金融数据密码机(SJJ1309-A)白皮书
渔翁信息金融数据密码机
渔翁信息金融数据密码机一.产品介绍金融数据密码机遵循国家相关技术规范设计,基于国产化硬件平台,支持SM1、SM2、SM3、SM4国密算法以及国际算法,兼容国产CPU及操作系统,可广泛应用于金卡工程、城市一卡通、银行卡业务、社保卡业务、公交卡业务中,提供基于密码技术的保护,尤其对金融系统中跨行交易的ATM/POS联网信息系统提供数据加密与安全保护。
二.产品特色自主密码硬件实现多种密码算法,具有速度快,安全性高的特点。
支持基于国密算法的金融领域标准,PBOC3.0、中国银联相关规范等。
密钥产生由硬件随机数产生器产生,提供严格的安全密钥管理机制。
提供大并发、多负载性能,为系统提供密码服务并实现统一化管理。
采用具有安全功能的智能IC卡作为身份认证和密钥存储介质。
严格按照ISO9001质量管理体系的流程生产、测试、烤机、检验,确保产品稳定可靠。
产品遵循简单化、通用化、智能化设计原则,方便用户快速部署使用。
三.产品功能1.数据加解密支持国密或国际的标准对称算法,用于数据的加解密。
2.数字签名/验签支持国密或国际非对称算法,用于数字签名、身份认证。
3.安全密钥管理支持密钥产生、密钥传输、密钥存储、密钥导入、密钥销毁。
4.消息鉴别支持MAC/HMAC/TAC的产生和验证。
5.完整性保护支持国密或国际杂凑算法,用于数据完整性的校验。
6.真随机数真随机数由国家密码管理局审批的真随机数发生器产生。
7.PIN加密支持多种PIN格式的加密和转换。
8.打印密码信封具有打印密码信封功能,支持串行或并行打印机。
四.典型部署金属数据密码机主要应用于现代服务业的商用市场提供安全的金融支付与电子交易业务。
主要包括:金融服务:银行、证券、保险三大产业,直接提供资金往来、结算等服务。
电子商务服务:电信移动、网上商城、门户网站。
终端支付等涉及到业务处理、电子交易相关的在线支付与资金结算服务;城市一卡通、社会保障、税务关贸等政务相关的在线支付与资金结算服务。
SJL22系列金融数据密码机
SJL22系列⾦融数据密码机SJL22系列⾦融数据密码机集群系统技术⽩⽪书北京江南歌盟科技有限公司⼆○○四年⼆⽉⽬录第⼀章系统概述 (1)第⼆章前台功能说明 (2)第三章后台功能说明 (11)第四章系统特点 (13)第⼀章系统概述SJL22系列⾦融数据密码机集群系统是歌盟科技⽬前⾯向银⾏主机加密模式所开发的⼀套集多机热备、负载均衡、⽤户管理和实时监控为⼀体的密码机应⽤平台。
该系统针对本公司SJL22系列⾦融数据密码机的特点量⾝定做,从⽽⼤⼤加强了本公司密码机产品在银⾏应⽤系统中的可靠性和处理速度,同时也为银⾏在监控和管理密码机⽅⾯提供了前所未有的⽅便,从⽽为银⾏⾯向客户提供稳定、⾼效的⾦融服务创造了良好的基础。
SJL22系列⾦融数据密码机集群系统分为前后台两个部分组成,前台为银⾏提供实时的监控和管理功能;后台是整套集群系统的核⼼部分,⽤于分发、传递、处理各种交易和命令请求,同时负责维护整套集群系统的正常运作。
前台监控功能通过图形化的界⾯向银⾏动态展现密码机的详细状态,如:密码机的实时状态、密码机的负载状况、密码机的流量、密码机的授权状况等等,同时也为银⾏提供了动态操作后台集群系统的接⼝,使得银⾏操作⼈员在应对紧急情况的时候能够拥有更⼤的灵活性,就整套前台监控系统所提供的功能⽽⾔,国内⽬前同类产品中尚属⾸创。
后台核⼼部分基于Unix系统⾃⾝提供的通讯机制和竞争模式,对所有处于集群系统模式的密码机进⾏了统⼀管理和监控,同时可以将所有监控的信息通过监控Server传递给前台的监控端。
后台核⼼部分的另⼀主要功能是确保处于集群模式的密码机⾼效的⼯作,充分发挥负载均衡优势,并保证密码机的热备切换。
第⼆章前台功能说明1.动态操作密码机本系统最⼤的⼀个特点在于摒弃了传统密码机的静态操作模式,采⽤全动态模式进⾏处理。
本集群系统⽆需任何附加⼿段,从根本实现原理上吻合了银⾏ 7*24 不间断的模式。
动态删除密码机动态增加密码机动态修改密码机优先级动态修改密码机状态2.动态监控密码机3.动态⽤户管理4.系统参数调整第三章后台功能说明本系统不仅在前台提供了操作界⾯,并且在后台也提供了相应的命令⾏操作,从⽽使银⾏的监控⼈员有更灵活的操作⽅式,后台对于密码机的操作仍然是全动态的,并可以在集群系统启动前静态的修改配置⽂件,来实现密码机属性的永久更改。
密钥管理及安全服务系统v.3.0-产品白皮书
密钥管理及安全服务系统产品白皮书2017-10目录目录1 概述 (1)1.1 产品简介 (1)1.2 产品应用 (2)1.3 系统结构 (3)2 产品功能 (4)2.1 统一密钥管理 (4)2.2 统一应用安全接口 (4)2.3 密码设备分组及负载均衡 (5)2.4 远程主密钥分发功能 (5)2.5 多算法、多厂家密码机支持 (6)2.6 分级管理,职权分离 (6)2.7 模块化设计,支持热升级 (6)3 高可用性设计 (7)3.1 集群化部署 (7)4 性能指标 (8)4.1 性能指标 (8)4.2 对称算法算法 (8)4.3 非对称算法 (8)5 软硬件配置方案 (9)5.1 服务器配置 (9)5.1.1 硬件配置 (9)5.1.2 软件配置 (9)5.1.3 客户端配置 (9)5.1.4 硬件配置 (9)5.1.5 软件配置 (10)6 成功案例 (11)1 概述1.1 产品简介密钥管理及安全服务系统是为银行各种业务系统提供交易过程中安全服务的核心系统,通过安全方案的设计和数据安全处理保障交易过程中数据的安全。
密钥管理及安全服务系统管理各种型号的密码设备,支持同时为多个业务系统提供安全服务。
支持密码设备的分组和复用,不同的业务系统可共享相同型号的密码设备,大大降低了银行在安全系统和密码设备上的投入成本。
密钥管理及安全服务系统管理业务系统安全方案中的所有密钥,提供密钥的生成、启用、更新、停用、销毁、作废、备份、恢复等功能。
密钥管理及安全服务系统为业务安全方案中的所有密钥提供流程化的管理,重要的密钥操作都需要通过领导审批才能执行,保证密钥的安全。
业务系统通过密钥管理及安全服务系统提供的联机服务接口(API)获取实时的交易安全服务,例如PIN转换、MAC生成/验证、签名生成/验证、数据加/解密、密钥联机服务等,保证交易过程中的数据安全。
相关密钥初始化完成后,业务系统就可以调用密钥管理及安全服务系统提供的API进行各种安全处理。
密码机白皮书
SJW-22网络密码机技术白皮书上海华堂网络有限公司上海市外高桥保税区网络发展有限公司目录1、概述 (3)2、SJW22产品介绍 (5)2.1、SJW22的适用范围 (5)2.2、SJW22的主要功能 (5)2.3、SJW22的安全机制 (7)2.4、SJW22的主要特点 (10)3、SJW22的主要技术指标 (12)3.1产品类型 (12)3.2系统组成 (12)3.3硬件配置 (12)3.4电气性能 (12)3.5 执行标准 (13)3.6参考的安全规范及标准 (13)3.7支持网络传输协议 (13)3.8 主要性能指标 (13)4、典型配置方案 (14)5、VPN关键技术简介 (16)5.1、隧道技术 (16)5.2、数据加密技术 (21)1、概述随着现代网络技术的迅猛发展,网络互联已经成为一种不可阻挡的潮流。
目前广泛分布的各种内部网络都由公共网络互联起来,借助于互联网这一工具完成信息的传递以及信息的共享,但这种互联方式极易受到外界的攻击,导致对内部网络的非法访问和信息泄露。
如何保证用户的信息在公共网络上安全的传递,不被怀有恶意的人加以窃听、破坏,是目前安全界面临的一个重要的课题和发展方向。
网络密码机是基于VPN技术而实现的一种网络安全设备。
VPN,英文全称是Virtual Private Network,中文名称一般称为虚拟专用网或虚拟私有网。
它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。
网络密码机采用专用硬件来加密和保护局域网数据在公共网络上传输的安全,因此具有极高的安全强度和网络性能。
上海市外高桥保税区网络发展有限公司是我国最早专业从事因特网(Internet)及计算机通信网络信息安全研究、产品开发与安全服务的高科技企业之一。
持续创新赢得市场 执着技术改变世界——访三未信安科技股份有限公司董事长兼总经理张岳公
张岳公,三未信安科技股份有限公司董事长兼总经理,山东大学应用数学博士,曾任教于山东大学网络信息安全研究所,在山东大学从事密码技术教学与科研工作。
他于2008年创立三未信安,企业迅速成为国内主要的密码设备供应商。
张岳公既有深厚的密码理论积累,又有丰富的密码工程实践经验,因此能敏锐把握密码领域的新技术方向,在云计算模式兴起之际,使三未信安迅速处于国内技术领先地位。
张岳公于2015年被科技部评为国家科技创新创业人才。
三未信安五次获得国家密码科技进步奖。
持续创新赢得市场 执着技术改变世界——访三未信安科技股份有限公司董事长兼总经理张岳公张岳公出身高校科研机构,深知思考和探索的重要,但他更明白,知道与做到之间的那道鸿沟是巨大的。
无论是从三未信安多年来研发投入占销售收入比例超过20%的宏观布局、自主知识产权核心密码芯片的研发突破,还是先后五次荣获密码科技进步奖,都能够深刻体现张岳公对知行合一的执着,以及他希望学以致用、产业报国的初心。
张岳公厚积薄发的企业发展战略,使三未信安用技术创新赢得了市场的认可,奠定了三未信安在中国商用密码行业中的坚实地位。
但是,张岳公并不满足于此,他坦言自己追求的是达到国际领先水平、用技术改变世界。
当我们走过三未信安的荣誉墙,企业成长的画卷在我们面前徐徐展开。
三年创业,教育者到企业家的华丽转身2011年,三未信安“PCI 密码卡密码机”获得国家密码局颁发的“密码科技进步三等奖(省部级)”2008年,张岳公怀着学以致用、产业报国的决心走出高校,于同年8月18日创办三未信安。
他对三未信安的发展目标和定位很准确,源自于他对密码产业的深刻理解和对自身优势和特点的清晰判断。
一般民本刊记者 唐 莉,王翠玉营企业是从做项目、跑销售发展起来的,这类企业的市场因素比较重、业务能力是长处。
但是,三未信安的优势是技术基因和创新能力,这也是一个以核心技术立足、以产品创新求发展的高科技企业的基础。
创业之路,从来不是平坦大道,创业初期的艰难、市场竞争的磨练也是张岳公的必经之路。
SJL金融数据加密机用户手册
SJL05金融数据加密机1.00 成都卫士通信息产业股份有限公司SJL05金融数据加密机用户手册目录1产品概述 (1)2设备清单 (1)3产品介绍 (2)3.1主要功能 (2)3.2技术指标 (4)3.3密码体制 (4)3.4工作方式 (4)3.5兼容标准 (4)3.6环境要求 (5)3.7物理特性 (5)4设备安装 (5)4.1安装条件 (5)4.2密码机示意图 (5)4.3密码机硬件安装方法 (6)4.4控制台终端管理程序安装方法 (7)5控制台终端操作 (9)5.1基本信息 (9)5.1.1版本查看 (9)5.2参数设置 (10)5.2.1打印端口配置 (10)5.2.2交易端口配置 (11)5.2.3特殊授权控制 (12)5.2.4设置通信格式 (13)5.3网络配置 (14)5.3.1安全访问设置 (14)5.3.2设置密码机IP地址 (18)5.3.3设置密码机路由 (21)5.4密钥管理 (24)5.4.1密钥注入 (24)5.4.2本地主密钥校验值 (33)5.4.3密钥备份恢复 (33)5.5密钥产生 (35)5.5.1随机密钥 (35)5.6口令和令牌管理 (36)5.6.1key操作 (36)5.7恢复出厂设置 (38)5.7.1销毁密钥 (38)附录A 密码机提示音 (39)1产品概述SJL05金融数据加密机是由卫士通信息产业股份有限公司研制的国内第一种符合中国人民银行金融IC卡规范(PBOC)的专用于我国“金卡工程”的基于主机的新型计算机网络通信数据加密机。
该产品于1997年率先通过由国家密码管理委员会组织的专家鉴定。
鉴定委员会一致认为:“SJL05金融数据加密机设计合理,技术先进,适用范围广,保护措施可靠,操作使用方便,技术资料齐备,整体技术达到国内先进水平,填补了我国ATM/POS金融数据加密设备的空白,具有推广应用价值”。
SJL05在设计时采用国际领先的技术,几年来,公司根据客户要求,不断对产品进行完善,提供友好的用户界面,已成为银行联网工程中,替代Racal、Atalla等国外加密设备的首选国内产品。
金融加密机应用培训
3.4.4. MAC 方法总结 3.4.4.MAC
3.4.4.1. CBC 模式(X9.9MAC 算法,银联标准算法)
MAC 算法如下: 1)算法定义:采用 DES CBC 算法。 2)初始数据:0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00。 3)原始数据: 4)补位数据:若原始数据不是 8 的倍数,则右补齐 0x00。若原 始数据为 8 的整数倍,则不用补齐 0x00。 5)密 钥:MAC 密钥。 MAC 的产生由以下方式完成:(最后一组数据长度若不足 8 的倍数,则右补齐 0x00; 若数据长度为 8 的整数倍,则无需补充 0x00)。 MAC 签名计算流程图:
-2-
Hyg 金融加密机应用培训 &快速实施总结 金融加密机应用培训&
2. 密钥体系知识
2.1. 三层密钥体系
银行业使用标准为:ansi x9.17,为三层密钥体系,对不同密钥(特别是工作密钥) 的 功能做了严格的使用限制,专钥专用限定。密钥分层体系图示如下:
本地主密钥
传输主密钥
工作密钥
第一层是加密机主密钥(MK 或 LMK),第二层是银行主密钥(BMK 或 ZMK),第三层是工作 密钥包括信息完整性密钥(MAK)、PIN 保护密钥(PIK)、终端密钥(TMK)。 第一层,MK 为加密机主密钥, 由三个成分组成,采用双倍标准的 3DES 密钥(长达 128), 存放在硬件加密机内。 它的作用是将所有在本地存放的其它密钥和加密数据进行加密。 由于 本地存放的其它密钥和加密数据都是在 MK 加密之下,因此,MK 是最重要的密钥。 第 二 层 , BMK 通 常 称 为 密 钥 加 密 密 钥 (Kev—encrypting Key) 或 密 钥 交 换 密 钥 (Key ExchangeKey)。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的自 动分配。在本地或共享网络中,不同的两个通讯网点使用不同的密钥加密密钥,从而实现密 钥的分工管理,它在本地存放时,处于本地 MK 的加密之下或直接保存在硬件 加密机中。 第三层,通常称为工作密钥或数据加密密钥。包括 PIK、MAK、TMK(包括 TPK、TAK)等 密钥。它的作用是加密各种不同的数据,从而实现数据的保密、信息的认证,以及数字签名 等功能,这些数据密钥在本地存放时,处于 BMK 的加密之下或直接保存在硬件加密机中。
SJL05金融数据加密机技术白皮书(new)
SJL05金融数据加密机技术白皮书Westone Host Security Module Serial White Paper Version 4.0成都卫士通信息产业股份有限公司Chengdu Westone Information Industry Inc.目录1 技术背景 (1)2 产品概述 (1)2.1 产品简介 (1)2.2 产品功能 (2)2.3 技术指标 (3)2.3.1 密码体制 (3)2.3.2 工作方式 (3)2.3.3 接口协议 (3)2.3.4 稳定性指标 (4)2.3.5 处理能力 (4)2.3.6 工作环境 (4)3 技术特点 (5)3.1 安全性 (5)3.2 兼容性 (5)3.3 标准性 (5)3.4 成熟性 (6)3.5 稳定性 (6)4 典型应用 (6)4.1 在有中心模式中的应用 (6)4.2 在无中心模式中的应用 (8)4.3 在大集中系统中的应用 (9)4.4 在手机移动银行中的应用 (9)4.5 替换RACAL加密机 (10)4.6 与VISA、MASTER互连 (10)4.7 其它应用 (10)5 成功案例 (11)1背景随着社会信息化的发展,我国银行界的电子化工程正在经历着结构,职能和性质的转化和飞跃,柜台业务电子化和清算业务网络化已初具规模,在与国际金融接轨方面和在加速资金周转和提高资金利用效率方面,都发挥了巨大的作用。
其中,电子资金传送系统(EFT)更是国内外金融界研究的热门课题,也是全面实现金融电子化及“金卡”工程的关键技术。
EFT要解决的关键问题就是金融系统的安全。
以往银行在这方面几乎都是采取用软件加密的方式,但其加密程度低,稳定性差,极易受到攻击。
而且EFT和电子联行,直接涉及到巨额资金的传送,其风险性也是相当大的,巨额资金的诱惑更增大了被攻击的风险。
因此,研制适合我国国情的金融数据加密机已迫在眉睫。
1994年信息产业部电子第三十研究所在上海信用卡网络公司的大力协助下,研制出了国内唯一专用于金卡工程的SJL05金融数据加密机,主要适用于银行卡跨行支付交易的保密的ATM联网信息系统,构成金融卡实时消费转帐和销售点信息管理的保密POS联网信息加密系统,金融IC卡消费转账系统、社保卡安全系统、公交卡安全系统等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.6 3.7 第4章 4.1
4.2
第5章 5.1 5.2 5.3 5.4 5.5 5.6 5.7 第6章 6.1 6.2 6.3 第7章 第8章
3.4.3 终端主密钥 TMK(Terminal Master Key) ..................................................... 16 3.4.4 数据密钥 ......................................................................................................... 16 3.4.5 SM2 密钥 ........................................................................................................ 17 密钥管理体制 ............................................................................................................. 17 3.5.1 本地密钥管理 ................................................................................................. 17 3.5.2 本地网络中的密钥管理 ................................................................................. 18 3.5.3 共享网络中的密钥管理 ................................................................................. 18 密钥的存储安全 ......................................................................................................... 19 密钥销毁..................................................................................................................... 20 设备安全和管理方案 ................................................................................................. 22 物理性安全设计 ......................................................................................................... 22 4.1.1 抗干扰设计 ..................................................................................................... 22 4.1.2 元器件安全 ..................................................................................................... 22 4.1.3 密钥存储部件安全 ......................................................................................... 22 4.1.4 密钥自毁装置 ................................................................................................. 23 4.1.5 通信端口安全 ................................................................................................. 23 4.1.6 机仓安全 ......................................................................................................... 24 管理安全性设计 ......................................................................................................... 24 4.2.1 密码机的工作状态 ......................................................................................... 24 4.2.2 密码机的授权方式 ......................................................................................... 24 4.2.3 应用流程 ......................................................................................................... 24 产品关键技术及创新点 ............................................................................................. 26 高集成度..................................................................................................................... 26 安全的密钥存储技术 ................................................................................................. 26 定制的 Linux 操作系统 ............................................................................................. 27 SM2 算法的软件快速实现技术 ................................................................................ 27 冗余电源配置 ............................................................................................................. 27 高效的任务调度技术 ................................................................................................. 28 高效能绿色环保设计 ................................................................................................. 28 应用领域和典型案例 ................................................................................................. 29 应用领域..................................................................................................................... 29 典型应用方案 ............................................................................................................. 30 密码机在系统中的连接 ............................................................................................. 31 技术支持..................................................................................................................... 32 密码机生产厂家简介 ................................................................................................. 32
地址(Add) : 北京市海淀区上地中关村软件园 8 号楼华夏科技大厦 102 黄伟强 18910950959 邮 编(P.C): 100085 第 ii 页 共 30 页
北京合众睿安科技有限公司 电话(Tel) : (86 10)62669317
3.5
SJJ1308-A 金融数据密码机产品 (技术白皮书)
北京合众睿安科技有限公司
2013 年 06 月
目
第1章 1.1 1.2 1.3 1.4
录
1.5
第2章 2.1
2.2 第3章 3.1............................................................