1密钥管理
SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI X9.17标准),其密钥层次如下图: 图1.1 密钥层次
变压器油箱
1.1各种密钥在密钥层次中的作用
1.1.1本地主密钥(Local Master Key)
又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。车针
1.1.2区域主密钥
主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。它主要用来加密下一层次的数据密钥(如:PIK、MAK)。 1.1.3数据加密密钥(Date Encrypt Key)
又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(Key Encrypt/Exchange Key,简称KEK)。数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC的密钥称为MAK(Mac Key)。
烟囱脱硫1.2各种密钥的注入与分发
1.2.1本地主密钥
摩托车消音器
通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。本地主密钥在注入加密机时通过IC卡进行备份,当加密机密钥丢失时可用IC卡来恢复。
1.2.2区域主密钥(银行主密钥)
一般由上级机构(金卡中心)产生并分发。上级机构(金卡中心)产生并保存下属机构(
各成员行)的区域主密钥(银行主密钥),同时将密码分量的明文或IC卡的形式将区域主密钥(银行主密钥)下发给下属机构(各成员行)。下属机构(成员行)将密钥分量注入到加密机内,如果区域主密钥(银行主密钥)是保存到本机构的主机数据库中,则将区域主密钥(银行主密钥)注入到加密机后,加密机显示本地主密钥加密的区域主密钥(银行主密钥)密文,由银行工作人员将其录入主机数据库。银行主密钥通常由两人注入,各自保存一部分。
区域主密钥中的终端主密钥由各成员行自己注入到加密机中,同时下装到ATM和POS中,由于各成员行的ATM和POS数量都较大,一般是所有ATM和POS共用一个终端主密钥或是一组ATM和POS共用一个终端主密钥。
涉水喉1.2.3数据密钥
分为两种,一般不在加密机中保存。一种是金卡中心与成员行之间的数据密钥,一种是成员行主机与ATM或POS之间的数据密钥。前一种数据密钥可以由金卡中心主动向下分发,也可以由成员行主动向上申请。数据密钥在传输过程中由金卡中心与成员行之间共享的银行主密钥加密,成员行接收到数据密钥后都需要验证其正确性后才会启用新的数据密钥。
后一种数据密钥每天由ATM或POS签到申请,由加密机随机产生,并由终端主密钥加密传送。
金卡中心与成员行及其终端(ATM、POS)之间的密钥关系如下图:
图6.2 金卡中心、成员行、终端之间密钥关系示意
图6.2中各符号的含义如下:
BMK:银行主密钥
TMK:终端主密钥
PIK1:金卡中心与成员行之间的PIK
MAK1:金卡中心与成员行之间的MAK
PIK2:成员行与终端(ATM、POS)之间的PIK
MAK2:成员行与终端(ATM、POS)之间的MAK
DATA:传输的数据
(PIK1)BMK:被BMK加密的PIK1
2术语解释
2.1本地主密钥
LMK:Local Master Key,本地主密钥,又称为文件主密钥(MDS)、加密机主密钥、主机主密钥,在密钥体系中处于最上层,以明文存储在加密机中,加密保护存储在加密机外的其它密钥。LMK一般为双长度密钥,也有三倍长度密钥。人防堵漏
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议