金融数据密码机是在金融领域内,用于确保金融数据安全,并符合金融磁条卡、IC卡月特定的,主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备,也称为HSM主机加密机。相关标准包括:
GMT 0045-2016 金融数据密码机技术规范(密码产品类)
GMT 0046-2016 金融数据密码机检测规范(密码检测类)
** 功能要求**
(1)密码算法
对称密钥算法(SM4、也可支持DES/3DES/AES,至少支持ECB和CBC,用于PIN加密、PIN转加密、MAC计算、数据加解密和密钥保护)
公钥密码算法(SM2、也可支持RSA,用于数据签名和验签、密码信封和密钥分发)
杂凑算法(SM3,也可以支持SHA-1,用于数字签名和验证、杂凑值生成和验证)
(2)密钥管理
基本要求(应具有明确的密钥保护措施,应具有防止密钥类型混用的防护措施)
密钥结构(主密钥KEK采用强安全措施、次主密钥KEK、数据密钥DK)
密钥存储(主密钥-加密存储或微电保护存储(明文),只有在备份时导出密码机(多段多人分段分别),次主密钥和数据密钥(只有在主密钥的保护下才能存储在密码机外))
密钥注入(若手工明文注入采用分段传输、保存和注入,至少2名以上的授权管理员在注入现场共同完成)
密钥备份和恢复(主密钥和次主密钥支持备份和恢复功能,以密文形式存储到介质中)
(3)随机数
至少2个物理噪声源的产生随机数,配用的随机数发生器应通过送样、出厂、上电和使用检测。
(4)访问控制
启动、停止和配置只能有授权管理员完成。提供网络访问控制机制,至少验证合法IP地址。
(5)设备管理(设备自检、日志审计、远程管理)
(6)设备初始化(不能由厂商进行)
** 业务安全要求**
(1)根据应用的不同,应用编程接口可划分为磁条卡应用、IC卡应用和基础密码运算服务。
(2)针对密钥和PIN的计算均采用ECB模式。
(3)针对数据的计算均采用CBC模式,且首块IV为全0。
本文转载自: https://blog.csdn.net/ryanzzzzz/article/details/130040128
版权归原作者 搞搞搞高傲 所有, 如有侵权,请联系我们删除。
版权归原作者 搞搞搞高傲 所有, 如有侵权,请联系我们删除。