银行卡密钥管理系统产白皮书.doc

银行卡密钥管理系统银行卡密钥管理系统 产品白皮书产品白皮书 版本：版本：V1.0V1.0 文文 檔檔 编编 号号保保 密密 等等 级级 作作 者者韩超最后修改日期最后修改日期 2011-4-21 审审 核核 人人姚冬冬最后审批日期最后审批日期 2011-4-21 批批 准准 人人刘顼最后批准日期最后批准日期 2011-4-21 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书 版权声明 本白皮书中的内容是神州数码融信软件有限公司银行卡密钥管理系统技术说明书。本 材料的相关权力归神州数码融信软件有限公司所有。白皮书中的任何部分未经本公司许可， 不得转印、影印或复印及传播。 2011 神州数码融信软件有限公司 All rights reserved. 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书 修订记录修订记录 日期日期版本版本修订说明修订说明修订人修订人 2011-4-20V1.0 初始建立韩超 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 1 页 目目 录录 1 1 引言引言 2 1.1目的 2 1.2背景 2 1.3范围 2 1.4参考文档 2 1.5术语与缩略语 2 1.6环境要求 3 2 2 技术要求技术要求 3 2.1银行卡密钥管理系统结构图 3 2.2管理端功能 4 2.3DES 密钥服务功能 .6 2.4RSA 密钥服务功能 .9 2.5其它功能 10 3 3 功能特点功能特点 11 3.1符合 PBOC2.0 规范 11 3.2安全性 11 3.3可扩展性 11 3.4可靠性 11 3.5可伸缩性 11 3.6高性能 11 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 2 页 1 1引言引言 1.11.1目的目的 本文档从总体上对银行卡密钥管理系统进行介绍，涵盖了系统的技术要求、 功能特点等信息，供用户查阅，是项目验收的必备数据。 1.21.2背景背景 银行卡密钥管理系统是支撑银行卡系统数据安全的独立应用模块，实现了 对行内硬件加密机和系统密钥的统一集中管理。提供对银行卡系统中广泛使用 的对称密码技术和非对称密码技术的支持，提供作为IC卡系统应用必须的密钥 数据准备、数据加密、签名及认证、CA公钥管理功能，提供与中国银联根CA文件 交互功能。 银行卡密钥管理系统采用Java和XML 技术，遵循PBOC2.0标准设计开发。 系统中采用的密码学算法遵循国际认可的安全算法，能有效的解决系统中所需 要的数据完整性校验、认证和抗抵赖问题。通过安全的报文传输协议和严格的角 色权限控制，银行密钥管理人员能够通过银行卡密钥管理系统对行内密钥的产 生、存储、传递、使用、销毁的整个生命周期的操作。 本文文件就是在神州数码融信软件有限公司SmartCard总体解决方案的前提 下，对银行卡密钥管理系统进行阐述。 1.31.3范围范围 适用于银行卡密钥系统的系统评估人员、检测人员、培训人员和最终用户。 1.41.4参考文档参考文档 中国金融集成电路(IC)卡规范(PBOC2.0) EMV Integrated Circuit Card Specifications for Payment Systems IC 卡系统制卡文件说明.doc 银行卡密钥管理系统接口.doc 1.51.5术语与缩略语术语与缩略语 Model Bank: 神州数码融信软件公司提供的银行 IT 整体解决方案。 SmartCard: ModelBank 中为银行提供的卡整体解决方案。 EMV:Europay MasterCard VISA 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 3 页 HSM: 硬件安全模块(Hardware Security Module) IC 卡: 集成电路卡(Integrated Circuit Card) DES: 数据加密标准算法（Data Encryption Standard） 3DES: 双倍密钥长度的三重 DES 算法 (Two Key Triple DES) PBOC: 中国人民银行(Peoples Bank of China) RSA: 由 Rivest,Shamir 和 Adleman 发明的非对称密码算法 1.61.6环境要求环境要求 这里的环境要求主要是基于密钥管理系统的应用而言。 项目项目最低配置最低配置推荐配置推荐配置 处理器1*2.0GHz 以上2* 2.0GHz 以上 内存512M 以上2G 以上 硬盘20G 以上80G 以上 硬硬 件件 平平 台台 网络10M 以上100M 以上 OSSUN OS，AIX，Linux，Windows 虚拟机Jre 5.0 以上 数据库Oracle 10g R2 软软 件件 平平 台台 中间件Weblogic 9.2 MP2、Tomcat 2 2技术要求技术要求 2.12.1银行卡密钥管理系统结构图银行卡密钥管理系统结构图 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 4 页 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 SJL22、 、 、 、 、 、 、 1 、 、 、 、 、D ES、 、 、 、R SA、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 C A、 、 、 、 、 、 、 、 PI N 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 AR PC / 、 、 AR PC 、 、 、 、 、 、 、 、 、 、 、 / 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 R SA、 、 、 、 、 、 、 、 、 H ASH 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 W ebl ogi c、 SSL、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 SJL22、 、 、 、 、 、 、 2 、 、 、 、 、 、 、 、 、 1 2.22.2管理端功能管理端功能 2.2.1系统管理 2.2.1.1管理员登录 标题管理员登录 具体描述密钥管理系统管理员输入用户名、密码后签到，登录系统 角色系统管理员、操作员、银联认证安全员 2.2.1.2柜员操作 标题柜员操作 具体描述系统管理员增、删、改、查操作员，重置操作员密码、登录状态 角色系统管理员 2.2.1.3修改密码 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 5 页 标题修改密码 具体描述操作员修改登录密码 角色系统管理员、操作员、银联认证安全员 2.2.1.4退出系统 标题退出系统 具体描述操作员操作完成后退出系统并签退 角色系统管理员、操作员、银联认证安全员 2.2.2加密机管理 2.2.2.1加密机管理 标题加密机参数设置 具体描述操作员对硬件加密机信息查询、录入、修改、删除。 角色系统管理员、操作员 2.2.3发卡行参数 2.2.3.1发卡行 RSA 密钥参数 标题发卡行 RSA 密钥参数 具体描述操作员根据 PBOC2.0 规范及发卡行要求设置发卡行 RSA 密钥对的生成规则 角色操作员 2.2.3.2卡片 RSA 密钥参数 标题卡片 RSA 密钥参数 具体描述操作员设置不同卡 BIN 对应的卡片 RSA 密钥对的生成规则 角色操作员 2.2.3.3发卡行 DES 密钥管理 标题发卡行 DES 密钥管理 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 6 页 具体描述操作员录入、修改、删除、查询发卡行密钥信息 角色操作员 2.2.3.4发卡行证书申请文件查询 标题发卡行证书申请文件查询 具体描述操作员查询已录入的申请文件相关数据或已经完成的申请数据 角色银联认证安全员 2.2.3.5发卡行证书申请文件新增 标题发卡行证书申请文件新增 具体描述操作员录入申请文件相关数据 角色银联认证安全员 2.2.3.6发卡行证书申请文件生成 标题发卡行证书申请文件生成 具体描述操作员根据录入资料生成发卡行证书准备文件并下载 角色银联认证安全员 2.2.3.7发卡行证书导入 标题发卡行证书导入 具体描述操作员将根 CA 签名证书文件导入密钥管理系统 角色银联认证安全员 2.2.3.8生成发卡母卡及认证卡 标题生成发卡母卡及认证卡 具体描述操作员为卡商制作发卡母卡 角色操作员 2.2.4根 CA 管理 2.2.4.1认证中心公钥导入 标题认证中心公钥导入 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 7 页 具体描述操作员为行内收单所申请的根 CA 公钥文件导入 角色银联认证安全员 2.2.4.1认证中心公钥查询 标题认证中心公钥查询 具体描述操作员查询所有可以收单的认证中心公钥 角色银联认证安全员 2.32.3DESDES 密钥服务功能密钥服务功能 2.3.1获取工作密钥 标题获取工作密钥 适用磁条卡金卡密钥体系 具体描述根据节点(终端)编号产生工作密钥下发并持久化 适用场合终端签到、密钥申请、密钥重置 2.3.2转加密密码 标题转加密密码 适用磁条卡金卡密钥体系 具体描述根据源节点(终端)编号 A 和目的节点(终端)编号 B 将上送的由 A 加密的密码转 加密为 B 加密 适用场合两个节点间的 PIN 传输及转换 2.3.3加(解)密密码 标题加(解)密密码 适用磁条卡金卡密钥体系 具体描述根据源节点(终端)编号将密码加(解)密 适用场合根据规范要求，在系统任何场合均不允许出现明文密码，本功能仅用于系统前期 测试使用，正式生产中，均不会使用本功能。 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 8 页 2.3.4获取 CVN 标题计算 CVN 适用磁条卡金卡密钥体系、IC 卡密钥体系 具体描述根据传入数据产生卡片 CVN 适用场合生成制卡文件、补换卡。 2.3.5获取 MAC 标题计算 MAC 适用磁条卡金卡密钥体系、IC 卡体系 具体描述根据传入 MAB 及源节点(终端)编号计算报文 MAC 适用场合节点间交易报文传输，保证交易报文的完整性。 2.3.6重置密钥 标题重置密钥 适用磁条卡金卡密钥体系、IC 卡密钥体系 具体描述根据传入 MAB 及源节点(终端)编号计算报文 MAC 适用场合节点间交易报文传输，用于保证交易报文的完整性。 2.3.7密钥节点信息维护 标题密钥节点信息维护 适用磁条卡金卡密钥体系 具体描述根据节点(终端)编号配置密钥长度等信息 适用场合发卡行调整密钥长度、计算密码是否带 PIN 时使用。 2.3.8获取 IC 卡子密钥 标题获取 IC 卡子密钥 适用IC 卡密钥体系 具体描述根据节点(终端)编号配置密钥长度等信息 适用场合发卡行调整密钥长度、计算密码是否带 PIN 时使用。 2.3.9敏感数据加解密 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 9 页 标题 敏感数据域加解密 适用IC 卡密钥体系 具体描述制卡时若干敏感数据需要经传输密钥进行加密 适用场合生成制卡文件。 2.3.10验证 ARQC 标题验证 ARQC 适用IC 卡密钥体系 具体描述根据上送资料及 ARQC，校验 ARQC 是否正确 适用场合卡片做联机认证时。 2.3.11验证 ARQC 并生成 ARPC 标题验证 ARQC 并生成 ARPC 适用IC 卡密钥体系 具体描述根据上送资料及 ARQC，校验 ARQC 是否正确，根据 ARQC 资料产生 ARPC 适用场合卡片做联机认证时。 2.3.12生成 ARPC 标题 生成 ARPC 适用IC 卡密钥体系 具体描述根据请求资料产生 ARPC 适用场合卡片做联机认证时。 2.3.13生成发卡行脚本 标题生成发卡行脚本 适用IC 卡密钥体系 具体描述根据请求数据产生发卡行脚本交由卡片执行 适用场合更改卡片个人化数据，如限额、脱机 PIN 等。 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 10 页 2.42.4RSARSA 密钥服务功能密钥服务功能 2.4.1生成发卡行 RSA 密钥对 标题生成发卡行 RSA 密钥对 适用 IC 卡密钥体系 具体描述 根据发卡行 RSA 参数配置，生成发卡行 RSA 密钥对，系统中存储公钥，私钥由 加密机存储，由备份 IC 卡双备份。 适用场合 产生银联根 CA 申请文件。 2.4.2生成卡片 RSA 密钥对 标题生成卡片 RSA 密钥对 适用 IC 卡密钥体系 具体描述 根据发卡行卡片 RSA 参数配置，生成卡片 RSA 密钥对，系统中不予存储。 适用场合 生成制卡文件。 2.4.3导出 RSA 密钥对 标题导出 RSA 密钥对 适用IC 卡密钥体系 具体描述将加密机产生的 RSA 公私钥对加密导出。 适用场合生成制卡文件。 2.4.4导出 RSA 密钥对 标题导出 RSA 密钥对 适用 IC 卡密钥体系 具体描述 将加密机产生的 RSA 公私钥对加密导出。 适用场合 生成制卡文件。 2.4.5生成签名/证书 标题生成签名及证书 适用 IC 卡密钥体系 具体描述 按执行私钥索引将数据串或公钥进行加密产生签名或证书。 适用场合 生成制卡文件。 银行卡密钥管理系统_产品白皮书 银行卡密钥管理系统_产品白皮书第 11 页 2.4.6计算数据块 HASH 值 标题计算数据化块 HASH 值 适用IC 卡密钥体系 具体描述根据 01-HASH 算法计算请求数据的 HASH 值。 适用场合银联根 CA 申请文件生成，终端公钥信息下载。 2.52.5其它功能其它功能 2.5.1日终处理 标题日终处理 具体描述1、密钥管理系统接收卡系统发起的日切通知，根据