银行统一密码服务解决方案

一、 背景需求

在银行传统的密码应用场景中，通常由应用系统直接调用密码机完成加解密操作，并由应用系统自身负责密钥管理。这种做法虽然可以基本满足银行业务体系中对数据安全的保障要求，但依然存在着应用系统接口适配工作复杂、密码设备不能复用、密钥管理安全强度不足等问题。特别是随着银行信息系统业务的不断发展，密码设备种类和数量的不断增长，银行在密码设备管理和密钥管理等方面也都提出了更高的安全强度与管理便捷的需求。由于密码设备管理方式、应用模式、设备形态等存在较大差异，如果不建立有效的设备集中管理和维护手段，且密码设备不能重复使用，势必造成极大的物力和人力资源浪费。

在传统密码应用场景中，通常由应用系统直接调用密码机完成加解密操作，不仅接口开发工作量较大，并且无法实现对密码机的集中管理和统一维护。

二、 解决方案

卫士通推出的银行统一密码服务解决方案以密码运算为基础、密码设备为支撑、密码服务为思想、资源集中化管理为手段，屏蔽后台密码设备的多样性、指令的复杂性，实现业务系统的统一调用，为业务系统提供统一、安全、可扩展的密码服务；为密码设备提供集中化的管理与维护，解决业务系统对密码设备调用及管理的混乱问题。

三、 效能体现

方案价值

方案通过建设统一密码服务平台，使各业务系统能够直接与平台进行密码接口调用，由平台统一适配各品牌、型号的密码机设备，实现密码服务的统一调用，并能够通过平台对密码机设备进行状态监测和健康检查，帮助用户实现对密码机的集中管理和统一维护。

方案亮点

（1）分域部署，降低银行风控难度

Ø  统一密码服务平台根据系统的重要性以及分域情况分别部署

Ø  外围业务系统采用统一密码服务平台，实现密钥、接口、设备的统一管理

Ø  重要核心系统采用统一密码监控模块，实现对密码设备运行状态的监控告警

（2）已有密码设备全面兼容，降低迁移难度

Ø  完全兼容卫士通新、旧款全线密码设备、密码设备池中的密码机数量可根据需要动态增减

Ø  通过平台接口定制可快速对接第三方密码设备

Ø  支持分组管理，原密码设备主密钥无需导出

（3）全面支持国产密码算法，协助银行完成合规性改造

Ø  接口全面支持国产算法，包括PIN转换、MAC验证与产生、签名验签、CVN计算、ARQC/ARPC计算等

Ø  为各类前置系统提供国外与国内算法转换功能