银行常用算法介绍要点
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密钥的产生
主密钥的产生
主密钥用人工方式输入。主密钥由三部分构成,分别由三个人掌管。为了保证输入 的正确性,每一部分的密钥必须输入两次,且两次输入必须一致,否则输入失败。 在三个人分别输入三部分密钥后,加密机作奇偶校验检查。奇偶校验正确时,加密 机产生主密钥。主密钥必须储存在硬件加密机中,受硬件设备的保护。一旦硬件加 密机受到非授权的操作,主密钥会自动销毁。
Baidu Nhomakorabea
主密钥(MMK)
相当于密钥钥匙,该密钥主要起到解密下发密钥,不参与具体数据加解密。
工作密钥(DK)
参加具体工作的密钥,该密钥通过报文传送下发到本地,通过主密钥解密后,还原 成真正的密钥,再具体参与数据的加解密。
PIK
参与密钥加密的工作密钥
MAK
用于生成交易报文合法性验证数据(MAC)的密钥
名词解释
3DES(即Triple DES)是DES向AES过渡的加密算法(1999年,NIST将3DES指定为过渡的加密标准),是DES的一个更安全的变形。它以DES为基 本模块,通过组合分组方法设计出分组加密算法,其具体实现如下:设 Ek()和Dk()代表DES算法的加密和解密过程,K代表DES算法使用的密钥, P代表明文,C代表密文,这样, 设Ek()和Dk()代表DES算法的加密和解密过程,K代表DES算法使用的密钥, P代表明文,C代表密表,这样, 3DES加密过程为:C=Ek3(Dk2(Ek1(P))) 3DES解密过程为:P=Dk1((EK2(Dk3(C)))
数据加密传输环境的基本要求
报文数据由入网机构进入CUPS前应已被加密。入网机构从CUPS中得到的报文数据 也是加密数据。网络中CUPS的加密机与各入网机构加密机组成了一个点对点的数据 加解密网络。CUPS与各联网入网机构分别约定数据密钥。
各层次密钥简介
各层密钥的结构、生成方法、加密解密对象、存储地点、长度、被保护方式等表示如上:
PIN block
对称算法
对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加 密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称 式”加密法.
PIN 格式块
非对称算法
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。 公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有 密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能 解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算 法。
3DES 加密算法
3DES又称Triple DES,是DES加密数据的一种模式,它使用3条56位的密钥对 ,数 据进行三次加密。数据加密标准(DES)是美国的一种由来已久的加密标准,它使 用对称密钥加密法,并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密 钥和密码块的方法,而在密码块的方法中,文本被分成64位大小的文本块然后再进 行加密。比起最初的DES,3DES更为安全。
DES 加密算法
数据加密算法(Data Encryption Algorithm,DEA)是一种对称加密算法,很可 能是使用最广泛的密钥系统,特别是在保护金融数据的安全中,最初开发的DEA是 嵌入硬件中的。通常,自动取款机(Automated Teller Machine,ATM)都使用 DEA。它出自IBM的研究工作,IBM也曾对它拥有几年的专利权,但是在1983年已 到期后,处于公有范围中,允许在特定条件下可以免除专利使用费而使用。1977年 被美国政府正式采纳。 DES的原始思想可以参照二战德国的恩格玛机,其基本思想大致相同。传统的密码 加密都是由古代的循环移位思想而来,恩格玛机在这个基础之上进行了扩散模糊。 但是本质原理都是一样的。现代DES在二进制级别做着同样的事:替代模糊,增加 分析的难度。 DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大 小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成 两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运 算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
数据传输安全控制的基本要求
数据传输安全控制要求包括以下五个方面: a) 密钥管理机制:在技术上实施严格和可靠的密钥分配过 程。 b) 个人标识码(PIN)的加密及转换机制:不允许 PIN 的 明码在通信线路上和人工可操作的存储媒体上出现。 c) 对交易报文作来源正确性鉴别的机制(MAC)。 d) 所有入网机构采用硬件加密装置。 e) 点对点的数据加解密网络机制。
加密作用
加密可以用于保证安全性,但是其它一些技术在保障通信安全方面仍然是必须的, 尤其是关于数据完整性和信息验证;例如,信息验证码(MAC)或者数学签名。另 一方面的考虑是为了应付流量分析。
名词解释
密钥(KEY)
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的数据.
银行常用加密算法介绍
2011.5
加密过程解释
什么是加密?
是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已处理的 信息,但因不知解密的方法,仍然无法了解信息的内容。在密码学中,加密是将明 文信息隐匿起来,使之在缺少特殊信息时不可读。虽然加密作为通信保密的手段已 经存在了几个世纪,但是只有那些对安全要求特别高的组织和个人才会使用它。在 20世纪70年代中期,强加密(Strong Encryption)的使用开始从政府保密机构延 伸至公共领域,并且目前已经成为保护许多广泛使用系统的方法,比如因特网电子 商务、手机网络和银行自动取款机等.
成员主密钥(MMK)的产生
MMK由CUPS和入网机构各自产生一部分,分别输入到双方的加密机中合成MMK。 也可由双方商定MMK的产生办法。