SJL05金融數(shù)據(jù)加密機(jī)技術(shù)白皮書new

1、. z.SJL05金融數(shù)據(jù)加密機(jī) 技術(shù)白皮書Westone Host Security Module Serial White PaperVersion 4.0*衛(wèi)士通信息產(chǎn)業(yè)股份*Chengdu WestoneInformation Industry Inc.*衛(wèi)士通信息產(chǎn)業(yè)股份*Information Industry Inc.*衛(wèi)士通信息產(chǎn)業(yè)股份*Chengdu WestoneInformation Industry Inc.*衛(wèi)士通信息產(chǎn)業(yè)股份*Information Industry Inc.Chengdu Westone-. z.目 錄 TOC o 1-3 h z HYPERLIN

2、K l _Toc5171068281技術(shù)背景 PAGEREF _Toc517106828 h 1HYPERLINK l _Toc5171068292產(chǎn)品概述 PAGEREF _Toc517106829 h 1HYPERLINK l _Toc5171068302.1產(chǎn)品簡介 PAGEREF _Toc517106830 h 1HYPERLINK l _Toc5171068312.2產(chǎn)品功能 PAGEREF _Toc517106831 h 2HYPERLINK l _Toc5171068322.3技術(shù)指標(biāo) PAGEREF _Toc517106832 h 3HYPERLINK l _Toc517106

3、833密碼體制 PAGEREF _Toc517106833 h 3HYPERLINK l _Toc517106834工作方式 PAGEREF _Toc517106834 h 3HYPERLINK l _Toc517106835接口協(xié)議 PAGEREF _Toc517106835 h 3HYPERLINK l _Toc517106836穩(wěn)定性指標(biāo) PAGEREF _Toc517106836 h 4HYPERLINK l _Toc517106837處理能力 PAGEREF _Toc517106837 h 4HYPERLINK l _Toc517106838工作環(huán)境 PAGEREF _Toc5171

4、06838 h 4HYPERLINK l _Toc5171068393技術(shù)特點(diǎn) PAGEREF _Toc517106839 h 4HYPERLINK l _Toc5171068403.1平安性 PAGEREF _Toc517106840 h 4HYPERLINK l _Toc5171068413.2兼容性 PAGEREF _Toc517106841 h 5HYPERLINK l _Toc5171068423.3標(biāo)準(zhǔn)性 PAGEREF _Toc517106842 h 5HYPERLINK l _Toc5171068433.4成熟性 PAGEREF _Toc517106843 h 5HYPERLI

5、NK l _Toc5171068443.5穩(wěn)定性 PAGEREF _Toc517106844 h 6HYPERLINK l _Toc5171068454典型應(yīng)用 PAGEREF _Toc517106845 h 6HYPERLINK l _Toc5171068464.1在有中心模式中的應(yīng)用 PAGEREF _Toc517106846 h 6HYPERLINK l _Toc5171068474.2在無中心模式中的應(yīng)用 PAGEREF _Toc517106847 h 7HYPERLINK l _Toc5171068484.3在大集中系統(tǒng)中的應(yīng)用 PAGEREF _Toc517106848 h 8HY

6、PERLINK l _Toc5171068494.4在手機(jī)移動銀行中的應(yīng)用 PAGEREF _Toc517106849 h 9HYPERLINK l _Toc5171068504.5替換RACAL加密機(jī) PAGEREF _Toc517106850 h 10HYPERLINK l _Toc5171068514.6與VISA、MASTER互連 PAGEREF _Toc517106851 h 10HYPERLINK l _Toc5171068524.7其它應(yīng)用 PAGEREF _Toc517106852 h 10HYPERLINK l _Toc5171068535成功案例 PAGEREF _Toc5

7、17106853 h 10-. z.背景隨著社會信息化的開展，我國銀行界的電子化工程正在經(jīng)歷著構(gòu)造，職能和性質(zhì)的轉(zhuǎn)化和飛躍,柜臺業(yè)務(wù)電子化和清算業(yè)務(wù)網(wǎng)絡(luò)化已初具規(guī)模，在與國際金融接軌方面和在加速資金周轉(zhuǎn)和提高資金利用效率方面，都發(fā)揮了巨大的作用。其中，電子資金傳送系統(tǒng)EFT更是國外金融界研究的熱門課題，也是全面實(shí)現(xiàn)金融電子化及金卡工程的關(guān)鍵技術(shù)。EFT要解決的關(guān)鍵問題就是金融系統(tǒng)的平安。以往銀行在這方面幾乎都是采取用軟件加密的方式，但其加密程度低，穩(wěn)定性差，極易受到攻擊。而且EFT和電子聯(lián)行，直接涉及到巨額資金的傳送，其風(fēng)險(xiǎn)性也是相當(dāng)大的，巨額資金的誘惑更增大了被攻擊的風(fēng)險(xiǎn)。因此，研制適合我國

8、國情的金融數(shù)據(jù)加密機(jī)已迫在眉睫。1994年信息產(chǎn)業(yè)部電子第三十研究所在信用卡網(wǎng)絡(luò)公司的大力協(xié)助下，研制出了國唯一專用于金卡工程的 SJL05金融數(shù)據(jù)加密機(jī)，主要適用于銀行卡跨行支付交易的的ATM聯(lián)網(wǎng)信息系統(tǒng)，構(gòu)成金融卡實(shí)時(shí)消費(fèi)轉(zhuǎn)帳和銷售點(diǎn)信息管理的POS聯(lián)網(wǎng)信息加密系統(tǒng)，金融IC卡消費(fèi)轉(zhuǎn)賬系統(tǒng)、社?？ㄆ桨蚕到y(tǒng)、公交卡平安系統(tǒng)等。 SJL05金融數(shù)據(jù)加密機(jī)以其超前的技術(shù)，成功取代了國外同類產(chǎn)品雷卡，每年為國家節(jié)約上億美金，同時(shí)也是國第一臺通過國家主管部門鑒定的主機(jī)加密機(jī)，第一臺通過國際VISA組織認(rèn)可的主機(jī)加密機(jī)。到2010年，金融數(shù)據(jù)加密機(jī)經(jīng)過不斷的創(chuàng)新，已經(jīng)開發(fā)出5代產(chǎn)品，可以滿足不同層次客

9、戶的需求，其卓越的性能，先進(jìn)的技術(shù)，恒久的品質(zhì)業(yè)已被國家主管部門選為金融平安領(lǐng)域的行業(yè)標(biāo)準(zhǔn)產(chǎn)品。目前，本產(chǎn)品已被全國2/3以上的銀行廣泛使用，成為行業(yè)領(lǐng)導(dǎo)品牌。產(chǎn)品概述產(chǎn)品簡介SJL05金融數(shù)據(jù)加密機(jī)整機(jī)前視圖如下：SJL05金融數(shù)據(jù)加密機(jī)是信息產(chǎn)業(yè)部電子第三十研究所研制的密碼產(chǎn)品，主要用于實(shí)現(xiàn)對主機(jī)應(yīng)用層數(shù)據(jù)加/解密、消息來源正確性驗(yàn)證、密鑰管理等。特別適用于各地銀行金融信息系統(tǒng)，尤其可以對進(jìn)展跨行交易的ATM/POS聯(lián)網(wǎng)信息系統(tǒng)提供數(shù)據(jù)加密與平安保護(hù)。除此之外，它還可廣泛用于社保、公交、證券、商貿(mào)、郵電、稅收、保險(xiǎn)等計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)提供平安數(shù)據(jù)通信效勞，防止網(wǎng)上的各種欺詐

10、行為發(fā)生。該產(chǎn)品在國屬于首創(chuàng)，在整體技術(shù)上已到達(dá)或接近國外同類先進(jìn)產(chǎn)品，并率先在國通過由國家密碼管理委員會組織的專家鑒定國密證第0009號。鑒定委員會一致認(rèn)為：SJL05金融數(shù)據(jù)加密機(jī)設(shè)計(jì)合理，技術(shù)先進(jìn)，適用圍廣，保護(hù)措施可靠，操作使用方便，技術(shù)資料齊備，整體技術(shù)到達(dá)國先進(jìn)水平，填補(bǔ)了我國ATM/POS金融數(shù)據(jù)加密設(shè)備的空白，具有推廣應(yīng)用價(jià)值。SJL05金融數(shù)據(jù)加密機(jī)成功地應(yīng)用于我國多個金卡交換中心、眾多商業(yè)銀行的清算系統(tǒng)、大集中系統(tǒng)、外卡系統(tǒng)和多個城市的公交系統(tǒng)、社保系統(tǒng)，受到客戶高度贊譽(yù)。產(chǎn)品功能SJL05金融數(shù)據(jù)加密機(jī)系列產(chǎn)品主要為金卡工程、城市一卡通、銀行卡業(yè)務(wù)、社?？I(yè)務(wù)、公交卡業(yè)務(wù)

11、等提供基于密碼技術(shù)的保護(hù)，具有以下功能：密鑰管理、密鑰產(chǎn)生、密鑰分發(fā)、密鑰分散；消息完整性保護(hù)MAC的計(jì)算和驗(yàn)證；個人PIN碼的保護(hù)PINBLOCK的加密、轉(zhuǎn)換、驗(yàn)證；CVV卡效驗(yàn)值、PVVPIN效驗(yàn)值計(jì)算；交易正確性驗(yàn)證TAC的計(jì)算和驗(yàn)證；數(shù)據(jù)的加/解密；數(shù)字簽名和驗(yàn)證；摘要SHA1、MD5等；滿足PBOC金融IC卡規(guī)需求；技術(shù)指標(biāo)密碼體制完整的平安體系構(gòu)造；提供DES、3DES、Double-one-way算法和經(jīng)國家主管部門審定批準(zhǔn)的金融專用密碼算法；CBC加密方式同時(shí)實(shí)現(xiàn)性與完整性；完善的密鑰管理系統(tǒng)。工作方式異步：2400-115200bps連續(xù)可調(diào)；同步：4800512000 bp

12、s可調(diào)；Ethernet：10M/100M自適應(yīng)。接口協(xié)議V.24/RS232-C；V.35/RS422；*.25、SNA/SDLC；TCP/IP。穩(wěn)定性指標(biāo)以ISO 9001認(rèn)證體系保證產(chǎn)品的質(zhì)量 ；系統(tǒng)平均無故障時(shí)間MTBF30000小時(shí) 。處理能力DES算法加解密速率：240Mbps；金融專用算法加解密速率：18Mbps；模長1024bits的RSA算法簽名速率：大于400次/秒；模長1024bits的RSA算法驗(yàn)證速率：大于6000次/秒；模長2048bits的RSA算法簽名速率：大于80次/秒；模長2048bits的RSA算法驗(yàn)證速率：大于700次/秒。工作環(huán)境工作溫度：050；存貯

13、溫度：4055；相對濕度：20%85%；電壓：220V10% 50Hz3%。技術(shù)特點(diǎn)平安性SJL05金融數(shù)據(jù)加密機(jī)在為上層應(yīng)用提供平安效勞功能的同時(shí)，也充分考慮了自身的平安性設(shè)計(jì)。在物理方面，采用了物理鎖防拆、防撬設(shè)計(jì)；在密鑰管理方面，采用用戶訪問權(quán)限控制密鑰注入管理以及密鑰在加密機(jī)外的分段備份存放平安機(jī)制，保證了加密機(jī)自身及密鑰的平安。兼容性SJL05金融數(shù)據(jù)加密機(jī)系列支持Async、*.25、TCP/IP、SNA等通信接口協(xié)議，同時(shí)兼容RACAL加密機(jī)的消息報(bào)文格式，提供支持Sco Uni*、AI*、HP-UNI*、Linu*、Windows等操作系統(tǒng)平臺API。標(biāo)準(zhǔn)性SJL05金融數(shù)據(jù)加

14、密機(jī)支持以下標(biāo)準(zhǔn)：ANSI *3.92 數(shù)據(jù)加密算法；ANSI *9.9 信息鑒別；ANSI *9.8 PIN的管理與平安；ANSI *9.17 密鑰管理；ANSI *9.19 零售金融信息的鑒別；多種ATM機(jī)用戶密碼格式；中國人民銀行金融IC卡規(guī)；VISA及MASTER對硬件加密機(jī)的相關(guān)需求。成熟性SJL05金融數(shù)據(jù)加密機(jī)經(jīng)過不斷的完善與技術(shù)創(chuàng)新，已開發(fā)出了3代產(chǎn)品，提供從高端到低端的系列化配置，可以根據(jù)用戶不同的應(yīng)用情況和業(yè)務(wù)處理能力需求，配置不同系列的金融數(shù)據(jù)加密機(jī)。穩(wěn)定性SJL05金融數(shù)據(jù)加密機(jī)的生產(chǎn)嚴(yán)格按照ISO9001質(zhì)量管理體系的流程生產(chǎn)、測試、烤機(jī)、檢驗(yàn)，每一臺出廠的機(jī)器都經(jīng)過

15、長達(dá)200小時(shí)以上的烤機(jī)和壓力測試。系統(tǒng)平均無故障時(shí)間大于30000小時(shí)。典型應(yīng)用在有中心模式中的應(yīng)用SJL05金融數(shù)據(jù)加密機(jī)在我國的金卡工程中發(fā)揮了重要作用，為銀行卡的跨行、跨地區(qū)取款或消費(fèi)提供了可能。其典型配置如下：SJL05金融數(shù)據(jù)加密機(jī)金卡網(wǎng)絡(luò)中的配置在跨行交易中以個人身份號PIN在ATM/POS網(wǎng)絡(luò)的傳輸為例，個人身份號PIN從收卡行到交換中心再由交換中心到發(fā)卡行受校驗(yàn)流程大致如下：(7)(5)(3)顧客輸入 私人密碼(6)(2)(4)發(fā)卡行交換中心收卡行POSATM(7)(5)(3)顧客輸入 私人密碼(6)(2)(4)發(fā)卡行交換中心收卡行POSATMPIN在ATM/POS跨行交易的

16、流程其中：顧客輸入私人密碼；傳送被ATM/POS加密的私人密碼；收卡行翻譯私人密碼；傳送被收卡行加密的私人密碼；交換中心轉(zhuǎn)換私人密碼；傳送被交換中心轉(zhuǎn)換后的私人密碼；發(fā)卡行校驗(yàn)私人密碼。在無中心模式中的應(yīng)用在無金卡中心的城市，各商業(yè)銀行采用了無中心的模式來實(shí)現(xiàn)了銀行卡在POS上的聯(lián)網(wǎng)聯(lián)合。入網(wǎng)的POS能夠承受各入網(wǎng)卡種，POS機(jī)根據(jù)用戶卡判斷出發(fā)卡銀行，按照發(fā)卡銀行要求的信息格式進(jìn)展打包，將交易信息打包上送發(fā)卡銀行處理。其典型配置如下：SJL05金融數(shù)據(jù)加密機(jī)在無中心模式中的配置在大集中系統(tǒng)中的應(yīng)用大集中系統(tǒng)是商業(yè)銀行全行統(tǒng)一規(guī)劃的一個系統(tǒng)。它是指各分行的卡信息和帳務(wù)信息統(tǒng)一由總行集中管理，各

17、分行只起路由作用，所用的交易都上送到總行主機(jī)處理。SJL05金融數(shù)據(jù)加密機(jī)在其總行密鑰管理和交易系統(tǒng)以及分行密鑰管理和交易系統(tǒng)中起著重要作用。其典型配置如下：SJL05金融數(shù)據(jù)加密機(jī)在大集中系統(tǒng)中的配置在手機(jī)移動銀行中的應(yīng)用手機(jī)移動銀行是銀行的一項(xiàng)增值業(yè)務(wù)，它利用手機(jī)SIM卡具有的加密功能和手機(jī)短信功能，通過手機(jī)就可實(shí)現(xiàn)個人帳務(wù)的查詢、轉(zhuǎn)賬、外幣買賣等銀行業(yè)務(wù)。而銀行端則采用硬件加密機(jī)來實(shí)現(xiàn)加解密和密鑰管理功能。其配置如下：SJL05金融數(shù)據(jù)加密機(jī)在手機(jī)移動銀行中的配置替換RACAL加密機(jī)由于歷史的原因，我國一些商業(yè)銀行采用了RACAL的硬件加密機(jī)。為了在不影響銀行上層應(yīng)用和交易的前提下，成功

18、替換RACAL加密機(jī)，我們推出了兼容RACAL加密機(jī)的SJL05金融數(shù)據(jù)加密機(jī)。它完全兼容RACAL加密機(jī)的密鑰管理方式、指令形式、報(bào)文消息格式，為銀行成功替換RACAL加密機(jī)提供了完美的解決方法，并且在招商銀行總行、金卡、中行、中行、中行等銀行成功實(shí)現(xiàn)。與VISA、MASTER互連隨著國民經(jīng)濟(jì)的全球化、國際化，銀行外卡業(yè)務(wù)的開通勢在必行，開通外卡業(yè)務(wù)通常涉及到與VISA和MASTER國際組織的互聯(lián)。SJL05金融數(shù)據(jù)加密機(jī)支持VISA和MASTER組織對硬件加密機(jī)的要求，在金卡中心與VISA、MASTER成功互聯(lián)，并得到VISA和MASTER組織的認(rèn)可。同時(shí)，在農(nóng)行外卡受單系統(tǒng)中， SJL05金融數(shù)據(jù)加密機(jī)也成功實(shí)現(xiàn)與VISA、MASTER的互聯(lián)，經(jīng)過一段時(shí)間的運(yùn)行，系統(tǒng)穩(wěn)定，客戶反響良好。其它應(yīng)用SJL05金融數(shù)據(jù)加密機(jī)除了在銀行卡磁條卡/金融IC卡以及上述業(yè)務(wù)應(yīng)用中發(fā)揮重要作用外，還在局部大城市的城市一卡通系統(tǒng)、公交卡系統(tǒng)、社?？ㄏ到y(tǒng)、加油卡系統(tǒng)等業(yè)務(wù)系統(tǒng)中得到成功