admin 随着计算机通信网络化的飞速发展,对信息安全的要求日益增加。密码技术是信息安全技术中的核心技术,未来数据的传输和存储都要求加密保护,加密管理原则中最重要的一点是数据的传输和存放均不能以明码形式存在。加密技术在银行交易中已经得到了广泛的应用与实践。那么我们就和大家一起来探讨一下DES加密算法在银行外联业务中的应用。
一、DES加密算法
DES是一种单钥加密算法,其基本思想是将二进制序列的明文分成每组64bit一组,用长为64bit的密钥对其进行16轮代换和换位加密,最后形成密文。DES的巧妙之处在于除了密钥输入顺序之外,其加密和解密的步骤完全相同,使得在制作DES芯片时,易于实现标准化和通用化。
二、DES加密算法在银行外联业务中的应用
银行与外联单位一般都采用集成的POS终端机作为卡消费设备,但对于一些综合市场等有特殊支付清算要求的单位,POS机的布点有着成本比较高、清算模式单一等缺点。如果利用银行的交易平台,让外联单位的账务主机直接通过专线网络与银行前置进行账务交易,日终清算后再进行统一的对账,可以解决这类问题。
1、系统结构图
银行与外联单位的交易拓扑结构示意图如图所示。其中,密码及其他敏感字段的处理主要包括三个方面,分别是加密、传输与解密,在三个步骤中,对重要信息都必须进行严格的加密处理。
1.1、加密
外联单位的非金融性质决定了交易中需要的重要敏感信息需要全程加密传送,在客户端的任务环节都不能有解密的可能,传统的密码键盘是不符合要求的,通过简单的程序控制就能够读出客户输入的任何信息。
目前,在银行大量使用的DES加密算法的键盘可以满足本文提到的加密要求,通过内置的加密程序,在客户端程序只能通过机器指令,提示客户输入后,客户端程序只能获得加密后的密文,而不是明文信息。
1.2、传输
在传输过程中,也要保证密码等敏感字段的保密性。另外,报文的其他字段比如金额,账号也需要通过通讯包的整包MAC校验保证在传输中不受人为因素的修改。后台主机接收到报文后,先根据报文内容再进行一次MAC计算,以确定报文内容是否被修改。
1.3、解密
解密过程只能在银行的后台系统中进行,收到客户端的通讯报文后,先验证整包的MAC值,然后对密码字段进行相应的DES解密,获得密码明文后,再次加密成银行要求的密文格式,发送银行后台进行正式交易。整个过程没有任何数据输出,完全不受人为干涉,保证了数据的安全性。
2、DES加密算法在银行外联业务中的实现方式
在具体的实现中,过程可以参照下图中的顺序,IV表示任意一个初始向量,P1、P2表示两次的明文,而C1、C2表示两次加密后得出的密文,两次加密使用同样的一个密钥K。
其中,P1可以理解为需要加密的真正内容,IV可以是通讯报文中的一个字段,P2可以选用通讯报文中的其他一些字段进行逻辑运算后取得,经过两次加密后,同样的密码明文使用同样的密钥进行加密,因为有其他的动态变化的字段进行两次加密,所以得到的明文是完全不同的,这在一定程序上增加了被攻击的难度。
(1)加密流程
1)对卡号等预处理;
2)启动PIN加密,取卡号与PIN运算加密,形成PINblock密文;
3)用加密后的PINblock与交易序列号、交易金额组成的8个字节数据异或;
4)然后再用相同的PIN key对异或后的数据进行加密,得到加密结果;
(2)解密流程
1)第一次解密;
2)将一次密钥结果与交易序列号、交易金额组成的8个字节数据异或。得到PINblock密文;
3)第二次解密,得到PINblock明文;
4)再与卡号进行简单的异或,即得到密码明文。
通过DES加密算法在银行外联业务汇总的应用,从而拓展银行新的业务模式,加强银行与企业的合作并提高银行的中间业务收入。
小知识之拓扑结构:
计算机网络拓扑结构是指网络中各个站点相互连接的形式,在局域网中明确一点讲就是文件服务器、工作站和电缆等的连接形式。现在最主要的拓扑结构有总线型拓扑、星型拓扑、环型拓扑以及它们的混合型。顾名思义,总线型其实就是将文件服务器和工作站都连在称为总线的一条公共电缆上,且总线两端必须有终结器;星型拓扑则是以一台设备作为中央连接点,各工作站都与它直接相连形成星型;而环型拓扑就是将所有站点彼此串行连接,像链子一样构成一个环形回路;把这三种最基本的拓扑结构混合起来运用自然就是混合型了。
