储值卡项目密码管理技术方案_第1页
储值卡项目密码管理技术方案_第2页
储值卡项目密码管理技术方案_第3页
储值卡项目密码管理技术方案_第4页
储值卡项目密码管理技术方案_第5页
已阅读5页,还剩15页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

集团储值卡项目密码管理技术方案文档修订记录V12012年7月13日目录1说明211简述212名词解释213基本定义314加密机功能42需求分析73安全规划831设计原则832设计依据94设计方案1041系统原理1042系统架构1243交易密钥管理13431PIN存储13432PIN验证1344文件传输加密1445在线交易安全15451方案原理15452工作流程16453客户端说明1746环境配置171说明11简述目前正在建设储值卡系统,具有店内交易、在线交易、在线查询、制卡等功能。均涉及密钥及数据安全。其中制卡拟采用外包模式,需要安全传输机制负责制卡数据与外包制卡商的安全传输。充分了解应用系统的架构,各个业务的特点后,针对的当前状况及其安全的需求,江南科友进行整合归纳,提供了储值卡项目密码管理技术方案版本,供贵司参考。此次密码管理技术方案采用加密机、密码服务平台、文件安全传输系统数据平台实现,提供工作范围包括三个部分1、建立联机交易所需要的密码管理认证平台,提供针对储值卡系统的高可用密码安全服务系统。2、建立制卡、制密文件的安全保护机制,结合密钥管理技术,提供硬加密的文件加密技术,为数据文件提供有效的安全保护。3、建立在线交易的用户密码保护机制。需要说明的是,本项目只使用加密机也可以满足安全要求,但应用层面需要自身开发实现。12名词解释基本术语说明密码机简称HSM,用于存储密钥、进行高效算法运算的安全硬件设备。PIN用户密码。密码服务平台简称ESSC,应用系统访问密码机的中间软件系统。ZEK密钥交换密钥,用于对需要传输交换制卡文件进行加密13基本定义目前金融行业的数据加密业务需求中使用的密钥均为对称密钥,依托于金融数据密码机,遵循国际标准ISO8732、ANSIX917进行密钥管理。密钥管理体系包括三层密钥,如下图所示MKLMK1LMK2LK3LK4LMKNZPK/TZAK/TZMKPVK/CZEKTK密钥架构图密钥使用的基本原则是不同的信息需使用不同的密钥加密,不同的节点采用不同的密钥。例如用于交易密码PIN安全保护的密钥ZONEPINKEYZPK与生成信息认证的ZONEAUTHENTICATIONKEYZAK不同,这样的好处是当其中一个密钥的安全出现问题时,并不会影响其他信息的安全性。而密钥的分层则有利于密钥的更新和传送,同时保证了密钥的安全性。不同的应用系统或不同的交易渠道采用不同的交换密钥,交换密钥通过加密机生成,并采用分段方式传输。(1)MK/LMK第一层密钥加密机主密钥(MASTERKEY,MK)存放在加密机内,是整个安全体系中的最高层密钥,本地主密钥(LOCALMASTERKEY,LMK)在MK创建时由加密机自动离散产生。LMK用于保护保存在本地的其它各类密钥,每一把LMK有自己不同的用途,有的专用于保护ZPK,有的专用于保护PVK,不一而论。LMK/MK存储在加密机内部,以加密机专用IC卡的形式备份。(2)ZMK/TMK/KEK第二层密钥区域密钥和终端密钥。区域主密钥密钥ZMK通常称为密钥加密密钥或密钥交换密钥(KEYENCRYPTINGKEY或KEYEXCHANGEKEY)。它的作用是加密在通讯线路上需要传递的工作密钥,保障工作密钥的安全交换。KEK在实际应用中也称为终端主密钥TMK,等同于ZMK。用于对工作密钥WK进行加密保护。(3)ZAK/ZPK/TPK/TAK第三层密钥,通常称为工作密钥或数据加密密钥。包括ZPK、ZAK等密钥,它的作用是加密各种不同的业务数据,从而实现数据的保密,信息的完整性验证,这些数据密钥在本地存放时,处于第二层密钥的加密保护之下。包括对个人识别码PIN进行加密的PIN密钥TPK/ZPK和对报文鉴别码MAC进行运算或验证的MAC密钥TAK/ZAK。ZPK用于加密两个通讯节点之间需要传输的PIN,从而实现PIN的传输、处理的安全性。ZAK用于在两个通讯节点之间传送信息时,产生和检验一个信息认证代码MAC,从而达到信息完整性认证的目的。业务应用金融密码机通常不负责应用密钥的管理,只提供对该密钥的加密保护。通过密码机内的50组本地主密钥LMK对应用密钥加密保护,它们是按照对来使用的,如ZMK采用0405密钥对保护,TMK由1415密钥对保护,ZPK由0607密钥对保护。针对多密钥管理,需要业务系统自行完成密钥的生命周期管理。14加密机功能规格列表如下技术指标规格描述采用硬件产生随机密钥使用密钥对应用数据的加/解密操作PIN的加/解密、验证及转发PVV、CVV、CSC信息的产生支持3DES算法消息完整性验证(MAC的产生、验证、转发功能特性对工作密钥的加解密、传送、分发支持密码信封的打印功能(串口、并口)安全的密钥导入、导出方式支持硬件产生RSA密钥对支持数字签名和验证支持消息的摘要生成支持RSA密钥对数据的的加/解密完善的密钥管理及体系结构完善的硬件密钥保护机制网络TCP/IP管理口RS232串口工作方式密码信封打印口RS232串口,并口访问权限控制(IP、密码、IC卡)整机防拆、防撬设计完善的密钥销毁机制完善的密钥备份机制安全保护一体化超大规模集成化设计交易接口采用外界终端管理界面操作稳定性MTBF20000小时工作环境工作电压220V25、50HZ工作温度室温0C45C存储温度室温0C45C2需求分析目前软件加密不符合国家、国际通用的安全标准和规范,尤其是针对支付业务系统的安全环境中。在数据安全方案中,核心问题是加密机制及密钥管理问题,通常会遇到以下问题国家及行业监管部门发布的法律规范。使用者在数据隐私问题方面的安全要求。技术体系上加密密钥与加密数据分开管理。密钥必须严格保护,加密密钥丢失、系统发生故障将导致信息不可访问。以上问题显示,简单的加解密方案满足不了当前“储值卡项目”的要求。该系统的安全重点在于密钥管理问题。本项目的总体实现思路为建立开放的密钥安全服务管理系统,实现储值卡密码管理系统的功能整合,实现加密系统的构件化、模块化。具体功能包括加密设备的负载均衡使用。提供高级加密接口,负责文件加密、解密调用。传输系统涉及的密钥的集中管理,密钥生命周期的管理。硬加密计算服务、安全服务的提供。3安全规划31设计原则规范统一本次储值卡密码管理、交易验证、文件传输、在线支付等采用统一的安全处理标准,包括算法、密钥管理模式、API接口规范等,此项原则是整个安全体系顺利建设的前提。金融标准根据储值卡应用系统目前的数据安全现状,结合业务规模、交易量,我方建议采用行业标准的VISA密钥体系,该VISA密钥体系安全、成熟、稳定、扩展性强,是目前国内外支付行业普遍使用的密钥体系。江南科友提供的各种软件、硬件均符合相关的国际、国内及业内标准,确保本系统与其它业务系统能实现有效的连接。成熟可靠江南科友提供的密码服务系统支持724小时连续运行,确保系统平稳运行,满足高峰交易处理的需要。能适应日终批处理、瞬间浪涌业务、数据集中生成等特殊情况。对于业务系统中使用的加密机,系统提供如下能力支持设备的负载均衡、故障自动卸载、设备透明上线;支持设备的集中统一监控、管理,实时监控设备健康状态、故障及时告警等。系统具有通过完善的备份恢复策略、安全控制机制、通过可靠的运行管理监控和故障处理手段来保障系统的运行稳定、安全。系统扩展本方案设计中,充分考虑扩展因素,预留系统扩展接口,当增加新型业务系统或外联机构的接入时,可以快速接入。应用系统支持符合业内标准的软硬件平台和产品,设备配置、系统扩容和业务维护不依赖于单一软硬件供应商的产品。32设计依据人民银行、银监会、银联、公安部、国密局等在许多规范和指引中,强调客户交易的安全性,因此在安全设计时要充分考虑监管要求,避免合规性风险,同时增强支付机构的免责和抗抵赖性。国家商用密码管理局所有密钥都应该保护不被修改和破坏,秘密密钥和公开密钥需要保护不被非法暴露。加密技术可以用来实现这一目的。应使用物理保护来保护用于生成、储存和归档密钥的设备。密钥必须由专用硬件产生;在任何时间、任何情况下,密钥均不能以明文形式出现在密码设备外;支付卡行业(PCI)数据安全标准V11第二部分保护持卡人数据35保护持卡人数据的加密密钥,防止泄露和盗用。36对于所有用以加密持卡人数据的密钥,应制定并实施全面的密钥管理流程和程序,包括强壮密钥的生成、密钥安全分发、密钥安全存储、密钥定期更换、过期密钥的销毁。4设计方案本方案采用密码服务平台技术提供中储值卡系统的密钥管理、安全计算支持。部署密码服务平台可以实现账号密码的安全存储及验证,保障交易及客户信息安全。部署密码服务平台软件系统可以实现密码机负载均衡,保证其高可用性。部署密码服务平台可以实现文件信息的机密性、数据完整性不受破坏,确保信息安全。部署密码服务平台可以实现密钥安全管理,提高密钥管理的安全性,杜绝密钥泄漏风险。系统支持的密钥集中管理,具有关键密钥的产生、分发、处理、存储以及销毁等生命周期功能,支持对密钥的分发、使用、调用,支持端到端的硬件加密。满足金融体系监管要求。所有密钥可以根据策略进行管理,密钥用途可审计,加密密钥可在授权的情况下进行恢复。41系统原理密码服务平台系统逻辑上位于应用层与硬件加密设备之间,是一个安全处理的中间件,它向下直接控制管理硬件密码机,向上则为应用层提供标准的安全处理API(MAC运算、PIN转换等),应用层因而不需要了解复杂难懂的密码机指令接口。文件传输系统不直接管理密钥,不直接访问加密机。逻辑上类似于加密服务中间件系统。通过密码服务平台部署,可以建立加密机的集群服务,实现加密机的多机服务集群化。系统在逻辑上相当于一台物理的密码机,使用方式与使用单一密码机完全相同。加密机设备可以在线卸载、维护,而不影响业务。密码服务平台提供基于ANSIC或JAVA编写的各类嵌入式API接口,运行在主机上的各类应用程序调用嵌入式通讯API,通过TCP/IP协议向密码服务平台发送处理请求,密码服务平台收到处理请求后,将其转换为加密机指令,再发送给加密机阵列处理,并将结果原路返回。底层加密设备对各种业务应用程序完全透明,加密机指令、设备调度、密钥管理等安全处理要素完全由密码服务平台管理,结构及实际实施时,对业务开发与安全开发的边界功能划分非常清晰,且易于实现。密码服务平台软件部署之后的系统架构示例如图所示。密码服务平台系统架构该系统可根据压力情况或业务情况增加数量或增加分组。每组加密机可以根据需求情况动态增加加密机数量。当有新应用需要加密机服务的时候。可以根据情况及业务类型调用对应加密机分组。系统主要包括以下几部分功能加密设备的多机热备实现多台密码机的相互热备,负载均衡。系统管理功能实现系统自身的配置管理,密码机及密码机工作组的管理,应用系统访问控制管理,操作审计等等。在线监控功能监视系统自身当前工作状态,监视每台密码机工作状态,监视信息交换状态,当系统出现异常时向系统管理员发出警告与提示。密钥管理,管理相关的系统密钥。安全服务功能,主要包括以下功能加密数据。解密数据分发密钥安全验证API,主要包括以下功能拼装安全服务请求报文解析安全服务响应报文42系统架构根据实际情况,建议针对储值卡项目部署密码服务平台及硬件加密机。布署说明中心部署加密机系统密码服务平台(缩写ESSC)。提供PIN加密、验证功能。提供系统、传输密钥管理。提供在线支付过程中用户信息保护。系统采用加密机作为安全服务设备,通过ESSC系统实现加密负载均衡、健康状态监控等功能;ESSC系统对外提供功能性API接口,这样可以简化系统开发时面对复杂的加密机指令集,降低开发难度,保障系统稳定运行;制卡商端采用加密机对传输文件进行解密等安全处理。43交易密钥管理431PIN存储交易系统使用加密机维护核心加密密钥,为用户密钥的存储、生成、更新、销毁提供支持。所有对密文加密、验证过程均通过密码设备完成。交易系统的密钥,一般的,根据账户类型的不同可分为多组。如图所示本项目中储值卡系统中涉及的用户PIN,需要安全存储,可采用指定密钥加密后存储到数据库中。例如密钥C1,功能为PINOFFSET/PVV生成密钥(PVK)加密PIN,获得生成保存在数据库中的PIN密文。432PIN验证加密机系统(如加密服务平台)核心帐务系统安全验证、加密、MAC请求安全验证、加密、MAC响应图3联机交易安全如图3所示,联机交易处理主要涉及的系统有核心帐务系统、加密服务系统。其处理流程为(1)核心系统发起安全验证、加密、MAC请求;储值卡密钥组C1其他应用卡网上银行密钥组C2密钥组C3密钥组CN(2)加密服务系统响应安全验证、加密、MAC结果;44文件传输加密文件安全传输加密系统为端到端的文件提供加密功能。安全传输系统关键在于密钥的安全管理,及加解密安全计算服务,可以使用密码服务平台完成该功能。及外包商之间均涉及密钥的使用及管理,不同端点间的密钥体系示意如下发送服务器和接收服务器传输密钥体系接收服务器发送服务器主密钥ZMKZEK主密钥ZEKZMK上图中,实线单向箭头表明了密钥间的加密保护关系。红色双向虚箭头表明了密钥是同一密钥。当ZMK在发送文件服务器或接收文件服务器存储或备份时,使用主秘钥MK加密。发送文件服务器和接收文件服务器约定ZMK,当ZEK在发送文件服务器和接收文件服务器之间传输时,采用ZMK加密。ZMK定期更换。ZEK由发送文件服务器和接收文件服务器约定,用于加密数据文件。ZEK采用一报一密的方式,由发送文件服务器产生,并使用ZMK加密和加密的制卡文件一起传输给接收文件服务器。通过使用密码服务平台可以实现加密设备的负载均衡密钥的安全管理及分发业务过程中的数据加解密服务统一的开发接口,统一的密钥管理机制。安全文件传输系统由服务端和客户端组成,服务端支持的操作系统有LINUX/AIX,客户端有LINUX/AIX版本和WINDOWS版本。安全文件传输系统可以定时的自动传输文件,比喻10秒或者10分种上传或者下载一次。系统支持上传或下载指定类型的文件。45在线交易安全451方案原理如下图描述了目前国内的大部分支付商中的在线交易结构拓扑,用户数据一般通过SSL协议进行保护,这是我们可以发现用户的密码及支付卡的PIN等敏感信息,在通过网络传到银行网上银行过程中,由于SSL协议本身的限制,数据会在WEB服务器上解密,接入系统的WEB服务器或应用服务器会不可避免的暴露敏感数据,应用系统有能力获得用户密码、交易数据等信息,留下了严重的安全隐患。江南科友公司根据在金融系统上对称密钥技术的经验,结合自己的非对称密钥技术的积累,推出了针对网银的“用户PIN端对端安全保护系统“。该系统包括三部分内容金融密码机、密码服务平台、安全接口。452工作流程工作流程如下1、用户访问网络支付的登录页面的时候,浏览器就会下载一个控件和一个公共密钥来提示用户输入信息。2、用户输入用户标识和密码信息之后,该控件使用该公共密钥来加密用户的登录信息,然后把加密的信息发送到服务器端进行处理。3、加密信息到达服务器端后,服务器将把接收到信保密息传送到密码设备里进行密

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论