SJL22-SM金融数据密码机系列产品，除满足当今国际/国内银行界磁条卡/存折以及将来国际IC卡（符合EMV2000规范）业务的安全需求外，还完全与国际主流的RACAL(THALES)加密体系兼容（密钥管理体系和主机命令体系），符合国际金融行业的安全规范， 是国内成功应用于金融业EMV2000迁移的唯一产品。内嵌国内金卡、IC卡应用体系、网上银行应用体系、PKI应用体系及EMV 96/2000标准应用体系可与RACAL（THALES）应用体系同时运行，加上多通讯协议可并行工作，因此，一台SJL22-SM金融数据密码机具备的功能相当于同行业其它厂商多台密码机具备的功能。SJL22-SM金融数据密码机系列产品，采用无风扇无机械部件低功耗绿色技术设计思想，使整机稳定性、可靠性大大增强。

本公司永远保持不断发展、完善和提高自己的产品的理念，持之以恒地追求同行业领先的技术优势，给我们的用户永远提供一流技术的产品。欢迎热衷于本产品的用户来电来函和我公司联系。

SJL22-SM金融数据密码机系列产品目前支持的具体功能如下：

1、密码算法

l         国家专用算法（SSF33/SSF10/SCB2）与经国家批准使用并兼容国际加密规范的算法(DES / 3DES /AES)可并行处理，其中国家专用算法SSF33 / SSF10与国际兼容算法DES / 3DES/AES之间可相互转换。

l         数据加密算法符合ANSI X3.92–1981标准

l         三重数据加密算法：操作模式符合ANSI X9.52–1998标准

l         数据加密算法，操作模式符合ANSI X3.106-1983标准

l         密钥管理符合ANSI X9.17金融机构密钥管理（批处理）标准以及ANSI X9.24-2002(零售)标准

l         采用物理噪音生成真随机数，伪随机数生成算法符合ANSI X 9.17/ANSI X9.31标准

l         公开密钥算法采用RSA；数字签名算法使用SHA-1，SHA-224，SHA-256，SHA-384，SHA-512，MD2，MD4，MD5，RIPE-MD128，RIPE-MD160，RIPE-MD256，RIPE-MD320，ISO-10118-2等算法

l         HMAC算法支持HMAC-SHA-1，HMAC-SHA-224，HMAC-SHA-256，HMAC-SHA-384，HMAC-SHA-512，HMAC-MD2，HMAC-MD4，HMAC-MD5，HMAC-RIPE-MD128，HMAC-RIPE-MD160，HMAC-RIPE-MD256，HMAC-RIPE-MD320，HMAC-ISO-10118-2等算法

 2、密钥管理机制

l         密码机内共保存有50组本地主密钥，支持192Bits长度本地主密钥。

l         主密钥的生成过程中，密码机不保存任何密钥成份和安全参数，使得密码机更为安全可靠；密码机不允许导出主密钥或其成份，解决了密码机的安全隐患；

l         主密钥的存储采用完整性校验以及硬件冗余机制，以保证主密钥的一致性

l         支持密码机更换本地主密钥时密文数据的转换功能

l         RACAL测试密钥下的高度兼容性方便用户应用开发中的调试

l         ZMK密钥长度64/128 bits可配置

l         支持ZMK的安全转换机制

l         支持ANSI X9.17加密方式下，密钥安全导入导出机制

l         ZMK/TMK，ZPK/TPK，ZAK/TAK，ZEK/TEK长度支持64/128/192 bits

l         支持本地主密钥变种、TDEA变种机制；ZMK/TMK支持Atalla 单字节以及双字节变种加密

l         采用哑终端密钥管理模式，终端通讯参数可配置，密钥管理和联机交易可并行处理；支持中文（本地语言）和英文（国际语言）两种操作界面，可动态选择两种语言中的任一种*

l         支持不同长度的密鈅分割及成份打印

l         支持敏感数据及密钥以索引模式（S/D/T三种模式）存储于用户存储区中或密钥存储区中

l         支持VISA Chip Card专用命令

l         支持DUKPT（Derived Unique Key Per Transaction）传输密钥机制

 3、PIN 、MAC及CVV的生成及验证

l         PIN长度4～12可配置

l         支持国际卡业务通用的IBM 3624 PIN加密/验证算法

l         支持ANSI X9.8，ISO 95641 DP1/Format 0/1/2/3，IBM/Diebold ATM，Doctel ATM，PLUS network等7种PIN加密算法

l         PIN BLOCK支持长度64/128/192Bits的加密密钥

l         可根据用户特殊需求扩充专用PIN加密算法*

l         支持VISA PVV/CVV及MasterCard CVC生成及验证

l         支持American Express CSCK专用命令，防止磁条卡的非法复制

l         支持单长度密钥（64 bits）的ANSI X9.9及双长度密钥（128Bits）的ANSI X9.19 MAC算法，支持多种MAC生成验证方式

 4、传输加密功能

l         提供应用系统报文加密传输的功能，支持DEA/TDEA的多种加密模式（ECB CBC CFB OFB），灵活的实现了不同格式（“Binary”或“Expanded Hex”）的大数据块报文，以密文的方式在两个通讯的节点之间进行安全传输。

 5、数据安全存储功能

l         提供应用系统数据安全存储的需要，支持DEA/TDEA的多种加密模式（ECB CBC CFB OFB），灵活的实现了的大数据块的报文，以密文的方式在某个本地主密钥组LMK下（DEK——Data Encryption Key）或某个本地主密钥组LMK加密的数据密钥DSK下（Data Storage Key——数据存储加密密钥）下加密存储。

 6、打印功能

l         支持密码信函、密码申请信函及密钥信函打印功能，串行端口通讯参数及通讯格式可配置（支持通讯速率300~115200bps，支持7N1，7O1，7E1，8N1，8O1及8E1等多种通讯格式）

l         支持中文密钥及密码信函打印功能，支持AS/400、ES/9000环境的IBM cp1386-1388字符集中文字符(简体中文扩充GBK规范)打印功能*

l         支持HP兼容的激光条形码打印功能

l         标准配置：串行端口和并行端口（注：打印时使用串口或并口可配置；厂商可配置密码机不支持打印功能）*

 7、主机接口

l         支持TCP/IP协议，10/100M自适应

l         具备跨网段使用时网关设置功能*

l         具备客户端访问密码机的IP地址过滤和MAC绑定功能*

l         TCP套接字连接数量可配置，最大4096个连接*

l         主机接口可扩充串口，支持异步协议及RACAL透明异步协议（支持通讯速率300~115200bps，支持7N1，7O1，7E1，8N1，8O1及8E1等多种通讯格式）——可通过管理程序配置通讯速率及通讯格式*

l         具备独立的密钥管理端口、主机端口、打印端口，支持多种通讯协议并行工作（最多可同时支持TCP/IP，Async等两种通讯协议）*

 8、稳定性及安全性：

l         系统研发基于高稳定性的、优化的专用操作平台，运行极其稳定

l         硬件设计符合FIPS 140-2 LEVEL 3标准，具有高安全性.

l         常规和警戒两种工作状态，提高了密码机的安全等级。在警戒工作状态下，任何试图对密码机的侵害都会启动物理障碍装置自动销毁密码机内保存的密钥（Tamper-Resistant Mechanism）；如：密码机打开机箱会自动清除保存于其内的密钥。

l         联机/脱机、授权/双重授权、警戒工作模式便于密码机的安全维护和密钥管理，加强了密码机的安全管理措施

l         关键联机命令及密钥导入/导出/转换等管理命令需在授权状态下处理，提供授权配置功能

l         双重控制下可选择的IC授权卡和口令字授权两种机制，使得密码机的使用和日常管理更为安全灵活

l         物理双重保护机制保证密码防刺探、防辐射

l         用户可自行个性化IC卡，具有丰富的卡片管理功能。支持的卡片包括主密钥成份卡、密钥成份卡、授权卡、密钥存储卡、测试密钥卡、维护管理卡及升级卡（厂家专用）

9、RSA相关功能

l         产生RSA公私钥对，模长介于192~2048Bits之间连续可变

l         支持全部标准RACAL（THALES）RSA指令集，如ES、EY指令等

l         支持全部标准EMV2000发卡指令集

l         支持多种填充标准，如PKCS1，OAEP，PSS，ANSI X9.31，EMV 2000等数据填充模式

l         支持无符号及有符号整型两种公私钥DER编码

l         支持强素数的生成和基于强素数的公私钥生成

l         支持CRT模式运算

l         摘要算法支持SHA-1，SHA-224，SHA-256，SHA-384，SHA-512，MD2，MD4，MD5，RIPE-MD128，RIPE-MD160，RIPE-MD256，RIPE-MD320，ISO-10118-2等算法

l         支持对数据进行RSA签名及验证

l         支持对数据进行RSA加解密运算

l         支持公私钥对，PKCS8格式公私钥对以索引的方式导入、导出密码机

l         支持明/密文成份方式（ 如：p，q两个成份 、n，p两个成份 和n，q两个成份 等）的RSA密钥对导入

l         支持DEA密钥的分散、数据完整性验证及应用密文的生成及验证等

l         以1024Bits模长为标准，性能指标如下（高端机型）：

1)        产生公私钥对：3.5对/秒

2)        签名：  180次/秒

3)       验证：  2700次/秒

l         支持DataCard、NBS及G & D EMV2000卡个人化系统安全需求

10、其它功能

l         支持RACAL报文头处理功能，最大长度255字节（0*～255）

l         支持RACAL报文尾处理功能（可选），最大长度128字节

l         ASCII、EBCDIC及IBM1388三种字符集可配置

l         支持多字符集下MAC处理及报文加密的二进制方式处理模式

l         支持多应用安全体系并行工作。目前密码机最大配置可同时支持金卡应用体系、RACAL（THALES）体系、IC卡应用安全体系、PKI应用安全体系、网上银行应用安全体系、EMV 96/2000标准安全体系。

l         支持香港网上银行，JETCO（银通），EPSCO（八达通），ATM安全应用要求

l        IC卡应用安全体系下可支持不同厂商的专用密钥母卡导入

l         可按客户应用需求快速提供RACAL主机命令及国内体系命令的复合命令*

l         低功耗、无辐射、无噪音，符合绿色环保要求

 点击观看金融数据安全典型应用解决方案

 点击下载本介绍的PDF文件

参考国际标准

ISO 8730:1990     Requirements for message authentication (wholesale)

ISO 8731-1:1987   Approved algorithms for message authentication -- Part 1: DEA

ISO 8731-2:1992   Approved algorithms for message authentication -- Part 2: Message authenticator algorithm

ISO 8732:1988     Key management (wholesale)

ISO 9564-1:2002   Personal Identification Number (PIN) management and security -- Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems

ISO 9564-2:1991   Personal Identification Number management and security -- Part 2: Approved algorithm(s) for PIN encipherment

ISO 9807:1991     Banking and related financial services -- Requirements for message authentication (retail)

ISO 10126-1:1991  Procedures for message encipherment (wholesale) -- Part 1: General principles

ISO 10126-2:1991  Procedures for message encipherment (wholesale) -- Part 2: DEA algorithm

ISO 11568-1:1994  Key management (retail) -- Part 1: Introduction to key management

ISO 11568-2:1994  Key management (retail) -- Part 2: Key management techniques for symmetric ciphers

ISO 11568-3:1994  Key management (retail) -- Part 3: Key life cycle for symmetric ciphers

ISO 11568-4:1998  Key management (retail) -- Part 4: Key management techniques using public key cryptosystems

ISO 11568-5:1998  Key management (retail) -- Part 5: Key life cycle for public key cryptosystems

ISO 11568-6:1998  Key management (retail) -- Part 6: Key management schemes

ISO 13491-1:1998  Secure cryptographic devices (retail) -- Part 1: Concepts, requirements and evaluation methods

ISO 13491-2:2000  Secure cryptographic devices (retail) -- Part 2: Security compliance checklists for devices used in magnetic stripe card systems

ISO 13492:1998    Key management related data element (retail)

ISO 15782-1:2003  Certificate management for financial services -- Part 1: Public key certificates

ISO 15782-2:2001  Certificate management -- Part 2: Certificate extensions

ISO/TR 17944:2002 Security and other financial services -- Framework for security in financial systems

ANSI X3.92–1981  Data Encryption Algorithm

ANSI X9.52–1998  Triple Data Encryption Algorithm: Modes of Operation

ANSI X3.106-1983  Data Encryption Algorithm, Modes of Operations, 1983.

ANSI X9.17–1995  Financial Institution Key Management (Wholesale) standard.

ANSI X 9.9 1986   Financial Institution Message Authentication

ANSI X 9.19 1986  Financial Institution Retail Message Authentication

ANSI X9.24–1998  Financial Services- Key Management Using the DEA

ANSI X 9.24       Retail Financial Services Symmetric Key Management Part 1: Using Symmetric Techniques

ANSI X9.66–200x (Draft): Security Requirements for Cryptographic Modules

ANSI X9.8–1995   Personal Identification Number (PIN) Management and Security, Part 1: PIN Protection Principles and Techniques

ANSI X9.8–1995   Personal Identification Number (PIN) Management and Security, Part 2: Approved Algorithms for PIN Encipherment

FIPS PUB 140–2   Security Requirements for Cryptographic Modules. 2001