2022年2022年金融行业密钥基础知识 .pdf
《2022年2022年金融行业密钥基础知识 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年金融行业密钥基础知识 .pdf(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、金融行业密钥基础知识名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 17 页 - - - - - - - - - 1密钥管理SJL05 金 融 数 据 加 密 机采 用 三 级 密 钥 管 理 方 法 ( 遵 循 ANSI X9.17标 准 ) , 其 密 钥 层 次 如 下 图 :图 1.1 密 钥 层 次1.1 各种密钥在密钥层次中的作用1.1.1 本地主密钥( Local Master Key)又 称 主 机 主 密 钥 ( Master Key) , 主 要 用
2、来 保 护 它 下 一 级 的 区 域主 密 钥 ( Zone Master Key)( 银 行 主 密 钥 ( Bank Master Key) 、 终 端主 密 钥 ( Terminal Master Key) ) 。 当 区 域 主 密 钥 需 要 导 出 或 保 存 到加 密 机 以 外 时 ,通 常 需 要 用 本 地 主 密 钥( 或 衍 生 的 密 钥 对 )加 密 区 域主 密 钥 。这 一 点 在 RACAL系 列 的 加 密 机 中 有 最 好 的 体 现 ,在 RACAL加密 机 中 ,区 域 主 密 钥 都 由 主 机 主 密 钥 加 密 存 放 于 主 机数 据库 中
3、 ,加 密机 不 保 存 区 域 主 密 钥 。1.1.2 区域主密钥主 要 有 两 种 , 一 种 是 金 卡 中 心 与 成 员 行 之 间 的 传 输 密 钥 ( 通 常 称 ? ? ? ? ? ? ? ? ? ? ? y ? Y ? ? ?名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 17 页 - - - - - - - - - 为 银 行 主 密 钥 ) , 另 一 种 是 成 员 行 主 机 与 ATM或 POS之 间 的传 输 密钥( 通 常 称 为 终
4、端 主 密 钥 ) 。 它 主 要 用 来 加 密 下 一 层 次 的 数 据 密 钥 ( 如 :PIK 、 MAK)。1.1.3 数据加密密钥( Date Encrypt Key)又 称 工 作 密 钥( Working Key ) ,是 最 终 用 于 加 密 传 输 数 据 的 密 钥 ,其 上 层 两 种 密 钥 可 以 称 为 密 钥 加 密 / 交 换 密 钥 ( Key Encrypt/Exchange Key, 简 称KEK) 。 数 据 密 钥 一 般 分 为 两 种 , 一 种是 用 来 加 密 PIN 的 密 钥 称 为 PIK ( Pin Key) , 另 一 种 是
5、用 来 计 算 MAC的 密 钥 称 为 MAK ( Mac Key ) 。1.2 各种密钥的注入与分发1.2.1 本地主密钥通 常 由 各 成 员 行( 或 下 属 机 构 )采 用 加 密 机 前 面 板 上 的 键 盘 或 直接 通 过 IC 卡 注 入 到 加 密 机 中 , 各 成 员 行 的 本 地 主 密 钥 各 不 相 同 。 一般 本 地 主 密 钥 的 注 入 都 由 成 员 行 的 三 位 高 层 领 导 注 入 ,三 人 分 别 保 存一 部 分 密 钥 ( 密 钥 分 量Component ) , 三 部 分 密 钥 可 以 在 加 密 机 中 以一 定 的 算 法(
6、 异 或 )合 成 为 最终 的 本 地 主 密 钥( 或 通 过 衍 生( Derive)生 成 密 钥 对 ) 。本 地 主 密 钥 在 注 入 加 密 机 时 通 过 IC 卡 进 行 备 份 ,当 加密 机 密 钥 丢 失 时 可 用 IC 卡 来 恢 复 。1.2.2 区域主密钥(银行主密钥)一 般 由 上 级 机 构( 金 卡 中 心 )产 生 并 分 发 。上 级 机 构( 金 卡 中 心 )产 生 并 保 存 下 属 机 构 ( 各 成 员 行 ) 的 区 域 主 密 钥 ( 银 行 主 密 钥 ) , 同时 将 密 码 分 量 的 明 文 或 IC 卡 的 形 式 将 区 域
7、 主 密 钥 ( 银 行 主 密 钥 ) 下发 给 下 属 机 构 ( 各 成 员 行 ) 。 下 属 机 构 ( 成 员 行 ) 将 密 钥 分 量 注 入 到加 密 机 内 ,如 果 区 域 主 密 钥( 银 行 主 密 钥 )是 保 存 到 本 机 构 的 主 机 数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 17 页 - - - - - - - - - 据 库 中 ,则 将 区 域 主 密 钥( 银 行 主 密 钥 )注 入 到 加 密 机 后 ,加 密 机
8、显示 本 地 主 密 钥 加 密 的 区 域 主 密 钥( 银 行 主 密 钥 )密 文 ,由 银 行 工 作 人员 将 其 录 入 主 机 数 据 库 。银 行 主 密 钥 通 常 由 两 人 注 入 ,各 自 保 存 一 部分 。区 域 主 密 钥 中 的 终 端 主 密 钥 由 各 成 员 行 自 己 注 入 到 加 密 机 中 ,同时 下 装 到 ATM和 POS中,由于各成员行的ATM 和 POS 数量都较大,一般是所有 ATM 和 POS共用一个终端主密钥或是一组ATM 和 POS共用一个终端主密钥。1.2.3 数据密钥分 为 两 种 , 一 般 不 在 加 密 机 中 保 存 。
9、 一 种 是 金 卡 中 心 与 成 员 行 之间 的 数 据 密 钥 ,一 种 是 成 员 行 主 机 与 ATM或 POS之 间 的 数 据 密 钥 。前一 种 数 据 密 钥 可 以 由 金 卡 中 心 主 动 向 下 分 发 ,也 可 以 由 成 员 行 主 动 向上 申 请 。数 据 密 钥 在 传 输 过 程 中 由 金 卡 中 心 与 成 员 行 之 间 共 享 的 银 行主 密 钥 加 密 ,成 员 行 接 收 到 数 据 密 钥 后 都 需 要 验 证 其 正 确 性 后 才 会 启用 新 的 数 据 密 钥 。后 一 种 数 据 密 钥 每 天 由 ATM或 POS签 到
10、申 请 ,由 加密 机 随 机 产 生 , 并 由 终 端 主 密 钥 加 密 传 送 。金 卡 中 心 与 成 员 行 及 其 终 端 (ATM、 POS)之 间 的 密 钥 关 系 如 下 图 :金卡中心 HSM 成员行 HSM 终端BMK TMK TMK BMK (PIK1)BMK (MAK1)BMK (PIK2)TMK (MAK2)TMK (DATA)PIK1、MAK1 (DATA)PIK2、MAK2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 17 页 -
11、- - - - - - - - 图 6.2 金 卡中 心 、 成 员 行、 终 端 之 间 密 钥 关 系 示 意图 6.2中 各 符 号 的 含 义 如 下 :BMK:银 行 主 密 钥TMK:终 端 主 密 钥PIK1: 金 卡 中 心 与 成 员 行 之 间 的 PIK MAK1:金 卡 中 心 与 成 员 行 之 间 的 MAK PIK2: 成 员 行 与 终 端 (ATM、 POS)之 间 的 PIK MAK2:成 员 行 与 终 端 (ATM、 POS)之 间 的 MAK DATA:传 输 的 数 据(PIK1)BMK:被 BMK 加密的 PIK1 2术语解释2.1 本地主密钥LM
12、K :Local Master Key,本地主密钥,又称为文件主密钥(MDS)、加密机主密钥、主机主密钥,在密钥体系中处于最上层,以明文存储在加密机中,加密保护存储在加密机外的其它密钥。LMK 一般为双长度密钥,也有三倍长度密钥。2.2 区域主密钥ZMK :Zone Master Key,区域主密钥,在RACAL 加密机中,指主机与主机间的传输主密钥。 在密钥体系中处于中间层, 可以通过 LMK 加密后存储在主机数据库中,也可直接存储在加密机中,一般为双长度,也有单长度和三倍长度密钥。用于主机间动态分发工作密钥时对其进行加密保护BMK :Bank Master Key,银行主密钥,同ZMK ,
13、多用于金卡联网,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 17 页 - - - - - - - - - 在金卡联网中,有时POS和银行主机之间也使用BMK 。MMK :Member Master Key,成员行主密钥,同ZMK 。多用于金卡联网SMK :Shared Master Key ,共享主密钥,同ZMK. 2.3 数据加密密钥TMK :Terminal Master Key,终端主密钥,在 RACAL 加密机中,指主机与终端 ATM/POS 间的传输主密钥,
14、 在密钥体系中处于中间层, 可以通过LMK 加密后存储在主机数据库中,也可直接存储在加密机中,现在一般为单长度,也有双长度和三倍长度。PIK :PIn Key,PIN 密钥,专用于加密保护PIN 的工作密钥,在密钥体系中处于最下层,一般通过LMK 和 ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动态密钥时, PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)PEK:Pin Encrypt Key,PIN 加密密钥,同 PIK。ZPK :Zone Pin Key,区域 PIN 密钥
15、,PIK 的一种,专指主机与主机间的 PIK。TPK :Terminal Pin Key ,终端 PIN 密钥, PIK 的一种,专指主机与终端间的 PIK。MAK :Mac Key,Mac 密钥,专用于计算MAC 的工作密钥,在密钥体系中处于最下层,一般通过LMK 和 ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动态密钥时, PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)ZAK :Zone Authenticate Key,区域认证密钥, MAK 的一种,专指主机与主机间的
16、 MAK 。TAK :Terminal Authenticate Key,终端认证密钥, MAK 的一种,专指主机与终端间的MAK 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 17 页 - - - - - - - - - DEK :Data Encrypt Key,数据加密密钥,专用于加密数据的密钥,在密钥体系中处于最下层,一般通过LMK 和 ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动
17、态密钥时, PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)ZEK :Zone Encrypt Key,区域加密密钥,见 DEK,专指主机与主机间的数据加密密钥。TEK :Terminal Encrypt Key,终端加密密钥,见DEK,专指主机与终端间的数据加密密钥。CVK :Card Verification Key,卡校验密钥,专用于校验卡真伪的工作密钥,在密钥体系中处于最下层,一般通过LMK 加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分别称为CVKA和 CVKB,合起来叫 CVK pairs,CVK 一般数据年更新一
18、次。PVK :Pin Verification Key,PIN 校验密钥,专指用于计算PVV 的工作密钥,在密钥体系中处于最下层,一般通过LMK 加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分别称为PVKA和 PVKB,合起来叫 PVK pairs,CVK 一般数据年更新一次。PIN:Personal Identify Number,个人识别码,即卡密码,在ANSI9.8标准中, 规定为同 4-12 位 0-9 的数字组成,在中国一般采用 4 位或 6 位 PIN。PINBlock:PIN 块,指将 PIN 按指定格式生成的64 位数据。PVV :Pin Verif
19、ication Value,PIN 校验值,是指当采用ABA 算法校验PIN 时,用 PVK 对 PIN、主帐号等信息加密生成的4 位数字的校验值。PAN:Private Account Number,主帐号,即卡号或帐号。CVV :Card Verification Value,卡校验值,是指用CVK 对卡号、服务码、卡有效期进行加密生成的用来校验卡的合法性的3 位数字的校验值。CVC :Card Verification Code,卡校验码,同CVV,用于 VISA 。CVV1 :Card Verifycation Value 1,CVV的一种, 与 CVV2 相比,计算参数中服务码不同。
20、CVV2 :Card Verifycation Value 2, CVV 的一种,与 CVV1 相比,计算名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 17 页 - - - - - - - - - 参数中服务码不同。ICVV :ICard Verification Value,VISA 中用于 IC 卡的仿磁卡业务中,与 CVV 计算方法同,其服务代码为999 。MAC :Message Authentication Code ,消息认证码,用于鉴别数据真实性的加密结果
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年2022年金融行业密钥基础知识 2022 年金 行业 密钥 基础知识
限制150内