产品概述

金融数据密码机在软硬件组成上与服务器密码机基本类似，主要用于金融领域内的数据安全保护，提供PIN加密、PIN转加密、MAC产生、MAC校验、数据加解密、签名验证、及**管理等金融业务相关功能。金融数据密码机除用于金融行业实际业务外，还可以提供基本的密码运算服务，为通用业务提供密码计算服务，例如，电子商务行业数字签名的生成和验证，动态令牌、时间戳服务器的数字签名生成等.
如遇商密认证问题可站内联系或15011462285.

金融数据密码机标准和产品要点

标准GM/T 0045-2016规定了金融数据密码机产品的功能要求、硬件要求、业务要求、安全性要求等。下面将根据上述产品标准给出应用要点。

（1） 应结合金融领域数据特点，理解金融数据密码机的**体系结构。根据金融业务系统的需求，金融数据密码机采用基于对称密码*的三层**体系结构，如下图所示。分别为主**、次主**和数据**三层。金融数据密码机中的**采用“自上而下的逐层保护”的分层保护原则，即主**保护次主**，次主**保护数据**。所有的**都不能以明文形态出现在金融数据密码机外部，必须采用加密或者知识拆分的方式进行**的导入/导出。其中数据**直接被用户使用，提供金融数据的加解密等服务。下面介绍**体系中的各层**用途和相关规定.

A 主**。主**是一种**加***，其主要作用是保护其下层**的安全传输和存储。主**的存储必须采用强安全措施，不能以明文方式出现在密码机外。主**可采用加密存储或微电保护存储方式。采用微电保护的存储方式时，**可以明文方式存储，但需要设计有销毁**的触发装置，当触发装置被触发时，销毁存储的所有**。
B 次主**。次主**是一种**加***，其主要作用是保护数据**的安全传输、分发和存储。由于采用的是对称密码机制，因此一般需要通过离线分发的方式进行**的分享。
C 数据**。数据**是实际保护金融业务数据的**，直接用于加密或校验各类应用数据，包括PIN**和MAC**等。数据**一般不在密码机中长期存储，多个密码机在共享次主**的基础上，利用次主**保护各类数据**的安全传输以完成数据**的共享。数据**的使用最为频繁，一般需要按时更新。

（2） 应结合具体调用请求，理解金融数据密码机的接口类别。金融数据密码机的接口符合GM/T 0045-2016的接口要求。不同与设备接口规范的API接口形式，金融数据密码机的接口直接以网络数据包格式的形式定义，可利用SOCKET编程直接调用。其接口主要分为几大类：
 磁条卡应用接口：主要支持各类**的生成、注入、合成和转加密。
 IC卡应用接口：主要支持数据加解密、数据转加密、脚本加解密、MAC计算等。
 基础密码运算服务接口：提供最基本的各类密码计算服务，包括包括SM2签名验签、加密解密、SM4加密解密、SM3消息摘要等。

金融数据密码机支持**存储、密码机生成**后可以将其存储在内部的安全存储区域内，用户通过**索引号进行调用。有些情况下，金融数据密码机生成**后不将其存储在本地，而是利用主**加密后导出给用户；用户需要进行密码计算时，将由主**加密的**作为接口参数传给密码机，然后密码机解密该**后使用。这样的做法可以保证**不以明文形式出现在金融数据密码机外。