证券市场客户资金监控系统商业银行报送技术指引v1

1、中国市场客户系统商业报送技术指引（v1.0）中国投资者保护基金公司二九年十月目录指引说明411.1范围41.2术语41.1.1.AES 算法41.1.2.RSA 算法41.1.3.RC4 算法41.1.4.LZMA 算法52文件报送流程62.1文件准备流程62.2上报流程83管理93.1领取93.2登录93.3变更93.4注销94压缩方法104.1压缩文件要求104.2压缩文件105加密方法115.1加密文件要求115.2加密算法115.3密钥的产生115.4加密文件115.5加密密钥125.6文件命名12前言本技术指引作为中国市场客户系统重要文档之一，规定了文件产生、上报的流程。文档中的代码

2、均采用市场的行业标准，对技术指引的解释由中国投资者保护基金公司负责。主要起草：中国、中国投资者保护基金公司。本技术指引为第一次发布。1 指引说明1.1范围本技术指引适用于中国登记结算公司、各公司、商业与中国投资者保护基金公司之间传输信息的设计和使用。1.2术语1.1.1. AES 算法AES（Advanced Encryption Standard）加密算法是对称加密算法，又称Rijndael 加密法，是密中最流行的算法之一。采用的一种区块加密标准，是对称密钥加1.1.2. RSA 算法RSA 加密算法是一种非对称加密算法。在公钥加密标准和电子商业中RSA 被广泛使用，RSA 算法的可靠性基于

3、分解极大的整数是很的。假如有人找到一种很快的分解因子的算法的话，那么用 RSA 加密的信息的可靠性就肯定会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的才可能被强力方式解破。到 2008 年为止，世界上还没有任何可靠RSA的RSA 算法的方式。只要其的长度足够长，用 RSA 加密的信息实际上是不能被解破的。1.1.3. RC4 算法RC4 算法的原理是“搅乱”，它包括初始化算法和伪随机子生成算法两大部分，在初始化的过程中，密钥的主要功能是将一个 256 字节的初始数簇进行随机 搅乱，不同的数簇在经过伪随机子生成算法的处理后可以得到不同的子密钥序列，将得到的子密钥序列和明文进行异或运

4、算（XOR）后，得到密文。由于 RC4 算法加密采用的是异或方式，所以，一旦子密钥序列出现了重复，密文就有可能被，但是目前还没有发现密钥长度达到 128位的 RC4 有重复的可能性，所以，RC4 也是目前最安全的加密算法之一。1.1.4. LZMA 算法LZMA（Lempel-Ziv-Markov chain-Algorithm）算法是结合众多压缩算法的优点而诞生的算法，使用类似于 LZ77 的字典编码机制，在一般情况下压缩率比 bzip2 为高，所以用于 7-zip 归档工具中的 7z 格式。由于 LZMA 算法用于压缩的字典大小可以达到 4G，在一部 2GHz 的处理器上运行，约可达到 1

5、MB 每秒的压缩速度，所以非常适合对大文件的压缩处理。2文件报送流程文件传输主要分为两步流程，一步为文件准备流程，另一步为文件上传。文件准备流程在商业完成，分为创建、压缩，加密、命名等步骤，商业应按流程执行，生成符合市场客户系统接口规范的文档用以上传。压缩、加密工具由中国投资者保护基金公司提供，商业开发的需要，中国投资者保护基金有限责任公司也可以提供压缩、加密的算法，方便商业开发程序整合提取数据、生成文件、压缩、加密、上报功能的客户端。文件上传流程则是上报文件的流程，主要是两个步骤，使用 E-Key登录中国投资者保护基金公司提供的客户端，登录客户端之后执行上报操作。2.1文件准备流程文件准备流

6、程主要分为创建、压缩、加密文件、登录、加密密钥、命名等步骤，如校验不通过，则需要重报，除了命名步骤有区别，重报流程和原有流程一样，以下简单说明每个步骤所要做的操作内容。创建：把按照市场客户系统接口规范（以下简称规范）这个文档从商业存管业务数据库或者结算业务数据库中提取的当日数据文档，按照规范的要求，确认文件没有遗漏和错误。压缩：商业使用中国投资者保护基金公司提供的压缩工具压缩打包好的文件夹，减少需要报送文件的大小，以加快传输速度和效率。压缩方法和工具详细见第四章：压缩方法。加密文件：商业使用中国投资者保护基金公司提供的加密工具加密压缩之后的文件，保证文件在传输过程中的安全性。加密方法和工具详见

7、第五章：加密方法。登录：商业操作人使用从中国投资者保护基金公司领取的 E-Key 登录中国投资者保护基金公司提供的系统接口客户端，使自己可以使用客户端之中的功能。详细操作详见第三章：管理。加密密钥：商业操作人在登录客户端之后，使用客户端中的签名加密功能，加密对称加密算法使用的密钥，确保对称算法密钥的安全和性，从而加强加密文件的安全性。命名：上报的文档需要符合规范名规则，以便于服务端辨识、操作、校验。按照规范要求，上报的文档需要包括文件密文、密钥密文、文件这 3 个文件，缺少任意一个文件，则会反馈校验不通过的结果，并要求重报。重报：重报流程前 5 步流程和文件准备流程一致，只有在命名之时，应按照

8、规范要求命名，表明此次为重报 。图示为文件准备流程的流程图：3管理3.1领取商业应到中国投资者保护基金公司领取含有PKI 认证的 USB 形式的 Key 盘，Key 中。通过标准流程在 PKI 服务器上实现并放入到3.2登录商业上员通过key 盘，然后输入，登录到系统接口的管理体系中，才可以进行压缩、加密和上传等操作。3.3变更商业需要变更的内容，应向中国投资者保护基金公司提出变更申请，中国投资者保护基金公司则按照申请走 PKI变更流程，完成流程之后通知商业变更结果。3.4注销商业需要注销，应向中国投资者保护基金公司提出注销申请，中国投资者保护基金公司则按照申请走 PKI注销流程，完成流程之后

9、注销。4 压缩方法4.1 压缩文件要求需要压缩的文件都要符合市场客户系统接口规范，并按照市场客户系统接口规范产生完整齐全的文件，需要多次检查对照文件，不能有遗漏。4.2 压缩文件在正常文件大小的情况下，使用 7-zip 压缩工具进行压缩处理，7-zip 压缩工具可以到 7-zip，地址为 http:/；在文件大小过于巨大的情况，应使用多线程方式，以提高压缩处理的速度，商业可以在自己的系统中调用 LZMASDK 实现，中国投资者保护基金公司也会提供相应的调用 LZMA SDK 的多线程工具。LZMASDK 的可以去 7-zip，地址为 http:/sdk.html。5 加密方法5.1 加密文件要

10、求要加密的文件，应该是压缩之后的文件，没有通过压缩的文件，原则上不同意进行加理。但是如果在紧急情况下，而且文件不大于 500M，可以不通过压缩处理，直接做加理。5.2 加密算法考虑到对文件加密的安全性、完整性和速度，都应采用对称加密算法对压缩之后的数据文件进行加密，建议采用 AES 算法、RC4 算法、3DES等等。对称算法需要用到加密时候所用到的密钥，所以密钥应通过网络传递给接收方，而且保证每批文件都使用不同的密钥，应考虑对密钥的加理。密钥的长度一般为 128 位256 位之间，所以对密钥的加用 RSA 算法来实现。理，应采5.3 密钥的产生由于使用对称加密算法加密文件，所以需要有私钥，因此中国投资者保护基金公司会提供私钥生成工具，或者提供生成密钥的算法实现，各个商业以此算法设计自己的工具，通过工具在每次文件上传前生成私钥，建议每次报送都使用不同的私钥。5.4 加密文件商业按照自身的数据情况和网络条件，可以自定义加密工具，或自己开发效率高的加密工具，或者使用硬件加密工具。加密算法的详细实现和开发规范会由中国投资者保护基金公司提供，对所有商业是公开的。5.5 加密密钥中国投资者保护基金公司提供正式的非对称加密工具给每个应使用此工具对密钥作加密操作，算法确认为 RSA 加密算法。如果有商业需要开发自定义非对称加密工具，或者想整合非对称算法实现到自己现有的