金融行业密钥相关知识及原理介绍一、密钥基础知识我们知道金融行业.docVIP

金融行业密钥相关知识及原理介绍 密钥基础知识 我们知道金融行业有很多数据要在网络上传递，包括从前置到主机，从自助终端到前置等，这些数据在网络上传来传去，我们很容易就会想到安全性的问题，如果这些数据被人窃取或拦截下来，那我们怎么敢在银行存钱了。这个问题在计算机出现时就被前人考虑到了，所以出现了很多各种各样的加解密技术。 抛开这些不管，假设当初由我们自己来设计怎样解决数据被窃取的情况。假设我们有一段数据，是ATM取款的报文，包括一个人的磁卡号、密码、取款金额，现在需要将这些数据从一台ATM机器传到前置机处理，这些数据是比较机密的，如果被人窃取了，就可以用该卡号和密码把账户中的钱取走。 首先，我们可以想到用专用的银行内部网络，外面的人无法获得网络的访问权。这个仔细想想显然不可行的，因为一是不能保证外人一定没办法进入银行内部网络，二是银行内部人员作案是没法防止的。 接着，我们很容易想到，既然保证数据不被窃取的可能性很小，那我们何不变换一下思路，数据避免不了被窃取，那我如果将数据处理下，让你即使窃取到数据，也是一些无用的乱码。这个想法比较接近现在的做法了，当前置机接收到了数据，它肯定是对数据进行反处理，即与ATM端完全步骤相反的数据处理，即可得到明文的数据。我们再进一步想想，如果因为某种原因，报文中的取款金额被改变了，这样就会导致ATM出的钱和前置扣账记录的钱不一致的情况，看来我们必须加上一个验证机制，当前置机收到ATM发送的一个报文时，能够确认报文中的数据在网络传输过程中没有被更改过。 怎样实现？最简单的，对通讯数据每一位进行异或，得到0或1，把0或1放在在通讯数据后面，算是加上一个奇偶校验位，收到数据同样对数据每位进行异或，得到0或1，再判断下收到数据最后一位与算出来的是否一致。这种方式太简单了，对于上面提到的ATM到前置机的报文来说，没什么用处，不过我们可以将对数据每一位异或的算法改成一个比较复杂点的。 因为DES算法已经出来了很多年了，并且在金融行业也有广泛的应用，我们使用DES算法进行处理，来解决上面的问题。 DES算法（此处指单DES）的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。 DES算法是这样工作的：如Mode为加密，则用Key去把数据Data进行加密，生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据在公共通信网中传输的安全性和可靠性。通过定期在通信网络的源端和目的端同时改用新的Key，能更进一步提高数据的保密性。 图1 DES算法 我们用一个Key对前面提到的报文进行DES算法，得到加密后的64位数据，放到报文的最后，跟报文一起送到前置机，前置机收到报文后，同样用Key对数据（不包括最后的64位加密数据）进行DES加密，得出64位的数据，用该数据与ATM发送过来的报文最后的64位数据比较，如果两个数据相同，说明报文没有中途被更改过。 再进一步，因为DES只能够对64位的数据进行加密，一个报文可不止64位，哪我们怎么处理呢？只对报文开头的64位加密？这个是显然不够的。 我们可以这样，先对报文的开始64位加密，接着对报文第二个64位加密，依次类推，不过这有问题，因为每个64位都会得到同样长度的加密后的数据，我不能把这些数据都放到报文的后面（报文的长度就变成两倍长了）。换个思路，我先对报文第一个64位加密，得到64位的加密后数据data1，接着再拿加密后的data1与报文第二个64位数据进行按位异或，得到同样长64位的数据data2，我再用Key对data2加密，得到加密后的数据data3，再拿data3与报文第三个64位数据进行按位异或，同样的处理依次类推。直到最后会得到一个64位的数据，将这个数据放到报文的最后发到前置机，这样报文的长度只增加了64位而已。这个算法就叫做MAC算法。 好了，到目前为止我们已经知道了什么是MAC算法，为什么需要它，接着我们再看看经常被提起的另外一个名词。在上面说到MAC算法的时候，我们会注意到其中进行DES加密算法时提到了一个Key，这个用来参与MAC计算的Key就常被称为MacKey（MAK）。 我们继续来处理ATM和前置机间网络数据传输的问题。前面提到的MAC算法对传送的报文进行