金融数据密码机SJL06E技术白皮书.doc

文档密级： 公开浏览 编号： 版本： 金融数据密码机 SJL06E 技术白皮书 江南计算机技术研究所 2005年10月 目录 1. 功能说明 1 1.1. 基本功能 1 1.1.1. 用户密码（PIN）加密／验证功能 1 1.1.2. 数据加密／解密功能 1 1.1.3. 随机数产生功能 1 1.1.4. 消息验证码（MAC）产生／严整功能 1 1.1.5. 用户个人密码（PIN）信封打印功能 1 1.1.6. 密钥信封打印功能 2 1.1.7. 密钥防护功能 2 1.2. 扩展功能 2 1.2.1. 数字签名／验证功能 2 1.2.2. 数据摘要产生／验证功能 2 1.2.3. 密钥管理功能 2 1.2.4. ＩＣ卡发卡功能 3 1.2.5. 多线程支持及性能扩展 3 2. 技术指标 3 2.1. 硬件指标 3 2.1.1. 外观 3 2.1.2. 性能 3 2.2. 软件指标 4 2.2.1. 包含的密码算法 4 2.2.2. 通信协议方式 4 2.2.3. 实现的应用 4 2.2.4. 密钥库容量 4 2.2.5. 通信速率 5 3. 支持标准 5 4. 设备特点 7 5. 应用说明 7 5.1. 应用环境 7 5.2. 适用范围 8 5.3. 典型应用 8 概要 SJL06系列加密机是有江南计算技术研究所专门针对金融行业的特殊要求设计开发的基于应用的硬件密码设备。其以保护证金融交易中用户密码（PIN）不被任何人非法获取（保密性）和保证金融信息在交易过程中的完整性为核心，建立了一套完整的安全体系，完全能够满足中国银联以及VISA、MASTER等国际金融组织对金融交易的各种安全要求。 SJL06E金融数据密码机是SJL06系列密码机的高端产品。该密码机和和业务主机通过TCP/IP协议连接，具有处理能力高、性能稳定、功能完善等特点，特别适用于银联中心、各商业银行数据中心、区域中心、省中心等业务量较大业务系统适用，并且还采用了汉字的提示界面，更适用于中国人的使用习惯。 功能说明 基本功能 用户密码（PIN）加密／转换／验证功能 金融系统中对用户个人密码的安全性保护是极为重要，在金融业务中要求用户PIN明文不能出现在硬件加密设备以外的任何地方（包括主机）。 PIN加密标准：SJL06E金融数据加密机对个人密码的加密支持国内外多种标准的PINBLOCK格式。包括有：ANSIX9,8、Docutel 、NCR、IBM、ISO 95641 等等。 PIN转换功能：在业务中间各节点可以使用SJL06E加密机中完成PIN密文的密钥和PIN加密机格式的转换功能，保证PIN明文不会输出加密机。 PIN校验功能：SJL06E加密机支持PIN密文校验、PIN　OFFSET（IBM3624）、PVV等多种PIN校验功能。 PIN加/解密功能：PIN加/解密功能与“用户PIN明文不能出现在硬件加密设备以外的任何地方”的安全要求是有冲突的，因而SJL06E对该功能的使用进行限制仅当用户因为特殊情况需要时提供，且只在加密机进入授权状态后才能使用。 数据加密／解密功能 SJL06E金融数据密码机提供对一个数据串进行加密/解密功能，可以用来对报文、磁道信息等数据进行安全保护，主要加密模式包括： ECB：电子密码本模式 CBC：密码分组链接模式 CFB：密码反馈模式 OFB：输出反馈模式 随机数产生功能 SJL06E金融数据密码机使用专门随机数发生器产生密钥种子，然后根据相关算法对密钥的特殊要求进行转换得到符合算法要求的密钥，并根据ANSI X 9.17标准进行密钥管理。 消息验证码（MAC）产生／验证功能 SJL06E金融数据密码机提供XOR方式、ANSIX9.9方式、ANSIX9.19方式等等目前国内外用到的多种消息认证方法。 卡安全校验功能 SJL06E金融数据加密机支持VISA CVV（卡校验值）和American Express　 CSC（卡安全码）等卡安全校验功能。 用户个人密码（PIN）信封打印功能 SJL06E金融数据密码机可以直接连接一台串口或并口针式打印机用来提供对用户个人密码的信封打印功能。PIN由加密机随机产生，明文打印到密码信封上交由客户打开获取，而加密机返回业务主机的是PIN密文或PIN　OFFSET。 密钥信封打印功能 SJL06E金融数据密码机可以直接连接一台串口或并口针式打印机用来提供对密码机随机产生密钥的信封打印功能。加密机返回业务主机密钥密文，在密钥信封上根据设定的密钥成份个数(可以多达9个)，每个信封打印一个密钥成份交相应安全管理员进行密钥分发。 扩展功能 RSA密钥产生 SJL06E支持硬件RSA密钥生成功能。用户可以指定生成RSA密