SJL05金融数据加密机技术白皮书new.docx

SJL05金融数据加密机技术白皮书new.docx

《SJL05金融数据加密机技术白皮书new.docx》由会员分享，可在线阅读，更多相关《SJL05金融数据加密机技术白皮书new.docx（9页珍藏版）》请在冰豆网上搜索。

SJL05金融数据加密机技术白皮书new

SJL05金融数据加密机技术白皮书

WestoneHostSecurityModuleSerialWhitePaper

Version4.0

1背景

随着社会信息化的发展，我国银行界的电子化工程正在经历着结构，职能和性质的转化和飞跃,柜台业务电子化和清算业务网络化已初具规模，在与国际金融接轨方面和在加速资金周转和提高资金利用效率方面，都发挥了巨大的作用。

其中，电子资金传送系统（EFT）更是国内外金融界研究的热门课题，也是全面实现金融电子化及“金卡”工程的关键技术。

EFT要解决的关键问题就是金融系统的安全。

以往银行在这方面几乎都是采取用软件加密的方式，但其加密程度低，稳定性差，极易受到攻击。

而且EFT和电子联行，直接涉及到巨额资金的传送，其风险性也是相当大的，巨额资金的诱惑更增大了被攻击的风险。

因此，研制适合我国国情的金融数据加密机已迫在眉睫。

1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下，研制出了国内唯一专用于金卡工程的SJL05金融数据加密机，主要适用于银行卡跨行支付交易的保密的ATM联网信息系统，构成金融卡实时消费转帐和销售点信息管理的保密POS联网信息加密系统，金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。

SJL05金融数据加密机以其超前的技术，成功取代了国外同类产品（雷卡），每年为国家节约上亿美金，同时也是国内第一台通过国家主管部门鉴定的主机加密机，第一台通过国际VISA组织认可的主机加密机。

到2010年，金融数据加密机经过不断的创新，已经开发出5代产品，可以满足不同层次客户的需求，其卓越的性能，先进的技术，恒久的品质业已被国家主管部门选为金融安全领域的行业标准产品。

目前，本产品已被全国2/3以上的银行广泛使用，成为行业领导品牌。

2产品概述

2.1产品简介

SJL05金融数据加密机整机前视图如下：

SJL05金融数据加密机是信息产业部电子第三十研究所研制的密码产品，主要用于实现对主机应用层数据加/解密、消息来源正确性验证、密钥管理等。

特别适用于各地银行金融信息系统，尤其可以对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。

除此之外，它还可广泛用于社保、公交、证券、商贸、邮电、税收、保险等计算机网络系统中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。

该产品在国内属于首创，在整体技术上已达到或接近国外同类先进产品，并率先在国内通过由国家密码管理委员会组织的专家鉴定（国密证第0009号）。

鉴定委员会一致认为：

“SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值。

”

SJL05金融数据加密机成功地应用于我国多个金卡交换中心、众多商业银行的清算系统、大集中系统、外卡系统和多个城市的公交系统、社保系统，受到客户高度赞誉。

。

2.2产品功能

SJL05金融数据加密机系列产品主要为金卡工程、城市一卡通、银行卡业务、社保卡业务、公交卡业务等提供基于密码技术的保护，具有以下功能：

☺密钥管理、密钥产生、密钥分发、密钥分散；

☺消息完整性保护（MAC的计算和验证）；

☺个人PIN码的保护（PINBLOCK的加密、转换、验证）；

☺CVV（卡效验值）、PVV（PIN效验值）计算；

☺交易正确性验证（TAC的计算和验证）；

☺数据的加/解密；

☺数字签名和验证；

☺摘要（SHA1、MD5等）；

☺满足PBOC金融IC卡规范需求；

2.3技术指标

2.3.1密码体制

☺完整的安全保密体系结构；

☺提供DES、3DES、Double-one-way算法和经国家主管部门审定批准的金融专用密码算法；

☺CBC加密方式同时实现保密性与完整性；

☺完善的密钥管理系统。

2.3.2工作方式

☺异步：

2400--115200bps连续可调；

☺同步：

4800—512000bps可调；

☺Ethernet：

10M/100M自适应。

2.3.3接口协议

☺V.24/RS232-C；

☺V.35/RS422；

☺X.25、SNA/SDLC；

☺TCP/IP。

2.3.4稳定性指标

☺以ISO9001认证体系保证产品的质量；

☺系统平均无故障时间MTBF>30000小时。

2.3.5处理能力

☺DES算法加解密速率：

240Mbps；

☺金融专用算法加解密速率：

18Mbps；

☺模长1024bits的RSA算法签名速率：

大于400次/秒；

☺模长1024bits的RSA算法验证速率：

大于6000次/秒；

☺模长2048bits的RSA算法签名速率：

大于80次/秒；

☺模长2048bits的RSA算法验证速率：

大于700次/秒。

2.3.6工作环境

☺工作温度：

0℃～50℃；

☺存贮温度：

－40℃～55℃；

☺相对湿度：

20%～85%；

☺电压：

220V±10%50Hz±3%。

3技术特点

3.1安全性

SJL05金融数据加密机在为上层应用提供安全服务功能的同时，也充分考虑了自身的安全性设计。

在物理方面，采用了物理锁防拆、防撬设计；在密钥管理方面，采用用户访问权限控制（密钥注入管理）以及密钥在加密机外的分段备份存放安全机制，保证了加密机自身及密钥的安全。

3.2兼容性

SJL05金融数据加密机系列支持Async、X.25、TCP/IP、SNA等通信接口协议，同时兼容RACAL加密机的消息报文格式，提供支持ScoUnix、AIX、HP-UNIX、Linux、Windows等操作系统平台API。

3.3标准性

SJL05金融数据加密机支持以下标准：

☺ANSIX3.92数据加密算法；

☺ANSIX9.9信息鉴别；

☺ANSIX9.8PIN的管理与安全；

☺ANSIX9.17密钥管理；

☺ANSIX9.19零售金融信息的鉴别；

☺多种ATM机用户密码格式；

☺中国人民银行金融IC卡规范；

☺VISA及MASTER对硬件加密机的相关需求。

3.4成熟性

SJL05金融数据加密机经过不断的完善与技术创新，已开发出了3代产品，提供从高端到低端的系列化配置，可以根据用户不同的应用情况和业务处理能力需求，配置不同系列的金融数据加密机。

3.5稳定性

SJL05金融数据加密机的生产严格按照ISO9001质量管理体系的流程生产、测试、烤机、检验，每一台出厂的机器都经过长达200小时以上的烤机和压力测试。

系统平均无故障时间大于30000小时。

4典型应用

4.1在有中心模式中的应用

SJL05金融数据加密机在我国的金卡工程中发挥了重要作用，为银行卡的跨行、跨地区取款或消费提供了可能。

其典型配置如下：

SJL05金融数据加密机金卡网络中的配置

在跨行交易中以个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：

PIN在ATM/POS跨行交易的流程

其中：

1）顾客输入私人密码；

2）传送被ATM/POS加密的私人密码；

3）收卡行翻译私人密码；

4）传送被收卡行加密的私人密码；

5）交换中心转换私人密码；

6）传送被交换中心转换后的私人密码；

7）发卡行校验私人密码。

4.2在无中心模式中的应用

在无金卡中心的城市，各商业银行采用了无中心的模式来实现了银行卡在POS上的联网联合。

入网的POS能够接受各入网卡种，POS机根据用户卡判断出发卡银行，按照发卡银行要求的信息格式进行打包，将交易信息打包上送发卡银行处理。

其典型配置如下：

SJL05金融数据加密机在无中心模式中的配置

4.3在大集中系统中的应用

大集中系统是商业银行全行统一规划的一个系统。

它是指各分行的卡信息和帐务信息统一由总行集中管理，各分行只起路由作用，所用的交易都上送到总行主机处理。

SJL05金融数据加密机在其总行密钥管理和交易系统以及分行密钥管理和交易系统中起着重要作用。

其典型配置如下：

SJL05金融数据加密机在大集中系统中的配置

4.4在手机移动银行中的应用

手机移动银行是银行的一项增值业务，它利用手机SIM卡具有的加密功能和手机短信功能，通过手机就可实现个人帐务的查询、转账、外币买卖等银行业务。

而银行端则采用硬件加密机来实现加解密和密钥管理功能。

其配置如下：

SJL05金融数据加密机在手机移动银行中的配置

4.5替换RACAL加密机

由于历史的原因，我国一些商业银行采用了RACAL的硬件加密机。

为了在不影响银行上层应用和交易的前提下，成功替换RACAL加密机，我们推出了兼容RACAL加密机的SJL05金融数据加密机。

它完全兼容RACAL加密机的密钥管理方式、指令形式、报文消息格式，为银行成功替换RACAL加密机提供了完美的解决方法，并且在招商银行总行、昆明金卡、武汉中行、安徽中行、石家庄中行等银行成功实现。

4.6与VISA、MASTER互连

随着国民经济的全球化、国际化，银行外卡业务的开通势在必行，开通外卡业务通常涉及到与VISA和MASTER国际组织的互联。

SJL05金融数据加密机支持VISA和MASTER组织对硬件加密机的要求，在上海金卡中心与VISA、MASTER成功互联，并得到VISA和MASTER组织的认可。

同时，在农行外卡受单系统中，SJL05金融数据加密机也成功实现与VISA、MASTER的互联，经过一段时间的运行，系统稳定，客户反应良好。

。

4.7其它应用

SJL05金融数据加密机除了在银行卡（磁条卡/金融IC卡）以及上述业务应用中发挥重要作用外，还在部分大城市的城市一卡通系统、公交卡系统、社保卡系统、加油卡系统等业务系统中得到成功应用。

5成功案例

成都卫士通公司作为全国唯一7家“双定点”（定点研制，定点生产）单位之一，集众多专家的智慧，多年来一直致力于研究金融系统安全研究，并根据客户自身的具体情况设计和实现多种个性化安全方案。

特别是在国家“金卡工程”中，我们承担了全国银行卡交换总中心、上海、杭州、福州、厦门、昆明、温州等地金卡工程的安全系统实施。

除金卡工程外，SJL05金融数据加密机还在多家总行级和地区的金融IC卡系统、电子联行系统、综合业务系统、信用卡系统、银证转帐系统、企业银行系统、网上证券交易系统、社保系统、公交卡系统等得到了成功应用。

在金融界，SJL05金融数据加密机系列产品已经成为业界的行业标准和规范，填补了国内空白，完全替换了国外的同类进口产品。