中国农业银行手机银行USB.doc

中国农业银行通用K宝产品二代个人/的个人/掌。与手机设备接入方式的不同，通用K（版）通用K（版）。 K宝（版，简称音频K）手机音频口方式与手机连接、传输数据；K宝（版，简称蓝牙K）并 通用K（版）是通用K（版）升级产品，在性能、等方面均音频K有较大：一是，稳定性的提升，不仅提升K在移动设备的兼容性，能够在移动端充分发挥因K自身技术标准而带来的性能优势；二是，蓝牙K后续将考虑跨行业创新，通过动态行业应用K宝业务场景，K宝各项技术参数需要考虑K宝业务扩展的支持。 术语 术语解释 K宝（USB Key） 本技术需求所定义的K宝（USB Key），又称智能密码钥匙，是指使用内置RSA协处理器的智能卡芯片，可以在芯片内部生成RSA密钥对，可以在芯片内部进行RSA签名运算，RSA私钥存储在智能卡芯片内，任何时候私钥不会以任何形式出现在芯片外部的K宝（USB Key）。 二代K宝（二代USB Key、二代K 二代K宝（二代USB Key、扩展型二代K 该确认的K。 通用K 二代K、扩展型二代K升级产品，二代K扩展应用至设备，上仍是二代K。通过与手机方式不同，音频K和蓝牙K。 提供满足农行业务需求的接口设计，可实现设备连接、通信和传输数据等功能。 Micro USB接头、3.5mm音频接头 2） 丝印设计 印制农行Logo 标识产品相关信息，体现产品特性，印制内容清晰、美观、不褪色； 印制设备序列号，需同时印制使用条形码或者二维码 3） 配件 提供满足农行需求的配件 如USB延长线、接口保护盖帽等 产品功能需求 序号 需求类型 必要条件 备注 应用场景 主要用于银行线上交易时，身份认证（PKI） 芯片类型 32位安全芯片 COS指令 COS支持的所有指令及所有参数，不得留有后门指令，不得泄露安全敏感信息 普通存储容量 1MB以上 存储驱动安装引导程序、说明文件、字库等 COS标准 符合ISO7816-4标准 具有自主知识产权 适用机型 支持IBM PC 兼容电脑（X86构架台式PC、笔记本电脑、及服务器）、等机型android 2.1以上 /Windows Phone 7以上的主流 CCID、HID或USB Mass Storage设备，在Windows2000以上平台，第一次插入计算机可自动安装USB Key软件，如用户系统屏蔽了自动安装功能，要求可以手动运行USB Key内的安装包进行安装。 扩展设备要求 USBKey具有确认键，用于交易数据签名的用户确认 显示要求 显示屏可显示农行系统指定的交易信息格式。 签名流程 进行签名操作时，由客户端软件将交易关键信息的原文传入USBKey中，USBKey解析显示关键交易信息，并等待用户物理按钮确认后，COS进行签名。 所有涉及私钥操作的COS指令，只要传入的数据符合农行签名数据的编码格式，COS自动显示交易信息并等待用户确认。是否需要用户确认由COS进行判断，不得由USBKey外部控制。 KEY等待用户确认期间，如用户没有取消也没有确认，USB KEY需要在一定超时时间后自动取消交易并返回错误码，超时时间可以通过软件设置。 用户确认方法 用户通过显示屏核对交易信息无误后，按动USB Key上的确认按钮，USB Key进行交易数据签名，并返回签名值 硬件接口 具有一个3.5mm耳机口； 具有一个Micro USB接口，符合USB 2.0规范，在USB1.1及以上接口能正常工作。 证书需求 至少可以存放3张以上数字证书 证书安全 USBKey应采取有效措施保护客户证书下载安全。 支持算法 支持3DES对称算法 支持SHA-256、SHA-512哈希算法 支持2048位RSA算法 USB Key内部硬件支持密钥对生成算法，密钥对必须安全芯片内部生成，私钥在任何时刻都不得以任何形式出现在芯片外部。 签名算法 USB Key内部硬件支持SHA1、SHA-256、SHA-512 RSA、SM3签名算法，HASH、签名运算必须在Key内进行。 RSA密钥长度 硬件支持2048位RSA密钥对生成及签名算法 RSA密钥对生成时间 USB KEY产品2048位RSA密钥对生成不超过USB KEY产品2048位RSA签名平均时间大于5次/秒 SM2密钥生成时间 USB KEY产品SM2-256密钥对生成USB KEY产品SM2-256签名平均时间大于8次/秒 PIN码传输要求 PIN码必须经过加密才能在物理通道上传输，修改和验证PIN码时USB端口或音码接口传输的数据不得出现PIN码明文。 音码通信要求 应采取有效措施保证音码通讯稳定。 应采取有效措施保证音