ATM动态密码电子锁使用研究

ATM动态密码电子锁使用研究 ? 中国工商银行软件开发中心 毛淑平 随着ATM,包括取款机和存取款一体机,下同,设 定的密码容易造成泄漏,密码需要密码保管人员以纸 备越来越多,为提高ATM集约化管理水平,提升运营效 质方式存放保管,容易造成丢失或遗忘。 率,防范运营风险,银行对ATM设备已实施统一集中运 营管理。根据业务发展需要,为进一步提高ATM设备安 二、动态密码电子锁特点 全管理水平,需结合电子密码锁的使用情况和业界动态 动态密码电子锁系统是采用“一次一密”的动态密 密码电子密码锁技术发展趋势,对ATM设备动态密码电 码和智能钥匙对ATM保险柜锁的访问进行控制的安全 子密码集中控制进行研究。 管理系统。系统通过系统控制中心对ATM保险柜锁的 打开、关闭流程进行控制和监督,可确定何人在何时打 一、常见ATM密码锁简介 开哪台ATM锁。 机械锁,也叫机械防盗锁,Thief Resistant 系统主要由电子锁硬件、锁控管理系统、智能钥匙 Machine Locks,,具有防钻、防锯、防撬、防拉、防冲 3部分组成。其基本原理是锁控管理系统通过一次性密 击、防技术 开启功能,通过机械传动装置进行门闩开 码配合智能钥匙 对锁具进行全面控管。一次性密码由 启,锁芯为非 单排弹子结构。 控制中心通过锁控管理系统统一管理发布,由于采用了 机械密码锁,Machine Conbination Lok,,通过cs 特殊的算法和技术,该密码不能重复使用。 机 械方 式 输入密码并与设 置密码比 对,以控制柜门 电子锁不需要外部电源,如电池,供电,转动转盘 ,锁 舌,启闭的锁具。 时的摩擦能自我供电,实物如图1所示。电子锁内部集 电子密码锁,Eletronic Combination Locks,,通过 成一块先进的微芯片,单一密码模式有100万种密码组 电 子系统输入密码并与设置密码比对,由机电执行机构 合。如果是双重密码模式,会有5 000亿种密码组合。电 以 控制柜门,锁舌,启闭的锁具。电子密码锁分静态电 子锁具 有延时开启和静音报警功能,并能指示锁和保 子 密码锁和动态密码电子锁,静态电子密码锁的开锁 密 码在一定周期内保持不变,但具备修改开锁密码的 功 能,动态密码电子锁的开锁密码是一次性的OTC ,One Time Combination,,每次开锁都必须申请开锁密 码。 目前AT M 通常配 置一 把机 械 密码 锁和一 把机 械 锁。采用传统的机械密码锁,存在以下弊端。 按照自动柜员机管理办法要求,密码需不定期更 图1 电子锁实物图 换,每季度至少更换一次,密码定期更换工作量巨大, 当密码保管人员休假、临时变更或者工作调动时,如果 2012年?第3期 投稿邮箱 hnfc@21cn.net 65 实务?软件服务 栏目编辑,梁丽雯 E- mail:liven_01@163.com 险柜门开关状态。 维修结束。 电子锁控制管理系统是整个系统的核心,支持 集 以上流程中,密码申请人和系统的联系方式,可以 中管理中心对任何数量的锁进行统一管理,提供电子 通过电话、手机、短信、邮箱等多种方式获取密码。 锁激活、电子锁设置、日常开锁人员登记、电子锁导入、 2. 不使用智能钥匙模式 日常操作等功能。 流程图如图3所示。 数据中心 网点或者离行ATM 控制中心 智能钥匙是开锁人员的身份标 识,配合一次性密 码,用于打开保险柜锁。 ,1, ,3, ,2, 三、动态密码电子锁对业务流程和管理影响分析 ,5, ,4, ,一,开关锁流程分析 ,6, ,7, ,9, 锁控管理系统 系统管理人员 1. 使用智能钥匙模式 ,8, ,10, 流程图如图2所示。 图3 不使用智能钥匙模式流程图 数据中心 网点或者离行ATM 控制中心 流程,以一线维修人员现场维修打开保险柜 ,1, 锁为例,, ,3, ,2, ,5, ,1,系统管理人员在系统中申请维护工作单, ,4, ,6, ,7, ,9, 锁控管理系统 ,2,系统响应维护工单申请, 系统管理人员 ,8, ,10, ,3,系统管理人员通知一线维修人员对ATM进行 图2 使用智能钥匙模式流程图维护,告知维修人员机器编号、维修原因、维修人员编 码、预计时间等, 流程说明,以一线维修人员现场维修打开保险柜 锁为例,, ,4,维修工程师接到维修任务,到达设备现场,在 ,1,系统管理人员在系统中申请生成维护工作单, ATM的电子保险锁上输入用户编码,电子锁返回特征 ,2,系统响应维护工单申请, 码,维修工程师将特征码告知系统管理人员, ,3,系统管理人员通知一线维修人员对ATM进行 ,5,系统管理人员根据特征码和电子锁编码向系 维护, 统申请“开锁口令”, ,4,维修工程师接到维修任务,到达设备现场,密 ,6,系统管理人员获取“开锁口令”, 码持有人到达现场后通过电话或短信向系统管理人员 ,7,系统管理人员将“开锁口令”告知维修人员, 申请“开锁口令”, ,8,维修人 员输入“开锁口令”,打开锁,维修工 ,5,系统管理人员向系统申请 “开锁口令”, 程师进行现场维修,维修完成后,维修工程师关闭保险 ,6,系统管理人员获取 “开锁口令”, 柜,电子密码锁显示“闭锁代码”,密码持有人将“闭锁 ,7,系统管理人员将“开锁口令”告知密码持有人, 代码”通知系统管理人员, ,8,钥匙持有人将“智能钥匙”插入“中控锁”,密 ,9,系统管理人员向锁系统输入“闭锁代码”, 码持有人输入“开锁口令”,打开锁,维修工程师进行现 ,10,验证无误后,系统回应系统管理人员,本次 场维修,维修完成后,维修工程师关闭保险柜,电子密 维修结束。 码锁显示“闭锁代码”,密码持有人将“闭锁代码”通知 ,二,系统支持的3种操作方式 系统管理人员, 1. 银行操作员方式,Bank Mode, 银行操作员方式 ,9,系统管理人员向锁系统输入“闭锁代码”, 是指银行电子锁密码管理员使用 2012年?第3期 投稿邮箱 hnfc@21cn.net 66 ,10,系统验证无误后,回应系统管理人员,本次 预先设定的密码和智能钥匙开启锁,此方式与传统密 软件服务 实务? 栏目编辑,梁丽雯 E- mail:liven_01@163.com 台管理系统申请开锁密码。与传统机械密码锁不同的 表1 现有机械密码锁与动态密码电子锁的差异 是,该方式每次开锁记录都会存储在智能钥匙和电子 现有机械密码锁动态密码电子锁 锁内。 保险柜使用锁具机械密码锁动态密码电子锁2. 维护人员方式 (FLM Mode) 开锁条件静态密码一次性密码和智能钥匙维护人员方式是指维护人员按照操作流程申请并 后台系统要求不需要需要电子锁控制管理系统 使用一次性的密码开启锁。一线维护人员到达现场后将 旋 转锁具上锁,并且把闭 锁码报 送 电 子 锁 控 制 管 闭锁要求 旋转机械装置 理系 现场锁的编号告知后台管理系统,系统自动生成对应 开锁、闭锁码传 不适用 短信、电话、IVR、电话等 锁的一次性密码,维护人员利用智能钥匙和一次性密码 递方式 把锁打开,维护工作完毕,一线维护人员锁上电子锁, 单人 方 式,一人同 时管理 密码和智能钥匙, 双人模 式,一人管 理 一次 性密 开锁参与人员 密码掌控人员 并发关闭码报送后台管理系统,系统确认电子锁关闭, 码,另外 一人管 理 智 能钥 匙 否则该电子锁不能被重新打开,电子钥匙也不能开启其 后台管理和支持 不需要 需要 他锁。 人员 3. 指定路线方式,Route Mode, 指定路线方式一一次性密码分发 不需要 需要 操作员 般应用于加钞业务,系统根据指 定期更换密码,单 统一集中管 理,系 统自动 机双人,互相制约 防范 定加钞路线预先设置电子钥匙并为多个不同的锁预先 提供审 计功能,审计人 员 审计管理 不适用 申请一次性开锁密码。加钞人员到达现场后利用个人分 需要智能钥匙 配到的智能钥匙和一次性密码把锁打开,加钞人员为每 需要配置审计管理岗,人员的数量取决于业务管 台设备加钞完毕后,必须锁上电子锁并记下关闭码,待 理需求, 如果采用双人模式,则目前掌控机械锁的人员规定线路内所有设备加钞完毕后,加钞人员将线路内所 可以 有电子锁关闭码报送锁控管理系统。该方式与维护人 同时掌控智能钥匙或者开锁一次性密码。 员方式的不同之处在于,该方式不必逐台申请开锁码。 无论任何方式,都支持双人开锁模式。此种模式 下, 四、电子锁的安全分析 ,一,一次性密码的传输 采用保险柜中央控制管每次开锁需要双人的智能钥匙和密码,也可以一人 掌 理模式后,每次开锁的密 握钥匙,一人掌握密码。在不改变现有操作流程的前 提 码都不一样。一次性密码常用的传输渠道有人工、纸质 下,可以采用一人掌握智能钥匙,一人掌握一次密码 单据、短信、电话4种模式。 的双人开锁模式。 纸质模式由于其操作灵活性小、手续复杂、单证管 ,三,对业务管理的影响 动态密码电子锁系统引 理复杂等原因较少使用。 入后,与现有AT M机械密 人工模式在身份确认、信息传递完整性、安全性方 码锁的主要差异见表1所列。 面有优势,但由于现场开锁的实时性高,必须在后台建 从表1分析可以看到,引入动态密码电子锁后,业 立多人备份机制,这也制约了该模式在大规模设备管理 务管理受到的影响主要为, 体制下的使用。 开、闭锁的流程发生了变化,目前机械密码锁仅需 短信模式作为目前国内外各行的主流模式正在被 要输入静态开锁密码即可,动态密码电子锁需要开锁 广泛使用,若当密码持有人到达现场后无法及时获取 人员到达现场后先申请开锁代码,闭锁后需要报送闭 2012年?第3期 投稿邮箱 hnfc@21cn.net 67 短信,例如短信系统延迟等原因,,可打电话回中心,由 锁代码, 需要在控制中心配置一次性密码分发操作员,人员 实务?软件服务 栏目编辑,梁丽雯 E- mail:liven_01@163.com 了交 换 库房,每次领用时,每 个人都领用自己的钥匙。其优 点是满足了相关银行监管的要 求,但每日的交 接同样消耗了 人力。 模式C要求钥匙每天早上 从库房领出,每日营业终后交 还库房,每次领用时,每个人领 用随机的钥匙。其优点是满足 了相关银行监管的要求,但每 日的交接消耗人力。 ,三,闭锁代码错误 在新 的中央控制管理模式 下,闭锁代码是任务完成的重 要标志。如果闭锁代码没有在 系统中完成登记或者闭锁代码 口令官查询已发送密码告知密码持有人。 采用短信模式具 有人力资源消耗小、信息完整、 错误,则系统中锁的状态将处 成本低等优势,但也存在信息被窃看的风险。为此,系 于锁未落锁状态,超过一定的 统提供了加密模式,对位交换模式,即对于6位开锁密 时间后系统会自动报警。闭锁代码可以通过同类型智能 钥,在银行设定的某两个位置进行直接交换。比如,密 钥匙的任一把重新读出,或者从打开此把锁的智能钥 码为123456,银行要求对第5位和第2位进行交换,那匙中重新读出。 么 加密后密码为153426。接收密码的开锁人员,自动,四,系统失效 系统把锁的安全风险集中在后台,将第 因此,后台的系 5位和第2位进行交换,即可还原真实密码。 电话模式统设备和数据的安全 性与可靠性非常重要。如果中心 也被国内外各行广泛使用,该方式可以采 数据库出错或者设备损毁无法恢复,系统将无法分派 用IVR自动语音的方式避免Call Center操作员参与导致 所有锁的口令,则需要硬件人员强行打开锁,并将锁送 的密码泄漏风险。 回原厂恢复。 ,二,钥匙的领用 为避免系统失效锁无法打开的情况发生,系统建 目前,各个国家采用的钥匙管理模式大体有3种, 设时需要同时建设数据镜像备份系统,实时将生产的 模式A,钥匙与人绑定,模式B,钥匙每日领用,人与钥 数据同步更新到镜像数据系统中。此外,也可将银行操 五、小结 匙对应,模式C,钥匙每日领用,人与钥匙不对应。 ,一,动态密码电子锁优点 第一,摆脱了传统密码作员模式的钥匙作为灾难备份使用。 模式A认为每个人只能持有代表自己身份的钥匙, 记忆管理的束缚,不再需要 ,五,锁无法打开 系统提供了对锁具重置的功因此,如果稽核中该钥匙出了问,将由该人承担直接 记忆繁杂、大量的数字,也不再需要定期更新,提升管 能,极端的情况需要 责任。该模式最大限度地要求每个钥匙持有人保管好 破换锁具。 2012年?第3期 投稿邮箱 hnfc@21cn.net 68 自己的钥匙,并且省去了钥匙管理的人力、制度、场所等 资源,提高了效率。 软件服务 实务? 栏目编辑,梁丽雯 E- mail:liven_01@163.com 理效率,避免岗位人员调整带来的密码交接工作,降低 加大,开启动态电子锁需要向后台申请开锁密码,并及 管理成本。 第二,密码随机产生,一次有效,过期作时报告闭锁代码,因此开锁人员使用锁较以前可能会 废,从根 感觉不便。 本上解决了因密码泄露而带来的内部作案的可能,有效 五是 工作量加大,锁的激 活需要现场操作,工作 提升银行的管理安全。 量较大。 第三,人与钥匙绑定,存储使用记录,不可复制, 根据以上分析,动态电子密码锁不能单独使用,必 钥匙的安全得到了保障。 须依赖软件集中管理系统,包括数据库,进行动态密码 锁管理。系统建设完成后可以对ATM保险箱的使用进 第四,每次开锁、关锁操作都实时不可更改地被记 行化的管理,有效降低ATM现金的安全风险,但需 录在中心系统内,留下安全审计记录,保证操作安全, 要投入较高的系统建设成本,并且加大了管理和运营 一旦发生安全事故,可以随时查阅资料,确定责任人。 成本。 第五,开锁任务的严格管理,每次开锁都必须经过 结合业界使用的情况,ATM动态密码电子锁替换 后台授权,杜绝了私自开锁的风险。 现有机械密码锁或者静态密码电子锁可以降低现有钥 第六,严格的闭锁流程,每次开锁后的闭锁事件必 匙、密码使用不当或者管理不当导致的现金安全风险, 须向后台汇报,并得到校验后方可认定,有效监督了锁 可以提升ATM设备和现金的安全,为人员、设备和现金 未被关闭的安全隐患。 的规范化管理提供技术条件。但电子锁控制管理系统 第七,符合银行现有管理模式,双人模式,,也可 建设和系统运营的成本较高,同时锁具集中管理必然 方便 过渡到单人模 式,节约银行人 力资源,降低 人 工 导致风险集中,系统规范化的管理需要投入更多的人 成本。 力资源。 第八,在受胁迫或攻击时可按照预先设置的操作 动态密码电子锁系统通过集中远程控制开闭锁, 方式延时开锁。 管理人员可实时或预先了解设备保险柜的开关状态, 放奠定安全管理的坚实基础。 第九,方便加钞人 员加钞 线路的调整,变得更 灵 进一步加强风险控制。对ATM设备,特别是离行式ATM 活更便捷。 设备的管理提供有效安全的管理手段,进一步提升现 第十,密码和钥匙的管理职能集中到后台,得到有 有ATM设备的管理水平和效率,为离行式ATM的大量投 效控制,对离行设备的管理更加安全和更有效率,符合 现有的自动柜员机管理制度。 ,二,动态密码电子锁 缺点 一是 整 个系 统 成本 较 高,锁控管 理 系统、锁体和 钥匙成本较高。 二是风险集中,动态密 码电子 锁 的 一 次 性 开 锁 密 码由后 台 锁 控 管 理 系 统 生 成,一旦 系统出现问题,将 2012年?第3期 投稿邮箱 hnfc@21cn.net 69 导致 所 有 动 态 密 码 电子 锁