 技術(shù)指標(biāo) 3

4、37.2.3 性能指標(biāo) 347.3 加密機(jī)備件與專用工具清單 34第八章 配置建議 358.1 壓力測試 35服務(wù)器A的集群系統(tǒng)雙機(jī) 35服務(wù)器B集群系統(tǒng)雙機(jī) 378.2 峰值業(yè)務(wù)量估計(jì)及配置建議 388.2.1 聯(lián)盟中心 388.2.2 商行運(yùn)行中心 408.2.3 網(wǎng)點(diǎn) 408.2.4 終端和 ATM 408.2.5 外聯(lián)系統(tǒng) 41第九章 數(shù)據(jù)安全技術(shù)其它討論 429.1 關(guān)于 PINBLOC格式 42常用的PINBLOC格式 429.1.2 安全分析 439.2關(guān)于主機(jī)端PIN存放和校驗(yàn) 449.3 小額本票密押 459.4 舊系統(tǒng)密碼移植 459.5 CVN 移植459.6 分散網(wǎng)點(diǎn)的

5、安全問題 46第十章 安全管理原則4710.1 基本原則 4710.2 密鑰的相關(guān)原則 47第十一章 附件 4811.1 近期工作建議 48第 一 章 前 言1.1 概 述金融電子化的發(fā)展，使得越來越多的貨幣以數(shù)字化的形式在銀行網(wǎng)絡(luò)中流動，而各金 融網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)形成了一張遍布全球的金融服務(wù)網(wǎng)絡(luò)。如何在如此大的業(yè)務(wù)網(wǎng)絡(luò)中 保護(hù)客戶和銀行的利益不受損害將是銀行信息安全的一個核心問題。因?yàn)榻鹑谛袠I(yè)的高風(fēng) 險(xiǎn)特點(diǎn)使得其對安全的要求也格外的苛刻。金融行業(yè)的信息安全問題不但囊括了其他行業(yè)信息安全的全部因素（防病毒、入侵監(jiān) 測、通訊數(shù)據(jù)加密、身份認(rèn)證、災(zāi)難備份等等），同時(shí)金融行業(yè)也有其特殊要求。因?yàn)橛?/p>

6、 戶 PIN 的安全是銀行為用戶負(fù)責(zé)保障用戶合法利益的關(guān)鍵。我國新刑法中關(guān)于取證條款的 修改使得當(dāng)用戶與銀行發(fā)生沖突時(shí)（如用戶資金丟失責(zé)任問題）銀行能夠證明自己為用戶 提供了足夠的安全保護(hù)甚至連銀行內(nèi)部人員也不可能獲得，因此 如何保護(hù)用戶的帳號密碼（PIN）的安全是金融業(yè)務(wù)中最特殊的安全要求。要保證數(shù)據(jù)的安全性（保密性、完整性）最有效的手段是采用加密技術(shù)對數(shù)據(jù)進(jìn)行加密處理。本文討論的數(shù)據(jù)安全主要是指銀行以卡業(yè)務(wù)為代表的用戶以個人密碼（PIN）為身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN ）的安全和交易的安全。1.2 商 業(yè) 銀 行 金 融 數(shù) 據(jù) 安 全 建 設(shè) 中 的 四 個 階 段金融數(shù)據(jù)安

7、全技術(shù)的發(fā)展也是隨著金融業(yè)務(wù)的發(fā)展而發(fā)展起來的。這里將銀行數(shù)據(jù)安 全劃為四個階段是代表金融數(shù)據(jù)安全從無到有從弱到強(qiáng)的一個過程。同時(shí)，在很多銀行因 為業(yè)務(wù)系統(tǒng)眾多建設(shè)時(shí)間前后不一等原因使四個階段描述的狀態(tài)可能都存在。1.2.1 未 采用 專 業(yè)技 術(shù)的 裸奔階段在金融電子劃的初始階段，銀行的主要目標(biāo)是建立和發(fā)展銀行業(yè)務(wù)網(wǎng)絡(luò)。由于觀念、 技術(shù)、時(shí)間、資金等方面的原因沒有或較少使用密碼技術(shù)對業(yè)務(wù)信息進(jìn)行安全保護(hù)。 此時(shí)， 在金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中存在大量的 PIN 明文且對于數(shù)據(jù)信息的完整性和有效性也常不進(jìn) 行校驗(yàn)，其安全性僅僅依靠網(wǎng)絡(luò)系統(tǒng)的物理安全性和操作系統(tǒng)本身的安全性來保證，而很 少采用專業(yè)技術(shù)

8、。這樣的系統(tǒng)無論從金融系統(tǒng)內(nèi)部還是外部都可以非常容易獲取交易中的機(jī)密信息并發(fā)起 攻擊行為，銀行和銀行客戶的資產(chǎn)面臨巨大風(fēng)險(xiǎn)。1.2.2 軟 件密 碼 技術(shù) 的使 用隨著銀行卡應(yīng)用的普及、金融網(wǎng)絡(luò)的不斷擴(kuò)大，數(shù)據(jù)在傳輸過程中的安全性得到了一 定重視，在各種應(yīng)用系統(tǒng)中使用軟件對交易信息進(jìn)行加密和完整性運(yùn)算的方法得到廣泛使 用。此時(shí)大家認(rèn)為在銀行外流動的信息是不安全的，而忽略了信息在銀行內(nèi)部的安全。但 是金融犯罪實(shí)際上有 80%以上來自內(nèi)部，特別是隨著金融機(jī)構(gòu)本身以及為金融機(jī)構(gòu)服務(wù)的 公司人員流動的加快，這種不安全性越來越明顯。概括來說使用軟件加密技術(shù)存在以下不 足：軟件的運(yùn)行要占用主機(jī)資源，并且軟

9、件的處理速度較慢軟件運(yùn)作時(shí)很多重要的資料（如用來做密碼運(yùn)算的密鑰，或顧客的 PIN）都會在某時(shí)間 清晰的出現(xiàn)于計(jì)算機(jī)的記憶或磁盤上，而對計(jì)算機(jī)數(shù)據(jù)安全有一定研究的不法分子便有機(jī) 會把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。軟件不能提供一種有效的機(jī)制保護(hù)密鑰的存儲安全密鑰一旦被人盜取，則客戶密碼 PIN也就無安全可言，因而國際銀行卡組織（VISA、 萬事達(dá)）和我國銀聯(lián)中心均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。并且根據(jù) 我國有關(guān)法規(guī)，不能使用進(jìn)口涉密產(chǎn)品。1.2.3 硬 件密 碼 設(shè)備 的應(yīng) 用為了解決軟件加密在安全上的不足，產(chǎn)生了專門解決金融業(yè)務(wù)數(shù)據(jù)安全的硬件加密設(shè)備。國外將其稱為

10、HSM（主機(jī)安全模塊），國內(nèi)稱為金融數(shù)據(jù)加密機(jī)或金融數(shù)據(jù)加密機(jī)。在我國金融數(shù)據(jù)加密機(jī)的大量使用是隨金卡工程實(shí)施開始的。金卡中心（銀聯(lián)）對于聯(lián) 網(wǎng)交易在關(guān)鍵信息保密性、信息的完整性和密鑰交換管理等方面都一一規(guī)定，使得金卡交易 的安全性在一定范圍得到了保證。 但是多數(shù)銀行是迫于銀聯(lián)的要求并且因?yàn)槁?lián)網(wǎng)工作時(shí)間緊 迫等原因僅僅在與金卡中心的接口業(yè)務(wù)中使用了硬件密碼設(shè)備而在其它地方依然是使用軟 件加密甚至還使用 PIN 明文傳輸?shù)那闆r。 這些問題的存在實(shí)際上使得使用硬件加密設(shè)備的作 用打了折扣，這有一點(diǎn)象安裝了高級防盜門的房子有一個虛掩的窗戶一樣。但這是一個好的 開端，很多銀行在次過程中認(rèn)識到了現(xiàn)有系統(tǒng)

11、在銀行卡業(yè)務(wù)中安全方面的種種不足并開始對 它的完善做準(zhǔn)備。1.2.4 金 融數(shù) 據(jù) 安全 的完 善階段對現(xiàn)有系統(tǒng)進(jìn)行完善使得用戶 PIN 不能被任何人（包括銀行內(nèi)部人員）獲取或非法使 用，為用戶提供一個安全的銀行卡使用環(huán)境將是金融機(jī)構(gòu)今后工作的一個重點(diǎn)。在當(dāng)前各 個商業(yè)銀行在建立完善自己的數(shù)據(jù)安全體系方面主要關(guān)注以下幾個方面：制定應(yīng)用安全規(guī)范應(yīng)用系統(tǒng)的建設(shè)必須遵循本行安全規(guī)范，全行應(yīng)用系統(tǒng)安全改造計(jì)劃及實(shí)施方案的制 定設(shè)立安全崗位、完善管理制度：將密鑰、口令、密碼設(shè)備等管理和工作流程制度化。建設(shè)本行數(shù)據(jù)安全服務(wù)平臺 將應(yīng)用開發(fā)、安全開發(fā)、安全管理分離。本文討論的數(shù)據(jù)安全是指銀行以卡業(yè)務(wù)為代表的

12、用戶以個人密碼（PIN）為身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN）和交易的安全。一個完善的數(shù)據(jù)安全系統(tǒng)應(yīng)該符合以下 要求：“用戶 PIN 在銀行業(yè)務(wù)系統(tǒng)中永遠(yuǎn)不以明文形式出現(xiàn)在硬件安全模塊以外 ”，這是 保證用戶 PIN 安全的第一步。密碼設(shè)備使用安全密碼設(shè)備本身設(shè)計(jì)或使用不當(dāng)可能會成為他人對密文信息攻擊的工具，因而必須采取 措施保證任何人未經(jīng)授權(quán)不能利用密碼設(shè)備對保密信息進(jìn)行攻擊。密鑰管理安全對稱密鑰算法安全的關(guān)鍵在于密鑰的安全，對于使用公開的商業(yè)密碼算法的系統(tǒng)任何 人獲得密鑰都可以對相關(guān)信息進(jìn)行解密、篡改、偽造。因而要保證 PIN 在金融網(wǎng)絡(luò)系統(tǒng)中 不能被任何人獲得就必須首先保證系統(tǒng)中使

13、用的相關(guān)密鑰不能被任何人獲得。管理安全對一個系統(tǒng)安全的評估不能建立在對一個群體信任的基礎(chǔ)之上（包括內(nèi)部人員、系統(tǒng) 開發(fā)商、設(shè)備供應(yīng)商），相關(guān)安全的責(zé)任人必須明確并且可控、可審記，對于關(guān)鍵安全要 素必須由多人共同掌管避免風(fēng)險(xiǎn)集中。第二章技術(shù)基礎(chǔ)篇2.1加密算法分類對稱密鑰算法和非對稱密鑰算法對稱密鑰算法是指對數(shù)據(jù)的加密和解密過程使用同一把密鑰（如下圖所示）。代表算 法有DES IDEA、AES等，其中DES是當(dāng)前公開算法中使用最為廣泛的算法。非對稱密鑰算法（又稱公開密鑰算法）是指加密和解密使用的密鑰不同，雖然兩個密 鑰有必然的聯(lián)系但是不能夠從加密密鑰得到解密密鑰，這樣就可以將加密密鑰公開（不需

14、要保密）。通常將加密密鑰稱為公開密鑰（或公鑰）將解密密鑰稱為私有密鑰（或私鑰） 如下圖所示：公開密鑰非對稱密鑰算法相對對稱密鑰算法的優(yōu)勢就在于加密密鑰可以公開，這樣就方便了密 鑰的分發(fā)。又因?yàn)樗借€只有信息的接收方才有，反向如果使用私鑰對數(shù)據(jù)加密雖然數(shù)據(jù)的 保密性不能保證但是數(shù)據(jù)的接收方可以判斷該數(shù)據(jù)是私鑰所有者發(fā)送。當(dāng)前的CA及數(shù)字簽名正是利用了公開密鑰算法的這一特性實(shí)現(xiàn)信息的不可抵賴性。當(dāng)前主要的公開密鑰算 法是RSA算法。但是當(dāng)前的公開密鑰算法處理速度要比對稱密鑰算法慢很多，并且公開密鑰算法密鑰 的產(chǎn)生非常復(fù)雜必須使用專門工具而不象對稱密鑰隨機(jī)一個數(shù)字就可以作為密鑰使用。因 而通常將公開密

15、鑰用在身份認(rèn)證和對稱密鑰的交換上，而大量的數(shù)據(jù)加密還使用對稱密鑰 算法。分組密碼算法和流密碼算法如果從加密方式來區(qū)分算法又可以分為分組密碼算法和流密碼算法。分組密碼算法每 次對固定長度的信息進(jìn)行加密，因而在加密數(shù)據(jù)前需要將數(shù)據(jù)分為等長的若干組，一組一 組進(jìn)行加密計(jì)算。分組算法的密鑰長度也是一定的，因此對一個分組密碼算法最重要的兩 個概念是密鑰長度和分組長度。流密碼算法是產(chǎn)生一個密鑰流和被加密的數(shù)據(jù)按位（bit）異或計(jì)算，而沒有密鑰長度和分組長度的概念。流密碼算法的技術(shù)核心是密鑰流的產(chǎn)生和 同步技術(shù)。因?yàn)樵O(shè)計(jì)一個好的流密碼算法對技術(shù)要求非常高同時(shí)實(shí)施成本也很高，所以我們通常 商用密碼大部分都是分

16、組密碼，對安全要求更高的普密核密使用流密碼技術(shù)較多。我們常 用的DES算法就是一個64分組的分組算法。2.2關(guān)于3DES算法DES算法是當(dāng)前使用最為廣泛的加密算法，在金融數(shù)據(jù)安全領(lǐng)域基本全部也是使用的DES算法。因?yàn)槠涿荑€長度太?。―ES密鑰長度是64bits其中只有56bits有效位）其安 全性在當(dāng)前的計(jì)算技術(shù)能力情況下已經(jīng)不能滿足各方面安全的需要，但是使用新的算法有 存在兼容性，因此人們提出了 3-DES的替代方案。我國金融行業(yè)是從 2002年開始在金融 行業(yè)使用3-DES替代DES算法工作的。3DES算法加密數(shù)據(jù)說明3-DES加密算法實(shí)際上是使用兩個或三個密鑰密鑰對一個數(shù)據(jù)分組進(jìn)行三次D

17、ES運(yùn)算因?yàn)閺臄?shù)學(xué)上人們證明了 DES算法的是不成群的，因此通過增加通過該方法可以有效提高 算法的安全強(qiáng)度。下面說明3DES算法的兼容性問題。以雙倍長密鑰（128bits ）為例，我們將前半部分稱為 KEY1后半部分稱為KEY2其計(jì)算過程如下圖所示:加密過程64皿明文KEYKEY1DES(EiuctypticiTi)y*DE2(Deciyphon-KEY2JDES(Encryption)-KEY164 b也密文解密過程64 密袁 +KEYDES(Deciyptia 町KEY1DES (Encryptioii)KEY2IDES (DaciypticnJwKEY1r64 bih明文這樣當(dāng)KEY仁K

18、EY時(shí)就相當(dāng)KEY1進(jìn)行DES計(jì)算了。同樣三倍長（192bits ）算法分為KEY1 KEY2 KEY3依次使用，KEY仁KEY時(shí)兼容雙倍長密鑰 KEY1=KEY2=KEY3兼容單倍 長DES算法了。2.3 MAC計(jì)算ANSI X9.19定義了使用雙倍長密鑰計(jì)算 MAC勺方法,它完全兼容ANSIX9.9的單DESMAC計(jì)算方法。ANSIX9.19標(biāo)準(zhǔn)使用MAC雙倍長密鑰前半部分對 MAC數(shù)據(jù)按X9.9計(jì)算,然后使 用MAC密鑰后半部分對結(jié)果解密計(jì)算,再用前半部分加密得到MACS。算法如下圖所示：我國銀聯(lián)定義的算法和 ANSI X9.19不同，它是對每一個分組進(jìn)行 3DES計(jì)算當(dāng)然它也 是兼容單

19、DES MA計(jì)算的，但是處理工作量要比 ANSI X9.19大一些。第 三 章 商 業(yè) 銀 行 對 數(shù) 據(jù) 安 全 的 基 本 要 求金融行業(yè)業(yè)務(wù)系統(tǒng)對數(shù)據(jù)安全的主要要求包括以下三點(diǎn)：關(guān)鍵信息（PIN）的保密性對于銀行卡業(yè)務(wù)，用戶密碼（PIN）是用戶身份認(rèn)證的關(guān)鍵信息，PIN的泄露會使得它 人假冒持卡人進(jìn)行取現(xiàn)、消費(fèi)、轉(zhuǎn)帳等業(yè)務(wù)將對持卡人的利益造成難以估計(jì)的損失。對于 PIN的安全一方面用戶自己必須防止 PIN的泄露，而對于銀行更要保證用戶PIN在金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全。對 PIN 的保密性包括 PIN 的產(chǎn)生、存儲、傳輸、更改、校驗(yàn)等過程 中不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用。

20、換句話說應(yīng)該是除了持卡人任何 人都無法得到 PIN 的明文。數(shù)據(jù)的完整性數(shù)據(jù)的完整性是確保信息由產(chǎn)生至接收的途中沒有被意外或人為修改。例如銀行發(fā)出 一個指令給柜員機(jī) , 內(nèi)容為允許付款若干金額 , 可是此信息在途中出現(xiàn)問題 , 令金額數(shù)值 改變。雖然銀行本身并不知情 , 但此失誤卻直接影響銀行及持卡人的結(jié)帳數(shù)目；或者用戶 在使用自助設(shè)備完成轉(zhuǎn)帳時(shí)攻擊者修改了轉(zhuǎn)入帳號這樣攻擊者就可以在不知道持卡人 PIN 的情況下盜取資金。來源的可信性來源的可信性是為了防止攻擊者假冒合法業(yè)務(wù)終端（如銀行ATM CDM向銀行業(yè)務(wù)系統(tǒng)發(fā)送假冒交易或者假冒銀行主機(jī)系統(tǒng)應(yīng)答業(yè)務(wù)終端的業(yè)務(wù)請求從而給銀行或合法用戶 造成損

21、失。除此之外在一些業(yè)務(wù)系統(tǒng)中也要求對數(shù)據(jù)進(jìn)行傳輸加密這相對PIN安全要求要簡單很多，因此在本文不再討論。第四章金融數(shù)據(jù)安全密鑰體系在基于密碼技術(shù)的安全系統(tǒng)中密鑰管理是最為重要的一個方面。我們需要對密鑰的產(chǎn) 生、分配、貯存、轉(zhuǎn)換、分工和分層等制定一套方案。不同加密機(jī)生產(chǎn)廠商可能提供不同 的密鑰管理體系。當(dāng)前國內(nèi)金融行業(yè)存在多種密鑰體系，其中使用最廣泛的是RACA密鑰體系。該體系因?yàn)槭侨蜃畲蟮慕鹑跀?shù)據(jù)加密機(jī)提供商RACAL創(chuàng)建而得名。金卡體系為銀聯(lián)所建立，多應(yīng)用于銀聯(lián)聯(lián)網(wǎng)系統(tǒng)，兩種結(jié)構(gòu)沒有本質(zhì)上的區(qū)別。4.1金卡體系(用干FOE絡(luò)淸)信鼎完璋性歸PIN杲護(hù)密鈣其中：MAK和PIK統(tǒng)稱工作密鑰；M

22、AK密鑰用于對組成數(shù)據(jù)包的關(guān)鍵欄位進(jìn)行 MAC運(yùn)算(ANSI X9.9)，生成MAC(信息 完整性校驗(yàn)碼)；PIK密鑰用于對用戶個人密碼進(jìn)行 PIN運(yùn)算(ANSI X9.8 )，生成傳輸數(shù)據(jù)包中的 PIN 密文；工作密鑰以由中心統(tǒng)一生成，以數(shù)據(jù)格式中的ResetKey交易指令進(jìn)行密鑰分發(fā)；工作密鑰以密文形式保存，由應(yīng)用系統(tǒng)直接調(diào)用;BM 銀行主密鑰:為確保工作密鑰的安全，在 SJL06 T主機(jī)加密模塊中，提供了 BMK（銀行主密鑰）對 工作密鑰進(jìn)行加密保護(hù)；BMK由兩個成分（32位十六進(jìn)制數(shù)）組成，由中心和網(wǎng)點(diǎn)各出一份，采用“背對背” 形式進(jìn)行輸入；BMK以密文存儲在中心和網(wǎng)點(diǎn)的主機(jī)加密模塊（

23、中心和網(wǎng)點(diǎn)的BMK為一一對應(yīng)關(guān)系）中，通過索引號進(jìn)行調(diào)用，永遠(yuǎn)不以明文形式出現(xiàn)；MK加密機(jī)主密鑰：在SJL06T主機(jī)加密模塊中采用 MK（加密機(jī)主密鑰）對BMK4行加密保護(hù)；MK由三個成分（32位十六進(jìn)制數(shù)）組成，由加密機(jī)使用單位通過行政手段分派專人管 理和維護(hù)，一般由23人采用“背對背”形式進(jìn)行輸入；MK以密文形式存儲在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文形式出現(xiàn)。4.2 RACAL密鑰體系概述在傳統(tǒng)金融業(yè)務(wù)中數(shù)據(jù)安全全部使用對稱密鑰算法實(shí)現(xiàn)，RACAL定義了如下的三層密鑰管理體系：第一層密鑰：本地主密鑰（LMK）本地主密鑰（Local Master Key - LMK ）存放在加密機(jī)內(nèi)的，由三個

24、成分組合生成， 是整個安全體系中的最高層密鑰。LMK不會出現(xiàn)在加密機(jī)以外的地方，它采用雙倍標(biāo)準(zhǔn)對稱密鑰(長 128 位)實(shí)現(xiàn)三重?cái)?shù)據(jù)加密。 所有的密鑰和加密數(shù)據(jù)存放在本地時(shí)都必須經(jīng) LMK 進(jìn)行加密。加密機(jī)投入運(yùn)行時(shí)，必須先產(chǎn)生和裝載 LMK LMK通常由三個成分組成，由加密機(jī)使用 單位通過行政手段分派專人管理和維護(hù)，一般由 3 人采用“背對背”形式進(jìn)行輸入；LMK在本地是唯一的，并且與系統(tǒng)中其他交易節(jié)點(diǎn)沒有關(guān)系。LMK以密文形式存儲在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文形式出現(xiàn)。第二層密鑰：區(qū)域 /終端主密鑰 (ZMK/TMK) 第二層密鑰通常稱為密鑰加密密鑰或密鑰交換密鑰( Key-encryp

25、ting key 或 KeyExcha nge Key)。它的作用是加密在通訊線路上需要傳遞的工作密鑰。從而實(shí)現(xiàn)工作密鑰 的自動分配。在本地或共享網(wǎng)絡(luò)中。不同的兩個通訊網(wǎng)點(diǎn)或終端設(shè)備使用不同的密鑰加密 密鑰，從而實(shí)現(xiàn)密鑰的分工管理，它在本地存放時(shí)，處于本地主密鑰LMK的加密保護(hù)之下或直接保存在硬件加密機(jī)中。區(qū)域主密鑰ZMK用于總行、分行、支行、網(wǎng)點(diǎn)等兩個區(qū)域之間加密傳輸工作密鑰；而 終端主密鑰TMK用于銀行系統(tǒng)與各種自助終端或 POS設(shè)備之間加密傳輸工作密鑰。第三層密鑰：工作密鑰 (ZPK/ZAK/TPK/TAK/PVK)第三層密鑰，通常稱為工作密鑰或數(shù)據(jù)加密密鑰。包括ZPK ZAK TPK

26、TAK等密鑰，它的作用是加密各種不同的業(yè)務(wù)數(shù)據(jù)，從而實(shí)現(xiàn)數(shù)據(jù)的保密，信息的認(rèn)證，以及數(shù)字簽名 的功能，這些數(shù)據(jù)密鑰在本地存放時(shí)，處于本地主密鑰LMK的加密保護(hù)之下。ZPK或 TPK用于加密兩個通訊節(jié)點(diǎn)之間需要傳輸?shù)?PIN,從而實(shí)現(xiàn)PIN的傳輸、處理的 安全性。ZAK或 TAK用于在兩個通訊節(jié)點(diǎn)之間傳送信息時(shí)，生產(chǎn)和檢驗(yàn)一個信息認(rèn)證代碼 (MAC),從而達(dá)到信息認(rèn)證的目的。除此之外還有一些其它工作密鑰這里不再一一介紹。4.3 PKI 體 系由于傳統(tǒng)HSM鑰體系只采用對稱密鑰機(jī)制來保證金融尤其是銀行敏感數(shù)據(jù)傳輸、處 理以及存儲地安全性，所以還存在以下天生地缺陷：區(qū)域主密鑰和終端主密鑰（ZMK/T

27、MK需要人工分發(fā)，導(dǎo)致保密性不強(qiáng)，更換不方便，造 成了整個系統(tǒng)維護(hù)的效率低下。雖然可以保證交易傳輸、處理的安全性，但是無法保證交易操作的不可抵賴性。對網(wǎng)點(diǎn)的身份認(rèn)證有一定的難度，同時(shí)很難進(jìn)行高強(qiáng)度的訪問控制。特別是網(wǎng)上銀行的安全問題已經(jīng)不能使用對稱密鑰算法有效解決，同時(shí)EMV200C中也包含了對RSA算法的要求。金融數(shù)據(jù)安全引入 RSA算法為RSA密鑰定義了兩種功能：使用 數(shù)字簽名和密鑰管理。因此和對稱密鑰不同它兼有工作密鑰（數(shù)字簽名）和管理密鑰（保 護(hù)對稱密鑰在通訊雙方實(shí)現(xiàn)交換）的雙重功能。RSA在本地存放使用LMK呆護(hù)或直接保存在加密機(jī)中，通訊雙方僅僅需要交換公鑰（不必加密），而私鑰僅僅在

28、本地使用不需要分 發(fā)。與傳統(tǒng)密鑰體系相比，新密鑰體系引入了 RSA密鑰對，給第二層密鑰（ZMK/TMK的分發(fā) 和更新提供了一種自動在線的方式，但是這種自動在線分發(fā)和更新方式，并不排除傳統(tǒng)密 鑰體系中的人工背對背分發(fā)和更新方式。下圖是增加了 RSA密鑰對（PK SK后的密鑰結(jié)構(gòu)：車地主密饗傳輸密鑰工作密鑰第五章 商業(yè)銀行數(shù)據(jù)安全解決方案5.1金融業(yè)務(wù)系統(tǒng)簡單模型下數(shù)據(jù)安全金融業(yè)務(wù)交易網(wǎng)絡(luò)是由業(yè)務(wù)終端設(shè)備（柜臺、ATM POS等）、存放用戶帳戶信息的業(yè)務(wù)主機(jī)以及網(wǎng)絡(luò)交易鏈中的中間系統(tǒng)（ATM前置、POSt置、綜合前置、銀聯(lián)前置、銀聯(lián) 系統(tǒng)、國際卡系統(tǒng)等等）。為簡單起見我們的討論僅僅考慮一個中間環(huán)節(jié)

29、的簡單模型。下 面我們以ATM綜合前置和業(yè)務(wù)主機(jī)組成的金融網(wǎng)絡(luò)為例的金融數(shù)據(jù)安全解決方案。5.2設(shè)備部署SJLO6SJLO6TSN1 AIMAIM在綜合前置機(jī)和業(yè)務(wù)主機(jī)端連接金融數(shù)據(jù)加密機(jī)（這里以SJL06加密機(jī)為例）作為本機(jī)的安全服務(wù)模塊。而 ATM通常有自己的加密模塊，根據(jù)廠家不同或提供加密密碼鍵盤或 獨(dú)立的安全模塊（這里稱為TSM o5.3 業(yè) 務(wù) 終 端 數(shù) 據(jù) 安 全 功 能業(yè)務(wù)終端將需要將用戶輸入的 PIN 進(jìn)行加密然后送到上級業(yè)務(wù)節(jié)點(diǎn)（通常是其對應(yīng)的 前置機(jī)），還要對業(yè)務(wù)數(shù)據(jù)計(jì)算 MAC呆證交易的完整性。終端設(shè)備的加密模塊需要具有以 下功能：按照各種PIN標(biāo)準(zhǔn)格式對PIN進(jìn)行加密

30、；按照各種規(guī)范進(jìn)行MAC計(jì)算功能；具有密鑰呆存功能，呆證密鑰安全；密鑰的安全更換功能呆證能夠和上級節(jié)點(diǎn)實(shí)時(shí)更新密鑰。為了保證客戶在業(yè)務(wù)終端上輸入個人密碼時(shí)PIN的安全，可以使用加密密碼鍵盤替代普通密碼鍵盤。當(dāng)客戶輸入密碼后，加密密碼鍵盤對 PIN 進(jìn)行加密處理，輸出一個密文值 到支行前置機(jī)。同時(shí)為了更有效的保證客戶PIN的安全，要求相同的PIN值其密文應(yīng)該不同。同時(shí)加密密碼鍵盤應(yīng)該可以支持應(yīng)用的 MAC計(jì)算調(diào)用，終端的業(yè)務(wù)系統(tǒng)可以調(diào)用它來 完成MAC勺計(jì)算5.4 前 置 機(jī) 系 統(tǒng) 的 數(shù) 據(jù) 安 全現(xiàn)在的銀行前置系統(tǒng)很多分類和叫法也不盡相同如ATMP POSP銀聯(lián)前置、總行前置以及各種各樣的

31、外聯(lián)前置等等。總之除了業(yè)務(wù)終端和銀行帳務(wù)主機(jī)之外的系統(tǒng)統(tǒng)統(tǒng)稱為前 置系統(tǒng)。前置系統(tǒng)的加密機(jī)主要功能包括密鑰分發(fā)向其他通訊方分發(fā)密鑰（如終端）或接受其他方分發(fā)的密鑰（如帳務(wù)主機(jī)或上級前置系統(tǒng)）；按照各種規(guī)范進(jìn)行MA（計(jì)算和MAC校驗(yàn)功能；PIN 密文轉(zhuǎn)換功能；本地密鑰的管理；前置系統(tǒng)作為不同系統(tǒng)間的連接系統(tǒng)在安全上和業(yè)務(wù)上一樣需要進(jìn)行安全的屏蔽和轉(zhuǎn) 換。如PIN轉(zhuǎn)換，它需要在不同系統(tǒng)間轉(zhuǎn)換各種安全要求，包括不同密鑰的轉(zhuǎn)換、不同PIN格式（PIN格式說明見本文后面內(nèi)容）的轉(zhuǎn)換、不同算法的轉(zhuǎn)換等等，這些轉(zhuǎn)換都需要在 加密機(jī)內(nèi)部完成，所謂的加解密都是在加密機(jī)內(nèi)部完成，而在加密機(jī)外部是不應(yīng)該出現(xiàn) PIN

32、 明文的。5.5帳務(wù)主機(jī)的數(shù)據(jù)安全功能在業(yè)務(wù)的帳務(wù)主機(jī)，和其他不同的是需要對用戶PIN進(jìn)行校驗(yàn)。在帳務(wù)主機(jī)的數(shù)據(jù)庫中存放用戶PIN的密文值信息（關(guān)于PIN加密方式見本文后面有關(guān)內(nèi)容）。帳務(wù)主機(jī)需要 將其它業(yè)務(wù)系統(tǒng)交易報(bào)文中送來的用戶輸入的PIN和數(shù)據(jù)庫中的PIN進(jìn)行比較校驗(yàn)其是否相同從而判定客戶身份是否合法。該校驗(yàn)應(yīng)該是將其它系統(tǒng)送來的PIN密文和本地?cái)?shù)據(jù)庫中的PIN密文一起送入加密機(jī)，在加密機(jī)內(nèi)部完成PIN的解密和加密等過程從而判定兩者是否相同。帳務(wù)主機(jī)系統(tǒng)可能還需要為客戶預(yù)先產(chǎn)生初始PIN的功能，該P(yáng)IN的產(chǎn)生也需要調(diào)用加密機(jī)隨機(jī)產(chǎn)生。5.6密鑰的分發(fā)密鑰分發(fā)的目的首先是在通訊雙方分別共享

33、相同的密鑰交換密鑰（ZMK/TMK，以便工作密鑰的安全傳輸。然后便后可定時(shí)生成工作密鑰進(jìn)行加密下傳，從而保證通訊的雙方具 有相同的工作密鑰。下圖以 ATM綜合業(yè)務(wù)前置機(jī)和中心業(yè)務(wù)主機(jī)間密鑰的分配為例：ATM綜合前琶機(jī)SJL06業(yè)務(wù)主機(jī)ZMK勺分發(fā)ZMK勺分發(fā)最常用的方式是通訊雙方各定一個密鑰管理人員，每個人各寫一個密鑰成 分，然后兩人到通訊的一方同時(shí)將密鑰成分輸入加密機(jī)，在加密機(jī)內(nèi)部合成密鑰。對于距 離較遠(yuǎn)的情況也可以采用信函等方式（VISA、MASTERCARDS員行就采取該方法）交換密 鑰，但是一個人員不能同時(shí)知道兩各密鑰成分。為了安全期間兩密鑰成分最好不要同時(shí)以 相同的方式傳送。工作密鑰

34、的分發(fā)ZPK TPK ZAK TAK等工作密鑰的分發(fā)通常是由業(yè)務(wù)系統(tǒng)自動完成。通常通訊的一方 向另一方發(fā)送密鑰申請交易（如：每次開機(jī)簽到時(shí)申請）。通常是以ATM向前置申請，前置向主機(jī)這樣下級向上級申請。上級調(diào)用本地加密機(jī)隨機(jī)生成工作密鑰使用對應(yīng)的TMK或ZMK俞出，并發(fā)送到密鑰申請方。5.7業(yè)務(wù)數(shù)據(jù)安全傳輸ATM綜合前置機(jī)SJL06業(yè)務(wù)主機(jī)SJLIX?數(shù)據(jù)安全傳輸是要保證傳輸數(shù)據(jù)的保密性及完整性。用工作密鑰對重要的傳輸數(shù)據(jù)進(jìn) 行加密保護(hù)，對所有傳輸數(shù)據(jù)（全部或部分）作MAC運(yùn)算保證數(shù)據(jù)的完整性。上圖是一交易處理流程例圖，其說明如下：ATM將PIN明文送入TSM加密機(jī)；TSM將PIK1加密下的P

35、IN返回ATM（對于加密密碼鍵盤，ATM得到的直接就是PIN密文）ATM調(diào)用TSM完成MAC的產(chǎn)生后將交易報(bào)文發(fā)送前置機(jī);前置機(jī)首先調(diào)用SJL06完成交易MA（校驗(yàn)，然后將ATM送到的PIN密文，該終端對應(yīng) 的TPK和主機(jī)對應(yīng)的ZPK以及TPK加密下的PIN送入SJL06加密機(jī)；SJL06加密機(jī)將客戶PIN在加密機(jī)內(nèi)部轉(zhuǎn)換成用ZPK加密保護(hù)返回前置機(jī)，如果需要 加密機(jī)還將完成PIN BLOCK的轉(zhuǎn)換；前置機(jī)調(diào)用SJL06完成和主機(jī)通訊報(bào)文的MAC勺產(chǎn)生后，將新的交易報(bào)文發(fā)送業(yè)務(wù)主 機(jī)；業(yè)務(wù)主機(jī)主機(jī)首先調(diào)用本地加密機(jī)完成交易MA（校驗(yàn)，然后將前置機(jī)送到的PIN密文、前置對應(yīng)的ZPK以及本地?cái)?shù)據(jù)庫

36、中存放的PIN密文及相關(guān)密鑰等信息送到本地加密機(jī)；業(yè)務(wù)主機(jī)加密機(jī)完成PIN校驗(yàn)后將結(jié)果返回業(yè)務(wù)主機(jī)。業(yè)務(wù)的返回過程中與此相似本文不在說明。5.8 發(fā) 卡 中 PIN 的 安 全在5.1中提到業(yè)務(wù)主機(jī)存放的PIN密文。用戶PIN最初產(chǎn)生通常有三種方式：用戶卡初始沒有PIN，用戶開卡時(shí)在柜臺等地方直接輸入 PIN，其PIN的安全和5.1類 似，僅在主機(jī)端沒有 PIN 校驗(yàn)而是保存用戶設(shè)定的 PIN 密文。發(fā)卡時(shí)銀行為客戶統(tǒng)一設(shè)定一個簡單的 PIN （如 111111、000000等）然后由客戶修改。 該方式如果客戶沒有及時(shí)修改 PIN 將會有較大風(fēng)險(xiǎn)。為用戶隨機(jī)設(shè)定一個PIN并打印密碼信封安全的交

37、給客戶。對于第三種方式為了保證客戶 PIN的安全，客戶密碼信封打印機(jī)應(yīng)由加密機(jī)直接驅(qū)動。 如下圖所示：發(fā)卡服務(wù)器一方面與發(fā)卡機(jī)連接完成卡片的客戶化（寫磁、打卡、印字等），另一方 面與加密機(jī)連接完成客戶初始 PIN的產(chǎn)生、密碼信封打印等工作）。發(fā)卡服務(wù)器可以調(diào)用加密機(jī)隨機(jī)產(chǎn)生用戶PIN，加密機(jī)返回服務(wù)器PIN的密文，而PIN明文直接通過和加密機(jī)連接的打印機(jī)完成打印。然后將PIN密文送到業(yè)務(wù)主機(jī)。在實(shí)際應(yīng)用中，客戶可能將密碼信封打印工作單獨(dú)拿出來，而是由主機(jī)產(chǎn)生PIN，然后將相關(guān)客戶信息和PIN密文打包發(fā)送到密碼信封打印系統(tǒng)，密碼信封打印系統(tǒng)將PIN密文和其它需要打印的信息（如卡號、客戶姓名等）發(fā)

38、送到加密機(jī)，加密機(jī)將PIN解密后送到打印機(jī)進(jìn)行打印。打印機(jī)是一臺具有異步接口的針式打印機(jī)，并且該打印機(jī)不允許安裝色帶。從而保證 PIN明文不會在業(yè)務(wù)系統(tǒng)和業(yè)務(wù)網(wǎng)絡(luò)中出現(xiàn)。僅僅在打印連接線和密封的密碼信封中存在 PIN明文。5.9聯(lián)盟總體安全結(jié)構(gòu)下圖是XXX公司基于金融數(shù)據(jù)加密機(jī)進(jìn)行數(shù)據(jù)安全建設(shè)后的結(jié)構(gòu)圖：渠道/外圍系統(tǒng)外聯(lián)系統(tǒng)聯(lián)盟中心匚人民銀行銀聯(lián)銀聯(lián)加密機(jī)集群電話銀行人民銀行 1 /商行運(yùn)行中心N30商行ESB短信通移動公司中間業(yè)務(wù)前置N40商行Web Teller系統(tǒng)信貸管理系統(tǒng)國際結(jié)算系統(tǒng)ATM前置N41Web Teller前端IN50網(wǎng)點(diǎn)字符 前端系統(tǒng)N51字符前端ZL加密機(jī)集群打印機(jī)

39、| 讀卡器| |密碼鍵盤| 其他 !I系統(tǒng)部署方案如下：核心業(yè)務(wù)系統(tǒng)在聯(lián)盟運(yùn)行中心部署，采用統(tǒng)一應(yīng)用、單一數(shù)據(jù)庫的模式。在聯(lián)盟和城商行部署ESB（企業(yè)服務(wù)總線）：聯(lián)盟ESB連接未來聯(lián)盟統(tǒng)一接入的渠道 和外圍系統(tǒng)，如銀聯(lián)、柜面通等；城商行 ESB連接各城商行的渠道和外圍系統(tǒng)，如 ATM前 置、中間業(yè)務(wù)等。在各網(wǎng)點(diǎn)部署字符前端服務(wù)器，并與終端端和其他外設(shè)進(jìn)行連接。未來建設(shè)的Web Teller （圖形界面的前端）服務(wù)器將部署在城商行運(yùn)行中心，網(wǎng)點(diǎn)的 圖形終端通過瀏覽器的方式進(jìn)行連接。聯(lián)盟的運(yùn)行中心作為一個特殊的營業(yè)機(jī)構(gòu)，也需要部署WEB Teller 和字符終端系統(tǒng)另外，如果未來聯(lián)盟建設(shè)統(tǒng)一的外圍

40、系統(tǒng)，如網(wǎng)上銀行、電話銀行等，則也需要通過 聯(lián)盟的ESB進(jìn)行連接。根據(jù)聯(lián)盟的整體機(jī)構(gòu)，我們在聯(lián)盟中心內(nèi)部部署一套加密機(jī)集群系統(tǒng)。加密機(jī)集群系 統(tǒng)的硬件主要是安全服務(wù)器。安全服務(wù)器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段 IP 地址，一個連接 加密機(jī)陣列，一個連接總行內(nèi)網(wǎng)?？紤]到聯(lián)盟中心對系統(tǒng)可靠性及容錯能力的要求，安全 服務(wù)器采用雙機(jī)熱備份。安全服務(wù)器位于加密機(jī)之前，在完成業(yè)務(wù)主機(jī)與加密機(jī)交易報(bào)文 轉(zhuǎn)換的同時(shí)也將加密機(jī)與銀行網(wǎng)絡(luò)隔離，任何對加密機(jī)的訪問必須通過安全服務(wù)器完成。 此外，安全服務(wù)器還負(fù)責(zé)加密機(jī)的負(fù)載均衡、多機(jī)熱備、狀態(tài)檢測等功能。根據(jù)目前估算 的業(yè)務(wù)量，使用4臺SJL6E加密機(jī)可滿足要求，但是考慮

41、到備份及將來業(yè)務(wù)發(fā)展的需要， 因而聯(lián)盟中心加密機(jī)的數(shù)量采用 n+2的計(jì)算方式。在商行運(yùn)行中心內(nèi)部署一套加密機(jī)集群系統(tǒng)（縮減版）和2-3臺SJL06E金融數(shù)據(jù)加密機(jī)。加密機(jī)集群系統(tǒng)負(fù)責(zé)加密機(jī)的負(fù)載均衡、雙機(jī)熱備、狀態(tài)檢測等功能。在網(wǎng)點(diǎn)內(nèi)部署一套加密機(jī)集群系統(tǒng)（縮減版）和 2臺SJL06S型加密機(jī)。加密機(jī)集群系 統(tǒng)負(fù)責(zé)加密機(jī)的負(fù)載均衡、雙機(jī)熱備、狀態(tài)檢測等功能。在存在多網(wǎng)點(diǎn)前端系統(tǒng)的網(wǎng)點(diǎn)和和網(wǎng)點(diǎn)服務(wù)器間，采用網(wǎng)絡(luò)加密設(shè)備進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)加 密。5.10 加 密 機(jī) 集 群 系 統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖1*加密機(jī)機(jī)安全脈勢汙備檢寶全凰務(wù)器主要功能加密機(jī)集群系統(tǒng)主要實(shí)現(xiàn)以下功能：提供統(tǒng)一接口的加解密安全服務(wù)通過提供統(tǒng)

42、一的接口服務(wù)，加強(qiáng)對各類應(yīng)用系統(tǒng)和加密機(jī)設(shè)備的集中管理和統(tǒng)一維護(hù)。業(yè)務(wù)系統(tǒng)與加密機(jī)之間協(xié)議轉(zhuǎn)換為了保證現(xiàn)有業(yè)務(wù)系統(tǒng)不做任何修改，就能按照原有命令格式將業(yè)務(wù)處理命令發(fā)送給 加密機(jī)集群系統(tǒng)，加密機(jī)集群系統(tǒng)按照預(yù)定規(guī)則將業(yè)務(wù)系統(tǒng)命令格式轉(zhuǎn)換成加密機(jī)能夠識 別的命令格式，同樣將加密機(jī)返回的命令轉(zhuǎn)換成業(yè)務(wù)系統(tǒng)的命令格式。實(shí)現(xiàn)加密機(jī)多機(jī)熱備加密機(jī)集群系統(tǒng)可以將所有加密機(jī)設(shè)備設(shè)定在兩種狀態(tài)之下：工作狀態(tài)和備份狀態(tài)， 當(dāng)處于工作狀態(tài)的加密機(jī)出現(xiàn)故障時(shí)，加密機(jī)集群系統(tǒng)將自動將其切換成故障狀態(tài)，同時(shí) 將處于備份狀態(tài)的加密機(jī)切換成工作狀態(tài)， 持續(xù)提供加解密安全服務(wù)，保證業(yè)務(wù)系統(tǒng)7x24 不間斷運(yùn)行，保證了整個安全服

43、務(wù)平臺的高度可靠性和穩(wěn)定性。實(shí)現(xiàn)加密機(jī)負(fù)載均衡加密機(jī)集群系統(tǒng)能夠安全預(yù)設(shè)的規(guī)則和策略，根據(jù)所有處于工作狀態(tài)的加密機(jī)的屬性 和特點(diǎn)，進(jìn)行加解密服務(wù)調(diào)度，均衡每臺加密機(jī)的工作負(fù)載，使整個系統(tǒng)處在最優(yōu)工作狀 態(tài)。密鑰管理功能實(shí)現(xiàn)本地加密機(jī)密碼同步，并在管理控制中心的控制下完成銀行主密鑰以及工作密鑰 的定期更新和安全分發(fā)等功能。狀態(tài)檢測功能自動檢測加密機(jī)陣列的硬件狀態(tài)和密鑰狀態(tài)，并將相關(guān)信息上傳給管理控制中心。密鑰服務(wù)狀態(tài)檢測功能將所有業(yè)務(wù)系統(tǒng)各類交易中使用密鑰服務(wù)的情況和狀態(tài)，以及相關(guān)信息上傳給管理控 制中心，便于安全服務(wù)平臺進(jìn)行統(tǒng)一管理和集中監(jiān)控加密機(jī)密鑰服務(wù)使用情況。多方位安全性功能地址隔離方式

44、： 加密機(jī)集群系統(tǒng)服務(wù)器和銀行網(wǎng)絡(luò)使用銀行內(nèi)網(wǎng) IP 地址，但是和加密 機(jī)陣列使用專用的網(wǎng)段 IP 地址并單獨(dú)連接，這樣可以有效保護(hù)加密機(jī)不受任何非法的訪 問。訪問控制方法：加密機(jī)集群系統(tǒng)具有 IP 識別功能，能有效防止非法用戶的連接。安 全管理手段： 加密機(jī)集群系統(tǒng)服務(wù)器拒絕任何遠(yuǎn)程的登陸訪問， 并關(guān)閉所有不必要的端口， 從使得服務(wù)器的安全性得以提高。部署方式加密機(jī)集群系統(tǒng)主要由軟件系統(tǒng)和硬件系統(tǒng)兩大部分組成。硬件系統(tǒng)采用服務(wù)器方式，該安全服務(wù)器內(nèi)裝雙網(wǎng)卡，使用不同網(wǎng)段 IP 地址，一個連 接加密機(jī)陣列，一個連接銀行內(nèi)網(wǎng)。安全服務(wù)器位于加密機(jī)之前，在完成業(yè)務(wù)主機(jī)與加密 機(jī)交易報(bào)文協(xié)議轉(zhuǎn)換的同

45、時(shí)也將加密機(jī)與銀行網(wǎng)絡(luò)隔離，任何對加密機(jī)的訪問必須通過安 全服務(wù)器完成。考慮到總行對系統(tǒng)可靠性及容錯能力的要求，總行內(nèi)安全服務(wù)器采用雙機(jī) 熱備份。各地分行業(yè)務(wù)量相對較小，對穩(wěn)定性要求也相對較低，故在分行只使用一臺安全 服務(wù)器軟件系統(tǒng)主要負(fù)責(zé)加密機(jī)的負(fù)載均衡、多機(jī)熱備、狀態(tài)檢測等功能第六章技術(shù)指標(biāo)6.1 SJL06金融數(shù)據(jù)加密機(jī)技術(shù)說明專門設(shè)計(jì)用于金融行業(yè)網(wǎng)絡(luò)主機(jī)加密的 中式管理，其功能模塊如圖所示。SJL06金融數(shù)據(jù)加密機(jī)，采用模塊式結(jié)構(gòu)、集保密機(jī)II防1IIC卡鬍 月伯噓證通祖腔制運(yùn)1.異常報(bào)磬 自動檢測王豐測-ISJL06金融數(shù)據(jù)加密機(jī)功能框圖6.1.1 各 模塊 的 功能 及作 用DES

46、和 SMS3-01 算法加密機(jī)的主要功能之一。由通信的雙方按約定密鑰，用DES算法或SMS3-01算法對PIN 進(jìn)行加解密及信息驗(yàn)證，以達(dá)到保護(hù)數(shù)據(jù)安全的目的。該設(shè)計(jì)支持多套加密算法是本機(jī) 的一大特點(diǎn)。DES算法和SMS3-01算法均由硬件設(shè)計(jì)實(shí)現(xiàn)，因此運(yùn)算速度快、可靠性高。 根據(jù)用戶需要和國家密碼委員會的有關(guān)管理規(guī)定，安裝一種算法或兩種算法或多種算法。 算法的選擇，不會影響加密機(jī)的工作指標(biāo)和工作狀態(tài) 。MAC!算加密機(jī)的主要功能之一。MAC!算完成消息來源正確性的鑒別，防止數(shù)據(jù)被篡改或非 法用戶的竊入。該運(yùn)算過程由硬件 DES（或 SMS3-01算法）和軟件算 法并行運(yùn)算完成。 優(yōu)點(diǎn)是速度快

47、、可重構(gòu)。RSA算 法選配模塊，可以支持?jǐn)?shù)字簽名/認(rèn)證，RSA加密/解密等功能。密鑰管理加密機(jī)的主要功能之一。這部分完成兩項(xiàng)工作：一是產(chǎn)生機(jī)內(nèi)隨機(jī)數(shù)，并通過運(yùn)算和 各種檢驗(yàn)形成新的數(shù)據(jù)密鑰，加密后提供給主機(jī)使用；二是接收、檢驗(yàn)、組合、保存人工 輸入的密鑰，并可過濾出各類不符合要求的密鑰。密鑰庫最小配置容量是 512組雙倍長密鑰， 1 024組單倍長密鑰。 根據(jù)用戶的需求可成倍擴(kuò)容， 現(xiàn)在提供 4096 三倍位。密鑰的存儲采取了容錯技術(shù)。身份驗(yàn)證采用 IC 卡實(shí)現(xiàn)對加密機(jī)操作人員的身份驗(yàn)證。 只有合法身份者才有權(quán)輸入更改主密鑰 或次主密鑰成份。每臺機(jī)器配有 A卡、B卡、C卡三張身份卡，分別由兩個

48、或三個負(fù)責(zé)人 掌管，持A卡者有權(quán)輸入密鑰的成份1,有權(quán)對加密機(jī)進(jìn)行包括功能設(shè)置在內(nèi)的各種管理 操作；持B卡者有權(quán)輸入密鑰的成份2或3,及對加密機(jī)進(jìn)行部份管理操作；持 C卡只有 權(quán)輸入次主密鑰密文。安全保護(hù)該模塊實(shí)現(xiàn)對保存在機(jī)內(nèi)的各類密鑰和工作參數(shù)進(jìn)行保護(hù)。如果加密機(jī)機(jī)殼被打開或 加密機(jī)機(jī)倉遭到破壞， 加密機(jī)將自動銷毀機(jī)內(nèi)保存的所有密鑰和參數(shù)， 避免造成密鑰遺失。 這個保護(hù)裝置同時(shí)可以保證密鑰在電源受到強(qiáng)干擾，甚至在電源頻繁開關(guān)時(shí)也不會遭到破 壞。面板操作控制包括液晶顯示屏、鍵盤、 IC 卡、報(bào)警控制等功能。用于輸入密鑰、功能設(shè)定、故障提 示、機(jī)內(nèi)狀態(tài)檢查等。通訊控制通信控制器支持 ASYN、C

49、 SDLC、SNA SDLC、X.25、TCP/IP 等通信協(xié)議，并可分析各種 數(shù)據(jù)結(jié)構(gòu)，實(shí)現(xiàn)和主機(jī)之間的交互對話， 傳輸速率9.6 kbps64kbps , 10Mbps 100Mbps 物理接口支持RS-232、RS-449 V.35及RJ-45 10/100M以太網(wǎng)接口。用戶可根據(jù)需要任選一種 接口與主機(jī)相連。在同步操作的情況下，既允許主機(jī)作為同步源，也允許加密機(jī)本身為同 步源，由硬件設(shè)置編程決定。過流過壓保護(hù)檢測加密機(jī)與主機(jī)的接口電路，一旦發(fā)現(xiàn)連接信號有過流過壓跡象，立即切斷加密 機(jī)與主機(jī)的連接，直至接口的電流和電壓恢復(fù)正常再自動接通加密機(jī)與主機(jī)的連接。異常報(bào)警該模塊不但可實(shí)時(shí)檢測到加

50、密機(jī)的自身故障，立即報(bào)警通知操作員，還可檢測到主機(jī) 對加密機(jī)的危害性操作、人為的危害性操作，并立即發(fā)出警告。自檢功能該模塊可執(zhí)行加密機(jī)鍵盤命令或主機(jī)命令， 完成對上述各功能模塊、 關(guān)鍵電路的檢測， 如發(fā)現(xiàn)故障，則提示出故障位置，提高設(shè)備的可維護(hù)性。加密機(jī)本身利用工作間隙也可定 時(shí)自動完成特定測試程序。供電系統(tǒng)采用高性能開關(guān)電源，220V, 50HZ市電供電?？煽?76V至264V的市電變化安全鎖一把安全鎖，保證密封機(jī)倉不易被打開，便于對加密機(jī)的安全管理。機(jī)倉一旦被打開 將會觸發(fā)安全保護(hù)裝置。6.1.2 IC 卡 的設(shè) 計(jì)SJL06金融數(shù)據(jù)加密機(jī)設(shè)計(jì)的IC卡裝置不但具有讀卡能力還具備寫卡能力，故

51、不需再 額外配置寫卡器。因此SJL06金融數(shù)據(jù)加密機(jī)不單是一臺加密機(jī)，它本身還是一臺密鑰中 心管理設(shè)備，可通過它編寫密鑰、復(fù)制成卡，下發(fā)到各成員機(jī)構(gòu)。IC卡的作用：實(shí)現(xiàn)通行字(PASSWOR功能。身份認(rèn)證。權(quán)限劃分。 提供主密鑰、銀行主密鑰傳送載體。選用的 IC 卡屬于加密存儲器卡，主要具有如下特性：帶有加密邏輯存貯校驗(yàn)密碼，只有密碼有效后才能訪問數(shù)據(jù) 對密碼操作進(jìn)行計(jì)數(shù)，連續(xù)四次密碼給錯后，器件將永久損壞 提供密碼移交容量 1KX 1 (2 個 512 X 1),串行 EEPROM支持 ISOIEC 78163 同步協(xié)議特定存儲區(qū)讀寫保護(hù)2us讀周期，1ms寫循環(huán)周期掉電復(fù)位采用低功耗CMO

52、S：藝內(nèi)部產(chǎn)生 Vpp溫度范圍-25 C 至70 CESD 抗性 4KV高可靠性： 100,000 擦寫循環(huán)， 100 年數(shù)據(jù)保留期6.1.3 密 鑰 庫設(shè) 計(jì)SJL06金融數(shù)據(jù)加密機(jī)內(nèi)設(shè)計(jì)了可以存放 4096個密鑰，每個密鑰最大長度可以達(dá)到 192bits 。這些密鑰庫均由硬件加密邏輯物理保護(hù)，數(shù)據(jù)容錯技術(shù)存放，具有完善的災(zāi)害修復(fù)能 力。所有出現(xiàn)在加密機(jī)之外的密鑰，都是受更高層密鑰保護(hù)。密鑰庫控制邏輯，嚴(yán)密地控制密鑰的明文被讀出。為了便于了解密鑰庫內(nèi)的密鑰存放 情況，控制邏輯可提供不可逆的庫內(nèi)密鑰相關(guān)信息，送到顯示器供操作員分析。6.2 SJL06 金 融 數(shù)據(jù)加 密 機(jī) 的 技 術(shù) 特 點(diǎn)

53、多算法保密體制：該機(jī)除具有 DES算法和RSA算法（選裝）之外，還有國家商用密碼 管理部門批準(zhǔn)，指定北京數(shù)安科技有限公司提供的專用金融密碼算法SMS3-01。運(yùn)算速度快：完成一個 DES算法最多只需2微秒（0.000002秒）。雙密鑰管理界面：提供操作面板密鑰管理界面和 PC機(jī)密鑰管理界面。兩者具有相同的 功能。完善的密鑰管理功能：能自動產(chǎn)生、驗(yàn)證、比較、存貯各類密鑰，提供密鑰管理上的 各種服務(wù)功能。IC 卡身份驗(yàn)證：配有 IC 卡裝置。加密機(jī)只為合法持卡人提供界面服務(wù)。物理安全措施：安全鎖，只有持鑰匙的人才能打開機(jī)器。機(jī)殼一旦被打開或機(jī)殼遭到 破壞，自毀裝置立即銷毀內(nèi)部各類密鑰和機(jī)內(nèi)各種數(shù)據(jù)

54、。智能程度高：正常工作時(shí)，該機(jī)不需人員管理和操作，并能對主機(jī)傳輸?shù)臄?shù)據(jù)進(jìn)行各 種驗(yàn)證。故障監(jiān)控：機(jī)內(nèi)監(jiān)控系統(tǒng)一旦發(fā)現(xiàn)機(jī)器故障，可進(jìn)行自動恢復(fù)，恢復(fù)無效后自動報(bào)警。封閉式操作：機(jī)器前的面板裝有操作鍵盤、液晶顯示器、指示燈，所有操作過程中的 數(shù)據(jù)不會暴露在加密機(jī)之外。帶背光的液晶顯示器即使在夜里也能方便地操作。工具功能：能為密鑰管理人員提供運(yùn)算工具。模塊式結(jié)構(gòu)：可多機(jī)構(gòu)成一個較大的加密系統(tǒng)，由一個機(jī)柜統(tǒng)一管理。全雙工、半雙工操作。具有較高的抗電磁干擾、抗電源沖擊能力。電子鐘功能：可配合網(wǎng)上的數(shù)據(jù)和密鑰管理。先進(jìn)的技術(shù)：采用90年代DSF技術(shù)和超大規(guī)模門陣列技術(shù)設(shè)計(jì)。6.3 SJL06 加密機(jī)的安全措 施SJL06金融數(shù)據(jù)加密機(jī)已經(jīng)通過有國家商用密碼管理部門組織的安全審查，所采用的 安全措施主要有以下兩個方面：加密機(jī)的物理安全措施密碼算法采用專用的ASIC實(shí)現(xiàn)；密鑰庫均由硬件加密邏輯物理保護(hù)，數(shù)據(jù)容錯技術(shù)存放，具有完善的災(zāi)害修復(fù)能力；通信接口采用過壓 / 過流保護(hù)電路對其進(jìn)行保護(hù)；機(jī)倉設(shè)置密鑰銷毀開關(guān)，遇有特殊情況，用戶可以選擇主動銷毀加密機(jī)內(nèi)各種密鑰；