金融行业密钥基础知识
1密钥管理
SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI X9.17标准),其密钥层次如下图:
图1.1 密钥层次
1.1 各种密钥在密钥层次中的作用
1.1.1本地主密钥(Local Master Key)
又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。
1.1.2区域主密钥
主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称
为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。它主要用来加密下一层次的数据密钥(如:PIK、MAK)。
1.1.3数据加密密钥(Date Encrypt Key)
又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(Key Encrypt/Exchange Key,简称KEK)。数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC 的密钥称为MAK(Mac Key)。
1.2 各种密钥的注入与分发
1.2.1本地主密钥
通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。本地主密钥在注入加密机时通过IC卡进行备份,当加密机密钥丢失时可用IC卡来恢复。
1.2.2区域主密钥(银行主密钥)
一般由上级机构(金卡中心)产生并分发。上级机构(金卡中心)产生并保存下属机构(各成员行)的区域主密钥(银行主密钥),同时将密码分量的明文或IC卡的形式将区域主密钥(银行主密钥)下发给下属机构(各成员行)。下属机构(成员行)将密钥分量注入到加密机内,如果区域主密钥(银行主密钥)是保存到本机构的主机数
据库中,则将区域主密钥(银行主密钥)注入到加密机后,加密机显示本地主密钥加密的区域主密钥(银行主密钥)密文,由银行工作人员将其录入主机数据库。银行主密钥通常由两人注入,各自保存一部分。
区域主密钥中的终端主密钥由各成员行自己注入到加密机中,同时下装到ATM 和POS 中,由于各成员行的ATM 和POS 数量都较大,一般是所有ATM 和POS 共用一个终端主密钥或是一组ATM 和POS 共用一个终端主密钥。
1.2.3 数据密钥
分为两种,一般不在加密机中保存。一种是金卡中心与成员行之间的数据密钥,一种是成员行主机与ATM 或POS 之间的数据密钥。前一种数据密钥可以由金卡中心主动向下分发,也可以由成员行主动向上申请。数据密钥在传输过程中由金卡中心与成员行之间共享的银行主密钥加密,成员行接收到数据密钥后都需要验证其正确性后才会启用新的数据密钥。后一种数据密钥每天由ATM 或POS 签到申请,由加密机随机产生,并由终端主密钥加密传送。
金卡中心与成员行及其终端(ATM 、POS)之间的密钥关系如下图:
金卡中心HSM
BMK TMK BMK (PIK2(MAK2、MAK1 PIK2、MAK2
图6.2 金卡中心、成员行、终端之间密钥关系示意
图6.2中各符号的含义如下:
BMK:银行主密钥
TMK:终端主密钥
PIK1:金卡中心与成员行之间的PIK
MAK1:金卡中心与成员行之间的MAK
PIK2:成员行与终端(ATM、POS)之间的PIK
MAK2:成员行与终端(ATM、POS)之间的MAK
DATA:传输的数据
(PIK1)BMK:被BMK加密的PIK1
2术语解释
2.1 本地主密钥
LMK:Local Master Key,本地主密钥,又称为文件主密钥(MDS)、加密机主密钥、主机主密钥,在密钥体系中处于最上层,以明文存储在加密机中,加密保护存储在加密机外的其它密钥。LMK一般为双长度密钥,也有三倍长度密钥。
2.2 区域主密钥
ZMK:Zone Master Key,区域主密钥,在RACAL加密机中,指主机与主机间的传输主密钥。在密钥体系中处于中间层,可以通过LMK加密后存储在主机数据库中,也可直接存储在加密机中,一般为双长度,也有单长度和三倍长度密钥。用于主机间动态分发工作密钥时对其进行加密保护BMK:Bank Master Key,银行主密钥,同ZMK,多用于金卡联网,
在金卡联网中,有时POS和银行主机之间也使用BMK。
MMK:Member Master Key,成员行主密钥,同ZMK。多用于金卡联网
SMK:Shared Master Key,共享主密钥,同ZMK.
2.3 数据加密密钥
TMK:Terminal Master Key,终端主密钥,在RACAL加密机中,指主机与终端ATM/POS间的传输主密钥,在密钥体系中处于中间层,可以通过LMK加密后存储在主机数据库中,也可直接存储在加密机中,现在一般为单长度,也有双长度和三倍长度。
PIK:PIn Key,PIN密钥,专用于加密保护PIN的工作密钥,在密钥体系中处于最下层,一般通过LMK和ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。
在MDS中,当采用动态密钥时,PIK每12小时或每2500笔交易就必须更换一次(两个条件满足任何一个时更换)
PEK:Pin Encrypt Key,PIN加密密钥,同PIK。
ZPK:Zone Pin Key,区域PIN密钥,PIK的一种,专指主机与主机间的PIK。
TPK:Terminal Pin Key,终端PIN密钥,PIK的一种,专指主机与终端间的PIK。
MAK:Mac Key,Mac密钥,专用于计算MAC的工作密钥,在密钥体系中处于最下层,一般通过LMK和ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。
在MDS中,当采用动态密钥时,PIK每12小时或每2500笔交易就必须更换一次(两个条件满足任何一个时更换)
ZAK:Zone Authenticate Key,区域认证密钥,MAK的一种,专指主机与主机间的MAK。
TAK:Terminal Authenticate Key,终端认证密钥,MAK的一种,专指主机与终端间的MAK。