SJL05金融数据加密机技术白皮书new

1、WestoneSJL05金融数据加密机 技术白皮书Westone Host Security Module Serial White PaperVersion 4.0Westone成都卫士通信息产业股份有限公司Chengdu Westone Information Industry Inc.1SJL05_HSM技术白皮书目录1 技术背景12 产品概述12.1 产品简介122产品功能 22.3 技术指标32.3.1 密码体制32.3.2 工作方式 32.3.3 接口协议32.3.4 稳定性指标 42.3.5 处理能力42.3.6 工作环境43 技术特点53.1 安全性53.2 兼容性53.3 标

2、准性53.4 成熟性63.5 稳定性64 典型应用64.1 在有中心模式中的应用 64.2 在无中心模式中的应用 84.3 在大集中系统中的应用 94.4 在手机移动银行中的应用 94.5 替换RACAL加密机 104.6 与 VISA、MASTER 互连104.7 其它应用105 成功案例11成都卫士通信息产业股份有限公司-ii -SJL05_HSM技术白皮书1背景随着社会信息化的发展， 我国银行界的电子化工程正在经历着结构，职能和性质的转化和飞跃，柜台业务电子化和清算业务网络化已初具规模，在与国际金融接轨方面和在加速资 金周转和提高资金利用效率方面，都发挥了巨大的作用。其中，电子资金传送系

3、统（EFT）更是国内外金融界研究的热门课题，也是全面实现金融电子化及“金卡”工程的关键技术。EFT要解决的关键问题就是金融系统的安全。以往银行在这方面几乎都是采取用软件加密的方式，但其加密程度低，稳定性差，极易受到攻击。而且EFT和电子联行，直接涉及到巨额资金的传送，其风险性也是相当大的，巨额资金的诱惑更增大了被攻击的风险。因此,研制适合我国国情的金融数据加密机已迫在眉睫。1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下，研制出了 国内唯一专用于金卡工程的SJL05金融数据加密机，主要适用于银行卡跨行支付交易的保密的ATM联网信息系统，构成金融卡实时消费转帐和销售点信息管理

4、的保密POS联网信息加密系统，金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。SJL05金融数据加密机以其超前的技术，成功取代了国外同类产品（雷卡），每年为国家节约上亿美金，同时也是国内第一台通过国家主管部门鉴定的主机加密机，第一台通过国际VISA组织认可的主机加密机。到2010年，金融数据加密机经过不断的创新，已经开发出5代产品，可以满足不同层次客户的需求，其卓越的性能，先进的技术，恒久的品质业已被国家主管部门选为金融安全 领域的行业标准产品。目前，本产品已被全国2/3以上的银行广泛使用， 成为行业领导品牌。2产品概述2.1产品简介SJL05金融数据加密机整机前视图如下:SJL05

5、金融数据加塞机（国密证第：0009号）SJL05金融数据加密机是信息产业部电子第三十研究所研制的密码产品，主要用于实现对主机应用层数据加/解密、消息来源正确性验证、密钥管理等。特别适用于各地银行金融 信息系统，尤其可以对进行跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。除此之外，它还可广泛用于社保、公交、证券、商贸、邮电、税收、保险等计算机网络系统 中，为计算机网络系统提供安全保密数据通信服务，防止网上的各种欺诈行为发生。该产品在国内属于首创，在整体技术上已达到或接近国外同类先进产品，并率先在国内通过由国家密码管理委员会组织的专家鉴定（国密证第0009号）。鉴定委员会一致认为：“

6、SJL05金融数据加密机设计合理，技术先进，适用范围广，保护措施可靠，操作使用方便，技术资料齐 备，整体技术达到国内先进水平，填补了我国ATM/POS金融数据加密设备的空白，具有推广应用价值。”SJL05金融数据加密机成功地应用于我国多个金卡交换中心、众多商业银行的清算系 统、大集中系统、外卡系统和多个城市的公交系统、社保系统，受到客户高度赞誉。2.2产品功能SJL05金融数据加密机系列产品主要为金卡工程、城市一卡通、银行卡业务、社保卡业 务、公交卡业务等提供基于密码技术的保护，具有以下功能：密钥管理、密钥产生、密钥分发、密钥分散；消息完整性保护（MAC的计算和验证）；个人PIN码的保护（PI

7、NBLOCK的加密、转换、验证）；CVV （卡效验值）、PVV （PIN效验值）计算; 交易正确性验证（TAC的计算和验证）;数据的加/解密；数字签名和验证；摘要（SHA1、MD5 等）；满足PBOC金融IC卡规范需求；2.3技术指标2.3.1密码体制完整的安全保密体系结构；提供DES、3DES、Double-one-way算法和经国家主管部门审定批准的金融专用密码算法；CBC加密方式同时实现保密性与完整性；完善的密钥管理系统。2.3.2工作方式异步：2400-115200bps连续可调; 同步：4800512000 bps 可调； Ethernet： 10M/100M 自适应。2.3.3接口

8、协议V.24/RS232-C ；V.35/RS422 ；X.25、SNA/SDLC ；TCP/IP。234稳定性指标以ISO 9001认证体系保证产品的质量:系统平均无故障时间 MTBF 30000小时2.3.5处理能力DES算法加解密速率：240Mbps ；金融专用算法加解密速率：18Mbps ；400次/秒；6000次/秒;80次/秒；700次/秒。模长1024bits的RSA算法签名速率：大于模长1024bits的RSA算法验证速率：大于模长2048bits的RSA算法签名速率：大于模长2048bits的RSA算法验证速率：大于2.3.6工作环境工作温度：0C50C；存贮温度：40C55

9、 C;相对湿度：20%85%;电压：220V -10% 50Hz _3%。3技术特点3.1安全性SJL05金融数据加密机在为上层应用提供安全服务功能的同时，也充分考虑了自身的安全性设计。在物理方面，采用了物理锁防拆、防撬设计；在密钥管理方面，采用用户访问权 限控制（密钥注入管理）以及密钥在加密机外的分段备份存放安全机制，保证了加密机自身及密钥的安全。3.2兼容性SJL05金融数据加密机系列支持Async、X.25、TCP/IP、SNA等通信接口协议，同时兼容RACAL 加密机的消息报文格式，提供支持 Sco Unix、AIX、HP-UNIX、Linux、Windows等操作系统平台API。3.

10、3标准性SJL05金融数据加密机支持以下标准：ANSI X3.92数据加密算法；ANSI X9.9信息鉴别；ANSI X9.8PIN的管理与安全；ANSI X9.17密钥管理；ANSI X9.19零售金融信息的鉴别；多种ATM机用户密码格式；中国人民银行金融IC卡规范；VISA及MASTER对硬件加密机的相关需求。3.4成熟性SJL05金融数据加密机经过不断的完善与技术创新，已开发出了 3代产品，提供从高端到低端的系列化配置，可以根据用户不同的应用情况和业务处理能力需求，配置不同系列的金融数据加密机。3.5稳定性SJL05金融数据加密机的生产严格按照IS09001质量管理体系的流程生产、测试、

11、烤机、检验，每一台出厂的机器都经过长达200小时以上的烤机和压力测试。系统平均无故障时间大于30000小时。4典型应用4.1在有中心模式中的应用SJL05金融数据加密机在我国的金卡工程中发挥了重要作用，为银行卡的跨行、 跨地区取款或消费提供了可能。其典型配置如下：交换中心SJLQ5SJL05成员行四SJL05SJL05aATMPOSSJL05成员行一成员行二成员行二SJL05金融数据加密机金卡网络中的配置在跨行交易中以个人身份号PIN在ATM/POS网络的传输为例，个人身份号PIN从收卡行到交换中心再由交换中心到发卡行受校验流程大致如下：PIN在ATM/POS跨行交易的流程(1) 顾客输入 私

12、人密码其中:1) 顾客输入私人密码;2）传送被ATM/POS加密的私人密码;3）收卡行翻译私人密码；4）传送被收卡行加密的私人密码；5）交换中心转换私人密码；6）传送被交换中心转换后的私人密码；7）发卡行校验私人密码。4.2在无中心模式中的应用在无金卡中心的城市，各商业银行采用了无中心的模式来实现了银行卡在POS上的联网联合。入网的 POS能够接受各入网卡种， POS机根据用户卡判断出发卡银行，按照发卡 银行要求的信息格式进行打包，将交易信息打包上送发卡银行处理。其典型配置如下：SJL05JU-4Li_-u33=2 I. 前置用商业银行-SJL05商业银行五商业馄行啊商业很行二SJLOSSJL

13、05前过机商业银行一一SJL05SJL05前置机SJL05金融数据加密机在无中心模式中的配置4.3在大集中系统中的应用大集中系统是商业银行全行统一规划的一个系统。它是指各分行的卡信息和帐务信息统一由总行集中管理，各分行只起路由作用，所用的交易都上送到总行主机处理。SJL05金融数据加密机在其总行密钥管理和交易系统以及分行密钥管理和交易系统中起着重要作用。其 典型配置如下：总行主机SJL05总行城市前宣atm柜台肖Si昼POS成都卫士通信息产业股份有限公司-12 -SJL05金融数据加密机在大集中系统中的配置4.4在手机移动银行中的应用手机移动银行是银行的一项增值业务，它利用手机SIM卡具有的加

14、密功能和手机短信功能，通过手机就可实现个人帐务的查询、转账、外币买卖等银行业务。而银行端则采用硬件加密机来实现加解密和密钥管理功能。其配置如下：SJL05SJL05金融数据加密机在手机移动银行中的配置4.5替换RACAL加密机由于历史的原因，我国一些商业银行采用了RACAL的硬件加密机。为了在不影响银行上层应用和交易的前提下，成功替换RACAL加密机，我们推出了兼容 RACAL加密机的SJL05金融数据加密机。它完全兼容RACAL加密机的密钥管理方式、指令形式、报文消息格式，为银行成功替换RACAL加密机提供了完美的解决方法，并且在招商银行总行、昆明金卡、武汉中行、安徽中行、石家庄中行等银行成

15、功实现。4.6 与 VISA、MASTER 互连随着国民经济的全球化、国际化，银行外卡业务的开通势在必行，开通外卡业务通常涉及到与VISA和MASTER国际组织的互联。 SJL05金融数据加密机支持 VISA和MASTER组织对硬件加密机的要求，在上海金卡中心与VISA、MASTER成功互联，并得到 VISA和MASTER组织的认可。同时，在农行外卡受单系统中，SJL05金融数据加密机也成功实现与VISA、MASTER的互联，经过一段时间的运行，系统稳定，客户反应良好。4.7其它应用SJL05金融数据加密机除了在银行卡（磁条卡/金融IC卡）以及上述业务应用中发挥重要作用外，还在部分大城市的城市一卡通系统、公交卡系统、社保卡系统、加油卡系统等业 务系统中得到成功应用。5成功案例成都卫士通公司作为全国唯一 7家“双定点”（定点研制，定点生产）单位之一，集众多专家的智慧，多年来一直致力于研究金融系统安全研究，并根据客户自身