T/CBA 211-2021 银行函证服务平台 加密体系

主要技术内容:5密钥建立5.1平台密钥对平台密钥对由银行函证服务平台建立，仅应用于应用系统接入方式，其建立过程如下。a)采用可靠方式产生随机数，确保随机数的生成规律不能为其他方所获知。b)按GB/T 35276—2017中9.1的要求生成平台密钥对。c)平台密钥对中的私钥，存储于采取了安全措施的独立介质中。d)平台密钥对中的公钥，通过电子邮件或其他可达方式发送给到银行函证服务平台的接入方。5.2接入方密钥对所有接入银行函证服务平台的接入方密钥对均按如下要求建立。a)根据实际业务场景，接入方可分为发送方或接收方。b)可使用函证服务平台提供的SDK开发工具包建立密钥对，或自行研发符合GB/T 32918要求的算法。采用自行研发符合GB/T 32918要求算法应用程序的，应确保随机数的生成规律不能为其他方所获知。c)按GB/T 35276—2017中9.1的要求生成接入方密钥对。d)接入方密钥对中的私钥，不准许以明文存储在计算机的硬盘上，宜存储于采取了安全措施的独立介质中。e)在具备条件时，接入方密钥对中的私钥宜分解为两个或更多分离的密钥组件形式，分别存储于采取了安全措施的独立介质中，且采取分别存储和存取访问管理等控制措施。f)接入方密钥对中的公钥，可通过电子邮件或其他可达方式传递到银行函证服务平台及业务相关场景中的非自身接入方。g)接入方可根据自身需求，定期更新接入方密钥对。5.3文件密钥银行函证服务平台中，文件密钥仅由产生或接收文件的接入方生成或使用，不产生文件且不需阅读所传输文件明文的银行函证服务平台本身和其他参与方不需要生成和使用文件密钥。文件密钥建立过程如下。a)可使用函证服务平台提供的SDK开发工具包或加解密工具包建立文件密钥，或自行研发符合GB/T 32907—2016要求的算法。采用自行研发符合GB/T 32907—2016要求算法应用程序的，应确保产生文件密钥的生成规律不能为其他方所获知。b)文件密钥仅在使用时生成，且每个密钥仅使用一次。c)文件密钥在传输时，采用文件接收方密钥公钥加密保护