‘壹’ 银行加密部分流程
我们来考虑一个报文中到底什么信息是需要加密的,目前一般的做法是只对账号和密码进行加密(也有只对密码加密的),其他的内容不加密的。对账号和密码加密有个术语,叫PinBlock,即PIN块,就是对账号和密码进行DES加密处理后的一个密文数据块。既然使用了DES算法来加密账号和密码,则必然有个Key来加密,那么我们就把这个Key称为PinKey(PIK),就是专门来加密用户账户和密码的Key。
原文链接: https://blog.csdn.net/u011974987/article/details/55506710
1、在ATM机上运行的系统叫ATMC,行内与ATMC直接连接的系统叫ATMP,ATMP再(经过ESB)连接核心账务系统。2、在传输过程中是不会出现明文密码的(但报文整体不一定加密,可能是明文带MAC),所以ATMP不会解密密码,而是校验MAC,再将C端加密的密码转换成核心系统加密的密码,这一步是由P端调用加密机API,在硬件加密机中直接完成的。3、核心系统收到P端的报文后,同样调加密机API生成MAC与P端的MAC对比,并对比密码。4、PIK和MAK确实是经过主密钥加密的,但是调加密机API并不需要送PIK和MAK的值,只需要送密钥的名称,所以无论对对PIK/MAK的加解密,还是对PIN和MAC的加解密都是在加密机中完成的,其他应用系统不需要关心。
链接: https://www.hu.com/question/37455323/answer/134372564
zpk:区域pin密钥,银行卡交换系统和银行A、银行B,分别形成一个区域。
转pin是从一把zpk加密转到另一把zpk加密,这两把zpk可能分属两家银行,也可能是同一个银行的?
ATMP:ATM前置机。
ATM加密后给ATMP(这个加密后的值不是pinblock,不是银行系统识别持卡人用的),
ATMP收到之后,再调用加密机,生成pinblock,然后发给收单行。
整个流程,pin不会出现明文。
‘贰’ 什么是加密机
加密机
主机加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备,加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。
加密机主要有四个功能模块
硬件加密部件
硬件加密部件主要的功能是实现各种密码算法,安全保存密钥,例如CA的根密钥等。
密钥管理菜单
通过密钥管理菜单来管理主机加密机的密钥,管理密钥管理员和操作员的口令卡。
加密机后台进程
加密机后台进程接收来自前台API的信息,为应用系统提供加密、数字签名等安全服务。加密机后台进程采用后台启动模式,开机后自动启动。
加密机监控程序和后台监控进程
加密机监控程序负责控制机密机后台进程并监控硬件加密部件,如果加密部件出错则立即报警。
加密机前台API
加密机前台API是给应用系统提供的加密开发接口,应用系统通过把加密机前台API使用加密的加密服务,加密机前台API是以标准C库的形式提供。目前加密机前台API支持的标准接口有:PKCS#11、Bsafe、CDSA等。
加密机支持目前国际上常用的多种密码算法
支持的公钥算法有
RSA DSA 椭圆曲线密码算法 Diffe Hellman
支持的对称算法有
SDBI DES IDEA RC2 RC4 RC5
支持的对称算法有
SDHI MD2 MD5 SHA1
‘叁’ 鍗澹阃氩姞瀵嗘満澶崭綅鏄浠涔堟剰镐
鍗澹阃氩姞瀵嗘満閲嶆柊鍒濆嫔寲镄勭姸镐併傚崭綅鏄鎺у埗绯荤粺涓閲嶆柊鍒濆嫔寲鐘舵佺殑杩囩▼锛屽崼澹阃氩姞瀵嗘満璁惧囧崭綅鏄璁╁崼澹阃氩姞瀵嗘満璁惧囨仮澶嶅埌鍒濆嫔寲鐘舵併傞噾铻嶆暟鎹瀵嗙爜链烘槸鐢卞崼澹阃氲嚜涓荤爷鍒讹纴阃氲繃锲藉朵富绠¢儴闂ㄩ壌瀹氱殑瀹夊叏瀵嗙爜璁惧囥