亚洲AV无码精品无码麻豆,最新中文幕av无码专区不卡,久久精品人妻系列无码专区忘忧草,国产一级牲交高潮

利聯(lián)(Lilian)博客

消費機(jī) 售飯機(jī) 食堂刷卡機(jī) 食堂打卡機(jī) 考勤機(jī) 門禁機(jī)

« 一款自帶小票打印機(jī)的消費機(jī)IC卡智能一卡通在中國市場的發(fā)展與應(yīng)用 »

IC卡密鑰管理

 IC卡密鑰管理

隨著金融電子化的發(fā)展,金融IC卡將逐步取代磁條卡,成為人們?nèi)粘OM的結(jié)算工具。IC卡比磁條卡具有更安全、交易成本低、使用方便等優(yōu)勢 IC卡具有保密性好、文件管理安全等特點,適應(yīng)未來更為復(fù)雜的業(yè)務(wù)需求,為醫(yī)保、社保等領(lǐng)域提供服務(wù)。金融IC卡的密鑰管理系統(tǒng)是IC卡管體制使發(fā)卡行和持卡人得到安全保障。本文旨在探討金融IC卡的密鑰管理機(jī)制。

    一、密鑰的類型

    根據(jù)《中國金融集成電路(IC)卡規(guī)范》,全國共建立三級密鑰管理系統(tǒng)。人民銀行總行建立一級密鑰管理系統(tǒng),各商業(yè)銀行總行和人民銀行各中心支行建立二級密鑰管理系統(tǒng),商業(yè)銀行地區(qū)分行建立三級密鑰管理系統(tǒng),分級負(fù)責(zé)生成不同級別的密鑰管理系統(tǒng)、維護(hù)不同級別的密鑰管理系統(tǒng)。

    根據(jù)密鑰級別的不同,在密鑰管理系統(tǒng)中的密鑰可分為三大類:公共密鑰、分行專有密鑰、管理密鑰。

    1.公共密鑰是指由人民銀行總行生成的全國消費主密鑰和各商業(yè)銀行總行生成的行內(nèi)公共密鑰,安全存放在各總行的母卡中。全國消費主密鑰是由人民銀行總行生成和維護(hù)的公共密鑰,簡稱為GPK。人民銀行通過其一級密鑰管理系統(tǒng)向各二級密鑰管理系統(tǒng)分散,用于金融IC卡的消費/取現(xiàn)交易。

    2.分行專有密鑰臺商業(yè)銀行地區(qū)分行生成和維護(hù),安全存放在分行的母卡中。分行生成其他交易使用的主密鑰,包括部分IC卡片的維護(hù)密鑰。在金融IC卡應(yīng)用中,分行專有的普通密鑰有7種,分別用于圈存、圈提、修改密碼和PIN維護(hù)等操作 如圈存主密鑰MLK、圈提主密鑰MULK、修改主密鑰MUK、簽名主密鑰MTK、重裝PIN主密鑰MRPK、解鎖PIN 主密鑰MPUK、應(yīng)用維護(hù)主密鑰MAMK。分行還可以選擇生成其他應(yīng)用的主密鑰。

    3.管理密鑰分為認(rèn)證密鑰和保護(hù)密鑰。認(rèn)證密鑰用于對卡片做外部認(rèn)證,出廠密鑰、洗卡密鑰、認(rèn)證密鑰是位于卡片密鑰文件的同一位置的卡片不同階段的密鑰.一般記為ADMK 認(rèn)證密鑰還包括出廠認(rèn)證密鑰PRDK、密鑰卡管理主密鑰、分行密鑰卡認(rèn)證密鑰、PSAM卡認(rèn)證密鑰等。

    保護(hù)密鑰(傳輸密鑰)是用來對主密鑰進(jìn)行加密保護(hù),輸入到卡片或輸出到另一張卡片。保護(hù)密鑰分導(dǎo)人密鑰和導(dǎo)出密鑰兩種。導(dǎo)人密鑰保存在金融IC卡標(biāo)準(zhǔn)應(yīng)用下的導(dǎo)人密鑰文件,導(dǎo)出密鑰保存在金融IC卡標(biāo)準(zhǔn)應(yīng)用下的導(dǎo)出密鑰文件。所有保護(hù)密鑰都用外層的認(rèn)證密鑰加密保護(hù)進(jìn)人卡片中,保護(hù)密鑰也稱傳輸密鑰。傳輸密鑰被傳遞給下一級機(jī)構(gòu)或安全設(shè)備,下一級機(jī)構(gòu)利用該密鑰進(jìn)行主密鑰的導(dǎo)出,傳遞密鑰可以通過卡片也可以通過信封傳遞。如分行發(fā)卡傳遞密鑰TK1。

    三級密鑰系統(tǒng)中有些密鑰是由一級、二級密鑰系統(tǒng)產(chǎn)生、傳遞而來。在傳遞過程中必須經(jīng)過一定的運算,這個過程稱為密鑰的分散。

    二、密鑰的分散

    人總行生成的主密鑰是消費/取現(xiàn)主密鑰,稱為根密鑰,標(biāo)志為G*K。分行生成和使用的密鑰稱為主密鑰或稱為分行專有密鑰,標(biāo)志為M*K。用戶卡使用的經(jīng)過主密鑰分散的密鑰稱為用戶卡密鑰,標(biāo)志為D*K。用戶卡交易過程中使用的過程密鑰標(biāo)志為S*K。由G*K到M*K、D*K的過程就是密鑰的分散過程。

    1.公共密鑰的分散

    人總行將消費/取現(xiàn)根密鑰(GPK)根據(jù)各商業(yè)銀行特征號和人行中心支行地區(qū)號進(jìn)行分散,傳遞給二級密鑰機(jī)構(gòu) 各商業(yè)銀行總行的二級密鑰機(jī)構(gòu)根據(jù)地區(qū)分行號、人行二級密鑰機(jī)構(gòu)根據(jù)各商業(yè)銀行特征號進(jìn)行分散,生成三級密鑰系統(tǒng)的分行消費/取現(xiàn)主密鑰(MPK) 分散過程標(biāo)志為MPK=DIVERSIFY(GPK,IPI)。各商業(yè)銀行分行的其他專有密鑰由分行獨立生成,如圖1所示。 

 

    ① 人總行將消費/取現(xiàn)根密鑰(GPK)根據(jù)各商業(yè)銀行特征號進(jìn)行分散。
    ②人總行將消費/取現(xiàn)根密鑰(GPK)根據(jù)人行中心支行地區(qū)號進(jìn)行分散。
    ③各商業(yè)銀行總行的二級密鑰機(jī)構(gòu)根據(jù)地區(qū)分行號進(jìn)行分散
    ④人行二級密鑰機(jī)構(gòu)根據(jù)各商業(yè)銀行特征號進(jìn)行分散。

    2.用戶卡密鑰的分散

    用戶卡的消費/取現(xiàn)密鑰(DPK)用分行的消費/取現(xiàn)主密鑰(MPK)根據(jù)卡片應(yīng)用序列號(ASN)分散生成,即DPK=DI—VERSIFY(MPK,ASN) 用戶卡的其他密鑰DLK、DTK、DULK、DUK、DRPK、DPUK、DAMK 用相應(yīng)的分行專有密鑰MLK、MTK、MULK、MUK 、M RPK 、MPUK、MAMK分散生成。

    消費/取現(xiàn)過程密鑰(SPK)由用戶卡中的消費/取現(xiàn)密鑰生成,標(biāo)志為SPK=SESSION(DPK,DA—TA)。

    3.密鑰的傳遞

    在不同級別的密鑰管理系統(tǒng)中,密鑰用密鑰卡來承載。密鑰卡保證密鑰在總行密鑰管理系統(tǒng)內(nèi)、總行和分行、分行和用戶卡之間進(jìn)行安全的傳遞。

    密鑰的傳遞過程就是密鑰卡密鑰的導(dǎo)人和導(dǎo)出過程。在密鑰卡里的密鑰文件結(jié)構(gòu)如圖2所示。 

 

    導(dǎo)人密鑰文件里存放著導(dǎo)人密鑰,導(dǎo)人密鑰是用來對輸人的主密鑰密文進(jìn)行解密的,導(dǎo)出密鑰文件里存放著導(dǎo)出密鑰,導(dǎo)出密鑰是用來對輸出的主密鑰進(jìn)行加密的。進(jìn)人導(dǎo)人密鑰文件的導(dǎo)人密鑰和進(jìn)人導(dǎo)出密鑰文件的導(dǎo)出密鑰必須用管理密鑰文件的管理密鑰加密。

    主密鑰進(jìn)入主密鑰文件必須用導(dǎo)人密鑰加密,導(dǎo)出主密鑰時,卡片會用導(dǎo)出密鑰對該主密鑰加密。為了保證主密鑰正確無誤地寫人,密文需要附加簽名段,簽名的算法根據(jù)金融IC卡規(guī)范中定義的安全報文格式。

    卡片中預(yù)設(shè)有計數(shù)器,限制主密鑰的導(dǎo)出次數(shù).同時卡片受PIN保護(hù)。

    三、密鑰卡的生成

    密鑰管理系統(tǒng)用于生成各種主密鑰,制作各種密鑰卡。下面以三級密鑰系統(tǒng)為基礎(chǔ),介紹密鑰卡的生成和控制。

    1.生成分行專有密鑰

    如圖3所示,密鑰生成系統(tǒng)由密鑰生成卡來實現(xiàn)其算法,主密鑰生成卡相當(dāng)于一個密鑰生成器,由主管人員輸入種子A和種子B,主密鑰生成卡便會產(chǎn)生一些“強(qiáng)度較高”的主密鑰作為分行專有的主密鑰 同樣的種子對不同的主密鑰生成卡產(chǎn)生的主密鑰是不一樣的,主密鑰生成卡、種子A和種子B應(yīng)該分開安全保存。 

 

    密鑰系統(tǒng)在生成銀行主密鑰的時候,每個主密鑰會生成多個版本和多個索引。以用戶卡的使用期為10年計,若每個版本的使用期為2年,則密鑰系統(tǒng)會生成五個版本的主密鑰在母卡A和母卡B中。某一個版本密鑰的使用周期為2年。在發(fā)卡母卡、用戶卡中只有其中一個版本的密鑰,是當(dāng)前使用周期內(nèi)的密鑰版本,每2年更新一次。

    總控卡的主密鑰由分行母卡A和分行母卡B導(dǎo)入,它含有分行的全部密鑰??偪乜ㄓ糜谏上到y(tǒng)其它控制卡,由總控員掌握,該主密鑰有輸出次數(shù)控制。

    2.將密鑰導(dǎo)入二級密鑰機(jī)構(gòu)

    提供的發(fā)卡母卡中,合并消費/取現(xiàn)根密鑰MPK,形成分行發(fā)卡母卡如圖4所示,分行發(fā)卡母卡是由二級密鑰管理中心發(fā)行的,一般不能導(dǎo)出。只能由總控卡和操作員卡一起,將本行生成的其他專有密鑰的某一個版本注入發(fā)卡母卡。發(fā)卡員利用分行發(fā)卡母卡和分行發(fā)卡控制卡來發(fā)行用戶卡。

    用戶卡的密鑰由發(fā)卡系統(tǒng)導(dǎo)入,其密鑰由發(fā)卡母卡上的主密鑰分散而成。 

 

    3. 生成PSAM 卡和HSAM密鑰傳遞卡

    如圖5所示,總控卡和操作員卡一起,導(dǎo)出HSAM控制卡和PSAM控制卡。HSAM 控制卡、PSAM控制卡是總控卡的子卡。總控員持有HSAM控制卡,將密鑰導(dǎo)入加密機(jī),HSAM控制卡的主密鑰只能導(dǎo)出一次;操作員持有PSAM控制卡,將分行的M K導(dǎo)入PSAM卡,PSAM控制卡的主密鑰導(dǎo)出次數(shù)和PSAM卡數(shù)有關(guān)。 

 

    加密機(jī)和PSAM卡中則存在多個版本的密鑰,這樣它可以對不同版本的用戶卡進(jìn)行進(jìn)行交易密鑰效驗。

    四、密鑰的更換

    在實際運行的過程中,IC卡密鑰的安全相當(dāng)重要。為保證密鑰的可靠性,發(fā)卡母卡的密鑰每2年更換一個版本,同時用戶卡每隔2年必須做展期交易,已驗證用戶卡的密鑰版本是否在有限期內(nèi)。

    為保證銀行密鑰的安全,在IC卡交易系統(tǒng)中,密碼的效驗都通過加密機(jī)來進(jìn)行。密碼是存放在加密機(jī)中的,如果因意外因素導(dǎo)致密鑰泄露,必須更換已泄露的交易主密鑰。為保證已經(jīng)發(fā)出的用戶卡在更換交易主密鑰后能繼續(xù)使用,密鑰管理系統(tǒng)采用了交易密鑰多個索引的辦法。對于每一個版本的某一個密鑰,其實也有多組,由多個索引值來區(qū)分。對某一版本的一個用戶卡,每一個交易密鑰有多個索引。正常時使用第一索引的密鑰,異靜隋況下(如密鑰泄露)啟用下一個索引。此機(jī)制保證在異常情況下更換密鑰時,不需收回已發(fā)出的用戶卡,而只需將應(yīng)用系統(tǒng)(包括PSAM)中的密鑰更新為新的索引。

    五、結(jié)束語

    密鑰管理系統(tǒng)是金融IC卡管理的核心部分。隨著人總行在北京、上海、長沙等地金融IC卡試點工作的開展,各地的三綴密鑰系統(tǒng)將逐漸建立,IC卡密鑰的安全體系也會更加完善

IC卡密鑰管理

  • 相關(guān)文章:

發(fā)表評論:

◎歡迎參與討論,請在這里發(fā)表您的看法、交流您的觀點。

日歷

最新評論及回復(fù)

最近發(fā)表

食堂刷卡機(jī)

Copyright利聯(lián)(Lilian) Rights Reserved.

无码无套少妇毛多18p| 班玛县| www五月| 东京热无码一区二区三区av| 欧美综合一| 色欲人妻无码一区二区三区| 国产精品91一区| 精品大香蕉| 欧美一级黄片日韩| 亚洲欧美日韩第一色区| 九台市| 亚洲精品无码久久久影院相关影片| 91av在线视频看看| 欧美亚洲一区二区不卡| 人妻六区| 春药按摩人妻弓中文字幕| 在线观看婷婷基地| 欧美天堂亚洲国产| 6080理论片午夜伦鲁鲁| 欧美日韩天堂一区| 青青爽无码视频在线观看| 国内精品男女久久| 波多野| 久操大香蕉| 精品久久久久久最新网址| 久草av在线播放| 精品乱码一区二区三区四区 | 精品国产一区二区三区久久| 伊人色图| 婷婷综合色姑娘| 午夜www| 亚洲色图二区| 久久久亚洲天堂| 婷婷色五月中旬| 中文字幕欧美久久一区二区| 黄色电影一二区| 88国产精品一区二区三区| 白天躁晚上躁狠狠| 亚洲一区二区久久99| 国产99| 久久a久久精品综合|