【密码产品篇】金融数据密码机密钥体系结构(对称密码体制)
金融数据密码机采用基于”
对称密码体制
“的三层密钥体系结构;分别为”
主密钥、次主密钥和数据密钥
“三层。金融数据密码机中的密钥采用”
自上而下逐层保护
“的分层保护原则,即主密钥保护次主密钥,次主密钥保护数据密钥—【蘇小沐】
1.金融数据密码机体系结构
金融数据密码机体系结构:主密钥、次主密钥、数据密钥
。
| 金融数据密码机 | 作用 |
|---|---|
| 主密钥 |
主密钥是一种”密钥加密密钥”,其主要作用是保护其下层密钥的安全传输和存储。 主密钥的存储必须采用强安全措施,不能以明文方式出现在密码机外 。主密钥可采用加密存储或微电保护存储方式。采用微电保护存储方式时,密钥可以明文方式存储,但需要设计有销毁密钥的触发装置,当触发装置被触发时,销毁存储的所有密钥。 |
| 次主密钥 |
次主密钥是一种”密钥加密密钥”,其主要作用是保护数据密钥的安全传输、分发和存储。由于采用的是对称密码体制,因此一般需要通过离线分发的方式进行密钥的共享。 |
| 数据密钥 |
数据密钥是实际保护金融业务数据安全的密钥,直接用于加密或校验各类应用数据,包括PIN密钥和MAC密钥等 。数据密钥一般不在密码机中长期存储,多个密码机在共享次主密钥的基础上,利用次主密钥保护各类数据密钥的安全传输以完成数据密钥的共享。数据密钥的使用最为频繁,一般需要按时更新。 |
2.金融数据密码机接口
主要分为以下三类:
| 金融数据密码机接口 | 作用 |
|---|---|
| 磁条卡应用接口 |
支持各类密钥的 生成、注入、合成、转加密 。 |
| IC卡应用接口 |
支持数据加解密、数据转加密、脚本加解密、 MAC 计算。 |
| 基础密码运算服务接口 |
提供最基本的各类密码计算服务,包括 SM2 签名验签、加密解密、 SM4 加密解密、 SM3 消息摘要。 |
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
版权声明:本文为NDASH原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。