『壹』 銀行加密部分流程
我們來考慮一個報文中到底什麼信息是需要加密的,目前一般的做法是只對賬號和密碼進行加密(也有隻對密碼加密的),其他的內容不加密的。對賬號和密碼加密有個術語,叫PinBlock,即PIN塊,就是對賬號和密碼進行DES加密處理後的一個密文數據塊。既然使用了DES演算法來加密賬號和密碼,則必然有個Key來加密,那麼我們就把這個Key稱為PinKey(PIK),就是專門來加密用戶賬戶和密碼的Key。
原文鏈接: https://blog.csdn.net/u011974987/article/details/55506710
1、在ATM機上運行的系統叫ATMC,行內與ATMC直接連接的系統叫ATMP,ATMP再(經過ESB)連接核心賬務系統。2、在傳輸過程中是不會出現明文密碼的(但報文整體不一定加密,可能是明文帶MAC),所以ATMP不會解密密碼,而是校驗MAC,再將C端加密的密碼轉換成核心系統加密的密碼,這一步是由P端調用加密機API,在硬體加密機中直接完成的。3、核心系統收到P端的報文後,同樣調加密機API生成MAC與P端的MAC對比,並對比密碼。4、PIK和MAK確實是經過主密鑰加密的,但是調加密機API並不需要送PIK和MAK的值,只需要送密鑰的名稱,所以無論對對PIK/MAK的加解密,還是對PIN和MAC的加解密都是在加密機中完成的,其他應用系統不需要關心。
鏈接: https://www.hu.com/question/37455323/answer/134372564
zpk:區域pin密鑰,銀行卡交換系統和銀行A、銀行B,分別形成一個區域。
轉pin是從一把zpk加密轉到另一把zpk加密,這兩把zpk可能分屬兩家銀行,也可能是同一個銀行的?
ATMP:ATM前置機。
ATM加密後給ATMP(這個加密後的值不是pinblock,不是銀行系統識別持卡人用的),
ATMP收到之後,再調用加密機,生成pinblock,然後發給收單行。
整個流程,pin不會出現明文。
『貳』 什麼是加密機
加密機
主機加密機是通過國家商用密碼主管部門鑒定並批准使用的國內自主開發的主機加密設備,加密機和主機之間使用TCP/IP協議通信,所以加密機對主機的類型和主機操作系統無任何特殊的要求。
加密機主要有四個功能模塊
硬體加密部件
硬體加密部件主要的功能是實現各種密碼演算法,安全保存密鑰,例如CA的根密鑰等。
密鑰管理菜單
通過密鑰管理菜單來管理主機加密機的密鑰,管理密鑰管理員和操作員的口令卡。
加密機後台進程
加密機後台進程接收來自前台API的信息,為應用系統提供加密、數字簽名等安全服務。加密機後台進程採用後台啟動模式,開機後自動啟動。
加密機監控程序和後台監控進程
加密機監控程序負責控制機密機後台進程並監控硬體加密部件,如果加密部件出錯則立即報警。
加密機前台API
加密機前台API是給應用系統提供的加密開發介面,應用系統通過把加密機前台API使用加密的加密服務,加密機前台API是以標准C庫的形式提供。目前加密機前台API支持的標准介面有:PKCS#11、Bsafe、CDSA等。
加密機支持目前國際上常用的多種密碼演算法
支持的公鑰演算法有
RSA DSA 橢圓曲線密碼演算法 Diffe Hellman
支持的對稱演算法有
SDBI DES IDEA RC2 RC4 RC5
支持的對稱演算法有
SDHI MD2 MD5 SHA1
『叄』 鍗澹閫氬姞瀵嗘満澶嶄綅鏄浠涔堟剰鎬
鍗澹閫氬姞瀵嗘満閲嶆柊鍒濆嬪寲鐨勭姸鎬併傚嶄綅鏄鎺у埗緋葷粺涓閲嶆柊鍒濆嬪寲鐘舵佺殑榪囩▼錛屽崼澹閫氬姞瀵嗘満璁懼囧嶄綅鏄璁╁崼澹閫氬姞瀵嗘満璁懼囨仮澶嶅埌鍒濆嬪寲鐘舵併傞噾鋙嶆暟鎹瀵嗙爜鏈烘槸鐢卞崼澹閫氳嚜涓葷爺鍒訛紝閫氳繃鍥藉朵富綆¢儴闂ㄩ壌瀹氱殑瀹夊叏瀵嗙爜璁懼囥