GM1130出口型金融数据密码机,除满足将来国际IC卡(符合EMV2000规范)业务的安全需求外,还完全与国际主流的RACAL(THALES)加密体系兼容(密钥管理体系和主机命令体系),符合国际金融行业的安全规范,是真正和Visa/MasterCard国际信用卡组织接轨的国外产品的替代产品。目前产品已销往香港、澳门、新加坡、泰国、伊朗、印度尼西亚、老挝、马来西亚等市场,欢迎热衷于此产品的用户来电来函和我公司联系。
GM1130出口型金融数据密码机目前支持的具体功能如下:
1、密码算法
l
DES/3DES(双,
三长度密钥)/AES
l
数据加密算法符合ANSI
X3.92–1981标准
l
三重数据加密算法:操作模式符合ANSI
X9.52–1998标准
l
数据加密算法,操作模式符合ANSI
X3.106-1983标准
l
密钥管理符合ANSI
X9.17金融机构密钥管理(批处理)标准以及ANSI
X9.24-2002(零售)标准
l
采用物理噪音生成真随机数,伪随机数生成算法符合ANSI
X 9.17/ANSI X9.31标准
l
公开密钥算法采用RSA;数字签名算法使用SHA-1,SHA-224,SHA-256,SHA-384,SHA-512,MD2,MD4,MD5,RIPE-MD128,RIPE-MD160,RIPE-MD256,RIPE-MD320,ISO-10118-2等算法
l
HMAC算法支持HMAC-SHA-1,HMAC-SHA-224,HMAC-SHA-256,HMAC-SHA-384,HMAC-SHA-512,HMAC-MD2,HMAC-MD4,HMAC-MD5,HMAC-RIPE-MD128,HMAC-RIPE-MD160,HMAC-RIPE-MD256,HMAC-RIPE-MD320,HMAC-ISO-10118-2等算法
2、密钥管理机制
l
密码机内共保存有50组本地主密钥,支持192Bits长度本地主密钥。
l
主密钥的生成过程中,密码机不保存任何密钥成份和安全参数,使得密码机更为安全可靠;密码机不允许导出主密钥或其成份,解决了密码机的安全隐患;
l
主密钥的存储采用完整性校验以及硬件冗余机制,以保证主密钥的一致性
l
支持密码机更换本地主密钥时密文数据的转换功能
l
RACAL测试密钥下的高度兼容性方便用户应用开发中的调试
l
ZMK密钥长度64/128
bits可配置
l
支持ZMK的安全转换机制
l
支持ANSI
X9.17加密方式下,密钥安全导入导出机制
l
ZMK/TMK,ZPK/TPK,ZAK/TAK,ZEK/TEK长度支持64/128/192
bits
l
支持本地主密钥变种、TDEA变种机制;ZMK/TMK支持Atalla
单字节以及双字节变种加密
l
采用哑终端密钥管理模式,终端通讯参数可配置,密钥管理和联机交易可并行处理;支持中文(本地语言)和英文(国际语言)两种操作界面,可动态选择两种语言中的任一种*
l
支持不同长度的密鈅分割及成份打印
l
支持敏感数据及密钥以索引模式(S/D/T三种模式)存储于用户存储区中或密钥存储区中
l
支持VISA
Chip Card专用命令
l
支持DUKPT(Derived
Unique Key Per Transaction)传输密钥机制
3、PIN
、MAC及CVV的生成及验证
l
PIN长度4~12可配置
l
支持国际卡业务通用的IBM
3624 PIN加密/验证算法
l
支持ANSI
X9.8,ISO
95641 DP1/Format 0/1/2/3,IBM/Diebold
ATM,Doctel
ATM,PLUS
network等7种PIN加密算法
l
PIN
BLOCK支持长度64/128/192Bits的加密密钥
l
可根据用户特殊需求扩充专用PIN加密算法*
l
支持VISA
PVV/CVV及MasterCard
CVC生成及验证
l
支持American
Express CSCK专用命令,防止磁条卡的非法复制
l
支持单长度密钥(64
bits)的ANSI
X9.9及双长度密钥(128Bits)的ANSI
X9.19 MAC算法,支持多种MAC生成验证方式
4、传输加密功能
l
提供应用系统报文加密传输的功能,支持DEA/TDEA的多种加密模式(ECB
CBC CFB OFB),灵活的实现了不同格式(“Binary”或“Expanded
Hex”)的大数据块报文,以密文的方式在两个通讯的节点之间进行安全传输。
5、数据安全存储功能
l
提供应用系统数据安全存储的需要,支持DEA/TDEA的多种加密模式(ECB
CBC CFB OFB),灵活的实现了的大数据块的报文,以密文的方式在某个本地主密钥组LMK下(DEK——Data
Encryption Key)或某个本地主密钥组LMK加密的数据密钥DSK下(Data
Storage Key——数据存储加密密钥)下加密存储。
6、打印功能
l
支持密码信函、密码申请信函及密钥信函打印功能,串行端口通讯参数及通讯格式可配置(支持通讯速率300~115200bps,支持7N1,7O1,7E1,8N1,8O1及8E1等多种通讯格式)
l
支持中文密钥及密码信函打印功能,支持AS/400、ES/9000环境的IBM
cp1386-1388字符集中文字符(简体中文扩充GBK规范)打印功能*
l
支持HP兼容的激光条形码打印功能
l
标准配置:串行端口和并行端口(注:打印时使用串口或并口可配置)*
7、主机接口
l
支持TCP/IP协议,10/100M自适应
l
具备跨网段使用时网关设置功能*
l
具备客户端访问密码机的IP地址过滤和MAC绑定功能*
l
TCP套接字连接数量可配置,最大4096个连接*
l
主机接口可扩充串口,支持异步协议及RACAL透明异步协议(支持通讯速率300~115200bps,支持7N1,7O1,7E1,8N1,8O1及8E1等多种通讯格式)——可通过管理程序配置通讯参数及通讯格式*
l
具备独立的密钥管理端口、主机端口、打印端口,支持多种通讯协议并行工作(最多可同时支持TCP/IP,Async等两种通讯协议)*
8、稳定性及安全性:
l
系统研发基于高稳定性的、优化的专用操作平台,运行极其稳定
l
硬件设计符合FIPS
140-2 LEVEL 3标准,具有高安全性.
l
常规和警戒两种工作状态,提高了密码机的安全等级。在警戒工作状态下,任何试图对密码机的侵害都会启动物理障碍装置自动销毁密码机内保存的密钥(Tamper-Resistant
Mechanism);如:密码机打开机箱会自动清除保存于其内的密钥。
l
联机/脱机、授权/双重授权、警戒工作模式便于密码机的安全维护和密钥管理,加强了密码机的安全管理措施
l
关键联机命令及密钥导入/导出/转换等管理命令需在授权状态下处理,提供授权配置功能
l
双重控制下可选择的IC授权卡和口令字授权两种机制,使得密码机的使用和日常管理更为安全灵活
l
物理双重保护机制保证密码防刺探、防辐射
l
用户可自行个性化IC卡,具有丰富的卡片管理功能。支持的卡片包括主密钥成份卡、密钥成份卡、授权卡、密钥存储卡、测试密钥卡、维护管理卡及升级卡(厂家专用)
9、RSA相关功能
l
产生RSA公私钥对,模长介于192~2048Bits之间连续可变
l
支持全部标准RACAL(THALES)RSA指令集,如ES、EY指令等
l
支持全部标准EMV2000发卡指令集
l
支持多种填充标准,如PKCS1,OAEP,PSS,ANSI
X9.31,EMV
2000等数据填充模式
l
支持无符号及有符号整型两种公私钥DER编码
l
支持强素数的生成和基于强素数的公私钥生成
l
支持CRT模式运算
l
摘要算法支持SHA-1,SHA-224,SHA-256,SHA-384,SHA-512,MD2,MD4,MD5,RIPE-MD128,RIPE-MD160,RIPE-MD256,RIPE-MD320,ISO-10118-2等算法
l
支持对数据进行RSA签名及验证
l
支持对数据进行RSA加解密运算
l
支持公私钥对,PKCS8格式公私钥对以索引的方式导入、导出密码机
l
支持明/密文成份方式(如:p,q两个成份
、n,p两个成份
和n,q两个成份等)的RSA密钥对导入
l
支持DEA密钥的分散、数据完整性验证及应用密文的生成及验证等
l
以1024Bits模长为标准,性能指标如下(高端机型):
1)
产生公私钥对:3.5对/秒
2)
签名:
180次/秒
3)
验证:
2700次/秒
l
支持DataCard、NBS及G
& D EMV2000卡个人化系统安全需求
10、其它功能
l
支持RACAL报文头处理功能,最大长度255字节(0*~255)
l
支持RACAL报文尾处理功能(可选),最大长度128字节
l
ASCII、EBCDIC及IBM1388三种字符集可配置
l
支持多字符集下MAC处理及报文加密的二进制方式处理模式
l
支持多应用安全体系并行工作。目前密码机可同时支持金卡应用体系、RACAL(THALES)体系、IC卡应用安全体系、EMV
96/2000标准安全体系。
l
支持香港网上银行,JETCO(银通),EPSCO(八达通),ATM安全应用要求
l
可按客户应用需求快速提供RACAL主机命令及国内体系命令的复合命令*
l
低功耗、无辐射、无噪音,符合绿色环保要求