SHJ加密機技術(shù)規(guī)范

1、SHJ0902加密機產(chǎn)品介紹廣州江南科友科技股份有限公司2010-10一、產(chǎn)品簡介4二、產(chǎn)品證書5三、主要功能5四、技術(shù)特點6五、主要技術(shù)指標(biāo)75.1、性能指標(biāo)75.2、可靠性指標(biāo)75.3、關(guān)鍵數(shù)據(jù)容量指標(biāo)75.4、環(huán)境適應(yīng)性指標(biāo)85.5、接口和外觀85.6、可管理性8六、產(chǎn)品關(guān)鍵技術(shù)和亮點86.1、一體化設(shè)計技術(shù)86.2、先進(jìn)的設(shè)計技術(shù)9l高速信號線設(shè)計及仿真技術(shù)9l低功耗設(shè)計技術(shù)9l工程設(shè)計技術(shù)96.3、安全的密鑰存儲和保護(hù)技術(shù)96.4、用硬件實現(xiàn)多種密碼算法106.5、安全的嵌入式操作系統(tǒng)10七、產(chǎn)品外觀10SHJ0902外觀圖10八、裝箱清單11一、 產(chǎn)品簡介SHJ0902支付服務(wù)密碼

2、機（證書編號：SXH2009067）是無錫江南信息安全工程技術(shù)中心與廣州江南科友科技股份有限公司聯(lián)合研制的新型金融數(shù)據(jù)密碼機。2009年7月通過國家密碼管理局技術(shù)鑒定，8月獲得國密局頒發(fā)的證書。作為傳統(tǒng)密碼設(shè)備（SJL06系統(tǒng)）的升級換代產(chǎn)品，SHJ0902采用國家密碼管理局批準(zhǔn)的SSF33密碼算法和SM1密碼算法，可選擇支持對EMV2000/ PBOC2.0、VBV/3-D等新興支付標(biāo)準(zhǔn)在網(wǎng)上銀行、業(yè)務(wù)前置系統(tǒng)、主機系統(tǒng)、發(fā)卡系統(tǒng)上的應(yīng)用，適用于現(xiàn)代服務(wù)業(yè)商用支付體系與技術(shù)規(guī)范的功能要求。l 金融服務(wù)：銀行、證券、保險三大產(chǎn)業(yè)，直接提供資金往來、結(jié)算等服務(wù)l 電子商務(wù)服務(wù)：電信移動、網(wǎng)上商城

3、、門戶網(wǎng)站、終端支付等涉及到業(yè)務(wù)處理、電子交易相關(guān)的支付與資金結(jié)算服務(wù)l 城市一卡通、社會保障、稅務(wù)關(guān)貿(mào)等政務(wù)功能相關(guān)的支付與資金結(jié)算服務(wù)SHJ0902支付服務(wù)密碼機在兼容金融數(shù)據(jù)密碼機功能基礎(chǔ)上支持EMV應(yīng)用、發(fā)卡管理、3-D服務(wù)、支付安全鑒別等業(yè)務(wù)安全及密鑰管理功能。支付服務(wù)密碼機對于防止金融犯罪、促進(jìn)國產(chǎn)密碼產(chǎn)品在行業(yè)規(guī)范中推廣應(yīng)用具有十分重要的意義。二、 產(chǎn)品證書三、 主要功能SHJ0902支付服務(wù)密碼機是以現(xiàn)代密碼技術(shù)為核心的主機安全模塊，是一個具有物理安全保護(hù)措施的硬件設(shè)備，具有自主密鑰管理機制，能將密碼運算過程封裝在其內(nèi)部完成，從而為主機提供安全的應(yīng)用層密碼服務(wù)，如密鑰管理、消息

4、驗證、數(shù)據(jù)加密、簽名的產(chǎn)生和驗證等密碼服務(wù)，保證數(shù)據(jù)從產(chǎn)生、傳輸、接收到處理整個過程的安全性、有效性、完整性、不可抵賴性等安全問題。該密碼機主要功能特點有：(1) 國產(chǎn)密碼算法: 可擴展支持國產(chǎn)的SSF33分組算法和SM1分組算法， SM2非對稱算法和SM3摘要算法。(2) 通用密碼算法：對稱算法支持DES/TDES, AES，非對稱算法支持RSA（10244096比特），摘要算法支持MD5、SHA1、SHA224/256/384/512等常用算法。(3) 數(shù)據(jù)加密/解密：支持國產(chǎn)SSF33和SM1分組密碼算法。支持國際通用算法（對稱算法：DES/TDES, AES，非對稱算法RSA。）(4)

5、 消息鑒別：支持MAC/HMAC/TAC的產(chǎn)生和驗證。(5) 數(shù)字簽名/驗證：支持10244096 bit RSA公鑰密碼算法。(6) 支持多種PIN格式的加密和轉(zhuǎn)換。包括ANSI X9.8格式即ISO 95641格式0，Docutel格式，Diebold和IBM格式，ISO 95641格式1。(7) 真隨機數(shù)產(chǎn)生功能。使用硬件產(chǎn)生隨機數(shù)，產(chǎn)生的隨機數(shù)符合國家密碼管理局頒布的隨機數(shù)檢測規(guī)范。(8) 具有打印密碼信封功能，支持串行或并行打印機。(9) 密鑰管理功能：支持產(chǎn)生、傳輸、存儲、導(dǎo)入、銷毀。四、 技術(shù)特點(1) 具有安全的密鑰保護(hù)機制：密鑰加密存儲、受到非法入侵時自動銷毀、斷電情況下能長

6、期維持。(2) 具有并發(fā)功能，支持多機同時訪問。(3) 用硬件實現(xiàn)多種密碼算法，具有速度快，安全性高的特點。(4) 密碼服務(wù)接口采用三速以太網(wǎng)接口（101001000Mbps），通信協(xié)議采用TCP/IP協(xié)議。(5) 采用啞終端作為操作界面，提高了操作和管理的安全性。(6) 采用具有安全功能的智能IC卡作為身份認(rèn)證和密鑰存儲介質(zhì)。(7) 具有完善的系統(tǒng)監(jiān)測功能，可監(jiān)測密碼機硬件及軟件的運行狀態(tài)，并可對故障進(jìn)行自動恢復(fù)或者報警。(8) 符合規(guī)范及標(biāo)準(zhǔn)：n ANSI X3.92 數(shù)據(jù)加密算法n ANSI X9.9 信息鑒別n ANSI X9.8 PIN的管理與安全n ANSI X9.17 密鑰管理n

7、 ANSI X9.19 零售金融信息的鑒別n 中國金融集成電路 (IC)卡規(guī)范V2.0n VISA及MASTER對硬件加密機的相關(guān)需求n 銀聯(lián)聯(lián)網(wǎng)聯(lián)合規(guī)范 2.0n EMV2000支付系統(tǒng)集成電路卡規(guī)范。n PKCS公鑰密碼標(biāo)準(zhǔn)n RFC2104 HMAC:鍵入-散列法用于信息身份驗證n 歐洲銀行標(biāo)準(zhǔn)委員會-加密算法使用與密鑰管理指南五、 主要技術(shù)指標(biāo)5.1、 性能指標(biāo)(1) SSF33算法加解密速率： 16Mbps(2) 對稱算法長連接（3DES、AES）：8000次/秒(3) 對稱算法短連接（3DES、AES）：2000次/秒(4) SM1算法加解密速率： 70Mbps(5) S

8、SF33算法加解密速率： 16 Mbps(6) 1024位RSA簽名速率： 大于1200次/秒(7) 1024位RSA驗簽速率： 2700次/秒(8) 1024位RSA密鑰生成： 3對/秒(9) 密鑰微電保護(hù)時間： 10年。5.2、 可靠性指標(biāo)(1) MTBF時間： 45000小時5.3、 關(guān)鍵數(shù)據(jù)容量指標(biāo)(1) 密鑰庫容量：128K字節(jié)(2) 算法：可擴充個性化算法5.4、 環(huán)境適應(yīng)性指標(biāo)(1) 工作電壓： 220V±25、50HZ(2) 功 耗： 小于85W(3) 工作溫度： 0 50(4) 存儲溫度： 室溫-1045(5) 工作濕度： 20% 80%5.5、 接口和外觀(1)

9、配置管理口：RS232接口，速率為9600115200bps。(2) 以太網(wǎng)接口：RJ45三速以太網(wǎng)接口（10/100/1000M自適應(yīng)）。(3) 打印接口： 支持串行打印機或者并行打印機。(4) 尺 寸： 482.6mm×426.6mm×110mm。(5) 重 量： 小于16公斤。5.6、 可管理性(1) 管理模式：通過串口通信協(xié)議與加密機進(jìn)行通信，采用專有命令與加密機進(jìn)行交互式操作。(2) 擴展支持密碼機監(jiān)控軟件，技術(shù)成熟且已有行業(yè)應(yīng)用六、 產(chǎn)品關(guān)鍵技術(shù)和亮點6.1、 一體化設(shè)計技術(shù)該密碼機內(nèi)部使用了完全自主設(shè)計的嵌入式主板，主板采用了一體化(“ALL IN ONE”)

10、的設(shè)計和多層印制板工藝，在單板上集成了所有關(guān)鍵元件或部件，這種高集成度設(shè)計有效減少了組成系統(tǒng)的元器件和連線數(shù)量，提高了系統(tǒng)的穩(wěn)定性和可靠性。此外，在DDR存儲器的設(shè)計上，沒有安裝內(nèi)存條插座，而是將內(nèi)存顆粒直接焊接在PCB上。這種設(shè)計方式是該密碼機在設(shè)計中的亮點之一，雖然增加了成本，但是增強了可靠性。6.2、 先進(jìn)的設(shè)計技術(shù)l 高速信號線設(shè)計及仿真技術(shù)在高速信號傳輸線的設(shè)計上，使用了等長線設(shè)計技術(shù)和星形走線法，以及相關(guān)的抗干擾技術(shù)，并通過仿真軟件對高速信號線的完整性、延遲、阻抗進(jìn)行了分析和調(diào)整，提高了高速信號傳輸?shù)恼_性和穩(wěn)定性。l 低功耗設(shè)計技術(shù)在實際應(yīng)用中，密鑰在關(guān)機狀態(tài)下需要長期保存。在設(shè)

11、計中，使用低功耗靜態(tài)存儲器和不可充電的大容量鋰電池，密鑰存儲可達(dá)10年之久。l 工程設(shè)計技術(shù)嵌入式主板采用18層PCB設(shè)計技術(shù)，高速信號線都有地層作為參考平面，滿足單端信號線和差分信號線的阻抗要求，提高了抗干擾能力。電源設(shè)計上采用了單端接地法和上電次序控制技術(shù)，并使用了大容量且具有低等效串行電阻（LOW ESL）特性的鉭電容和鋁電解電容，提高了系統(tǒng)的穩(wěn)定性。6.3、 安全的密鑰存儲和保護(hù)技術(shù)密鑰的安全保護(hù)、長期維持和快速銷毀是該密碼機的亮點之一。密碼機采用具有加密功能的DS5002安全處理器來控制對密鑰的存儲和讀取，這種設(shè)計方法使得密鑰存儲具有很高的安全性。首先， DS5002工作程序和密鑰數(shù)

12、據(jù)是以密文方式存儲在低功耗靜態(tài)存儲器中，攻擊者即使竊取到密文，也無法還原得到明文；其次，DS5002具有自毀輸入端，密碼機在受到入侵時會自動觸發(fā)該輸入端，在很短的時間內(nèi)（幾個毫秒）銷毀存儲的密鑰和數(shù)據(jù)；另外，在需要銷毀密鑰時，也可以通過鑰匙來觸發(fā)DS5002的自毀輸入端，清除密鑰。第三，DS5002屬于低功耗器件，連同低功耗靜態(tài)存儲器在一起都由一節(jié)不可充電的3.6V/2Ah鋰電池供電，實測維持電流小于10uA，因此，即使密碼機一直處于關(guān)機狀態(tài)，密鑰也能維持10年不丟失。6.4、 用硬件實現(xiàn)多種密碼算法密碼算法由硬件實現(xiàn)，具有運算速度快、安全性高的優(yōu)點。密碼機支持國產(chǎn)SSF33分組密碼算法，由SSP04B芯片實現(xiàn)。密碼機支持國產(chǎn)SM1分組密碼算法，由SSX30-D芯片實現(xiàn)。密碼機支持RSA非對稱密碼算法，由SSX17芯片實現(xiàn)。CPU內(nèi)嵌的加密引擎支持DES、3DES、AES、RSA、SHA1、MD5。6.5、 安全的嵌入式操作系統(tǒng)密碼機采用的是嵌入式Linux操作系統(tǒng)。嵌入式操作系統(tǒng)的特點就是能夠根據(jù)不同的硬件環(huán)境進(jìn)行裁減，量身定做適合的操作系統(tǒng)。密碼機的操作系統(tǒng)是從源代碼開始構(gòu)建的，構(gòu)建時充分考慮了密碼機的實際需求，選擇、刪除、修改了相關(guān)的操作系統(tǒng)組件，定制后的操作系統(tǒng)具有很高的運行效率和安全性。七、 產(chǎn)品外觀SHJ0902外觀圖本產(chǎn)品支持單電源及