加密机管理系统
分享到:
详细介绍
SJJ1214支付服务密码机
一、产品简介SJJ1214支付服务密码机(证书编号:SXH 2012122-1号)是广州江南科友科技股份有限公司与无锡江南信息安全工程技术中心联合研制的新型金融数据密码机。作为传统密码设备的升级换代产品,SJJ1214在原SHJ0902密码机基础上增加了国家密码管理局SM2、SM3、SM4算法,支持对EMV2000/ PBOC2.0、VBV/3-D等新兴支付标准在网上银行、业务前置系统、主机系统、发卡系统上的应用,适用于现代服务业商用支付体系与技术规范的功能要求。
医疗安全:保障医疗关键数据安全传输。
金融服务:银行、证券、保险三大产业,直接提供资金往来、结算等服务
电子商务服务:电信移动、网上商城、门户网站、终端支付等涉及到业务处理、电子交易相关的在线支付与资金结算服务
城市一卡通、社会保障、税务关贸等政务功能相关的在线支付与资金结算服务
SJJ1214支付服务密码机在兼容金融数据密码机功能基础上支持EMV应用、发卡管理、3-D服务、支付安全鉴别等业务安全及密钥管理功能。支付服务密码机对于防止金融犯罪、促进国产密码产品在行业规范中推广应用具有十分重要的意义。
二、主要功能
SJJ1214支付服务密码机是以现代密码技术为核心的主机安全模块,是一个具有物理安全保护措施的硬件设备,具有自主密钥管理机制,能将密码运算过程封装在其内部完成,从而为主机提供安全的应用层密码服务,如密钥管理、消息验证、数据加密、签名的产生和验证等密码服务,保证数据从产生、传输、接收到处理整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。
支付服务密码机主要密码服务功能包括:
(1) 密钥管理功能:密钥产生、密钥分散(PBOC标准和EMV2000标准)、密钥传输、密钥属性管理、密钥存储、密钥销毁等。
(2) 支付对象认证功能:基于用户识别码—PIN的验证功能(PINBLOCK、PINOFFSET、PVV等验证方式)、基于帐号的验证功能(CVV、CSC、CVN等)、基于交易的验证(IC卡卡片联机验证、数字签名)、3-D 持卡人鉴定等。
(3) 信息完整性验证功能:MAC计算(ANSI X9.19、ANSI X9.9、HMAC等标准)、数字签名等。
(4) 关键信息的传输:PIN在交易节点的安全转换、IC卡脚本信息的安全传输。
支付服务密码机主要密码服务功能包括:
(1) 密钥管理功能:密钥产生、密钥分散(PBOC标准和EMV2000标准)、密钥传输、密钥属性管理、密钥存储、密钥销毁等。
(2) 支付对象认证功能:基于用户识别码—PIN的验证功能(PINBLOCK、PINOFFSET、PVV等验证方式)、基于帐号的验证功能(CVV、CSC、CVN等)、基于交易的验证(IC卡卡片联机验证、数字签名)、3-D 持卡人鉴定等。
(3) 信息完整性验证功能:MAC计算(ANSI X9.19、ANSI X9.9、HMAC等标准)、数字签名等。
(4) 关键信息的传输:PIN在交易节点的安全转换、IC卡脚本信息的安全传输。
三、 技术特点
该密码机基于集成通信处理器的嵌入式系统,支持SM1、SM2、SM3和SM4密码算法及RSA密码算法,其主要特点有:
(1) 数据加密:支持SM1和SM4密码算法。
(2) 消息鉴别:MAC/TAC的产生和验证。
(3) 数字签名/验证:支持1024位RSA和SM2密码算法。
(4) 采用安全处理器芯片作为密钥存储部件,保证密钥的安全存储。密钥库容量为128K字节。
(5) 具有安全的密钥保护机制:密钥加密存储、受到非法入侵时自动销毁、断电情况下能长期维持,保护时间长达10年。
(6) 具有并发功能,支持多机同时访问。
(7) 用硬件实现多种密码算法,具有速度快,安全性高的特点。
(8) 密码服务接口采用三速以太网接口(10/100/1000Mbps),通信协议采用TCP/IP协议。
(9) 采用哑终端作为操作界面,提高了操作和管理的安全性。
(10) 采用具有安全功能的智能IC卡作为身份认证和密钥存储介质。
(11) 具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复或者报警。
(12) 支持串行或并行打印机,可以打印密码信封。
(13) 主机接口采用三速以太网接口(10/100/1000Mbps),通信协议采用TCP/IP协议。
(14) 符合规范及标准:
ANSI X3.92 数据加密算法
ANSI X9.9 信息鉴别
ANSI X9.8 PIN的管理与安全
ANSI X9.17 密钥管理
ANSI X9.19 零售金融信息的鉴别
中国金融集成电路 (IC)卡规范V2.0
VISA及MASTER对硬件加密机的相关需求
银联联网联合规范 2.0
EMV2000支付系统集成电路卡规范。
PKCS公钥密码标准
RFC2104 HMAC:键入-散列法用于信息身份验证
欧洲银行标准委员会-加密算法使用与密钥管理指南
(1) 数据加密:支持SM1和SM4密码算法。
(2) 消息鉴别:MAC/TAC的产生和验证。
(3) 数字签名/验证:支持1024位RSA和SM2密码算法。
(4) 采用安全处理器芯片作为密钥存储部件,保证密钥的安全存储。密钥库容量为128K字节。
(5) 具有安全的密钥保护机制:密钥加密存储、受到非法入侵时自动销毁、断电情况下能长期维持,保护时间长达10年。
(6) 具有并发功能,支持多机同时访问。
(7) 用硬件实现多种密码算法,具有速度快,安全性高的特点。
(8) 密码服务接口采用三速以太网接口(10/100/1000Mbps),通信协议采用TCP/IP协议。
(9) 采用哑终端作为操作界面,提高了操作和管理的安全性。
(10) 采用具有安全功能的智能IC卡作为身份认证和密钥存储介质。
(11) 具有完善的系统监测功能,可监测密码机硬件及软件的运行状态,并可对故障进行自动恢复或者报警。
(12) 支持串行或并行打印机,可以打印密码信封。
(13) 主机接口采用三速以太网接口(10/100/1000Mbps),通信协议采用TCP/IP协议。
(14) 符合规范及标准:
ANSI X3.92 数据加密算法
ANSI X9.9 信息鉴别
ANSI X9.8 PIN的管理与安全
ANSI X9.17 密钥管理
ANSI X9.19 零售金融信息的鉴别
中国金融集成电路 (IC)卡规范V2.0
VISA及MASTER对硬件加密机的相关需求
银联联网联合规范 2.0
EMV2000支付系统集成电路卡规范。
PKCS公钥密码标准
RFC2104 HMAC:键入-散列法用于信息身份验证
欧洲银行标准委员会-加密算法使用与密钥管理指南
SJJ1545加密服务器
SJJ1545密码机由江南科友公司自主研发和生产,拥有完全的知识产权并能够确保软硬件的安全性。在系统硬件设计上采用了嵌入式系统结构,并在主板上集成了所有元器件和功能部件,以提高整体的可靠性。主控CPU采用获颁国密局批号的安全芯片SSX45,并支持SM系列算法和标准国际算法,在硬件级实现数据的加解密,极大提高了信息处理的安全性。
SJJ1545加密服务器的主要功能是由配置管理功能、密钥管理功能、证书管理功能以及密码服务功能组成。
SJJ1545加密服务器的主要功能是由配置管理功能、密钥管理功能、证书管理功能以及密码服务功能组成。
主要功能
配置管理功能
配置管理功能主要是对SJJ1545密码机进行部署配置,包括通讯参数的配置、访问白名单管理和密钥管理等功能。
SJJ1545密码机提供密码服务前需要必须进行必要的参数配置,所有的管理操作必须在获得授权的前提下才能进行,管理用户在进行配置操作过程中必须插入配套的授权IC卡,并验证IC卡口令,在IC卡验证通过后方能进行对应的管理操作。
SJJ1545密码机提供密码服务前需要必须进行必要的参数配置,所有的管理操作必须在获得授权的前提下才能进行,管理用户在进行配置操作过程中必须插入配套的授权IC卡,并验证IC卡口令,在IC卡验证通过后方能进行对应的管理操作。
-
网络配置管理:密码机IP地址、子网掩码、网关、端口号管理;
-
访问权限管理:白名单配置、用户登录、口令修改、注销登录;
-
IC卡管理:IC卡制作、口令修改;
密钥管理功能
密钥管理功能主要是在设备连接管理工具的基础下,对密码机对称与非对称密钥的管理,从密钥产生、密钥备份、密钥更新、密钥存储、密钥删除、密钥销毁等一系列操作过程。密码机本身在出厂时未设置主密钥,要想密码设备正常提供服务功能,必须为设备输入主密钥,主密钥由三个分量由指定的算法在设备内部组成主密钥,主密钥输入完成后方可进行其他密钥的操作。
-
密钥生成;
-
密钥安全存储;
-
密钥导出;
-
密钥导入;
-
密钥打印;
-
密钥备份和恢复;
-
密钥状态查看;
-
密钥销毁;
证书管理功能
SJJ1545能够支持PKCS系列功能,也能够兼容现有国密标准的证书,在设备内部集成电子硬盘可以满足最少一万张以上证书存储量,并对证书进行查询、删除、调用等功能。目前支持标准x.509格式证书、PKCS#12格式证书、国密证书,可以满足CA系统、RA系统、二代支付系统、网上银行系统、安全认证系统的应用场景。
-
证书导入、存储、验证、证书查询、解析;
-
证书请求生成、下载、证书签发;
-
证书链查询、证书撤销列表管理等功能。
密码服务功能
密码安全服务功能支持主要针对应用系统调用,包括通用密码服务功能和客户定制化服务功能。主要如下:
-
加密机随机数生成是采用国密局批准的物理噪音源,利用物理噪音源产
生随机数,支持密钥随机数生成功能; -
密钥生成(DES/SM2/SM2/RSA等)功能;
-
生成密钥协商会话密钥功能;
-
消息摘要功能;
-
签名验签功能;
-
对称密钥加解密功能;
-
非对称密钥加解密功能;
-
消息鉴别与MAC运算功能;
SJJ1748金融数据密码机
SJJ1748 是广州江南科友科技股份有限公司在总结前代产品经验基础上,完全基于国产密码算法和相关技术规范,研制开发的新一代金融数据密码机。
基于国产密码算法研制的金融数据密码机(SJJ1748)适应了新形势的发展和趋势,严格遵循《商用密码管理条例》和《金融数据密码机技术规范》进行设计。该密码机支持国家密码管理局批准的 SM1 和 SM4 分组密码算法、SM3 杂凑算法和 SM2 公钥密码算法,具有完全自主的知识产权。应用该款金融数据密码机可以提高金融网络交易系统的安全性,这对于维护国家和客户利益,防止各种金融犯罪,具有十分重要的意义。
基于国产密码算法研制的金融数据密码机(SJJ1748)适应了新形势的发展和趋势,严格遵循《商用密码管理条例》和《金融数据密码机技术规范》进行设计。该密码机支持国家密码管理局批准的 SM1 和 SM4 分组密码算法、SM3 杂凑算法和 SM2 公钥密码算法,具有完全自主的知识产权。应用该款金融数据密码机可以提高金融网络交易系统的安全性,这对于维护国家和客户利益,防止各种金融犯罪,具有十分重要的意义。
主要功能
金融数据密码机在系统硬件设计上采用了嵌入式系统结构,在主板上集成了具有国密型号的安全模块,以提高整体的可靠性,并支持 SM 系列算法和标准国际算法,在硬件级实现数据的加解密和密钥的存储,极大提高了整机的安全性。
金融数据密码机的主要功能是由配置管理功能、密钥管理功能以及密码服务功能组成。
金融数据密码机的主要功能是由配置管理功能、密钥管理功能以及密码服务功能组成。
配置管理功能
配置管理功能主要是对密码机进行初始化配置,包括网络参数的配置、访问权限控制和配套 IC 卡的管理维护。
SJJ1748 提供密码服务前需要必须进行必要的参数配置,所有的管理操作必须在获得用户授权的前提下才能进行,设备管理员用户在进行配置操作过程中必须插入配套的授权 IC 卡,并验证 IC 卡口令,在双因素认证通过后方能进行对应的管理操作。
SJJ1748 提供密码服务前需要必须进行必要的参数配置,所有的管理操作必须在获得用户授权的前提下才能进行,设备管理员用户在进行配置操作过程中必须插入配套的授权 IC 卡,并验证 IC 卡口令,在双因素认证通过后方能进行对应的管理操作。
-
网络配置管理:IP地址、子网掩码、网关、端口号管理;
-
访问权限管理:白名单配置、用户登录、口令修改、注销登录;
-
IC卡管理:IC卡制作、口令修改;
密钥管理功能
密钥管理功能主要是在设备连接管理工具的基础下,对称与非对称密钥的管理,从密钥产生、密钥备份、密钥更新、密钥存储、密钥删除、密钥销毁等一系列操作过程。密码机本身在出厂时未设置主密钥,主密钥由三个分量由指定的算法在设备内部生成主密钥,并存储在安全芯片的物理存储区。主密钥输入完成后方可进行其他密钥的管理操作。
-
密钥生成;
-
密钥存储;
-
密钥导出;
-
密钥导入;
-
密钥打印;
-
密钥备份和恢复;
-
密钥状态查看;
-
密钥销毁;
密码服务功能
密码服务功能支持主要针对应用系统调用,包括标准密码服务功能和定制化服务功能。主要如下:
-
随机数生成功能;
-
密钥生成(SM1/SM2/SM4/RSA)功能;
-
消息摘要功能;
-
签名验签功能;
-
对称密钥加解密功能;
-
非对称密钥加解密功能;
-
消息鉴别与 MAC 运算功能;
-
PIN 的转加密功能;
- ARQC 产生于验证功能;
成功案例
- 国家卫生健康委数据库加密安全系统
