【正文】 ，在軟件上對密鑰的生成、存放、備件和運算進(jìn)行權(quán)限控制，并可采取一定策略進(jìn)行審計。* PC機向高速發(fā)卡機發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的kMprd來驗證IC卡。* 全國密鑰管理系統(tǒng)總中心根據(jù)各成員行的申報要求，產(chǎn)生不同數(shù)量和卡號的PSAM卡，與存放RPTKC一起，通過各分行傳送到成員行的手中。每張IC卡具有唯一的PSN，不同的IC卡具有不同的PSN。三 發(fā)卡流程1 母卡發(fā)卡流程* 在IC卡生產(chǎn)過程中，IC卡生產(chǎn)廠商在卡中設(shè)置生產(chǎn)商密鑰（kMprd），控制IC卡的安全運輸，以防止在IC卡生產(chǎn)商和卡發(fā)行機構(gòu)間被人替換，在將IC卡交給發(fā)卡銀行的同時，也將裝有生產(chǎn)商密鑰的母卡交給發(fā)卡銀行。在成員行的密鑰管理系統(tǒng)中，必須首先裝載傳輸密鑰MMTK，然后在導(dǎo)入MMTK加密的密文后，在密鑰管理系統(tǒng)內(nèi)部，將密文解密，恢復(fù)出MPK。1. 成員行外部認(rèn)證卡MAKC（MAK）2. 成員行發(fā)卡母卡MKC（BTKMPSMAK）3. PSAM外部認(rèn)證卡RPAKC（RPAK）4. PSAM卡（RPAKRPTK（MPK） 提 供 方案 成員行 方案 硬件加密機 成員行發(fā)卡母卡（BTKMAKMPK專用密鑰） MKC（MMTKMPKMAK專用密鑰） 認(rèn)證、裝載、注入 PSAM卡 PSAM卡 顧客卡（子密鑰） 顧客卡（子密鑰） 圖25 成員銀行密鑰管理流程圖1） 專用密鑰的產(chǎn)生成員行可以根據(jù)需要在自己的密鑰管理系統(tǒng)中產(chǎn)生其他的交易主密鑰，具體內(nèi)容及方式由各個銀行自己確定，成員行密鑰管理系統(tǒng)中的密鑰可能包括：密鑰種類組數(shù)備注MPK五組成員行消費/取現(xiàn)主密鑰，可用來加密運算MTK五組成員行TAC主密鑰，可用于加速運算MLK兩組成員行圈存主密鑰，可用于加密運算MPUK兩組成員行解鎖PIN主密鑰，可用于加密運算MRPK兩組成員行重裝PIN主密鑰，可用于加密運算MAMK兩組成員行應(yīng)用維護(hù)主密鑰，可用于加密運算MULK兩組成員行圈提主密鑰，可用于加密運算MUK兩組成員行修改透支限額主密鑰，可用于加密運算在銀行密鑰管理系統(tǒng)中也可存放有關(guān)的日志，記錄密鑰產(chǎn)生的時間、地點、管理員、密鑰啟動日期等信息。MPK = Diversify (BMPK, BankID)然后用傳輸密鑰BTK對MPK進(jìn)行加密，得到密文3DES（BTK，MPK），導(dǎo)出二級機構(gòu)發(fā)卡母卡，載入代發(fā)行的IC卡內(nèi)部使用傳輸密鑰BTK對密文解密，3DES1（BTK， 3DES（BTK，MPK）），得到MPK，這樣，就得到了成員行發(fā)卡母卡（MKC）。1， 二級機構(gòu)外部認(rèn)證卡BACK（BAK） 2， 二級機構(gòu)發(fā)卡母卡BKC（RTKBMPKBAK） 提 供二級密鑰管理中心認(rèn)證、裝載1 二級機構(gòu)外部認(rèn)證BACK（BAK）2．二級機構(gòu)發(fā)卡母卡BKC（BTKBMPKBAKBTK） 導(dǎo) 出1． 成員行發(fā)卡母卡MKC（BTKMPKMAK）2． 成員行外部認(rèn)證卡MAKC（MAK）圖2—4 二級機構(gòu)密鑰管理流程圖1） 密鑰替換二級密鑰管理中心得到一批IC卡，用作二級機構(gòu)下發(fā)給各成員銀行的母卡，在利用生產(chǎn)商母卡鑒別這批IC卡后，二級機構(gòu)產(chǎn)生密鑰kIctlB，替換卡上的生產(chǎn)商密鑰kMprd，成為卡上的主控密鑰，然后立即作廢kMprd?！诳ㄆ骺孛荑€的控制下，裝載卡片維護(hù)密鑰。在RAKC的配合下，全國密鑰管理總中心利用主控母卡可以對PSAM卡進(jìn)行統(tǒng)一洗卡，全國密鑰管理總中心首先進(jìn)行主控母卡（RMKC）和主控母卡外部認(rèn)證卡（PAKC）的雙向認(rèn)證，在輸入正確的PIN以后，利用RAKC中的外部認(rèn)證密鑰RAK加密RMKC中輸出的隨機數(shù)，返回的密文送RMKC，供RMKC來驗證使用者的合法身份。導(dǎo)出全國密鑰管理總中心主控母卡，載入代發(fā)行的IC卡中；在這張IC卡內(nèi)部，是用傳輸密要PTK對密文解密，3DES1（RTK，3DES（RTK，BMPK）），得到BMPK，同時，在這張卡上還要裝載外部認(rèn)證密鑰RAK，用于各二級密鑰管理中心認(rèn)證這張卡，這樣，就產(chǎn)生了二級機構(gòu)發(fā)卡母卡（BKC）?？紤]到安全的需要，密鑰卡中密鑰的裝載和導(dǎo)出都必須是密文，所有的IC卡中須裝載傳輸密鑰，在所有的母卡中要統(tǒng)一裝載全國密鑰管理總中心母卡傳輸密鑰PTK，用來解密恢復(fù)傳入卡中的加密數(shù)據(jù),同時, 全國密鑰管理總中心也必須在所有的PSAM卡中統(tǒng)一裝載全國密鑰管理總中心PSAM傳輸密鑰RPTK,保證PASM卡的安全傳輸,并在此密鑰的控制下,進(jìn)行密鑰替換和密鑰裝載.2) 全國密鑰管理總中心主控母卡全國密鑰管理總中心產(chǎn)生多組全國消費/取現(xiàn)主密鑰GMPK的各個密鑰分量(A、B碼單),并由各個密鑰分量生成GMPK,在主控密鑰kIctlR的控制下,將多組GMPK傳入卡片中,并加密載入外部認(rèn)證密鑰RAK后, 產(chǎn)生全國密鑰管理總中心主控密鑰卡(RMKC).具體的過程是: 全國密鑰管理總中心使用密鑰kIctlR將GMPK加密,得到3DES(kIctlR、GMPK)，然后將加密過的密文載入IC卡中；IC卡內(nèi)部使用kIctlR解密密文，3DES1（kIctlR、3DES（KLETIR、GMPK）），得到GMPK。母卡尚須記錄法卡的有關(guān)信息，以便今后跟蹤審計。在接收到全國密鑰管理總中心傳來的二級機構(gòu)發(fā)卡母卡和外部認(rèn)證卡后，用BMPK對各成員行標(biāo)識進(jìn)行分散，生成成員行消費/取現(xiàn)主密鑰MPK，產(chǎn)生成員行發(fā)卡母卡，和成員行外部認(rèn)證卡一起傳送給各成員行，同時，二即機構(gòu)還要向成員行轉(zhuǎn)交PSAM外部認(rèn)證卡和PSAM卡。密鑰管理系統(tǒng)采用3DES加密算法，采用全國密鑰管理總中心、二級密鑰管理中心、成員銀行中心三級管理體制，安全共享公共主密鑰，實現(xiàn)卡片互通、機具共享。整個安全體系結(jié)構(gòu)主要包括三類密鑰：全國通用的消費/取現(xiàn)主密鑰GMPK，發(fā)卡銀行的消費/取現(xiàn)主密鑰MPK和發(fā)卡銀行的其他主密鑰。成員銀行配備密鑰管理服務(wù)器、硬件加密機和系統(tǒng)管理軟件，通過內(nèi)部網(wǎng)與銀行的發(fā)卡系統(tǒng)、卡務(wù)管理系統(tǒng)、帳務(wù)系統(tǒng)相連，成員行可直接向成員行發(fā)卡母卡中注入銀行專用密鑰，利用成員行發(fā)卡母卡來提供密鑰服務(wù)（如發(fā)放用戶卡，PSAM二次發(fā)卡、清算等）。全國密鑰管理總中心還要用主控母卡對要下發(fā)的PSAM卡進(jìn)行統(tǒng)一洗卡，下裝GMPK，并與PSAM外部認(rèn)證一起傳送給各成員銀行。RMKC 中有：密鑰種類組數(shù)備注PTK一組向外傳輸GMPK分散結(jié)果的傳輸密鑰PRTK一組向外傳輸GMPK的傳輸密鑰RAK一組用于認(rèn)證主控母卡的外部認(rèn)證密鑰GMPK五組全國消費/取現(xiàn)主密鑰主控母卡要正常工作，需有存放RAK的全國密鑰管理總中心主控母卡外部認(rèn)證密鑰卡（RAKC）相配合，主控母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證以后，才能使用它。BKC中有：密鑰種類組數(shù)備注RTK一組倒入BMPK的傳輸密鑰RAK一組二級機構(gòu)發(fā)卡母卡外部認(rèn)證密鑰BMPK五組二級消費/取現(xiàn)主密鑰，可用來分散產(chǎn)生成員行的消費/取現(xiàn)主密鑰二級機構(gòu)發(fā)卡母卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計和安全管理：* 卡片個人化標(biāo)識，必須，位于CDF（Common Data File）區(qū)域，操作條件不可變，長度為一個字節(jié)；* CDF激活標(biāo)識，可選，位于CDF區(qū)域，操作條件不可變，格式為10個字節(jié)，前6個字節(jié)是ISO7812中定義的發(fā)行者標(biāo)識，后四個字節(jié)是附加標(biāo)識符；* CDF激活序列號，可選，位于CDF區(qū)域，操作條件不可變，格式為10個字節(jié)；* CDF激活日期，可選，位于CDF區(qū)域，操作條件不可變，格式為4個字節(jié)。全國密鑰管理總中心得到一批PSAM卡，卡片已經(jīng)過預(yù)個人化處理，卡片CDF區(qū)域和通用ADK區(qū)域下的文件已由廠商建好，生產(chǎn)商密鑰（卡片主控密鑰）也已裝載?！诳ㄆS護(hù)密鑰的控制下，安全更新卡片MF區(qū)域的文件——在卡片主控密鑰的控制下，裝載應(yīng)用主控密鑰——在應(yīng)用主控密鑰的控制下，裝載應(yīng)用維護(hù)密鑰——在應(yīng)用主控密鑰的控制下，裝載應(yīng)用主工作密鑰——在應(yīng)用維護(hù)密鑰的控制下，安全更新卡片ADF區(qū)域的文件如驗證通過，全國密鑰管理總中心利用RMKC加密裝載GMPK。具體的過程與全國密鑰管理總中心的密鑰替換過程相同，這批IC卡上都以kIctlB作為主控密鑰。BKC中有：密鑰種類組數(shù)備注BMPK五組二級消費/取現(xiàn)主密鑰，可用來分散產(chǎn)生各成員行的消費/取現(xiàn)主密鑰RTK一組全國密鑰管理總中心導(dǎo)入BMPK的傳輸密鑰RAK一組二級機構(gòu)發(fā)卡母卡外部認(rèn)證密鑰BTK一組二級機構(gòu)導(dǎo)出BMPK分散結(jié)果的傳輸密鑰在二級機構(gòu)發(fā)卡母卡的安全審計信息中應(yīng)增加：* ADF激活標(biāo)識，必須，位于ADF區(qū)域，操作條件不可變，格式為10個字節(jié)，前6個字節(jié)是ISO7812中定義的發(fā)卡者標(biāo)識，后四個字節(jié)是卡片發(fā)行者定義的附加標(biāo)識符；* ADF激活日期，可選，位于ADF區(qū)域，操作條件不可變，格式為8個字節(jié)，YYYYMMDD。2） 密鑰管理方式對于成員行來說，根據(jù)不同的應(yīng)用系統(tǒng)和管理要求，存在著三種不同的密鑰管理方式。這種方法操作起來比較簡便，而且可以適用于目前已發(fā)行過卡片的銀行，系統(tǒng)改造的任務(wù)較小，但這種方法技術(shù)上很難防止銀行內(nèi)部人員相互勾結(jié)，聯(lián)手作案，攻擊本行的MPK，可能會給銀行帶來較為嚴(yán)重的損失，這就對管理提出了非常嚴(yán)格的要求，銀行必須采取相應(yīng)的管理策略來預(yù)防和及時發(fā)現(xiàn)問題，降低風(fēng)險，減少可能造成的損失。* 發(fā)卡銀行接到這一批IC卡后，首先按統(tǒng)一編號給每一張IC卡分配母卡序列號（KSN），每張IC卡具有唯一的KSN，不同的IC卡具有不同的KSN。* PC機向高速發(fā)卡機發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的kMprd來驗證IC卡。* 商業(yè)銀行在接收到這批卡后，首先用PSAM外部認(rèn)證卡來驗證每一張PSAM卡的有效性。* 如果驗證通過，加載發(fā)卡銀行的主控密鑰kIctIM,用kMprd將kIctIM加密，將密文3DES（kMprd, kIctIM）載入IC卡，在卡中使用kMprd解密得到3DES1（kMprd, 3DES (kMprd, kIctIM)）,即kIctIM。由于硬件加密機具備了攻擊防范能力，所以密鑰可以在硬件加密機中以相對較低的成本安全的保存，而且所有密鑰運算可在安全物理環(huán)境中完成。根據(jù)加密機與應(yīng)用平臺之間通訊協(xié)議，采取不同的報文格式，消息用HEX方式傳送。8） 取次主密鑰該命令允許在超級用戶權(quán)限下，用主密鑰對指定索引的次主密鑰加密，返回加密的密文，在主機上通過約定的主密鑰解密后存放在主機上。六 密鑰管理辦法在任何一個機構(gòu)中，如果要實施一套完整而有效的安全系統(tǒng)，沒有一系列的安全策略是不可想象的，從某種角度來說，管理是造成安全問題的根源。3） 業(yè)務(wù)培訓(xùn)對安全管理部門的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。經(jīng)過個人化處理的PSAM卡能在不同的機具上使用。3） 卡片維護(hù)密鑰卡片維護(hù)密鑰用于卡片MF區(qū)域的應(yīng)用維護(hù)，在卡片主控密鑰的控制下裝載和更新，卡片的管理者可在卡片維護(hù)密鑰的控制下；* 安全更新記錄文件* 安全更新二進(jìn)制文件卡片維護(hù)密鑰的控制通過安全報文的形式實現(xiàn)4） 卡片公共信息文件卡片公共信息文件存放卡片的公共信息，在卡片主控密鑰的控制下創(chuàng)建，可自由讀，可在卡片維護(hù)密鑰的控制下改寫。5） 終端應(yīng)用交易序號數(shù)據(jù)元終端應(yīng)用交易序號長度4字節(jié)，用于終端的脫機交易，在消費交易MAC2驗證通過的情況下由卡片操作系統(tǒng)改寫。表23到25規(guī)定了此定義所用的標(biāo)志，本規(guī)范不規(guī)定FCI中回送的附加標(biāo)志。MAC是由卡片維護(hù)密鑰或應(yīng)用維護(hù)密鑰對更新原有記錄的新紀(jì)錄計算而得到的。2） 命令報文EXTERNAL AUTHENTICATION命令報文見表219。1 寫入密鑰（Write Key）1) 定義和范圍WRITE KEY 命令可向卡中裝載密鑰或更新卡中已存在的密鑰，本命令可支持8字節(jié)或16字節(jié)的密鑰，密鑰寫入必須采用加密的方式，在主控密鑰的控制下進(jìn)行。不支持計算臨時密鑰計算的密鑰類型有：n 主控密鑰n 維護(hù)密鑰n 消費密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰的密鑰類型有：n PIN解鎖密鑰n 用戶卡應(yīng)用維護(hù)密鑰雙長度密鑰左右異或產(chǎn)生單長度臨時密鑰的密鑰類型有：n 重裝PIN密鑰雙長度密鑰產(chǎn)生雙長度臨時密鑰，單長度密鑰產(chǎn)生單長度臨時密鑰的密鑰類型有：n MAC密鑰n 加密密鑰n MAC、加密密鑰指定密鑰經(jīng)過幾級處理由密鑰分散級數(shù)和Lc確定，若二者不一致，則返回錯誤信息。臨時密鑰產(chǎn)生后，與原密鑰的屬性一致。2）命令報文WRITE KEY 命令報文見表31代碼值CLA84h INSD4hP100hP200hLc14h 或1ChData加密后的密鑰信息+MACLe不存在表31 WRITE KEY 命令報文3）命令報文數(shù)據(jù)域命令報文數(shù)據(jù)域包括要裝載的密鑰密文信息和MAC。4） 響應(yīng)報文數(shù)據(jù)域響應(yīng)報文數(shù)據(jù)域不存在5） 狀態(tài)碼執(zhí)行成功返回9000，錯誤狀態(tài)碼如下：SW1SW2含義6300外部