(金融保险)金融数据安全建设建议书

《(金融保险)金融数据安全建设建议书》由会员分享，可在线阅读，更多相关《(金融保险)金融数据安全建设建议书（21页珍藏版）》请在装配图网上搜索。

1、LOGObeikezha ngYOUR COMPANY NAME IS HERE专业丨专注丨精心丨卓越随心编辑,值得下载拥有!（金融保险）金融数据安全建设建议书XXXX年XX月XX日ZZZ科技仍；之上；且；当下；和；可是;能够；俩；见；某公司；运营；文档名称XXX公司金融数据安全建设建议 书文档编号XXX公司金融数据安全建设建议书-V0.1文档类别技术文档版本信息V0.1内部密级外部密级创建人创建日期修改历史版本号日期*状态修订人摘要V0.12009-04-08C创建*状态：C -创建 A -增加 M -修改 D -删除目录第一章 前言 11.1 概述 11.2 商业银行金融数据安全建设中的四

2、个阶段 11.2.1 未采用专业技术的裸奔阶段 11.2.2 软件密码技术的使用 21.2.3 硬件密码设备的应用 21.2.4 金融数据安全的完善阶段 3第二章 技术基础篇 52.1 加密算法分类 52.1.1 对称密钥算法和非对称密钥算法 52.1.2 分组密码算法和流密码算法 62.2关于3DES算法62.3 MAC 计算7第三章 商业银行对数据安全的基本要求 8第四章 金融数据安全密钥体系 94.1 金卡体系 94.2 RACAL密钥体系概述 104.3 PKI 体系11第五章 商业银行数据安全解决方案 135.1 金融业务系统简单模型下数据安全 135.2 设备部署 135.3 业务

3、终端数据安全功能 135.4 前置机系统的数据安全 145.5 帐务主机的数据安全功能 145.6 密钥的分发 155.7 业务数据安全传输 155.8发卡中PIN的安全165.9 联盟总体安全结构 175.10 加密机集群系统 185.10.1 网络结构图 185.10.2 主要功能 195.10.3 部署方式 20第六章 技术指标 216.1 SJL06 金融数据加密机技术说明 216.1.1 各模块的功能及作用 216.1.2 IC卡的设计246.1.3 密钥库设计 246.2 SJL06金融数据加密机的技术特点256.3 SJL06加密机的安全措施 26第七章 技术规格 287.1 S

4、JL06E加密机技术规格 287.1.1 技术规格287.1.2 工作环境要求 287.1.3 性能指标297.2 SJL06S加密机技术规格297.2.1 技术特点 297.2.2 技术指标297.2.3 性能指标297.3 加密机备件仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；专用工具清单 30第八章 配置建议 318.1 压力测试 318.1.1服务器A的集群系统双机 318.1.2服务器B集群系统双机 338.2 峰值业务量估计及配置建议 348.2.1 联盟中心 348.2.2 商行运行中心 368.2.3 网点368.2.4 终端和 ATM378.2.5 外联系统37

5、第九章 数据安全技术其它讨论 389.1 关于 PINBLOCK格式389.1.1 常用的 PINBLOCK 格式 389.1.2 安全分析 409.2 关于主机端 PIN 存放和校验 419.3 小额本票密押 429.4 旧系统密码移植 429.5 CVN 移植 429.6 分散网点的安全问题 42第十章 安全管理原则 4310.1 基本原则 4310.2 密钥的相关原则 43第十一章 附件 4511.1 近期工作建议 45第 一 章 前 言1.1 概 述金融电子化的发展，使得越来越多的货币以数字化的形式在银行网络中流动，而各金 融网络的互联互通已经形成了一张遍布全球的金融服务网络。如何在如

6、此大的业务网络中 保护客户和银行的利益不受损害将是银行信息安全的一个核心问题。因为金融行业的高风 险特点使得其对安全的要求也格外的苛刻。金融行业的信息安全问题不但囊括了其他行业信息安全的全部因素（防病毒、入侵监 测、通讯数据加密、身份认证、灾难备份等等），同时金融行业也有其特殊要求。因为用 户 PIN 的安全是银行为用户负责保障用户合法利益的关键。 我国新刑法中关于取证条款的 修改使得当用户仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；银行发 生冲突时（如用户资金丢失责任问题）银行能够证明自己为用户提供了足够的安全保护甚 至连银行内部人员也不可能获得，因此 如何保护用户的帐号密码（

7、 PIN ）的安全 是金融业 务中最特殊的安全要求。要保证数据的安全性（保密性、完整性）最有效的手段是采用加密技术对数据进行加 密处理。本文讨论的数据安全主要是指银行以卡业务为代表的用户以个人密码（PIN ）为身份鉴别手段的业务中用户关键信息（ PIN ）的安全和交易的安全。1.2 商 业 银 行 金 融 数 据 安 全 建 设 中 的 四 个 阶 段金融数据安全技术的发展也是随着金融业务的发展而发展起来的。这里将银行数据安 全划为四个阶段是代表金融数据安全从无到有从弱到强的一个过程。同时，在很多银行因 为业务系统众多建设时间前后不一等原因使四个阶段描述的状态可能都存在。1.2.1 未 采用

8、专业 技术 的裸 奔阶 段在金融电子划的初始阶段，银行的主要目标是建立和发展银行业务网络。由于观念、 技术、时间、资金等方面的原因没有或较少使用密码技术对业务信息进行安全保护。 此时， 在金融网络和业务系统中存在大量的 PIN 明文且对于数据信息的完整性和有效性也常不进 行校验，其安全性仅仅依靠网络系统的物理安全性和操作系统本身的安全性来保证，而很 少采用专业技术。这样的系统无论从金融系统内部仍；之上；且；当下；和；可是；能够；俩；见；某公 司；运营；是外部都仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；非常 容易获取交易中的机密信息仍；之上；且；当下；和；可是；能够；俩；见；某公

9、司；运营； 发起攻击行为，银行和银行客户的资产面临巨大风险。1.2.2 软 件密 码技 术的 使用随着银行卡应用的普及、金融网络的不断扩大，数据在传输过程中的安全性得到了一 定重视，在各种应用系统中使用软件对交易信息进行加密和完整性运算的方法得到广泛使 用。此时大家认为在银行外流动的信息是不安全的， 而忽略了信息在银行内部的安全。 仍； 之上；且；当下；和；可是；能够；俩；见；某公司；运营；金融犯罪实际上有 80% 仍； 之上；且；当下；和；可是；能够；俩；见；某公司；运营；来自内部，特别是随着金融 机构本身以及为金融机构服务的公司人员流动的加快，这种不安全性越来越明显。概括来 说使用软件加密

10、技术存在以下不足：软件的运行要占用主机资源，仍；之上；且；当下；和；可是；能够；俩；见； 某公司；运营；且软件的处理速度较慢软件运作时很多重要的资料 （如用来做密码运算的密钥， 或顾客的 PIN） 都会在某时间清 晰的出现于计算机的记忆或磁盘上，而对计算机数据安全有一定研究的不法分子便有机会 把这些资料读取、修改或删除，破坏系统的安全性。软件不能提供一种有效的机制保护密钥的存储安全密钥一旦被人盗取，则客户密码 PIN 也就无安全可言，因而国际银行卡组织（ VISA 、 万事达）和我国银联中心均作出了在金融系统中必须使用硬件加密设备的规定。 仍；之上； 且；当下；和；可是；能够；俩；见；某公司；

11、运营；且根据我国有关法规，不能使用进 口涉密产品。1.2.3 硬 件密 码设 备的 应用为了解决软件加密在安全上的不足，产生了专门解决金融业务数据安全的硬件加密设 备。国外将其称为 HSM （主机安全模块），国内称为金融数据加密机或金融数据加密机。在我国金融数据加密机的大量使用是随金卡工程实施开始的。金卡中心（银联）对于联网交易在关键信息保密性、信息的完整性和密钥交换管理等方面都一一规定，使得金卡交易 的安全性在一定范围得到了保证。仍；之上；且；当下；和；可是；能够；俩；见；某公司； 运营；多数银行是迫于银联的要求仍；之上；且；当下；和；可是；能够；俩；见；某公司； 运营；且因为联网工作时间紧

12、迫等原因仅仅在仍；之上；且；当下；和；可是；能够；俩； 见；某公司；运营；金卡中心的接口业务中使用了硬件密码设备而在其它地方依然是使用软 件加密甚至仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；使用 PIN 明文 传输的情况。这些问题的存在实际上使得使用硬件加密设备的作用打了折扣，这有一点象安 装了高级防盗门的房子有一个虚掩的窗户一样。但这是一个好的开端，很多银行在次过程中 认识到了现有系统在银行卡业务中安全方面的种种不足仍；之上；且；当下；和；可是；能 够；俩；见；某公司；运营；开始对它的完善做准备。1.2.4 金 融数 据安 全的 完善 阶段对现有系统进行完善使得用户 PIN

13、不能被任何人（包括银行内部人员）获取或非法使 用，为用户提供一个安全的银行卡使用环境将是金融机构今后工作的一个重点。在当前各 个商业银行在建立完善自己的数据安全体系方面主要关注以下几个方面：制定应用安全规范应用系统的建设必须遵循本行安全规范，全行应用系统安全改造计划及实施方案的制 定设立安全岗位、完善管理制度：将密钥、口令、密码设备等管理和工作流程制度化。建设本行数据安全服务平台将应用开发、安全开发、安全管理分离。本文讨论的数据安全是指银行以卡业务为代表的用户以个人密码 （PIN ）为身份鉴别手 段的业务中用户关键信息（ PIN ）和交易的安全。一个完善的数据安全系统应该符合以下 要求：“用户

14、 PIN 在银行业务系统中永远不以明文形式出仍； 之上；且；当下；和；可是； 能够；俩；见；某公司；运营；硬件安全模块以外 ”，这是保证用户 PIN 安全的第一步。密码设备使用安全密码设备本身设计或使用不当可能会成为他人对密文信息攻击的工具，因而必须采取 措施保证任何人未经授权不能利用密码设备对保密信息进行攻击。密钥管理安全对称密钥算法安全的关键在于密钥的安全，对于使用公开的商业密码算法的系统任何 人获得密钥都仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；对相关信 息进行解密、篡改、伪造。因而要保证 PIN 在金融网络系统中不能被任何人获得就必须首 先保证系统中使用的相关密钥不能被

15、任何人获得。管理安全对一个系统安全的评估不能建立在对一个群体信任的基础之上（包括内部人员、系统 开发商、设备供应商），相关安全的责任人必须明确仍；之上；且；当下；和；可是；能 够；俩；见；某公司；运营；且可控、可审记，对于关键安全要素必须由多人共同掌管避 免风险集中。第 二 章 技 术 基 础 篇2.1 加 密 算 法 分 类2.1.1 对 称密 钥算 法和 非对 称密 钥算 法对称密钥算法是指对数据的加密和解密过程使用同一把密钥（如下图所示）。代表算法有DES、IDEA、AES等，其中DES是当前公开算法中使用最为广泛的算法。非对称密钥算法（又称公开密钥算法）是指加密和解密使用的密钥不同，虽

16、然仍；之 上；且；当下；和；可是；能够；俩；见；某公司；运营；个密钥有必然的联系仍；之上； 且；当下；和；可是；能够；俩；见；某公司；运营；不能够从加密密钥得到解密密钥， 这样就仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；将加密密钥公开 （不需要保密）。通常将加密密钥称为公开密钥（或公钥）将解密密钥称为私有密钥（或 私钥）。如下图所示：非对称密钥算法相对对称密钥算法的优势就在于加密密钥仍；之上；且；当下；和； 可是；能够；俩；见；某公司；运营；公开，这样就方便了密钥的分发。又因为私钥只有 信息的接收方才有，反向如果使用私钥对数据加密虽然数据的保密性不能保证仍；之上； 且；当下；和

17、；可是；能够；俩；见；某公司；运营；数据的接收方仍；之上；且；当下； 和；可是；能够；俩；见；某公司；运营；判断该数据是私钥所有者发送。当前的 CA及 数字签名正是利用了公开密钥算法的这一特性实现信息的不可抵赖性。当前主要的公开密 钥算法是 RSA 算法。仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；当前的公开密钥算 法处理速度要比对称密钥算法慢很多，仍；之上；且；当下；和；可是；能够；俩；见； 某公司；运营；且公开密钥算法密钥的产生非常复杂必须使用专门工具而不象对称密钥随 机一个数字就仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；作为密钥使用。因而通常将公开密钥用在身

18、份认证和对称密钥的交换上，而大量的数据加密仍；之 上；且；当下；和；可是；能够；俩；见；某公司；运营；使用对称密钥算法。2.1.2分组密码算法和流密码算法如果从加密方式来区分算法又仍；之上；且；当下；和；可是；能够；俩；见；某公 司；运营；分为分组密码算法和流密码算法。分组密码算法每次对固定长度的信息进行加 密，因而在加密数据前需要将数据分为等长的若干组，一组一组进行加密计算。分组算法 的密钥长度也是一定的，因此对一个分组密码算法最重要的仍；之上；且；当下；和；可 是；能够；俩；见；某公司；运营；个概念是密钥长度和分组长度。流密码算法是产生一 个密钥流和被加密的数据按位（bit ）异或计算，而

19、没有密钥长度和分组长度的概念。流密 码算法的技术核心是密钥流的产生和同步技术。因为设计一个好的流密码算法对技术要求非常高同时实施成本也很高，所以我们通常 商用密码大部分都是分组密码，对安全要求更高的普密核密使用流密码技术较多。我们常 用的DES算法就是一个64分组的分组算法。2.2关于3DES 算法DES算法是当前使用最为广泛的加密算法，在金融数据安全领域基本全部也是使用的DES算法。因为其密钥长度太小（DES密钥长度是64bits其中只有56bits有效位）其安 全性在当前的计算技术能力情况下已经不能满足各方面安全的需要，仍；之上；且；当下;和；可是；能够；俩；见；某公司；运营；使用新的算法

20、有存在兼容性，因此人们提出了 3-DES的替代方案。我国金融行业是从 2002年开始在金融行业使用3-DES替代DES算 法工作的。3DES算法加密数据说明3-DES加密算法实际上是使用仍；之上；且；当下；和；可是；能够；俩；见；某公 司；运营；个或三个密钥密钥对一个数据分组进行三次 DES运算。因为从数学上人们证明 了 DES算法的是不成群的，因此通过增加通过该方法仍；之上；且；当下；和；可是；能 够；俩；见；某公司；运营；有效提高算法的安全强度。下面说明3DES算法的兼容性问题。以双倍长密钥（128bits ）为例，我们将前半部分称为 KEY1后半部分称为KEY2。其计算过程如下图所示:加

21、密过程解密过程64 b備明文KEY丄64血密文KEY*DJS1 这样当KEY仁KEY2时就相当KEY1进行DES计算了。同样三倍长（192bits ）算法 分为KEY1、KEY2、KEY3依次使用，KEY1=KEY2时兼容双倍长密钥 KEY1=KEY2=KEY3 时兼容单倍长 DES 算法了。2.3 MAC 计 算ANSI X9.19 定义了使用双倍长密钥计算 MAC 的方法,它完全兼容 ANSI X9.9 的单 DES MAC 计算方法。 ANSI X9.19 标准使用 MAC 双倍长密钥前半部分对 MAC 数据按 X9.9 计算,然后使用 MAC 密钥后半部分对结果解密计算 ,再用前半部分

22、加密得到 MAC 值。 算法如下图所示：我国银联定义的算法和 ANSI X9.19 不同，它是对每一个分组进行 3DES 计算当然它 也是兼容单 DES MAC 计算的，仍；之上；且；当下；和；可是；能够；俩；见；某公司； 运营；处理工作量要比 ANSI X9.19 大一些。第 三 章 商 业 银 行 对 数 据 安 全 的 基 本 要 求金融行业业务系统对数据安全的主要要求包括以下三点：关键信息（ PIN ）的保密性对于银行卡业务，用户密码（ PIN ）是用户身份认证的关键信息， PIN 的泄露会使得它 人假冒持卡人进行取现、消费、转帐等业务将对持卡人的利益造成难以估计的损失。对于 PIN

23、的安全一方面用户自己必须防止 PIN 的泄露，而对于银行更要保证用户 PIN 在金融网 络和业务系统的安全。对 PIN 的保密性包括 PIN 的产生、存储、传输、更改、校验等过程 中不能被任何人（包括银行内部人员）获取或非法使用。换句话说应该是除了持卡人任何 人都无法得到 PIN 的明文。数据的完整性数据的完整性是确保信息由产生至接收的途中没有被意外或人为修改。例如银行发出 一个指令给柜员机 , 内容为允许付款若干金额 , 可是此信息在途中出现问题 , 令金额数值 改变。虽然银行本身仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；不 知情 , 但此失误却直接影响银行及持卡人的结帐数目

24、；或者用户在使用自助设备完成转帐 时攻击者修改了转入帐号这样攻击者就仍；之上；且；当下；和；可是；能够；俩；见； 某公司；运营；在不知道持卡人 PIN 的情况下盗取资金。来源的可信性来源的可信性是为了防止攻击者假冒合法业务终端（如银行 ATM 、CDM ）向银行业 务系统发送假冒交易或者假冒银行主机系统应答业务终端的业务请求从而给银行或合法 用户造成损失。除此之外在一些业务系统中也要求对数据进行传输加密这相对 PIN 安全要求要简单很 多，因此在本文不再讨论。第四 章 金 融 数据 安 全 密钥 体 系在基于密码技术的安全系统中密钥管理是最为重要的一个方面。我们需要对密钥的产 生、分配、贮存、

25、转换、分工和分层等制定一套方案。不同加密机生产厂商可能提供不同 的密钥管理体系。当前国内金融行业存在多种密钥体系，其中使用最广泛的是 RACAL 密 钥体系。该体系因为是全球最大的金融数据加密机提供商 RACAL 创建而得名。金卡体系 为银联所建立，多应用于银联联网系统，仍；之上；且；当下；和；可是；能够；俩；见； 某公司；运营；种结构没有本质上的区别。4.1 金 卡 体 系其中：MAK 和 PIK 统称工作密钥；MAK 密钥用于对组成数据包的关键栏位进行 MAC 运算（ ANSI X9.9 ），生成 MAC （信息完整性校验码）；PIK密钥用于对用户个人密码进行 PIN运算（ANSI X9.

26、8 ）,生成传输数据包中的PIN 密文；工作密钥以由中心统一生成，以数据格式中的 ResetKey 交易指令进行密钥分发；工作密钥以密文形式保存，由应用系统直接调用；BMK 银行主密钥：为确保工作密钥的安全，在 SJL06 T主机加密模块中，提供了 BMK （银行主密钥）对 工作密钥进行加密保护；BMK 由仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；个成分（ 32位十六进制数）组成，由中心和网点各出一份，采用“背对背”形式进行输入；BMK 以密文存储在中心和网点的主机加密模块 (中心和网点的 BMK 为一一对应关系) 中，通过索引号进行调用，永远不以明文形式出现；MK 加密机主密

27、钥：在 SJL06T 主机加密模块中采用 MK (加密机主密钥)对 BMK 进行加密保护；MK 由三个成分( 32 位十六进制数)组成，由加密机使用单位通过行政手段分派专人 管理和维护，一般由 23 人采用“背对背”形式进行输入；MK 以密文形式存储在加密机黑匣子中，且永远不以明文形式出现。4.2 RACAL 密 钥 体 系 概 述在传统金融业务中数据安全全部使用对称密钥算法实现， RACAL 定义了如下的三层密 钥管理体系：第一层密钥：本地主密钥 (LMK)本地主密钥( Local Master Key - LMK )存放在加密机内的，由三个成分组合生成， 是整个安全体系中的最高层密钥。 L

28、MK 不会出仍；之上；且；当下；和；可是；能够；俩； 见；某公司；运营；加密机以外的地方，它采用双倍标准对称密钥(长 128 位)实现三重 数据加密。所有的密钥和加密数据存放在本地时都必须经 LMK 进行加密。加密机投入运行时，必须先产生和装载 LMK。LMK通常由三个成分组成，由加密机 使用单位通过行政手段分派专人管理和维护，一般由 3 人采用“背对背”形式进行输入；LMK 在本地是唯一的，仍；之上；且；当下；和；可是；能够；俩；见；某公司；运 营；且仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；系统中其他交易 节点没有关系。LMK 以密文形式存储在加密机黑匣子中，且永远不以明文

29、形式出现。第二层密钥：区域 / 终端主密钥 (ZMK/TMK) 第二层密钥通常称为密钥加密密钥或密钥交换密钥( Key-encrypting key 或 Key Exchange Key )。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密 钥的自动分配。在本地或共享网络中。不同的仍；之上；且；当下；和；可是；能够；俩； 见；某公司；运营；个通讯网点或终端设备使用不同的密钥加密密钥，从而实现密钥的分 工管理，它在本地存放时，处于本地主密钥 LMK 的加密保护之下或直接保存在硬件加密 机中。区域主密钥 ZMK 用于总行、分行、支行、网点等仍；之上；且；当下；和；可是； 能够；俩；见；

30、某公司；运营；个区域之间加密传输工作密钥；而终端主密钥 TMK 用于 银行系统仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；各种自助终端 或 POS 设备之间加密传输工作密钥。第三层密钥：工作密钥 (ZPK/ZAK/TPK/TAK/PVK)第三层密钥，通常称为工作密钥或数据加密密钥。包括 ZPK、ZAK、TPK、TAK 等密 钥，它的作用是加密各种不同的业务数据，从而实现数据的保密，信息的认证，以及数字 签名的功能，这些数据密钥在本地存放时，处于本地主密钥 LMK 的加密保护之下。ZPK 或 TPK 用于加密仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营； 个通讯节点之间

31、需要传输的 PIN ，从而实现 PIN 的传输、处理的安全性。 ZAK 或 TAK 用 于在仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；个通讯节点之间传 送信息时，生产和检验一个信息认证代码 (MAC) ，从而达到信息认证的目的。除此之外仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；有一些其 它工作密钥这里不再一一介绍。4.3 PKI 体 系由于传统 HSM 密钥体系只采用对称密钥机制来保证金融尤其是银行敏感数据传输、 处理以及存储地安全性，所以仍；之上；且；当下；和；可是；能够；俩；见；某公司； 运营；存在以下天生地缺陷：区域主密钥和终端主密钥 (ZMK/TMK)

32、需要人工分发，导致保密性不强，更换不方便， 造成了整个系统维护的效率低下。虽然仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；保证交易传输、 处理的安全性，仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；无法保 证交易操作的不可抵赖性。对网点的身份认证有一定的难度，同时很难进行高强度的访问控制特别是网上银行的安全问题已经不能使用对称密钥算法有效解决，同时 EMV2000 中 也包含了对RSA算法的要求。金融数据安全引入 RSA算法为RSA密钥定义了仍；之上； 且；当下；和；可是；能够；俩；见；某公司；运营；种功能：使用数字签名和密钥管理。 因此和对称密钥不同它兼有工作密钥（

33、数字签名）和管理密钥（保护对称密钥在通讯双方 实现交换）的双重功能。RSA在本地存放使用LMK保护或直接保存在加密机中，通讯双 方仅仅需要交换公钥（不必加密），而私钥仅仅在本地使用不需要分发。仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；传统密钥体系相比， 新密钥体系引入了 RSA密钥对，给第二层密钥（ZMK/TMK）的分发和更新提供了一种自动 在线的方式，仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；这种自动 在线分发和更新方式，仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营； 不排除传统密钥体系中的人工背对背分发和更新方式。下图是增加了 RSA密钥对（PK

34、、SK）后的密钥结构：第 五 章 商 业 银 行 数 据 安 全 解 决 方 案5.1 金 融 业 务 系 统 简 单 模 型 下 数 据 安 全金融业务交易网络是由业务终端设备（柜台、 ATM 、POS 等）、存放用户帐户信息的 业务主机以及网络交易链中的中间系统（ ATM 前置、 POS 前置、综合前置、银联前置、 银联系统、国际卡系统等等） 。为简单起见我们的讨论仅仅考虑一个中间环节的简单模型。 下面我们以 ATM 、综合前置和业务主机组成的金融网络为例的金融数据安全解决方案。5.2 设 备 部 署在综合前置机和业务主机端连接金融数据加密机（这里以 SJL06 加密机为例）作为本 机的安

35、全服务模块。而 ATM 通常有自己的加密模块，根据厂家不同或提供加密密码键盘 或独立的安全模块（这里称为 TSM ）。5.3 业 务 终 端 数 据 安 全 功 能业务终端将需要将用户输入的 PIN 进行加密然后送到上级业务节点（通常是其对应的 前置机），仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；要对业务数 据计算 MAC 保证交易的完整性。终端设备的加密模块需要具有以下功能：按照各种 PIN 标准格式对 PIN 进行加密；按照各种规范进行 MAC 计算功能；具有密钥保存功能，保证密钥安全；密钥的安全更换功能保证能够和上级节点实时更新密钥。为了保证客户在业务终端上输入个人密码时

36、 PIN 的安全，仍；之上；且；当下；和； 可是；能够；俩；见；某公司；运营；使用加密密码键盘替代普通密码键盘。当客户输入 密码后，加密密码键盘对 PIN 进行加密处理，输出一个密文值到支行前置机。同时为了更 有效的保证客户 PIN 的安全，要求相同的 PIN 值其密文应该不同。 同时加密密码键盘应该 仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；支持应用的 MAC 计算 调用，终端的业务系统仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营； 调用它来完成 MAC 的计算5.4 前 置 机 系 统 的 数 据 安 全仍；之上；且；当下；和；可是；能够；俩；见；某公司；运营；

37、的银行前置系统很 多分类和叫法也不尽相同如 ATMP、POSP、银联前置、总行前置以及各种各样的外联前 置等等。总之除了业务终端和银行帐务主机之外的系统统统称为前置系统。前置系统的加密机主要功能包括密钥分发向其他通讯方分发密钥（如终端）或接受其他方分发的密钥（如帐务主 机或上级前置系统）；按照各种规范进行 MAC 计算和 MAC 校验功能；PIN 密文转换功能； 本地密钥的管理；前置系统作为不同系统间的连接系统在安全上和业务上一样需要进行安全的屏蔽和转 换。如 PIN 转换，它需要在不同系统间转换各种安全要求，包括不同密钥的转换、不同 PIN 格式（ PIN 格式说明见本文后面内容）的转换、不

38、同算法的转换等等，这些转换都需 要在加密机内部完成，所谓的加解密都是在加密机内部完成，而在加密机外部是不应该出 现 PIN 明文的。5.5 帐 务 主 机 的 数 据 安 全 功 能在业务的帐务主机，和其他不同的是需要对用户 PIN 进行校验。在帐务主机的数据库 中存放用户 PIN 的密文值信息（关于 PIN 加密方式见本文后面有关内容） 。帐务主机需要 将其它业务系统交易报文中送来的用户输入的 PIN和数据库中的PIN进行比较校验其是否 相同从而判定客户身份是否合法。 该校验应该是将其它系统送来的 PIN 密文和本地数据库 中的 PIN 密文一起送入加密机，在加密机内部完成 PIN 的解密和加密等过程从而判定仍； 之上；且；当下；和；可是；能够；俩；见；某公司；运营；者是否相同。