信用卡系统安全系统介绍

信用卡系统

安全解决方案长春睿安信息科技有限公司2008年1月内容背景介绍总体设计各子系统(核心,前置,网银…)密函打印安全解决方案制卡文件安全传输解决方案提问背景浦发.花旗新加坡.上海

安全要求 花旗集团信息安全准则

CitigroupInformationSecurityStandardsV4.0 Part9ryptographyandPKI

花旗集团密钥管理指导（Citigroupkeymanagementguide）

VISA等卡组织的安全规范要求采用硬件加密设备个人密码(PIN)不能出现在除硬件加密设备外的任何地方.密钥体系(racal)加密设备的算法公开,对密钥的安全是关键(密钥强度，与安全效能成正比、密钥生存周期，与安全效能成反比)密钥功能受限（密钥功能单一，即用于一种用途的密钥）密钥的独占原则（不再用于其它用途目的：降低密钥泄密造成的损失）明文密钥的合成密钥密文存储明确密钥管理责任如何简化应用开发?如何有效、统一管理密码设备?如何集中控制各类密钥?

如何实现全行范围的集中安全控制?如何处理特殊的安全需求?如何简化应用开发由于密码设备属于专用设备，其对外接口基本上都以非常底层的指令形式来表示，在应用开发时，开发人员必须熟悉数据加密体系，并专门设计指令解释、设备通讯等模块，这需要花费一定的时间和精力，且通用性不强，其他应用如需调用密码设备，仍然必须重新开发。因此，统一解释密码设备指令，向应用层开放标准安全服务接口，是简化应用开发的有效手段。如何有效、统一管理密码设备银行在制定密码设备的采购计划，大都是出于某一特定业务的要求，密码设备投入使用后，也是专为这一特定业务服务。而实际应用中，很多业务的安全需求都比较类似，完全可以共享设备，节省投资。例如：卡业务中用于PIN加密验证的密码设备可同时用于存折业务；而网上银行业务中用于客户身份认证的设备可同时用于柜员身份认证。如何将这些设备整合起来，为应用提供统一、规范化的安全服务，多机热备、负载均衡。也是一个重点问题。因此，建立统一的密码设备管理平台，是实现设备共享的唯一手段。如何集中控制各类密钥对于单一应用来说（如银联卡业务转发），其密钥管理相对来说还不算复杂，有经验的集成商或银行自己的开发人员可以在应用层将它管理起来，然而，当需要多个应用共享密码设备（如密码设备要求支持账务系统中各类业务的PIN验证）时，其密钥种类繁多、相互关联性极强，还可能随着应用的扩展不断变化，这时候，没有一个专门的密钥管理平台，对密钥进行集中有效控制，必然造成密钥管理的紊乱，从而使得整个系统的安全不可控。如何实现全行系统的集中安全控制在总行和某些大型分行，下属的机构非常多，地域分布也很广，同时，下属机构的人员、环境等客观条件相对不足，难以将安全管理的权力下放，也难以直接进行人工干预。而作为领导机构的总行（或分行），又必须对下属机构的安全问题负责。这时候，建立一套远程安全控制机制，实现远程密钥分配、远程设备监控、远程安全审计等功能，就显得非常必要了。如何处理特殊的安全需求数据大集中后，各银行都产生了一些特殊的安全需求，如密函由打印，远程文件安全传递、内部信息防伪等等，都存在特殊安全需求，对于这类需求，都应该在现有安全平台的基础上，建立专用安全系统。总体设计根据浦发总行核心系统经验，与开发方多次讨论后,引入基于加密机的安全平台概念.由安全服务平台统一向各应用系统提供安全服务(加密数据,转加密PIN,生成MAC等)（渠道编号，数据，由平台找到对应密钥，并通过加密机进行运算，极大简化了应用系统的安全控制）由安全服务平台统一管理各应用系统的密钥（强度、密钥有效期）由安全平台完成远程密钥管理（平台之间）总体设计与核心业务系统之间，通过信用卡中心的卡业务前置和总行核心IPP进行业务交互。信用卡中心拥有自己独立的网银系统和IVR系统，这些业务系统都通过卡业务前置交换，再进入卡业务主机系统。VISA国际卡业务不通过前置系统转发，直接由主机与VISA对接实现（银联卡业务通过总行IPP转发）。信用卡密码信封在业务中心打印，卡业务主机产生密函文件，放在密信文件服务器上，供卡业务中心FTP下载。制卡文件也由卡业务主机产生，并通过制卡服务器传输到卡商。系统架构应用架构

外围系统安全国内进行银联（CUP）ATM/POS交易

与总行大前置之间的安全处理流程

与总行大前置之间的安全处理流程PIN进行保护的同时，也进行报文完整性校验。总行IPP系统将信用卡视作行外虚拟网点，手工约定ZMK，ZPK/ZAK则由ZMK加密保护后自动交换.(定期更新)由平台的远程密钥管理模块完成.通过策略定义,由系统自动完成.持卡人在国外进行（VISA/MC/JCB）交易

外卡组织交易安全流程外卡组织交易安全流程按原银联数据卡业务系统的设计，与VISA之间手工约定一把ZPK，ZPK长期保持不变。(与JCB,MasterCard之间采用相同处理方式)

通过下发的密码信封，背靠背的方式输入。密码平台的Des密钥管理模块.网银/IVR业务的安全处理流程

网银/IVR业务的安全处理流程在客户浏览器端通过脚本语言从网银服务器取公钥，在SSL加密交易数据前，使用网银公钥(1024bit)将客户PIN加密。(随机数+PIN(x9.8))私钥保存加密,公钥通过FTP下发到文件服务器.密钥更新(0.5年),2组密钥,2次验证非对称密钥管理模块:保存公钥,与私钥位置对应.POSP系统安全处理流程POSP系统安全处理流程POSP系统需要支持的联机交易仅限于本行信用卡分期付款交易和携程交易，其中，分期付款通过电话（PSTN）接入，携程交易通过专线接入.通过公网,做PIN加密,MAC验证.POSP系统与卡前置的密钥由平台管理.(通过平台接口,由POSP触发完成密钥更新)POSP系统与 外围终端设备(POS机)的密钥,通过HSM产生,由POSP系统管理.(极具维护方便,新布点方便)信用卡系统的安全解决方案介绍完成.提问？！休息！？密函打印系统银行卡密码函：PIN卡号用户信息（姓名，地址…….）信息安全级别重要！！安全打印基础采用加密机具备的打印：对信息进行指定格式打印对PIN的处理，按照国际标准要求，不出现在硬件设备以外的地方通过指令将密文PIN，打印在指定区域（格式调整灵活）打印流程图示密函打印系统安全控制：分角色控制打印软件操作管理（打印管理人员，授权人员）加密机打印授权（IC卡管理）重新打密函的严格控制制卡文件安全传输制卡文件安全传输制卡文件包含卡号、CVV、有效期等关键信息。信用卡的透支风险由银行承担。公网传输风险：解决方法：

全报文加密 生成MAC截取，篡改制卡文件安全传输一报文一密（加密数据的EDK，产生MAC的ZAK），密钥密文附在报文传输到对端。双方约定一把ZMK，用于保证EDK传输的安全性。(背靠背，码单合成)自动传输，较少的人工干预支持多个接收端。制卡文件安全传输

-系统架构制卡文件安全传输

-处理流程由A点的文件产生服务器将文件按照不同类型卡放到不同的传输目录。B点的发送服务器，按照预设的4个时间点去扫描传输目录（有文件就传）。

调用密码平台的接口函数完成密钥产生，数据加密，mac产生。 加密一个文件，传输一个文件。C点的接收服务器，完成接收文件，并