【正文】 的方式傳送。 密鑰的分發(fā)密鑰分發(fā)的目的首先是在通訊雙方分別共享相同的密鑰交換密鑰（ZMK/TMK），以便工作密鑰的安全傳輸。在帳務(wù)主機(jī)的數(shù)據(jù)庫(kù)中存放用戶PIN的密文值信息（關(guān)于PIN加密方式見(jiàn)本文后面有關(guān)內(nèi)容）。總之除了業(yè)務(wù)終端和銀行帳務(wù)主機(jī)之外的系統(tǒng)統(tǒng)統(tǒng)稱為前置系統(tǒng)。為了保證客戶在業(yè)務(wù)終端上輸入個(gè)人密碼時(shí)PIN的安全，可以使用加密密碼鍵盤替代普通密碼鍵盤。 設(shè)備部署在綜合前置機(jī)和業(yè)務(wù)主機(jī)端連接金融數(shù)據(jù)加密機(jī)（這里以SJL06加密機(jī)為例）作為本機(jī)的安全服務(wù)模塊。與傳統(tǒng)密鑰體系相比，新密鑰體系引入了RSA密鑰對(duì)，給第二層密鑰(ZMK/TMK)的分發(fā)和更新提供了一種自動(dòng)在線的方式，但是這種自動(dòng)在線分發(fā)和更新方式，并不排除傳統(tǒng)密鑰體系中的人工背對(duì)背分發(fā)和更新方式。特別是網(wǎng)上銀行的安全問(wèn)題已經(jīng)不能使用對(duì)稱密鑰算法有效解決，同時(shí)EMV2000中也包含了對(duì)RSA算法的要求。除此之外還有一些其它工作密鑰這里不再一一介紹。l 第三層密鑰：工作密鑰(ZPK/ZAK/TPK/TAK/PVK)第三層密鑰，通常稱為工作密鑰或數(shù)據(jù)加密密鑰。從而實(shí)現(xiàn)工作密鑰的自動(dòng)分配。LMK通常由三個(gè)成分組成，由加密機(jī)使用單位通過(guò)行政手段分派專人管理和維護(hù)，一般由3人采用“背對(duì)背”形式進(jìn)行輸入；LMK在本地是唯一的，并且與系統(tǒng)中其他交易節(jié)點(diǎn)沒(méi)有關(guān)系。 RACAL密鑰體系概述在傳統(tǒng)金融業(yè)務(wù)中數(shù)據(jù)安全全部使用對(duì)稱密鑰算法實(shí)現(xiàn)，RACAL定義了如下的三層密鑰管理體系：l 第一層密鑰：本地主密鑰(LMK)本地主密鑰（Local Master Key LMK）存放在加密機(jī)內(nèi)的，由三個(gè)成分組合生成，是整個(gè)安全體系中的最高層密鑰。金卡體系為銀聯(lián)所建立，多應(yīng)用于銀聯(lián)聯(lián)網(wǎng)系統(tǒng)，兩種結(jié)構(gòu)沒(méi)有本質(zhì)上的區(qū)別。我們需要對(duì)密鑰的產(chǎn)生、分配、貯存、轉(zhuǎn)換、分工和分層等制定一套方案。雖然銀行本身并不知情, 但此失誤卻直接影響銀行及持卡人的結(jié)帳數(shù)目；或者用戶在使用自助設(shè)備完成轉(zhuǎn)帳時(shí)攻擊者修改了轉(zhuǎn)入帳號(hào)這樣攻擊者就可以在不知道持卡人PIN的情況下盜取資金。對(duì)PIN的保密性包括PIN的產(chǎn)生、存儲(chǔ)、傳輸、更改、校驗(yàn)等過(guò)程中不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用。ANSI ,然后使用MAC密鑰后半部分對(duì)結(jié)果解密計(jì)算,再用前半部分加密得到MAC值。以雙倍長(zhǎng)密鑰（128bits）為例，我們將前半部分稱為KEY1后半部分稱為KEY2。我國(guó)金融行業(yè)是從2002年開始在金融行業(yè)使用3DES替代DES算法工作的。因?yàn)樵O(shè)計(jì)一個(gè)好的流密碼算法對(duì)技術(shù)要求非常高同時(shí)實(shí)施成本也很高，所以我們通常商用密碼大部分都是分組密碼，對(duì)安全要求更高的普密核密使用流密碼技術(shù)較多。分組密碼算法每次對(duì)固定長(zhǎng)度的信息進(jìn)行加密，因而在加密數(shù)據(jù)前需要將數(shù)據(jù)分為等長(zhǎng)的若干組，一組一組進(jìn)行加密計(jì)算。當(dāng)前主要的公開密鑰算法是RSA算法。通常將加密密鑰稱為公開密鑰（或公鑰）將解密密鑰稱為私有密鑰（或私鑰）。l 管理安全對(duì)一個(gè)系統(tǒng)安全的評(píng)估不能建立在對(duì)一個(gè)群體信任的基礎(chǔ)之上（包括內(nèi)部人員、系統(tǒng)開發(fā)商、設(shè)備供應(yīng)商），相關(guān)安全的責(zé)任人必須明確并且可控、可審記，對(duì)于關(guān)鍵安全要素必須由多人共同掌管避免風(fēng)險(xiǎn)集中。一個(gè)完善的數(shù)據(jù)安全系統(tǒng)應(yīng)該符合以下要求：“用戶PIN在銀行業(yè)務(wù)系統(tǒng)中永遠(yuǎn)不以明文形式出現(xiàn)在硬件安全模塊以外”，這是保證用戶PIN安全的第一步。 金融數(shù)據(jù)安全的完善階段對(duì)現(xiàn)有系統(tǒng)進(jìn)行完善使得用戶PIN不能被任何人（包括銀行內(nèi)部人員）獲取或非法使用，為用戶提供一個(gè)安全的銀行卡使用環(huán)境將是金融機(jī)構(gòu)今后工作的一個(gè)重點(diǎn)。金卡中心（銀聯(lián)）對(duì)于聯(lián)網(wǎng)交易在關(guān)鍵信息保密性、信息的完整性和密鑰交換管理等方面都一一規(guī)定，使得金卡交易的安全性在一定范圍得到了保證。并且根據(jù)我國(guó)有關(guān)法規(guī)，不能使用進(jìn)口涉密產(chǎn)品。此時(shí)大家認(rèn)為在銀行外流動(dòng)的信息是不安全的，而忽略了信息在銀行內(nèi)部的安全。由于觀念、技術(shù)、時(shí)間、資金等方面的原因沒(méi)有或較少使用密碼技術(shù)對(duì)業(yè)務(wù)信息進(jìn)行安全保護(hù)。 商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四個(gè)階段金融數(shù)據(jù)安全技術(shù)的發(fā)展也是隨著金融業(yè)務(wù)的發(fā)展而發(fā)展起來(lái)的。因?yàn)橛脩鬚IN的安全是銀行為用戶負(fù)責(zé)保障用戶合法利益的關(guān)鍵。ZZZ科技有限公司文檔名稱XXX公司金融數(shù)據(jù)安全建設(shè)建議書文檔編號(hào)文檔類別技術(shù)文檔版本信息內(nèi)部密級(jí)外部密級(jí)創(chuàng) 建 人創(chuàng)建日期修改歷史版本號(hào)日期*狀態(tài)修訂人摘要20090408C創(chuàng)建*狀態(tài)：C – 創(chuàng)建 A – 增加 M – 修改 D – 刪除49 / 54目 錄第一章 前言 1 概述 1 商業(yè)銀行金融數(shù)據(jù)安全建設(shè)中的四個(gè)階段 1 未采用專業(yè)技術(shù)的裸奔階段 1 軟件密碼技術(shù)的使用 1 硬件密碼設(shè)備的應(yīng)用 1 金融數(shù)據(jù)安全的完善階段 1第二章 技術(shù)基礎(chǔ)篇 1 加密算法分類 1 對(duì)稱密鑰算法和非對(duì)稱密鑰算法 1 分組密碼算法和流密碼算法 1 關(guān)于3DES算法 1 MAC計(jì)算 1第三章 商業(yè)銀行對(duì)數(shù)據(jù)安全的基本要求 1第四章 金融數(shù)據(jù)安全密鑰體系 1 金卡體系 1 RACAL密鑰體系概述 1 PKI體系 1第五章 商業(yè)銀行數(shù)據(jù)安全解決方案 1 金融業(yè)務(wù)系統(tǒng)簡(jiǎn)單模型下數(shù)據(jù)安全 1 設(shè)備部署 1 業(yè)務(wù)終端數(shù)據(jù)安全功能 1 前置機(jī)系統(tǒng)的數(shù)據(jù)安全 1 帳務(wù)主機(jī)的數(shù)據(jù)安全功能 1 密鑰的分發(fā) 1 業(yè)務(wù)數(shù)據(jù)安全傳輸 1 發(fā)卡中PIN的安全 1 聯(lián)盟總體安全結(jié)構(gòu) 1 加密機(jī)集群系統(tǒng) 1 網(wǎng)絡(luò)結(jié)構(gòu)圖 1 主要功能 1 部署方式 1第六章 技術(shù)指標(biāo) 1 SJL06金融數(shù)據(jù)加密機(jī)技術(shù)說(shuō)明 1 各模塊的功能及作用 1 IC卡的設(shè)計(jì) 1 密鑰庫(kù)設(shè)計(jì) 1 SJL06金融數(shù)據(jù)加密機(jī)的技術(shù)特點(diǎn) 1 SJL06加密機(jī)的安全措施 1第七章 技術(shù)規(guī)格 1 SJL06E加密機(jī)技術(shù)規(guī)格 1 技術(shù)規(guī)格 1 工作環(huán)境要求 1 性能指標(biāo) 1 SJL06S加密機(jī)技術(shù)規(guī)格 1 技術(shù)特點(diǎn) 1 技術(shù)指標(biāo) 1 性能指標(biāo) 1 加密機(jī)備件與專用工具清單 1第八章 配置建議 1 壓力測(cè)試 1 服務(wù)器A的集群系統(tǒng)雙機(jī) 1 服務(wù)器B集群系統(tǒng)雙機(jī) 1 峰值業(yè)務(wù)量估計(jì)及配置建議 1 聯(lián)盟中心 1 商行運(yùn)行中心 1 網(wǎng)點(diǎn) 1 終端和ATM 1 外聯(lián)系統(tǒng) 1第九章 數(shù)據(jù)安全技術(shù)其它討論 1 關(guān)于PINBLOCK格式 1 常用的PINBLOCK格式 1 安全分析 1 關(guān)于主機(jī)端PIN存放和校驗(yàn) 1 小額本票密押 1 舊系統(tǒng)密碼移植 1 CVN移植 1 分散網(wǎng)點(diǎn)的安全問(wèn)題 1第十章 安全管理原則 1 基本原則 1 密鑰的相關(guān)原則 1第十一章 附件 1 近期工作建議 1第一章 前言 概述金融電子化的發(fā)展，使得越來(lái)越多的貨幣以數(shù)字化的形式在銀行網(wǎng)絡(luò)中流動(dòng)，而各金融網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)形成了一張遍布全球的金融服務(wù)網(wǎng)絡(luò)。金融行業(yè)的信息安全問(wèn)題不但囊括了其他行業(yè)信息安全的全部因素（防病毒、入侵監(jiān)測(cè)、通訊數(shù)據(jù)加密、身份認(rèn)證、災(zāi)難備份等等），同時(shí)金融行業(yè)也有其特殊要求。本文討論的數(shù)據(jù)安全主要是指銀行以卡業(yè)務(wù)為代表的用戶以個(gè)人密碼（PIN）為身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN）的安全和交易的安全。 未采用專業(yè)技術(shù)的裸奔階段在金融電子劃的初始階段，銀行的主要目標(biāo)是建立和發(fā)展銀行業(yè)務(wù)網(wǎng)絡(luò)。 軟件密碼技術(shù)的使用隨著銀行卡應(yīng)用的普及、金融網(wǎng)絡(luò)的不斷擴(kuò)大，數(shù)據(jù)在傳輸過(guò)程中的安全性得到了一定重視，在各種應(yīng)用系統(tǒng)中使用軟件對(duì)交易信息進(jìn)行加密和完整性運(yùn)算的方法得到廣泛使用。l 軟件不能提供一種有效的機(jī)制保護(hù)密鑰的存儲(chǔ)安全密鑰一旦被人盜取，則客戶密碼PIN也就無(wú)安全可言，因而國(guó)際銀行卡組織（VISA、萬(wàn)事達(dá)）和我國(guó)銀聯(lián)中心均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。在我國(guó)金融數(shù)據(jù)加密機(jī)的大量使用是隨金卡工程實(shí)施開始的。但這是一個(gè)好的開端，很多銀行在次過(guò)程中認(rèn)識(shí)到了現(xiàn)有系統(tǒng)在銀行卡業(yè)務(wù)中安全方面的種種不足并開始對(duì)它的完善做準(zhǔn)備。本文討論的數(shù)據(jù)安全是指銀行以卡業(yè)務(wù)為代表的用戶以個(gè)人密碼（PIN）為身份鑒別手段的業(yè)務(wù)中用戶關(guān)鍵信息（PIN）和交易的安全。因而要保證PIN在金融網(wǎng)絡(luò)系統(tǒng)中不能被任何人獲得就必須首先保證系統(tǒng)中使用的相關(guān)密鑰不能被任何人獲得。非對(duì)稱密鑰算法（又稱公開密鑰算法）是指加密和解密使用的密鑰不同，雖然兩個(gè)密鑰有必然的聯(lián)系但是不能夠從加密密鑰得到解密密鑰，這樣就可以將加密密鑰公開（不需要保密）。當(dāng)前的CA及數(shù)字簽名正是利用了公開密鑰算法的這一特性實(shí)現(xiàn)信息的不可抵賴性。 分組密碼算法和流密碼算法如果從加密方式來(lái)區(qū)分算法又可以分為分組密碼算法和流密碼算法。流密碼算法的技術(shù)核心是密鑰流的產(chǎn)生和同步技術(shù)。因?yàn)槠涿荑€長(zhǎng)度太小（DES密鑰長(zhǎng)度是64bits其中只有56bits有效位）其安全性在當(dāng)前的計(jì)算技術(shù)能力情況下已經(jīng)不能滿足各方面安全的需要，但是使用新的算法有存在兼容性，因此人們提出了3DES的替代方案。下面說(shuō)明3DES算法的兼容性問(wèn)題。 MAC計(jì)算ANSI ,它完全兼容ANSI MAC計(jì)算方法。對(duì)于PIN的安全一方面用戶自己必須防止PIN的泄露，而對(duì)于銀行更要保證用戶PIN在金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全。例如銀行發(fā)出一個(gè)指令給柜員機(jī), 內(nèi)容為允許付款若干金額, 可是此信息在途中出現(xiàn)問(wèn)題, 令金額數(shù)值改變。第四章 金融數(shù)據(jù)安全密鑰體系在基于密碼技術(shù)的安全系統(tǒng)中密鑰管理是最為重要的一個(gè)方面。該體系因?yàn)槭侨蜃畲蟮慕鹑跀?shù)據(jù)加密機(jī)提供商RACAL創(chuàng)建而得名。MK——加密機(jī)主密鑰：在SJL06T主機(jī)加密模塊中采用MK（加密機(jī)主密鑰）對(duì)BMK進(jìn)行加密保護(hù)；MK由三個(gè)成分（32位十六進(jìn)制數(shù)）組成，由加密機(jī)使用單位通過(guò)行政手段分派專人管理和維護(hù)，一般由2~3人采用“背對(duì)背”形式進(jìn)行輸入；MK以密文形式存儲(chǔ)在加密機(jī)黑匣子中，且永遠(yuǎn)不以明文形式出現(xiàn)。加密機(jī)投入運(yùn)行時(shí)，必須先產(chǎn)生和裝載LMK。它的作用是加密在通訊線路上需要傳遞的工作密鑰。區(qū)域主密鑰ZMK用于總行、分行、支行、網(wǎng)點(diǎn)等兩個(gè)區(qū)域之間加密傳輸工作密鑰；而終端主密鑰TMK用于銀行系統(tǒng)與各種自助終端或POS設(shè)備之間加密傳輸工作密鑰。ZAK或TAK用于在兩個(gè)通訊節(jié)點(diǎn)之間傳送信息時(shí)，生產(chǎn)和檢驗(yàn)一個(gè)信息認(rèn)證代碼(MAC)，從而達(dá)到信息認(rèn)證的目的。對(duì)網(wǎng)點(diǎn)的身份認(rèn)證有一定的難度，同時(shí)很難進(jìn)行高強(qiáng)度的訪問(wèn)控制。RSA在本地存放使用LMK保護(hù)或直接保存在加密機(jī)中，通訊雙方僅僅需要交換公鑰（不必加密），而私鑰僅僅在本地使用不需要分發(fā)。下面我們以ATM、綜合前置和業(yè)務(wù)主機(jī)組成的金融網(wǎng)絡(luò)為例的金融數(shù)據(jù)安全解決方案。終端設(shè)備的加密模塊需要具有以下功能：按照各種PIN標(biāo)準(zhǔn)格式對(duì)PIN進(jìn)行加密；按照各種規(guī)范進(jìn)行MAC計(jì)算功能；具有密鑰保存功能，保證密鑰安全；密鑰的安全更換功能保證能夠和上級(jí)節(jié)點(diǎn)實(shí)時(shí)更新密鑰。同時(shí)加密密碼鍵盤應(yīng)該可以支持應(yīng)用的MAC計(jì)算調(diào)用，終端的業(yè)務(wù)系統(tǒng)可以調(diào)用它來(lái)完成MAC的計(jì)算 前置機(jī)系統(tǒng)的數(shù)據(jù)安全現(xiàn)在的銀行前置系統(tǒng)很多分類和叫法也不盡相同如ATMP、POSP、銀聯(lián)前置、總行前置以及各種各樣的外聯(lián)前置等等。 帳務(wù)主機(jī)的數(shù)據(jù)安全功能在業(yè)務(wù)的帳務(wù)主機(jī)，和其他不同的是需要對(duì)用戶PIN進(jìn)行校驗(yàn)。帳務(wù)主機(jī)系統(tǒng)可能還需要為客戶預(yù)先產(chǎn)生初始PIN的功能，該P(yáng)IN的產(chǎn)生也需要調(diào)用加密機(jī)隨機(jī)產(chǎn)生。對(duì)于距離較遠(yuǎn)的情況也可以采用信函等方式（VISA、MASTERCARD和成員行就采取該方法）交換密鑰，但是一個(gè)人員不能同時(shí)知道兩各密鑰成分。通常是以ATM向前置申請(qǐng)，前置向主機(jī)這樣下級(jí)向上級(jí)申請(qǐng)。上圖是一交易處理流程例圖，其說(shuō)明如下：ATM將PIN明文送入TSM加密機(jī)；TSM將PIK1加密下的PIN返回ATM；（對(duì)于加密密碼鍵盤，ATM得到的直接就是PIN密文）A