最新SHJ0902加密机技术规范.doc

《最新SHJ0902加密机技术规范.doc》由会员分享，可在线阅读，更多相关《最新SHJ0902加密机技术规范.doc（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateSHJ0902加密机技术规范SHJ0902支付服务密码机SHJ0902加密机产品介绍广州江南科友科技股份有限公司2010-10一、产品简介4二、产品证书5三、主要功能5四、技术特点6五、主要技术指标75.1、性能指标75.2、可靠性指标75.3、关键数据容量指标75.4、环境适应性指标85.5、接口和外观85.6、可管理性8六、产品关键技术和亮点86.1、一体化设计技

2、术86.2、先进的设计技术9l高速信号线设计及仿真技术9l低功耗设计技术9l工程设计技术96.3、安全的密钥存储和保护技术96.4、用硬件实现多种密码算法106.5、安全的嵌入式操作系统10七、产品外观10SHJ0902外观图10八、装箱清单11一、 产品简介SHJ0902支付服务密码机（证书编号：SXH2009067）是无锡江南信息安全工程技术中心与广州江南科友科技股份有限公司联合研制的新型金融数据密码机。2009年7月通过国家密码管理局技术鉴定，8月获得国密局颁发的证书。作为传统密码设备（SJL06系统）的升级换代产品，SHJ0902采用国家密码管理局批准的SSF33密码算法和SM1密码算

3、法，可选择支持对EMV2000/ PBOC2.0、VBV/3-D等新兴支付标准在网上银行、业务前置系统、主机系统、发卡系统上的应用，适用于现代服务业商用支付体系与技术规范的功能要求。l 金融服务：银行、证券、保险三大产业，直接提供资金往来、结算等服务l 电子商务服务：电信移动、网上商城、门户网站、终端支付等涉及到业务处理、电子交易相关的支付与资金结算服务l 城市一卡通、社会保障、税务关贸等政务功能相关的支付与资金结算服务SHJ0902支付服务密码机在兼容金融数据密码机功能基础上支持EMV应用、发卡管理、3-D服务、支付安全鉴别等业务安全及密钥管理功能。支付服务密码机对于防止金融犯罪、促进国产密

4、码产品在行业规范中推广应用具有十分重要的意义。二、 产品证书三、 主要功能SHJ0902支付服务密码机是以现代密码技术为核心的主机安全模块，是一个具有物理安全保护措施的硬件设备，具有自主密钥管理机制，能将密码运算过程封装在其内部完成，从而为主机提供安全的应用层密码服务，如密钥管理、消息验证、数据加密、签名的产生和验证等密码服务，保证数据从产生、传输、接收到处理整个过程的安全性、有效性、完整性、不可抵赖性等安全问题。该密码机主要功能特点有：(1) 国产密码算法: 可扩展支持国产的SSF33分组算法和SM1分组算法， SM2非对称算法和SM3摘要算法。(2) 通用密码算法：对称算法支持DES/TD

5、ES, AES，非对称算法支持RSA（10244096比特），摘要算法支持MD5、SHA1、SHA224/256/384/512等常用算法。(3) 数据加密/解密：支持国产SSF33和SM1分组密码算法。支持国际通用算法（对称算法：DES/TDES, AES，非对称算法RSA。）(4) 消息鉴别：支持MAC/HMAC/TAC的产生和验证。(5) 数字签名/验证：支持10244096 bit RSA公钥密码算法。(6) 支持多种PIN格式的加密和转换。包括ANSI X9.8格式即ISO 95641格式0，Docutel格式，Diebold和IBM格式，ISO 95641格式1。(7) 真随机数产

6、生功能。使用硬件产生随机数，产生的随机数符合国家密码管理局颁布的随机数检测规范。(8) 具有打印密码信封功能，支持串行或并行打印机。(9) 密钥管理功能：支持产生、传输、存储、导入、销毁。四、 技术特点(1) 具有安全的密钥保护机制：密钥加密存储、受到非法入侵时自动销毁、断电情况下能长期维持。(2) 具有并发功能，支持多机同时访问。(3) 用硬件实现多种密码算法，具有速度快，安全性高的特点。(4) 密码服务接口采用三速以太网接口（101001000Mbps），通信协议采用TCP/IP协议。(5) 采用哑终端作为操作界面，提高了操作和管理的安全性。(6) 采用具有安全功能的智能IC卡作为身份认证

7、和密钥存储介质。(7) 具有完善的系统监测功能，可监测密码机硬件及软件的运行状态，并可对故障进行自动恢复或者报警。(8) 符合规范及标准：n ANSI X3.92 数据加密算法n ANSI X9.9 信息鉴别n ANSI X9.8 PIN的管理与安全n ANSI X9.17 密钥管理n ANSI X9.19 零售金融信息的鉴别n 中国金融集成电路(IC)卡规范V2.0n VISA及MASTER对硬件加密机的相关需求n 银联联网联合规范 2.0n EMV2000支付系统集成电路卡规范。n PKCS公钥密码标准n RFC2104 HMAC:键入-散列法用于信息身份验证n 欧洲银行标准委员会-加密算

8、法使用与密钥管理指南五、 主要技术指标5.1、 性能指标(1) SSF33算法加解密速率： 16Mbps(2) 对称算法长连接（3DES、AES）：8000次/秒(3) 对称算法短连接（3DES、AES）：2000次/秒(4) SM1算法加解密速率： 70Mbps(5) SSF33算法加解密速率： 16 Mbps(6) 1024位RSA签名速率： 大于1200次/秒(7) 1024位RSA验签速率： 2700次/秒(8) 1024位RSA密钥生成： 3对/秒(9) 密钥微电保护时间： 10年。5.2、 可靠性指标(1) MTBF时间： 45000小时5.3、 关键数据容量指标(1) 密钥库容量

9、：128K字节(2) 算法：可扩充个性化算法5.4、 环境适应性指标(1) 工作电压： 220V25、50HZ(2) 功 耗： 小于85W(3) 工作温度： 0 50(4) 存储温度： 室温-1045(5) 工作湿度： 20% 80%5.5、 接口和外观(1) 配置管理口：RS232接口，速率为9600115200bps。(2) 以太网接口：RJ45三速以太网接口（10/100/1000M自适应）。(3) 打印接口： 支持串行打印机或者并行打印机。(4) 尺 寸： 482.6mm426.6mm110mm。(5) 重 量： 小于16公斤。5.6、 可管理性(1) 管理模式：通过串口通信协议与加密

10、机进行通信，采用专有命令与加密机进行交互式操作。(2) 扩展支持密码机监控软件，技术成熟且已有行业应用六、 产品关键技术和亮点6.1、 一体化设计技术该密码机内部使用了完全自主设计的嵌入式主板，主板采用了一体化(“ALL IN ONE”)的设计和多层印制板工艺，在单板上集成了所有关键元件或部件，这种高集成度设计有效减少了组成系统的元器件和连线数量，提高了系统的稳定性和可靠性。此外，在DDR存储器的设计上，没有安装内存条插座，而是将内存颗粒直接焊接在PCB上。这种设计方式是该密码机在设计中的亮点之一，虽然增加了成本，但是增强了可靠性。6.2、 先进的设计技术l 高速信号线设计及仿真技术在高速信号

11、传输线的设计上，使用了等长线设计技术和星形走线法，以及相关的抗干扰技术，并通过仿真软件对高速信号线的完整性、延迟、阻抗进行了分析和调整，提高了高速信号传输的正确性和稳定性。l 低功耗设计技术在实际应用中，密钥在关机状态下需要长期保存。在设计中，使用低功耗静态存储器和不可充电的大容量锂电池，密钥存储可达10年之久。l 工程设计技术嵌入式主板采用18层PCB设计技术，高速信号线都有地层作为参考平面，满足单端信号线和差分信号线的阻抗要求，提高了抗干扰能力。电源设计上采用了单端接地法和上电次序控制技术，并使用了大容量且具有低等效串行电阻（LOW ESL）特性的钽电容和铝电解电容，提高了系统的稳定性。6

12、.3、 安全的密钥存储和保护技术密钥的安全保护、长期维持和快速销毁是该密码机的亮点之一。密码机采用具有加密功能的DS5002安全处理器来控制对密钥的存储和读取，这种设计方法使得密钥存储具有很高的安全性。首先， DS5002工作程序和密钥数据是以密文方式存储在低功耗静态存储器中，攻击者即使窃取到密文，也无法还原得到明文；其次，DS5002具有自毁输入端，密码机在受到入侵时会自动触发该输入端，在很短的时间内（几个毫秒）销毁存储的密钥和数据；另外，在需要销毁密钥时，也可以通过钥匙来触发DS5002的自毁输入端，清除密钥。第三，DS5002属于低功耗器件，连同低功耗静态存储器在一起都由一节不可充电的3

13、.6V/2Ah锂电池供电，实测维持电流小于10uA，因此，即使密码机一直处于关机状态，密钥也能维持10年不丢失。6.4、 用硬件实现多种密码算法密码算法由硬件实现，具有运算速度快、安全性高的优点。密码机支持国产SSF33分组密码算法，由SSP04B芯片实现。密码机支持国产SM1分组密码算法，由SSX30-D芯片实现。密码机支持RSA非对称密码算法，由SSX17芯片实现。CPU内嵌的加密引擎支持DES、3DES、AES、RSA、SHA1、MD5。6.5、 安全的嵌入式操作系统密码机采用的是嵌入式Linux操作系统。嵌入式操作系统的特点就是能够根据不同的硬件环境进行裁减，量身定做适合的操作系统。密

14、码机的操作系统是从源代码开始构建的，构建时充分考虑了密码机的实际需求，选择、删除、修改了相关的操作系统组件，定制后的操作系统具有很高的运行效率和安全性。七、 产品外观SHJ0902外观图本产品支持单电源及双电源。本图为双电源外观。SHJ0902-SA单电源加密机后部的唯一的区别是只有一个电源。八、 装箱清单序号名 称规 格单位数量备注1SHJ0902支付服务密码机2.5U，黑色台12IC卡T=1，32K张63通信线缆RS232，2m根14交流电源线220V根15前面板把手付16电子开关钥匙把17用户手册本18光盘张19IC卡标签套110质量跟踪卡张111产品保修卡张112顾客满意度调查表份113合格证份1-