自助银行服务系统.ppt

1,第五章 自助银行服务系统,第一节 自动柜员机系统 第二节 销售点电子转帐系统 第三节 家庭银行系统,2,第一节 自动柜员机系统,一、 ATM系统概述 二、 ATM系统的组成和网络结构 三、 ATM系统的交易处理流程与设计 四、 ATM系统的安全技术与安全管理 五、 ATM系统的规划与设计,3,关于ATM的结构、工作方式、使用方法，关于ATM系统发展状况与趋势等,一、 ATM系统概述,4,1、 何年开始推出ATM系统？能否可以说ATM系统是电子资金转账(EFT)系统中应用最早、最成功的应用项目？ 2、比较分析国内外ATM系统的发展状况 3、分析ATM系统的发展趋势。,（一）ATM系统发展状况与趋势,5,1969年推出ATM系统 可以说， ATM系统是电子资金转账(EFT)系统中应用最早、最成功的应用项目。 装机量快速增长 功能增强增多 安全性增强 服务全天候、全方位自动自助 与其它系统的集成 ATM专业化服务种类不断细分 ATM服务收费体系的建立和健全,6,7,8,1、对于银行来说，规划设计一个 ATM系统的目标是什么？ 2、CD与ATM的主要区别？ 3、典型的ATM系统的主要功能有哪些？,（二）ATM系统的目标和主要功能,9,3、典型的ATM系统的主要功能,(1)取现功能 (2)存款功能 (3)转账功能 (4)支付功能 (5)账户余额查询功能 (6)非现金交易功能。 例如修改个人密码(PIN)、支票确认、支票保证、电子邮递、验证现钞，缴付各种公共事业账单等。 (7)除了交易和非交易功能外ATM还能提供各种管理性处理功能。 例如：查询终端机现金余额：终端机子项统计；支票确认结果汇总：查询营业过程中现金耗用、填补及调整后的数据；安全保护功能等。,10,1、简述典型ATM的结构？ 2、CD/ATM的有哪几种工作方式？ 3、顾客在ATM上的操作过程？ 4、ATM给顾客的好处有哪些？,（三）ATM的结构、工作方式和使用方法,11,1、典型ATM的结构,一台典型ATM的正面板，包含把信息输入给系统的输入域和向客户显示信息与配发现金的输出域。 基本输入域有三部分： 卡片输人口/读卡机 功能键盘 数字键盘； 基本输出域有三部分： 信息输出屏 现金配出器 收据输出口/收据打印机,12,1、典型ATM的结构,一台典型ATM的正面板，包含把信息输入给系统的输入域和向客户显示信息与配发现金的输出域。 产品类别： ATM智能防护罩(建行标识） 型号规格： ATM1285AMS 主要用途： 用于金融机构所有ATM的防护，体现“以人为本”的设计思想。防尘、防雨、防晒、防窥视、防尾随。可选配密封门、刷卡器、监控设施使ATM工作更安全。可容纳812幅自动变换的广告画，即可作为银行自身广告宣传媒体，又可对外发布，是美化城市，靓化城市，提升银行形象.,13,1、典型ATM的结构,为使客户能通过ATM存款，ATM应设置有带纸币识别装置的纸币输入口；否则，应有信封输出口和输入口，在后一种情况下，当客户h输入存款指令时，ATM吐出一个信封，客户将现金放入信封内再将信封从输入口放进入ATM。 在ATM内部，还有 存放不同面值的28个现钞箱 给客户打印单据的客户凭条打印机和打印副本的日志打印机。有的ATM还有对账单打印机和存折打印机等。 ATM的读卡器可读S磁卡中磁条的ISO1、2和3磁道或ISO2、3磁道，还有的ATM既可读磁卡还可读IC卡，读卡器还应具有卡片回收功能。 现代的ATM的控制系统，相当于一台微机。各种型号的ATM的控制系统含有PC总线、CPU、RAM、软驱和硬盘、ATM机一般都有能与银行主机和网络产品连接的接口。为了ATM的安全，生产商还在ATM的软硬件上设置了完善的安全措施。,14,2、CD/ATM的工作方式,15,2、CD/ATM的工作方式,16,3、顾客在ATM上的操作过程,17,4、ATM给顾客的好处,(1)快捷 (2)方便 (3)全天候服务 (4)安全,18,关于ATM系统的分类，关于共享ATM系统的基本组成、网络结构类型，关于ATM系统的应用软件，ATM系统举例,二、 ATM系统的组成和网络结构,19,1、 ATM系统分为哪两类？ 2、 一个共享系统的某些方面可以是专有的，但是，所有的共亨系统，都必须具有分享存取和协作控制这两项最关键的共同特点。（ ）,（一）ATM系统的分类,20,1、 共享ATM系统至少包括哪些组成部分？ 2、交换中心可由某个发卡行、也可由多个发卡行合作经营管理，但不可以由第三方来担任。（ ） 3、共享ATM系统的网络结构根据交换中心在_分为三个类型:_、_和_；新建一个网络系统时，才可考虑采用_交换型网络结构。,（二）共享ATM系统的基本组成与网络结构类型,21,（1）后方交换型的网络结构,22,（2）前方交换型的网络结构,23,（3）复合型的网络结构,24,1、举例说明ATM系统的应用软件的主要功能。 2、举出国内外关于银行ATM系统的实例。,（三）ATM系统的应用软件、ATM系统实例,25,有多家公司可提供各种用于ATM服务的应用软件。ACI(Applied Communications,Inc.)公司就是提供ATM软件的一家著名的公司。 它是一家美国公司，它领先开发容错处理法和EFT系统的网络软件；它于1982年推出BASE24软件后，在全球五大洲的用户已超过250家。 BASE24-ATM 支持的产品、协议、业务、交换接口、授权方法多，支持的工作时间、应用、自助银行终端、支票处理功能、业务报告、安全功能、容错功能等方面。,26,27,28,关于ATM系统的交易处理流程与设计，主要包括：数据传输流程设计、信息内容和格式设计、系统中各节点的处理设计、界面设计等,三、 ATM系统的交易处理流程与设计,29,1、简述 本行持卡人在后方交换型网络结构的自有ATM上作交易时，在ATM系统内的数据传输过程。 数据传输一般过程为： （1）插入银行卡，启动ATM系统，经读卡机检查是否为合法的银行卡 （2） ,（一）本行交易的数据流程,30,CD或ATM,持卡人,银行,1.插入银行卡,2.输入PIN,3.输入交易类型,6.打印单据,退卡,4.请求,5.响应,31,32,1、做跨行取款交易时，发生取款交易的主要条件描述是什么？ 2、做跨行取款交易时，简述 其数据处理流程（第一层数据流程）. 3、做跨行取款交易时，通常采用的三向传输处理流程分别是：_、_、_。 4、做跨行取款交易时，其处理流程所传输的信息是什么？,（二）跨行交易的条件描述、数据传输流程、传输的信息,33,做跨行取款交易时，发生取款交易的主要条件描述,属非本行客户要求提款； 作为代理行，在信息发出前要先将其转换成系统规定的标准格式； ATM内必须有足够的现金； 若发卡行同意事后清算资金，则代理行应支付款项给持卡人； 为资金安全，各项信息传送必须在控制的时间段内完成才有效； 要符合系统规定的所有安全规则。,34,跨行取款交易的数据处理流程（第一层数据流程）,请求信息首部数据，如交易种类、信息长度、发卡行代号等； 代理行数据，如代理行交易序号、代理行代号、终端机号、时间等； 银行卡上磁条内容，磁条种类、长度、卡号等数据； 客户交易数据，交易类型，交易金额PIN等,响应信息首部数据； 代理行数据； 客户交易数据，在请求信息相关内容基础上，要增加发卡行交易序号： 交易响应指令； 其他数据，如可用余额等,确认信息首部数据； 代理行数据； 发卡行交易序号； 交易完成状态,35,1、关于终端机处理的数据流程： 1）画出终端机（ATM/CD）处理的数据流程（第二层数据流程） 2）画出终端机（ATM/CD）读卡处理的数据流程（第三层数据流程） 3）画出终端机（ATM/CD）读键盘处理的数据流程（第三层数据流程） 4）画出终端机（ATM/CD）支付处理的数据流程（第三层数据流程） 5）画出终端机（ATM/CD）管理处理的数据流程（第三层数据流程） 2、关于代理行处理的数据流程？ 3、关于交换中心处理的数据流程？ 4、关于发卡行处理的数据流程？,（三）节点的处理设计,36,ATM系统的数据流程（第一层数据流程）,CD或ATM,持卡人,代理行,交换中心,发卡行,清算银行,三向传输，后方交换型共享ATM系统跨行取款交易全程经过8个路段，交易才算完成。（如果是余额查询业务？）,37,ATM系统的数据流程（第一层数据流程）,三向传输，后方交换型共享ATM系统跨行取款交易全程经过8个路段，交易才算完成。（如果是余额查询业务？）,38,1）ATM系统_终端机处理的数据流程（第二层数据流程）,持卡人,2银行主机,1.6指令发送,1.5管理处理,1.4支付处理,1.3读键盘处理,1.2读卡处理,1.1信息接收,39,1）ATM系统_终端机处理的数据流程（第二层数据流程）,40,2）终端机_读卡处理（1.2)的数据流程（第三层数据流程）,1.1信息接收 ,1.6指令发送,退卡结束服务指令,向持卡人发输入PIN指令,41,2）终端机_读卡处理（1.2)的数据流程（第三层数据流程）,42,3）终端机_读键盘处理（1.3）的数据流程（第三层数据流程）,1.1信息接收 客户输入PIN,1.6指令发送,1.1信息接收 客户输入 交易类型和金额,1.6指令发送,1.3.8加密处理,43,3）终端机_读键盘处理（1.3）的数据流程（第三层数据流程）,44,4）终端机_支付处理（1.4）的数据流程（第三层数据流程）,1.1信息接收 ,1.4.1解密处理,1.4.2拒绝交易,1.4.3查询处理,1.4.4取现处理,1.4.5其他相应处理,1.6指令发送,45,4）终端机_支付处理（1.4）的数据流程（第三层数据流程）,46,5）终端机_管理处理（1.5）的数据流程（第三层数据流程）,1.1信息接收 ,1.5.1累加数清零,1.5.2加款,1.5.3打印清单,1.6指令发送,47,5）终端机_管理处理（1.5）的数据流程（第三层数据流程）,48,2、代理行处理的数据流程,第二层数据流程：代理行处理,1 CD或 ATM,2.1 信息 接收,2.1 解密 处理,2.2 解密 处理,2.5他行客户 交易处理,2.4本行客户 交易处理,2.6响应处理,2.7 加密 处理,2.8 加密 处理,2.9 信息 发送,3 交换 中心,响应,转发请求,请求,响应,49,2、代理行处理的数据流程,第二层数据流程：代理行处理,50,2、代理行处理的数据流程,第三层数据流程：代理行自己客户的交易处理,2.1 信息接收 ,2.2 解密 处理,2.4.2 借记卡 客户,2.4.1 信用卡 客户,2.4.5 挂账处理,2.4.8 修改余额,2.7 加 密 处 理,2.9 信 息 发 送,51,2、代理行处理的数据流程,第三层数据流程：代理行自己客户的交易处理,52,2、代理行处理的数据流程,第三层数据流程：代理行对他行客户的交易处理,2.1 信息接收 ,2.3 解密 处理,2.6.2 接受 交易 处理,2.6.1 拒绝 交易,拒绝指令,肯定指令,2.7 加密 处理,2.8 加密 处理,响应,确认,2.9 信息 发送,53,2、代理行处理的数据流程,第三层数据流程：代理行对他行客户的交易处理,54,3、交换中心处理的数据流程,第二层数据流程：交换中心处理,2 代理行,3.1 信息 接收,3.3 解密 处理,3.2 解密 处理,3.5 确定处理,3.4 请求处理,请求,确认,3.7 加密 处理,3.6 响应处理,3.8 加密 处理,3.9 信息 发送,4 发卡行,响应,请求,确认,请求/确定,55,3、交换中心处理的数据流程,第二层数据流程：交换中心处理,56,4、发卡行处理的数据流程,第二层数据流程：发卡行处理,3 转接 中心,4.1 信息 接收,4.2 解密 处理,4.3 响应处理,4.4 财务递交 或冲正处理,4.5 加密 处理,4.6 信息 发送,57,4、发卡行处理的数据流程,第二层数据流程：发卡行处理,58,4、发卡行处理的数据流程,第三层数据流程：发卡行响应处理,4.1 信息接收 ,4.2 解密 处理,4.3.2 借记卡 客户,4.3.1 信用卡 客户,4.3.5 挂账处理与清算处理,4.3.8 修改余额与清算处理,4.5 加 密 处 理,4.6 信 息 发 送,59,4、发卡行处理的数据流程,第三层数据流程：发卡行响应处理,60,4、发卡行处理的数据流程,第三层数据流程：发卡行账务提交或冲正处理,4.2 解密 处理,4.4.2 冲正,4.4.1 递交,4.1 信息接收 ,肯定性指令,否定性指令或逾期未归,61,4、发卡行处理的数据流程,第三层数据流程：发卡行账务提交或冲正处理,62,关于ATM系统的安全问题和技术措施；ATM系统的安全管理,四、 ATM系统的安全技术与安全管理,63,1、系统的不安全因素有哪些？如何防范？ 2、系统安全采取的技术措施有哪些？,（一）ATM系统的安全问题和技术措施,64,1、系统的不安全因素有哪些？如何防范,四大方面,（1）持卡人,（2）银行,（3）卡,（4）软硬件、网络,65,硬件配置： 主控制器： Intel Celeron 533MHz或Pentium III 600MHz 64-256MB RAM 打印模块： 票据：热敏纸，宽82mm，图形和汉字 打印，纸转外径120mm，黑点检测 流水：普通纸，宽82mm，针式打印汉 字和字母，纸转外径80mm 用户界面： 客户显示器：15 纯平显示器，支持 800600真彩显示模式。 红外触摸屏：防暴力使用，十年寿命，防尘、防水、不漂移。 密码键盘：44键，不锈钢 立体扬声器：4W 操作员显示器：6.4 TFT彩色液晶 操作员键盘：84键，PC兼容 多介质出钞模块与钞箱： DELARUE公司OEM产品-NMD100 机芯，摩擦式出钞，10张/秒。 钞箱：回收箱1个，标准钞箱3个，最大容量3000张/钞箱， 每次最大出钞 数达100张，支持回收功能 卡处理模块： 可读写ISO标准磁道1/2/3和IC卡， 可选支持SAM模块，最大回收30张卡 安全与选件： 保险柜：12mm钢板， 符合国际UL291 LEVEL1 标准DES 加密模块（可选） IC卡处理模块（可选） 应用系统： 操作系统： Windows NT Workstations 控制软件： 自主开发的ATMC控制软件 联网协议： 支持SNA/SDLC/HDLC，X.25，TCP/IP等 仿真支持： ISO8583/IBM/DIEBOLD/NCR/OLLIVETTI/SIMENS/HITACHI等 物理规格与环境： 操作环境： 温度范围：0 35 相对湿度：10% 90% 电源供应： 电源输入：200V 240V，49 51Hz 耗电量：正常等待状态 250W 最大450W 物理规格： 不含穿墙外框：宽540mm 深1056mm 高1590mm 含穿墙外框： 宽727mm 深056mm 高1796mm 重量（标准3钞箱）：约500kg,自动取款机穿墙式ATM（V313/W）,另外一种：大堂式ATM自动取款机,66,穿墙式ATM 大堂式ATM,自动柜员机,67,ATM机是开放性自助系统,系统的信息传送和伴随的资金转移的安全尤为重要。 一、ATM系统的安全问题和技术措施 1、系统的不安全因素及其防范 (1)持卡人的疏忽：包括银行卡丢失或被盗；PIN泄密引起第三者的欺诈。 (2)银行的疏忽： 例如：发卡过程出错；PIN的产生和发行有漏洞，PIN及银行卡的发行没有分开监控；止付卡处理不当。 后果：可导致银行职工冒领或冒用他人户头作案。 防治措施：建立相关的业务处理程序，严格监控执行。 (3)蓄意作案：从持卡人到主机系统有若干作案点(见下页)。 持卡人：用伪造卡或盗用卡非法交易。 ATM终端级：用伪终端伪造ATM交易。 ATM银行主机的通信线路：装主动和被动窃听器，截获并篡改交易信息。 银行主机级：内部知情者作案，如非法读、改PIN表等。,68,持卡人 终端 银行 PIN 窃听终端 伪终端 银行内部 知情者作案 图4-24 ATM系统中可能的作案点 蓄意攻击方式 被动性攻击：利用制度上的漏洞和人为的疏忽。 主动性攻击：智能型作案。 主动攻击：骗取授权，进行非法交易。验明身份是通过检验银行卡和PIN 来完成，如卡和PIN一起丢失，案犯可能作案。,磁卡,CD/ATM,银行主机,PIN表,被动窃听器,主动窃听器,69,伪造银行卡是骗取授权的另一种手段，磁卡比IC卡容易复制(用加热法和缓冲记录技术)。只要复制磁卡上的条纹便可。 防范方法： 研制安全磁卡,抗伪造。 推广IC卡，它具有数据处理功能和数据存储功能，不易伪造。 在通信线路上搅乱数据链：有以下二种情况， 在通信线路上插入诱骗设备：它是一台电子设备，可模拟计算机与ATM通信的方法来进行诈骗作案活动。例：它可给某台ATM机连续发排放现金指令，直到现金箱排空。 在通信线路上插入冒名终端进行作案：此法是窃听通信线路来获得重要信息，如帐号和PIN。利用这些信息，用冒名终端和复制的伪造卡或其它手段，将资金转帐到伪帐户中。冒名终端是比诱骗设备复杂的电子设备，不仅可与ATM通信，还可同银行主机通信。所以，它可危害到该银行所持有的任何存款。 防治措施：采用安全软件对通信线路监控，采用数据加密等。,70,不诚实员工的作案：不诚实员工可能是银行职工，或是安装维护ATM系统的工程技术人员。后一种人的作案难发现。 (4)暴力行为：这种作案较少。穿墙式结构沉重，且有安全报警装置。 (5)软件缺陷：软件的BUG或系统软件本身的缺陷。 防治措施： 治标：发现BUG，就立即改。 治本：软件系统出台前要做周密的测试与评估。软件工程要经过可行性分析、需求分析、总体分析、详细分析、编码、测试、维护等步骤。 (6)硬件故障 包括计算机故障和网络故障。 防治措施：对关键设备和通路要有冗余；出故障后，必须对故障前未完成处理的交易进行复原，确保数据库的完整性。如采用RAID技术的硬盘及备份系统。,71,(7)对脱机ATM的作案及防止 一张伪造的复制卡在脱机ATM机上作案所造成的危害，比在联机ATM机上作案造成的危害要严重得多。 防范措施：限制每笔现金交易额(1000元)和每天交易的次数(2次)。对采用磁卡的ATM系统，不宜用脱机操作方式。 2. 系统安全应采取的技术措施 对ATM机这样一个开放性的联机系统，必须确保网络安全可靠。具体要求硬件必须高质量，软件必须是经严格验证过的成熟产品，关键设备要有冗余，关键结果要有备用通路，还要研制各种高水平的错误检测技术及设备。 (1)数据传输过程中的安全设计: 采用密码和确保电文在传送过程中不被篡改。 密码技术：ATM交易中的重要信息在传输过程中要以密码方式出现，即用节点节点间加密解密(或称编码和解码)的方式来保证传输的安全。 数据加密的方式有多种，目前国际上最通行、银行业用得最多的加密算法是由美国NBS核定的DES（Data Encryption Ssandard)加密法则。,72,补充：密码编制学简介,密码编制学：研究开发编码技术和编码系统的学科。 编码技术的任务：寻找安全性高的有效密码算法。 一、加密算法： 1、明文：交易信息的初始形式，记为P P=P1， P2， PN 2、密文：是加密后的明文。记为C C=C1， C2，CN 明文与密文的转换可记为 C=E(P)及P=D(C) 式中，E为加密算法，D为解密算法。 我们要求P=D( E (P) )，即明文经加密成密文后再经解密处理，必须能恢复成原来的明文。 3、密钥(KEY)：有些加密算法使用密钥，即密文不仅依赖于初始明文，还与密钥有关。加密过程为： C=E(P，K)。 若加、解密采用相同的密码，则要求P=D( E (P，K)，K ) 密钥 明文 密文 原明文 系统为单(对称)密钥系统,加密,解密,73,补充：密码编制学简介,4、单(对称)密钥系统：是加密、解密采用相同的密码系统。ATM机中采用的DES算法的密码系统是单(对称)密钥系统。 5、公钥密码系统：在加密、解密采用不同的密码系统中。若其中一个密钥公开，另一个必须保密，这种系统叫公钥密码系统。网络银行中采用的RSA算法的密码系统是公钥密码系统。 二、基本的加密方法（替换和移位） 替换用一字母代替另一个字母。 移位重新安排字母的次序。 1、替换：如恺撒(Caesar)密码的编码方法是将每个字母转换为字母表中它后面固定数目位置的字母，恺撒(Caesar)密码用的偏移量是3。例将“A”转换成“D”，“B”转换成“E”等。如26个字母分别用“0，1，2，25”表示，那么明文字母编码Pi 和密文编码 Ci 间，存在以下关系： Ci =E(Pi)=(Pi+3)mod 26 , 式中mod为取模运算符 例明文Z的Pi=25，其对应的密文字母的编码值为 Ci=（25+3）mod26=2，即字母Z在密文中的编码取字母C的编码值。 如明文是IMPORTANT，密文是XXXXXXXXXX,74,补充：密码编制学简介,2、移位(排列)： 替换的目的是制造混乱，使截获者难以从密文中了解到明文的含义。移位是重新安排字母的次序，也称排列。移位可使消息和密钥的信息扩散到整个密文，以打破密文的结构特性。 下面以列移位为例，明文C1C2 C3C4C5C6C7C8C9C10 C11C12 C13C14C15 将它们分成5个字符的块，并依次排列为： C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11C12 C13C14C15 通过横放列，则得到密文： C1C6 C11C2C7 C12C3C18C13C4 C9C14C5C10C15 上述列移位是以5个字符为一个单位，称五列转位。,75,补充：密码编制学简介,三、DES算法综述 DES算法是由IBM公司根据Lucifer数据加密算法开发出来的。是一种分组加密算法，它将两种基本的加密算法(替换和移位)完美地结合在一起。 64位明文 1、加密法则：每次取明文中的连续64位 64位密钥 数据，利用64位密钥(其中8位为奇校位)， 经16次循环的组加密算法(替换和移位)将 其转换成64位的数据（密文）。 (56+8)位 DES算法不保密，但密钥要绝对保密。 64位密文 2. 优点: 当用56位密钥时,可能的组合大于7.2*106种, 想用穷举法来确定某一密钥的概率很小. 如想用穷举法进行攻击, 即使1微秒能穷举一个密钥, 也要2283年. 因此,这种加密几乎不存在什么危险. 并已在VLSI实现了.,DES算法,76,2、系统安全采取的技术措施,主要有二方面,（1）数据传输过程中的安全技术,（2）物理实体的安全技术,77,数据传输过程中的安全技术,二个方面,（1）电文的保密性技术,（2）电文的完整性技术,P=P1, P2 , Pn C=C1,C2 , Cn C=E(P);P=D(C) P=D(E(P) C=E(P,K) P=D(E(E,K),K),78,在传送过程中保证数据完整性的技术 即在传送电文的末尾增加传送信息识别码MAC(Message Authentication Code)，接收点：收到电文 检查MAC，是否被篡改 电文 在网络银行采用对传输电文的数字签名。 MAC的产生原理： 64位 64位 将电文中第一个64位数据用密钥(MAC KEY) 经DES加密算法加密后，产生64位的加密数据 用它与下一个64位明文数据“异或” 后，再用 MAC MAC密钥，把其加密成下一个64位加密数据 密钥 MAC 如此反复，一直到把全部电文加密 处理好。 密钥 最后得到64位数据，取其前32位作为MAC。 可见，不同电文有不同的MAC，若该电文 32位MAC 在传送过程中被截获，则被篡改后的 电文 64位 64位 产生的MAC，必与原来的 MAC不一样，因此，该电文的MAC可作为检验该电文传送过程中是否被篡改过的判别码。,+,+,DES,DES,79,在电文的文尾，增加传输信息识别码MAC(Message Authentication Code)。接收方收到电文后要检查MAC，以检验电文在途中是否被篡改。 在ATM中，最需加密的是PIN、MAC、关键的交易信息(帐号,金额等). 除重要数据外，一般数据仍以明码传输为宜。为加密传输，各成员行要购买全套的加密设备，包括软、硬件，还要开发用户接口程序。 电文的识别处理过程: A B 信息 产生MACB 产生MACA 比较MACA= MACB 发送 (2) 物理实体的安全设计 (1)安全设计内容：顾客的安全；服务人员的安全；资产的安全；设备的保护。 凡与ATM系统有关的人和物,均在保护之列.,80,1、ATM系统的安全管理工作包括哪些？ 2、PIN通过哪几种方法产生？ 3、PIN如何检验？有哪几种方案？其中哪种方案是目前普遍采用的？ 4、分配密钥的方法有哪几种？ 5、密钥有哪几种？举例说明之。 6、银行主机系统的运行管理主要包括哪些?,（二）ATM系统的安全管理,81,1、ATM系统的安全管理工作包括哪些？,（1）卡片管理,（2）PIN的管理,（3）密钥的管理,（4）现金的管理,PIN的产生 PIN的发送 PIN的检验,发卡控制 制卡控制,（5）银行主机系统的管理,密钥的分配 密钥的产生和变更 密钥的存储 密钥的管理,系统对终端机的控制 银行卡账户管理 客户信息管理,82,（二）ATM系统的安全管理,1、卡片管理 启动ATM的银行卡可以是借记卡, 也可是信用卡. 前者是启动ATM的基本工具. (1) 发卡控制：任何人必须申请，经审查核准后，才能取得银行卡。 审查条件： 对借记卡: 必须是活期存款户；帐户余额必须高于下限；检查客户的主文件，确定无误后,即可发卡. 对信用卡：申请者在发卡居住地居住过一定时间；没有违纪记录。严格审查信用资信情况,审查合格后方能发放. 卡的发放：客户持证到银行领卡和PIN. 邮寄时,卡和PIN要由不同人员分开寄发. (2) 制卡控制：包括制卡管理、制卡机管理、空白卡管理和止付卡管理等。,83,2、PIN通过哪几种方法产生？,（1）按加密算法由计算机自动产生,（2）由持卡人自定PIN,（3）上述两种方法的结合,84,3、PIN的检验有哪几种方案？,（1）PIN的算法存在银行主机系统内，由发卡行主机系统执行PIN检验。,（2）PIN的算法存于终端机(如ATM)里，由终端机执行PIN捡验。,（3）PIN算法存在银行卡上，由卡执行PIN检验。,PIN的检验,85,（二）ATM系统的安全管理,2、PIN管理 (1)PIN的产生：产生方法有三种 由计算机按加密算法自动产生: 此法安全性高, 金融界都用DES加密算法产生. 由持卡人自定PIN。不安全，已不用。 以上二种方法结合。由银行产生PIN，如持卡人不满意，允许自行更改。计算机将持卡人自选的PIN与计算机产生的PIN值二者间的差数，记在磁卡第三条磁道的差数栏中，也存入银行计算机的数据文件中。,86,(2)PIN发送：应严格按一定规则进行。 (3)PIN的检验：联机系统由主机系统检验；脱机系统由终端机检验。 有的电子银行系统原则上不在计算机文件中保存 PIN，如图所示,计算机重算一次PIN，并与持卡人输入的PIN比较，若同，表示是合法持卡人。 如用第三种方法产生PIN时，持卡人输入自选PIN值，计算机自动将差数与自选PIN值结合，还原成原PIN，再 与计算机自动生成的PIN比较。,DES,DES,比 较,卡号,PIN,PIN密钥,卡号,PIN密钥,持卡人输入密钥PIN,87,1. 插入银行卡 1.CD或 2.输入PIN ATM 3.输入交易额和交易类型 持 4 9 10.打印单据，退卡（吐现金） 请 响 求 应 5.请求 6.请求 8.响应. 7.响应 11.确认 12.确认 图4-10 ATM系统的三向 对账信息 传送过程(第一层数据流层) 清算信息,持卡 人,发卡 行4,2代理行,交换中心 3,清算 银行5,选择PIN检验处的三种方案: 由发卡银行主机系统执行PIN 检验:此法安全,各电子银行 普遍采用.以后方交换型共 享ATM作一笔跨行交易为例 说明由发卡行主机检验PIN 的过程。 为安全起见，系统传送的电 文都以密码传送，并在密文 后加MAC密钥。 代理行:收到密文的请求信息 判断 是跨行业务 添加信息 加密 发交换中 心 交换中心:收密文 解密 计算并对比MAC 相同 加密 发卡行 发卡行:收密文 解密,算MAC 无误 取出请求信息中持 卡人PIN 比较检验 无误 证明持卡人合法,88,PIN的算法存于ATM机内,由ATM机执行PIN检验.此法仅用于脱机方式. PIN算法存在银行卡上,由卡执行PIN检验.适用于IC卡客户.存储器中已有PIN算法，IC卡本身具有检验PIN和确定持卡人合法性的功能。采用： 卡机对查：当卡插入ATM机的读卡器时，由卡片和终端机互相传递检验密钥的真伪，经双方计算确认才开始下一步操作。 机卡互为作用：通过互查，若ATM机发现是伪卡，或持卡人第三次错误输入PIN时，则拒绝工作并关闭卡。IC卡不能读出，若要重新使用，要到银行用专门的程序开启。 3。密钥的管理：是电子银行系统安全管理的基础。密钥的管理涉及密钥的产生、存储、装入、分配、确认、变更和销毁等。 (1)密钥的分配：采用DES算法时： 在链路加密方式中：网络中每对主机要一个密钥； 在端对端加密中：每对用户要一个密钥，一个网络系统需许多密钥。 通过什么方式分配密钥是系统安全的重要问题.以下介绍二种分配密钥的方式：,89,4、分配密钥的方法有哪几种？,（1）密钥分配协议,（2）通过密钥服务器分配密钥,举例说明假设A欲与B建立一个虚拟的通信信道，就是说，A要同B交换一定量的信息； 假设只有A和B知道他们的公共主密钥KAB。这个主密钥是双方事先约定的。A和B双方进行密钥交换的做法步骤是： （1）A和B事先有一个只有他们双方自己知道的主密钥KAB ； （2）A通过某一过程随机产生一个会话密钥Ks （3）A将用主密钥KAB 加密过的会话密钥Ks，也即将M1E(Ks ， KAB )发送给B，并指明Ks 是双方将使用的会话密钥。 （4）B用主密钥KAB 解密M1，获得会话密钥Ks ； 此后，双方就可用会话密钥Ks加密欲通信的消息，进行会话；会话结束后A和B双方都清除Ks。,90,4、分配密钥的方法有哪几种？,（1）密钥分配协议,（2）通过密钥服务器分配密钥,举例说明 在端对端加密方式下，若用户A欲与B建立信道，进行通信向网络密钥服务器S请求分配一个会话密钥KT。分发密钥时，必须确保使用者得到一个新密钥而其他任何人，包括密钥服务器，都不应知道使用者所选择的密钥。 假设A与S之间的会话密钥为KAS ，B与S之间的会话密钥为KBS ，A的保密密钥为KAS的保密密钥为KS。能实现这种安全分发密钥的协议的主要内容为： （1）A向密钥服务器S呼叫，说明它欲与B通信，请求分配一个会话密钥KT ； （2）密钥服务器产生并发送一序列用KS加密的密钥流：E(Ki， KS )，其中i1，2，； （3） A随机选择一个由Ks加密的新密钥：E(KT ，KS )并向S回送：E(E(KT ，KS ) ， KA )； （4）密钥服务器将收到的信息用KS 解密，得到E(KT ， KA )由于A选中的密钥KT 是在A的保密密钥KA 保护下，密钥服务器S不能知道KT 的内容，然后，S分别用KAS 和KBS 对E(KT ， KA ) 加密也即将E(E(KT ， KA ) ， KAS )，KAs)和E(E(KT ， KA ) ， KBS ) ，传输给A； （5）A用KA和KAS解密E(E(KT ， KA ) ， KAS ) ，得到会话密钥KT。并将经过用KA解密得到的A不能理解的消息E(KT ， KBS )发送给B； （6） B用KBS 解密E(KT ， KBS ) ，得到会话密钥KT ，由于KBS是B和网络密钥服务器S共享的密钥，B相信KT 必定是S提供的，而不是他人编造的。,91,密钥分配协议：用一个主密钥来分配其它密钥（如会话密钥）,前者是只用来分配其它密钥的密钥。 分配密钥的过程：若A要与B建立一虚拟通信通道，只有A和B知道他们公共主密钥KAB，因双方事先约定。A、B双方交换密钥的步骤： A:随机产生一会话密钥 用主密钥KAB加密过的会话密钥KS,即Mi= E(KS, KAB) B. B:用主密钥KAB解密Mi 获得会话密钥KS 双方可用会话密钥KS加密消息进行会话。会话结束时，双方清KS 当发现不安全时，双方可随时终止使用原密钥,通告更换新密钥。 该协议必须严格保密主密钥。 上述协议适用于系统、电子汇兑系统。网络银行采用公钥系统（系统）。 通过密钥服务器分配密钥给予每个用户。密钥服务器与每个用户共享一个主密钥。若服务器与用户共享K，与共享K，与通信通过密钥服务器的密钥分配过程是：,92,3、密钥的管理,A：A 密钥服务器 产生一新密钥KS E(KS ,KA),E(KS ,KB) A A:解密E(KS ,KA) KA KS B B:解密E(KS ,KB) KB KS (2)密钥的种类：以台湾金资系统为例: 主密钥：每个加密设备都应有一主密钥，用于保护其它层次的密钥。 通信密钥(Cross Domain Key):也叫会话密钥,用于对交易电文进行加密和解密.当数据加密密钥需变更时,也要用它对新密钥加密,传至目标节点. 数据加密密钥(Data Encryption Key): 金资系统要与每个会员银行都要交换这种密钥.它分二种: PIN(PIN Protection Key)密钥:用于产生PIN和对持卡人输入的PIN进行检验的密码. MAC(Message Authentication Code):用于产生和验证电文识别码,检验电文在传送过程中,是否被篡改. (3)密钥的产生和更改。一般可用DES加密设备(含硬件、软件和固件)进行。产生密钥的具体做法:,呼叫,E(KS ,KB),93,3、密钥的管理,主密钥的产生:要充分保密.产生方法是:由随机数发生器产生二个8字节的基码值,分别交二个安全人员,并由二个监控人员监督.清除机房全部人员后,由安全人员分别向DES加密设备输入基码值, 算出主密钥.清场,密封保存基码值.主密钥一般一年变更一次. 通信密钥的产生:由交换中心的计算机,用随机数发生器产生一组二个基码,密送成员银行安全人员.成员银行以产生主密钥方法,产生各成员行自己的通信密钥.交换中心产生的通信密钥与成员行产生的相同. 数据加密密钥的产生:PIN密钥的产生原则上与主密钥同,MAC密钥原则上可随时变更.可由程序产生并存于文件中;可设定,每天开机后由交换中心的计算机自动挑选,并经网络通知成员行进行更新. (4)密钥的存储:存储主密钥,可由二个安全人员分别输入半个基码值,经加密后存入数据文件中.其它密钥要由主密钥加密后,方可存入数据文件中. (5)密钥的管理: 管理原则:密钥的产生,存储,交换,注入和销毁应遵守一定原则.管理方法随密钥类型不同而不同.管理原则是最小特权原则,特别分散,不影响系统工作. 密码的存储管理:密钥以密码存储.,94,3、密钥的管理,密钥的交换:交换应通过机要传送渠道进行. 密钥的注入和更换:主密钥一年更换一次,会话密钥于每天会话前更换. 4.现金管理:ATM机中的现金箱要及时补充现金和打印纸. 5.银行主机系统的运行管理:包括以下四方面 运行管理主要包括对ATM/CD终端机的控制、银行卡帐户管理、客户信息管理和打卡等管理工作。 (1)系统对终端机的控制：对ATM/CD的控制包括 银行主机对ATM操作的控制，包括： 检查来自ATM终端的信息：它们是 是否合法终端 ATM终端是否正常 ATM卡状态是否正常，取款次数、金额是否超限 持卡人帐户是否正常，余额和未登折数是否符合规定 执行响应处理 向ATM机发响应命令并作帐务处理,95,4-5 现金与银行主机运行管理,检查ATM执行响应指令的结果。若吐钞或通信有障碍时，要作相应处理。 (2)主控台控制。银行主机控制台可发出下列命令： 启动ATM 开、闭ATM终端 装入ATM 配置数据 日终转换ATM系统文件 查询ATM状态 (3)日终批处理。银行日终批处理内容： 按业务要求拷贝ATM系统文件。 将ATM日志文件并入储蓄应用系统日志，统一执行日终帐务处理。 打印各种报表。 (2)银行卡帐户管理：主要包括 联机查询银行卡帐户信息 日终批处理银行卡帐户信息 ATM卡开户 (3)客户信息管理：主要包括 银行卡开户 银行卡发放 (4)打卡：即制作ATM卡。,96,5、密钥的种类有哪几种？,（1）主密钥,（2）通信密钥（会话密钥）,（2）数据加密密钥（PIN密钥和MAC密钥）,97,6、银行主机系统的运行管理包括哪些？,（1）对ATM/CD终端机的控制,（2）银行卡账户管理,（2）客户信息管理,98,关于ATM系统的设计原则、系统的主要功能、系统的应用控制设计、系统的信息流程设计、系统的逾时处理控制设计,五、 ATM系统的规划与设计,99,1、ATM系统的设计原则是什么？ 2、系统的主要功能有哪些？ 3、如何进行系统的应用控制设计？ 4、如何进行系统的信息流程设计 5、如何进行系统的逾时处理控制设计,问题,100,1、ATM系统的设计原则,规划设计ATM系统时，应尽量采用各种标准，包括国际标准、国家标准和行业标准，走建共享系统的路； 应制定各成员行都应遵守的标准作业程序； 应制定与跨行作业有关的各种标推，这些标准各成员均应遵守，至于专有部分应允许各银行有自主权； 系统应有灵活的扩充性，以增加加系统的功能和处理能力，为此，应采用结构化和模块化设计； 系统应具有周密的安全性； 系统的操作应简单方便，响应时间要合理，服务质量要好； 由于ATM是第一线的便民系统，ATM的使用者是不具有专业知识的社会大众所以界面友好和划一很重要： 为使系统能提供综合业务服务，应考虑有能与其他电子银行系统联动处理的能力。,101,2、ATM系统的功能,ATM系统的基本功能，是提供存款、取现、转账和查询等立即转账型的现金交易处理功能。 此外，ATM系统还能提供各种非现金交易处理和信息服务功能，例如短期的周转信贷、支票识别和处理、付账、代收代付以及信息服务等功能。随着科学技术的发展，通过ATM系统提供非现金交易处理功能和信息服务功能的比例将得到更快的发展。 在规划设计一个具体ATM系统时，首先应根据系统目标，根据现实条件和可能，确定本系统应具备的主要功能和处理能力。还要能为将来可能需增加的功能和处理能力提供灵活的可扩充性。 此外系统还应提供各种所需的管理性处理、统计和打印报表等功能。,102,3、系统的应用控制设计,ATM系统中的全部作业处理都是在充分控制的环境下进行的。应用软件通过主机和终端机(CDATM)所做的基本的控制和检验工作，包括: (1)输入数据的检验 如检验卡片规格、磁条规格、PIN、信息识别码MAC等。 (2)持卡人账户数据的检验 如止付卡检验、账户有效性检验、有效余额检验等。 (3)输出数据的控制 输出收据上要注明文易日期、时间、账号、终端机号、余额等必要的数据，要实施退还卡片控制。 在执行上述检验和控制工作时，若系统发现有任何问题或疑点，则立即中止交易继续进行。,103,4、系统的信息传翰流程设计,ATM系统的各项处理应有时效性要求响应时间和交易处理完成时必须严格规定。 1信息处理流程设计 在共享网络里进行跨行的存取款交易时，应采用三向传输处理。在后方交换型的网络里进行跨行的存取款交易时，圭程需要经过8个路段才能完成一笔交易。不同的网络类型和不同的交易处理，有不同的信息处理流程。设计ATM系统时，要根据网络结构对所有这些交易信息处理流程进行设计。 2责任划分设计 在共享系统环境下，代理行主要担负交易信息的输入和输出；交换中心负责将信息转送到适当的端点；发卡行主要负责信息的检验及账务更新处理。清算银行负责清算业务处理。 3信息内容设计 在共享系统的环境下，为使于银行和交换中心进行作业处理，请求信息。响应信息和确认信息要能为系统内的有关各方所识别，必须详细规定这些信息的内容和格式。,104,5、系统的逾时处理控制设计,不论是共享系统还是自有系统，要完成一笔交易，电文都必须经过许多端点站。CDATM交易信息在传输过程中，可能由于各种临时性的突变因素，如出现故障和失误等，产生各种不正常的信息，如出现不明信息和错误信息。对于这类信息，接收端视为垃圾交易(Garble Message)，以拒绝交易的处理方式进行处理。 为了防止由于任何一个端点发生系统故障或其他失控情况时，造成交易信息中途消失或迟滞不归，使持卡人无限等待下去，或导致账务处理纠纷，有必要在通信线路