银行整体安全设计.docx

1、银行整体安全设计*商业银行整体安全设计2010年7月范福胜 1 术语 HSM：Host Security Module，即主机硬件加密器是一个坚固的抗干扰的硬件加密装置。在本方案中是指金融数据加密机。 LMK：Local Master Key，即本地主密钥是存入在加密机内的由三个成分合成，是整个安全体系中的最高层密钥。 ZMK：Zone Master Key，即区域主密钥是总行与分行、总行与支行等两个区域之间传输工作密钥的密钥。 PVK：PIN Verification Key，即PIN验证密钥，用于总行产生PINOffset及校验PIN。 CVK：Card Verification Key，

2、即卡验证密钥，用于银行卡的合法性验证。 ZPK：即区域PIN密钥是一个数据加密密钥，用于加密两个通讯网点之间需传输的PIN，这样就实现了PIN的保密。 ZAK：即区域MAC密钥是一个数据加密密钥，用于两个通讯网点之间传送信息时，生成和校验一个信息认证代码(MAC)，从而达到信息认证的目的。 PIN：Personal Identification Number，即客户个人密码。 MAC：Message Authentication Code，即信息认证代码，可用于总行与分行、分行与支行/网点之间的数据交换，以保障信息的完整性。2 概述此文档是在前期技术沟通交流和需求调研的基础上，根据目前行内业务

3、系统的安全现状，对行内安全业务系统中的安全节点进行改造并详细描述，用于指导新系统的安全规划设计，对应安全方面的技术开发以及现场实施。本方案涉及核心域，行内前置域，柜面系统，城商行清算，第三方支付系统，一机一密改造。由于目前行内的计划可能无法全部实现此安全方案，因此在此次系统改造过程中，可逐步实现此安全方案规划，对于目前有些系统无法实现的，可在以后条件成熟的条件下逐步实现。3 整体安全目标3.1 用户密码处理全过程加密用户PIN在业务系统中，全部在密文方式进行加密传输。在业务系统中的任意交易点，用户PIN将以密文的形式存在。用户在交易时，PIN明文直接从密码键盘输入后，由密码键盘加密输出。用户P

4、IN信息从一个节点传输到另一节点时，将由加密机解密，同时以另一节点的密钥加密输出，保证用户PIN在传输时，不会出现明文。用户的PIN在主机做验证时，将数据库保存的密文和交易PIN密文直接送加密机，由加密机验证用户密码是否一致。3.2 集中安全管理抽象全行业务系统的安全属性和加密功能，统一管理所有业务系统的安全处理。对全行各节点的密钥，实现统一的生成、传输、保存、使用和销毁。统一全行业务系统的安全机制，实现可管理的安全。可根据管理角色和管理制度实现透明安全管理。制定统一的安全服务和安全监控管理机制。3.3 加密设备集中管理统一的设备管理，将加密设备集中统一起来，由密码服务平台统一管理。设备不与任

5、何业务系统关联，提供统一的加密、解密服务。终端加密设备（如密码键盘），由密码服务平台集中初始化，集中调度。由安全系统集中对设备的使用、调度和监控。可根据实际情况，动态分配加密设备和减少设备以及对某一设备的操作维护。设备的操作维护不影响现有的业务系统和其它相关的管理系统。3.4 安全功能接口标准统一统一制定全行安全系统的服务功能，对不同的业务系统统一接口调用。不同的开发人员和业务系统，统一使用标准的接口程序。全行维护和管理一套标准的接口程序。标准安全功能接口不涉及到相应的设备，采取安全接口与设备无关性，同时也与密钥无关性。安全接口的使用者，无法得到相关加密设备的信息和密钥信息。3.5 提高管理效

6、率统一安全管理机制、集中设备管理机制、统一功能接口开发、调用和维护，提供开发、运维的管理效率。全行密钥的集中生成、维护、保存、使用、更新，不需采用原有的分布式管理，提供密钥管理的效率。4 全行安全系统框架4.1 全行安全系统架构图 安全系统框架4.2 安全系统架构说明 密码服务平台部署密码服务平台可跟综合前置部署在同一台服务器，平台的热备机制可跟综合前置系统一致（服务器自带HA功能），密码服务平台主备系统的密钥实时同步。 密钥存储：各节点和终端密钥统一保存在密码服务平台，加密机只保存加密机主密钥以 及私钥； 密钥命名规则： 密钥的全名由三部分组成：Application.Owner.Name其

7、中：Application，是2位的应用编号。Owner，是密钥拥有者的标识，长度不限。Name，是应用系统为这类密钥起的名称（标识），长度不限。密钥全名的总长度（包括分隔符“.”），最长为40字符。密钥全名可以包括字母、数字、“-”、“_”、汉字，等等；“.”，只能用做分隔符。密钥的全名由密钥设计方案分配。 系统安全接口调用：密码服务平台支撑全行业务系统的安全功能，各系统统一调用密码服务平台实现安全需求。 加密机部署：密码服务平台挂载两台或多台加密机，实现加密机双机热备、负载均衡功能； 测试环境部署：测试环境的搭建可考虑使用SJL06加密机；5 数据安全设计5.1 分段设计采用分段安全传输设

8、计原则，即：每两个相邻的节点之间的数据传输，作一个最小的安全传输设计单位；一个完整的、多节点的、数据交换流程的安全，是通过分段保证每两个相邻节点之间的传输安全而实现的。图5-1是一个数据传输流程的安全设计：图 5-1 数据传输流程的安全设计图5-1中数据传输流程，分为了两个安全传输段。每一安全传输段，都可以独立设计、实现。有N个节点的传输流程，可以设计（N-1）个安全传输段。5.2 传输段的安全设计在每一段中，前面的节点是上游节点，后面的节点是下游节点。交易请求报文由上游节点发往下游节点，交易响应报文由下游节点发往上游节点；如图4-2所示：图5-2 安全传输段传输的报文针对每一个传输段，采用以

9、下安全设计： 请求报文数据中附加MAC，即上游节点对请求报文生成MAC，下游节点要验证请求报文中的MAC，验证通过之后，才认为请求报文合法。 响应报文数据中附加MAC，即下游节点对响应报文生成MAC，上游节点要验证响应报文中的MAC，验证通过之后，才认为响应合法。 如果请求报文中有PIN，PIN加密传输。PIN加密传输实现方式，见后文。5.3 PIN加密传输的实现PIN加密传输，总是由上游节点加密，然后向下游节点发送。下游节点不向上游节点发送PIN。上游节点在发送PIN明文之前，对PIN的处理分为两类： 如果上游节点是交易的原始受理点，那么这个节点是对明文的PIN加密之后，再向下游节点发送。

10、如果上游节点是数据传输中的一个中间节点，这个节点就即是下游节点（对于前一节点而言）也是上游节点（对于下一节点后而言）。那么这个节点要将它的上游节点加密的PIN密文，转换为它的下游节点可以识别的PIN密文。5.4 密钥设计安全传输段的两个节点之间，采用对称密钥算法实现数据安全传输。在一个安全传输段，两个节点之间，约定以下密钥： 1个ZPK密钥，上游节点加密PIN或转换PIN密文时，使用该ZPK密钥。 1个ZAK密钥，两个节点生成/验证MAC时使用。 1个ZMK密钥，如果两个节点之间，要通过密钥置换交易同步ZPK/ZAK，需要设计这个密钥。在两节点间传输ZPK/ZAK时，用于加密要传输的ZPK/Z

11、AK。每一个传输段，需要上述密钥中的那几个，视情况而定： 节点之间无PIN传输的，不需要ZPK。 节点之间，不附加MAC的，不需要ZAK。 节点之间，不通过报文传输ZPK/ZAK，不需要ZMK。 每个密钥，都需要保持两个版本，以保证在一个节点更新密钥之后，另一个节点没有同步更新密钥时，交易仍能正常进行。但新版本密钥生效之后，旧版本密钥继续有效的时间，应该设一上限值。5.5 安全传输选用的算法PIN加密：选用ansi x9.8标准。MAC：选用ansi x9.9/x9.19标准。5.6 PIN存储安全设计本方案只考虑PIN的安全存储，不考虑其它数据的安全存储。5.6.1 依据账户类型设计本方案依

12、据账户类型设计PIN的安全存储，即：将每一类账户的PIN，视为一个最小安全存储设计单位，为每类账户设计一个PIN安全存储方案。如有N类账户，则有N个安全存储方案。每个PIN安全存储方案，其设计要点都相同。5.6.2 密钥设计每个PIN安全存储方案中，都包括1个PVK密钥，这个密钥加密了PIN之后，获取一个PIN密文，这个PIN密文存储在业务系统的数据库中。强调：PVK加密PIN时，必须将PIN对应的账户也作为一个加密参数，从而保证相同PIN明文，不同的PIN账户，加密得到的PIN密文不同。5.6.3 安全处理流程每个PIN安全储存方案中，包括以下安全处理过程： PIN的存储，即客户第一次输入P

13、IN时，存储PIN密文；或客户更新PIN时，存储新PIN的密文。 PIN的验证，即客户交易时，验证客户的PIN。5.6.3.1 PIN的存储流程PIN存储节点，从其上游节点获得一个ZPK加密的PIN密文（简称PinBlock）后，将ZPK加密的PinBlock，转换为PVK加密的PIN密文（简称PinOffset），然后将PinOffset存储到数据库中。5.6.3.2 PIN的验证流程PIN存储节点，从其上游节点获得一个ZPK加密的PinBlock之后，从数据库中获取PVK加密的PinOffset，然后将ZPK、PinBlock、PVK、PinOffset作为“函数”的输入参数，验证PIN是

14、否正确。5.6.4 PIN的存储算法PIN的存储算法，考虑选用IBMPinOffset生成算法。PIN的存储算法，也可以考虑采用银行自选的算法。5.7 CVV安全生成验证设计本方案将生成/验证CVV的节点，称为CVV节点。5.7.1 依据卡类型设计本方案依据卡类型设计CVV的生成/验证，即：将每一类卡，视为一个最小设计单位，为每类卡设计一个CVV生成/验证方案。如有N类卡，则有N类CVV方案。每个CVV安全方案，其设计要点都相同。5.7.2 密钥设计每个CVV安全方案中，都包括1个CVK密钥，这个密钥用于生成CVV，存储到磁道信息中。5.7.3 安全处理流程每个CVV安全方案中，包括以下安全处

15、理过程： CVV的生成，即制卡时，使用CVK生成CVV，该CVV将写入到磁道信息中。 CVV的验证，即卡交易时，取出磁道中的CVV，验证CVV。5.7.3.1 CVV的生成流程CVV节点，根据卡号、服务码、有效期，使用CVK生成CVV，并将CVV放入磁道信息中。5.7.3.2 CVV的验证流程CVV节点，从磁道信息中获取CVV，然后将CVK、CVV、卡号、服务代码、有效期作为“函数”的输入参数，验证CVV是否正确。5.7.4 CVV的算法CVV的算法，应该采用国际或国内银行卡交换机构颁布的标准，比如VISA、MASTER或中国银联的标准，等等。5.8 密码信封的批量打印密码信封的批量打印，通过

16、文件传输进行。如图5-3所示：图5-3 密码信封的批量打印过程图示批量打印文件（文本文件），由业务系统提供。文件中的每条记录包括卡号、用户名、地址等基本信息，以及卡对应的PIN密文。PIN密文使用一个ZPK加密。密码平台的批量打印程序根据打印文件，逐条记录打印密码信封。打印程序将PIN密文及其它信息送入加密机，加密机内部解密PIN密文，然后按照预定义的格式，打印密码信封。5.9 密码迁移密码批量迁移，指将数据库中的一个密钥加密的PIN密文，转换为另一个密钥加密的PIN密文。密码批量迁移，要通过编写程序实现。这个程序逐条从数据库中读出要迁移的密码，然后将密码由一个PVK加密，转换为另一个PVK加

17、密，然后将新的PIN密文，替换数据库中旧的PIN密文。6 节点密钥设计6.1 密钥关系图6.2 核心系统核心系统主要与综合前置系统约定密钥，所有核心系统所属密钥由密码服务平台保存，由于核心系统还有验证（pin和卡）等功能，因此核心系统定义的密钥有： ZMK:与综合前置系统约定一对； ZPK:与综合前置系统约定一对； ZAK:与综合前置系统约定一对； PVK:保存一对，用于用户密码验证； CVK:保存多对，用于卡CVV验证；6.3 第三方机构第三方机构业务系统如：银联业务、电话银行等业务，全部统称为第三方机构业务。第三方机构对应的密钥由密码服务平台保存，使用的密钥角色名称有：ZMK、ZPK、ZA

18、K。 ZMK:与第三方机构和综合前置系统各约定一对； ZPK:与第三方机构和综合前置系统各约定一对； ZAK:与第三方机构和综合前置系统各约定一对； 6.4 ATM设备ATM设备对应的密钥由密码服务平台保存，使用的密钥角色名称有：ZMK、ZPK、ZAK。 ZMK:与每一ATM设备各约定一对； ZPK: 与每一ATM设备各约定一对； ZAK: 与每一ATM设备各约定一对； 6.5 柜面柜面设备对应的密钥由密码服务平台保存，使用的密钥角色名称有：ZMK、ZPK。 ZMK:与每一柜面终端各约定一对； ZPK:与每一柜面终端各约定一对；注：柜面一般不计算MAC7 业务信息流加密过程7.1 用户密码流7

19、.1.1 柜面业务密码7.1.1.1 PIN的安全处理过程图示7.1.1.2 PIN安全处理流程说明1. 用户在密码键盘上输入PIN明文。2. 密码键盘使用ZPK对PIN的明文加密成PIN的密文发送给柜面系统。3. 柜面系统通过ActiveX控件读取ZPK加密的PIN密文。4. 柜面系统将PIN的密文发送给综合前置系统，综合前置系统通过与核心系统约定的ZPK加密后送核心系统验证。5. 核心系统在收到ZPK加密的PIN密文，通过调用密码服务平台API接口函数NodeVerifyPinOffsetAndPinByZpk，将键盘标识、ZPK加密的PIN密文、PINOFFSET、卡号一起送到密码服务平

20、台去验证。7.1.2 ATM业务密码7.1.2.1 PIN的安全处理过程图示7.1.2.2 PIN安全处理流程说明1. 用户在终端ATM机密码键盘上输入PIN明文。2. 密码键盘使用ZPK对PIN的明文加密成PIN的密文发送给ATMP系统。3. ATMP系统将PIN密文不做处理地发送给综合前置。4. 综合前置系统判断该PIN是否属于第三方机构业务。5. 若不是属于第三方业务系统，核心系统在收到ZPK加密的PIN密文，通过调用密码服务平台API接口函数NodeVerifyPinOffsetAndPinByZpk，将键盘标识、ZPK加密的PIN密文、PINOFFSET、卡号一起送到密码服务平台去验

21、证。6. 若是属于第三方业务系统，综合前置系统在收到ZPK加密的PIN密文，通过调用密码服务平台API接口函数转换为第三方ZPK加密。将ZPK加密的PIN密文送第三方机构处理7.1.3 第三方机构密码7.1.3.1 PIN的安全处理过程图示7.1.3.2 PIN的安全处理流程说明1. 第三方机构业务系统将PIN密文发送给综合前置。2. 综合前置系统将PIN密文转加密后发送给核心系统。3. 核心系统在收到ZPK加密的PIN密文，通过调用密码服务平台API接口函数NodeVerifyPinOffsetAndPinByZpk，将键盘标识、ZPK加密的PIN密文、PINOFFSET、卡号一起送到密码服

22、务平台去验证。7.2 报文安全控制流安全报文处理主要是两个节点之间的MAC生成和MAC验证，目的用于报文的完整性校验和防篡改处理。8 柜面密码键盘初始化和启用过程8.1 密码键盘初始化过程图示密码键盘初始化由专门的初始化系统与密码服务平台系统联动实现。8.2 密码键盘初始化过程说明1. 密码键盘初始化系统与密码服务平台约定一套传输密钥。2. 密码键盘初始化系统读到密码键盘编号，将编号送密码服务平台系统。3. 密码服务平台创建对应的密码键盘编号节点，在密码服务平台随机生成ZMK，并将ZMK存储到密码服务平台。4. 密码键盘初始化系统根据收到ZMK密钥密文，通过约定的传输密钥解密，并将ZMK明文存

23、储到密码键盘。5. 完成密码键盘登记后，密码服务平台将等待键盘启用的申请。8.3 密码键盘启用过程说明密码平台收到柜面启用密码键盘请求，调用密码平台提供的专用功能函数（NodeActive）即可。密码服务平台收到密码键盘启用动作后，自动生成新的ZMK。8.4 密码键盘编码说明密码键盘设备ID长度为9位，BANCS交易报文提供两个相邻栏位共10字节供密码键盘设备ID使用。9 网点柜面ZMK的更新过程9.1 ZMK的更新过程流程图示图6-1 ZMK更新流程图9.2 ZMK的更新过程流程图示说明1. ZMK下载请求首先由网点的柜面系统发起申请，在请求报文中通过键盘编号来标识所下载的ZMK密钥。2.

24、柜面前置系统收到ZMK下载申请后，调用密码服务平台API接口函数NodeReadKey，读取密码服务平台中密钥库中对应的密钥，等待密码服务平台的应答。3. 密码服务平台在收到函数NodeReadKey调用的请求后，新生成的ZMK用旧的ZMK加密，并且将密文和校验值返回给柜面前置系统。4. 柜面前置系统将新生成的ZMK的密文和校验值返回给网点柜面。5. 网点柜面系统在通过ActiveX将新生成的ZMK密文和校验值写入密码键盘。9.3 ZMK更新启发机制密码服务平台，保存与不同柜面约定的ZMK密钥（柜面ZMK保存在对应的密码键盘上）。密钥库记录ZMK密钥的失效时间。当柜面向平台申请工作密钥时，密码

25、平台判断对应的保护ZMK是否过有效期，若ZMK密钥过有效期，则不允许做密钥更新，向柜面系统返回相应错误代码，表示需要柜面手工更新ZMK。另外，若柜面系统签到时，若系统多次申请工作密钥不成功，则需要手工发起更新ZMK请求。10 网点柜面ZPK更新柜面ZPK密钥更新，采用直接从柜面前置系统申请密钥方式。柜面前置系统定期（如晚上12点）生成全部柜面终端的工作密钥，柜员向签到时，柜面前置系统从密钥库中读取工作密钥（ZPK），将工作下传到柜面终端的密码键盘上。柜员换班时，若工作密钥需要更新，可由系统或手式的方式，强制更新ZPK密钥。密码服务平台随机生成新的ZPK密钥，并下发到对应的柜面终端。10.1 柜

26、面ZPK更新图示10.2 ZPK密钥下载更新过程说明1. 柜面前置系统定期生成全部柜面的ZPK工作密钥，保存在密钥库中。2. ZPK下载请求首先由网点的柜面系统向柜面前置系统发起申请，在请求报文中通过键盘编号来标识所下载的ZPK密钥。3. 柜面前置系统读取平台保存的ZPK密文和校验值返回给网点柜面系统。4. 网点柜面系统在通过ActiveX将新生成的ZPK密文和校验值写入密码键盘。10.3 平台ZPK密钥下载过程判断ZPK密钥下发时，密码服务平台判断约定的ZMK使用期限是否到期。若使用期限到期，将不下发ZPK密钥，返回错误代码信息，知之柜面系统ZMK密钥到期。双方约定的ZMK密钥已经到期，需重

27、新更换ZMK密钥，方可重置ZPK。11 CVV迁移11.1 标准CVV算法银行卡的CVV算法，如果现有系统采用标准算法计算。在迁移时，将保存的CVK密钥转换为密码服务平台加密。密码服务平台保存对应的CVK密钥密文即可。11.2 非标准CVV算法如果银行卡和折CVV不是标准算法，需要将该算法嵌入密码服务平台的加密机上。不同CVV算法和密钥，在密码服务平台系统中，以不同的节点和API接口实现，按BIN号判断使用什么样的CVV算法，调用对应的API功能和密钥节点。12 一机一密改造12.1 终端初始化方案密函打印可视为密码服务平台的一个功能模块，可定制开发此功能。该功能实现密钥产生以及打印密钥明文功

28、能，通过手工的方式实现终端设备的密钥初始化工作。实现原理：后台插入相关终端的密钥，通过打印方式将密钥分量打印在纸质信封中，然后以人工的方式将密钥明文注入终端设备。实现流程： 通过密码服务平台完成打印终端主密钥； 由行内人员带着密钥信封到现场注入终端密钥； 业务系统调用平台接口，实现工作密钥的下发。13 密码服务平台配置和接口加密算法功能：DES、3DES、RSA。加密机密钥管理体系：VISA体系。13.1 设备配置密码平台服务器（2台，双机热备）： CPU：4个 内存：4G 硬盘：15G；加密机： 一组（2台以上），可实现多机热备和负载均衡； 在有条件下，可多组加密机并行运行；13.2 实施周

29、期环境搭建：1周；应用测试及压力测试：2周；投产准备及投产：1周；注：具体的应用接入数决定注：以上时间计划的人为1人；13.3 提交开发接口库密码服务平台提供标准C、C+、JAVA接口。对于专用接口库，如提供COBOL可调用的接口库问题， 由FNS和密码服务平台实施公司双方合作完成。13.4 提交的接口功能对于提交的接口，除了满足本次系统改造的功能外，兼容城商行清算接口，PBOB2.0交易处理接口。13.5 其它专用接口对于专用的应用系统接口（如支付密码器等），密码平台提供相应的预留接口，详细的接口和算法需要在实际项目中，与开发商做沟通后，方可定下接口的相关细节。14 实施步骤和建议14.1

30、综合前置系统针对这次行内的系统改造，综合前置系统可直接调用密码服务平台实现安全功能需求。因此可直接将综合前置系统接入密码服务平台。14.2 城商行清算系统城商行清算系统的安全平台由于是剪切版的，功能有限，此次系统改造，城商行清算系统可直接接入标准版的密码服务平台，平台提供城商行清算系统的安全接口功能，应用系统只需要更改IP地址和端口即可。14.3 柜面系统密码服务平台提供柜面系统的安全接口，平台支持现有系统的安全模式，也可以实现柜面密码键盘一机一密需求。14.4 核心系统核心系统可保持原有的安全模式，也可在此次改造中接入密码服务平台。14.5 ATMP系统密码服务平台提供ATMP系统的安全接口，支持现有系统的安全模式，也支持ATM的一机一密需求。14.6 第三方支付系统提供第三方支付系统的安全接口，原有系统使用SJL05加密机实现，这次改造可将第三方支付系统接入密码服务平台，减少设备的维护工作。