金融行业密钥基础知识资料.doc
《金融行业密钥基础知识资料.doc》由会员分享,可在线阅读,更多相关《金融行业密钥基础知识资料.doc(17页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、金融行业密钥基础知识金融行业密钥基础知识1密钥管理密钥管理SJL05 金融数据加密机采用三级密钥管理方法(遵循ANSI X9.17 标准),其密钥层次如下图:图 1.1 密钥层次1.1 各种密钥在密钥层次中的作用各种密钥在密钥层次中的作用1.1.1 本地主密钥(本地主密钥(Local Master Key)又称主机主密钥( Master Key) ,主要用来保护它下一级的区域主密钥( Zone Master Key)(银行主密钥( Bank Master Key) 、终端主密钥( Terminal Master Key))。当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生
2、的密钥对)加密区域主密钥。这一点在RACAL 系列的加密机中有最好的体现,在RACAL 加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。1.1.2 区域主密钥区域主密钥主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称 为银行主密钥 ),另一种是成员行主机与ATM 或 POS 之间的传输密钥(通常称为终端主密钥)。它主要用来加密下一层次的数据密钥(如:PIK、MAK)。1.1.3 数据加密密钥(数据加密密钥(Date Encrypt Key)又称工作密钥( Working Key) ,是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥
3、( Key Encrypt/Exchange Key,简称 KEK) 。数据密钥一般分为两种,一种是用来加密 PIN 的密钥称为 PIK(Pin Key) ,另一种是用来计算MAC的密钥称为 MAK(Mac Key) 。1.2 各种密钥的注入与分发各种密钥的注入与分发1.2.1 本地主密钥本地主密钥通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过 IC 卡注入到加密机中,各成员行的本地主密钥各不相同。一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量 Component) ,三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过
4、衍生(Derive)生成密钥对) 。本地主密钥在注入加密机时通过IC 卡进行备份,当加密机密钥丢失时可用 IC 卡来恢复。1.2.2 区域主密钥(银行主密钥)区域主密钥(银行主密钥)一般由上级机构(金卡中心)产生并分发。上级机构(金卡中心)产生并保存下属机构(各成员行)的区域主密钥(银行主密钥),同时将密码分量的明文或IC 卡的形式将区域主密钥(银行主密钥)下发给下属机构(各成员行) 。下属机构(成员行)将密钥分量注入到加密机内,如果区域主密钥(银行主密钥)是保存到本机构的主机数据库中,则将区域主密钥(银行主密钥)注入到加密机后,加密机显示本地主密钥加密的区域主密钥(银行主密钥)密文,由银行工
5、作人员将其录入主机数据库。银行主密钥通常由两人注入,各自保存一部分。区域主密钥中的终端主密钥由各成员行自己注入到加密机中,同时下装到 ATM 和 POS 中,由于各成员行的 ATM 和 POS 数量都较大,一般是所有ATM 和 POS 共用一个终端主密钥或是一组 ATM 和 POS 共用一个终端主密钥。1.2.3 数据密钥数据密钥分为两种,一般不在加密机中保存。一种是金卡中心与成员行之间的数据密钥,一种是成员行主机与ATM 或 POS 之间的数据密钥。前一种数据密钥可以由金卡中心主动向下分发,也可以由成员行主动向上申请。数据密钥在传输过程中由金卡中心与成员行之间共享的银行主密钥加密,成员行接收
6、到数据密钥后都需要验证其正确性后才会启用新的数据密钥。后一种数据密钥每天由ATM 或 POS 签到申请,由加密机随机产生,并由终端主密钥加密传送。金卡中心与成员行及其终端(ATM、POS)之间的密钥关系如下图:金卡中心HSM成员行HSM终端BMKTMKTMKBMK(PIK1)BMK(MAK1)BMK(PIK2)TMK(MAK2)TMK(DATA)PIK1、MAK1(DATA)PIK2、MAK2图 6.2 金卡中心、成员行、终端之间密钥关系示意图 6.2 中各符号的含义如下:BMK:银行主密钥TMK:终端主密钥PIK1:金卡中心与成员行之间的PIKMAK1:金卡中心与成员行之间的MAKPIK2:
7、成员行与终端 (ATM、POS)之间的 PIKMAK2:成员行与终端 (ATM、POS)之间的 MAKDATA:传输的数据(PIK1)BMK:被 BMK 加密的 PIK12术语解释术语解释2.1 本地主密钥本地主密钥LMK:Local Master Key,本地主密钥,又称为文件主密钥(MDS)、加密机主密钥、主机主密钥,在密钥体系中处于最上层,以明文存储在加密机中,加密保护存储在加密机外的其它密钥。LMK 一般为双长度密钥,也有三倍长度密钥。2.2 区域主密钥区域主密钥ZMK:Zone Master Key,区域主密钥,在 RACAL 加密机中,指主机与主机间的传输主密钥。在密钥体系中处于中
8、间层,可以通过 LMK 加密后存储在主机数据库中,也可直接存储在加密机中,一般为双长度,也有单长度和三倍长度密钥。用于主机间动态分发工作密钥时对其进行加密保护BMK:Bank Master Key,银行主密钥,同 ZMK,多用于金卡联网,在金卡联网中,有时 POS 和银行主机之间也使用 BMK。MMK:Member Master Key,成员行主密钥,同 ZMK。多用于金卡联网SMK:Shared Master Key,共享主密钥,同 ZMK.2.3 数据加密密钥数据加密密钥TMK:Terminal Master Key,终端主密钥,在 RACAL 加密机中,指主机与终端 ATM/POS 间的
9、传输主密钥,在密钥体系中处于中间层,可以通过 LMK 加密后存储在主机数据库中,也可直接存储在加密机中,现在一般为单长度,也有双长度和三倍长度。PIK:PIn Key,PIN 密钥,专用于加密保护 PIN 的工作密钥,在密钥体系中处于最下层,一般通过 LMK 和 ZMK/TMK 加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动态密钥时,PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)PEK:Pin Encrypt Key,PIN 加密密钥,同 PIK。ZPK:Zone Pin Key,区域 P
10、IN 密钥,PIK 的一种,专指主机与主机间的 PIK。TPK:Terminal Pin Key,终端 PIN 密钥,PIK 的一种,专指主机与终端间的 PIK。MAK:Mac Key,Mac 密钥,专用于计算 MAC 的工作密钥,在密钥体系中处于最下层,一般通过 LMK 和 ZMK/TMK 加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动态密钥时,PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)ZAK:Zone Authenticate Key,区域认证密钥,MAK 的一种,专指主机与主机间
11、的 MAK。TAK:Terminal Authenticate Key,终端认证密钥,MAK 的一种,专指主机与终端间的 MAK。DEK:Data Encrypt Key,数据加密密钥,专用于加密数据的密钥,在密钥体系中处于最下层,一般通过 LMK 和 ZMK/TMK 加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。在 MDS 中,当采用动态密钥时,PIK 每 12 小时或每 2500 笔交易就必须更换一次(两个条件满足任何一个时更换)ZEK:Zone Encrypt Key,区域加密密钥,见 DEK,专指主机与主机间的数据加密密钥。TEK:Termina
12、l Encrypt Key,终端加密密钥,见 DEK,专指主机与终端间的数据加密密钥。CVK:Card Verification Key,卡校验密钥,专用于校验卡真伪的工作密钥,在密钥体系中处于最下层,一般通过 LMK 加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分别称为 CVKA和 CVKB,合起来叫 CVK pairs,CVK 一般数据年更新一次。PVK:Pin Verification Key,PIN 校验密钥,专指用于计算 PVV 的工作密钥,在密钥体系中处于最下层,一般通过 LMK 加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分
13、别称为PVKA 和 PVKB,合起来叫 PVK pairs,CVK 一般数据年更新一次。PIN:Personal Identify Number,个人识别码,即卡密码,在 ANSI9.8标准中,规定为同 4-12 位 0-9 的数字组成,在中国一般采用 4 位或 6 位PIN。PINBlock:PIN 块,指将 PIN 按指定格式生成的 64 位数据。PVV:Pin Verification Value,PIN 校验值,是指当采用 ABA 算法校验 PIN 时,用 PVK 对 PIN、主帐号等信息加密生成的 4 位数字的校验值。PAN:Private Account Number,主帐号,即卡
14、号或帐号。CVV:Card Verification Value,卡校验值,是指用 CVK 对卡号、服务码、卡有效期进行加密生成的用来校验卡的合法性的 3 位数字的校验值。CVC:Card Verification Code,卡校验码,同 CVV,用于 VISA。CVV1:Card Verifycation Value 1,CVV 的一种,与 CVV2 相比,计算参数中服务码不同。CVV2:Card Verifycation Value 2, CVV 的一种,与 CVV1 相比,计算参数中服务码不同。ICVV:ICard Verification Value,VISA 中用于 IC 卡的仿磁卡
15、业务中,与 CVV 计算方法同,其服务代码为999 。MAC:Message Authentication Code,消息认证码,用于鉴别数据真实性的加密结果,按要求 MAC 由 32-64 位数据 (8-16 个 16 进制字符)组成。TAC:Transaction Authentication Code,交易认证码,在 IC 卡中用于验证交易正确性。MK:Master Key,主密钥,IC 卡业务中的各级应用主密钥。2.4 IC 卡业务密钥卡业务密钥SK:Session Key,过程密钥/会话密钥,IC 卡业务中用主密钥对过程数据(Session Data)进行 3DES 加密或其它方式处
16、理得到的单长度或双长度密钥,用于计算 MAC 或加密数据。HSMK1:主密钥一,SJL05 金卡版本的 IC 卡密钥区中,保留的加密机主密钥。HSMK2:主密钥二,SJL05 金卡版本的 IC 卡密钥区中,用于存储或读取次主密钥时对其进行加密保护。SHSMK:次主密钥,SJL05 金卡版本的 IC 卡密钥区中,对应存储 IC卡业务的各级应用主密钥,也可用于存储 IC 卡传输主密钥。2.5 密钥管理体系密钥管理体系2.6 涉及的国家(际)标准涉及的国家(际)标准ANSI X3.92 数据加密算法;ANSI X9.9 信息鉴别;ANSI X9.8 PIN 的管理与安全;ANSI X9.17 密钥管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 行业 密钥 基础知识 资料
限制150内