【正文】 成員行洗卡母卡 簡稱 MIKC；存放成員行用戶卡、 PSAM 卡洗卡密鑰， 用于成員行用戶卡和 PSAM 卡的洗卡。 第三十六條 密鑰管理中心內(nèi)部管理混亂 ，造成消費(fèi)密鑰泄漏的，主管機(jī)關(guān)應(yīng)當(dāng)對 有關(guān)責(zé)任人進(jìn)行嚴(yán)重處罰，必要時停止其參力。 第五章 密鑰 申 領(lǐng) 第二十四條 下級業(yè)務(wù)機(jī)構(gòu)應(yīng)向上級業(yè)務(wù)機(jī)構(gòu)提出書面申請，申領(lǐng)共享的消費(fèi)密 鑰 和 P S AM 卡。 第十一條 設(shè)計(jì)完成的密鑰管理系統(tǒng)，所有軟硬件必須通過專業(yè)機(jī)構(gòu)的測試，以保證系統(tǒng)的安全可靠。 5） 應(yīng)急措施 應(yīng)急措施適用于應(yīng)付突發(fā)事件，突發(fā)事件在這里的定義應(yīng)該是突然發(fā)生、未曾考慮、出乎意料的緊急事件。 八．密鑰管理辦法 在任何一個機(jī)構(gòu)中，如果要實(shí)施一套完整而有效的安全系統(tǒng)，沒有一系列的安全策略是不可想象的。 根據(jù)加密機(jī)與應(yīng)用平臺之間通訊協(xié)議，采取不同的報文格式，消息用 HEX 方式傳送。 若 MAC2 嘗試計(jì)數(shù)器為 0 的話，消費(fèi)密鑰所在的應(yīng)用將被鎖定，只能在應(yīng)用維護(hù)密 鑰的控制下應(yīng)用解鎖后使用。 DES CRYPT 命令必須在 INIT_FOR_DESCRYPT 命令成功執(zhí)行后才能進(jìn)行。該隨機(jī)數(shù)服務(wù)于安 全過程（如安全報文），在使用隨機(jī)數(shù)的命令執(zhí)行后失效。 終端應(yīng)用交易序號只對本應(yīng)用有效。 4. ADF 區(qū)域說明 在 PSAM 卡的 ADF(Application Data File)區(qū)域中，文件創(chuàng)建和密鑰裝載是在應(yīng)用主控密 鑰的控制下進(jìn)行。 2. 文件結(jié)構(gòu) PSAM 卡文件結(jié)構(gòu)符合 ISO/IEC78164. 本條款描述了符合本規(guī)范的應(yīng)用文件結(jié)構(gòu)，這些應(yīng)用被定義為支付系統(tǒng)應(yīng)用（ PSA）。用戶 卡發(fā)卡所有成員行主控母卡和成員行洗卡母卡進(jìn)行。 3. 使用成員行主控母卡和成員行洗卡母卡進(jìn)行用戶卡的發(fā)卡和 PSAM 卡的二次發(fā)卡 。 4） PSAM卡一次發(fā)卡流程 GMPK 是整個系統(tǒng)的根密鑰，如果一旦被盜取或非法使用，就可能會偽造出大量的假卡，所有的銀行 IC 卡將不得不停止使用，從而帶來政治、經(jīng)濟(jì)上的重大損失。 密鑰管理系統(tǒng)是整個應(yīng)用系統(tǒng)安全的關(guān)鍵，圖 21 是密鑰管理系統(tǒng)在發(fā)卡行的一個典型應(yīng)用案例，顯示了密鑰管理系統(tǒng)為卡務(wù)系統(tǒng)、主機(jī)系統(tǒng)、終端系統(tǒng)提供統(tǒng)一的密鑰服務(wù)。 金融 IC 卡密鑰管理系統(tǒng)安全地實(shí)現(xiàn)上述所有聯(lián)合試點(diǎn)密鑰的生成、注入、導(dǎo)出、備份、恢復(fù)、更新、服務(wù)等功能。 一次發(fā)卡后的 PSAM 卡中有這些密鑰： 代碼 名稱 數(shù)量 位置 GMPK 全國通用消費(fèi)主 密鑰 5 PBOC ADF PCCK PSAM 卡卡片主控密鑰 1 MF PCMK PSAM 卡卡片維護(hù)密鑰 1 MF PACK PSAM 卡 PBOC 應(yīng)用維護(hù)密鑰 1 PBOC ADF PAMK PSAM 卡 PBOC 應(yīng)用維護(hù)密鑰 1 PBOC ADF 在 GMPK裝載到 PSAM 卡中之后，對 PSAM 卡的使用受到了嚴(yán)格的控制。 5. 用戶卡的發(fā)卡：在用戶卡發(fā)卡設(shè)備上，在成員行主控母卡和成員行洗卡母卡配合下，創(chuàng)建用戶卡文件結(jié)構(gòu)、寫入密鑰和應(yīng)用信息，發(fā)卡后的用戶卡即可在POS 機(jī)上進(jìn)行消費(fèi)、在圈存機(jī)上進(jìn)行圈存等； 4) PSAM 卡二次發(fā)卡流程 PSAM 卡的二次發(fā)卡與一次發(fā)卡有一些區(qū)別 ： 1. 需要創(chuàng)建文件結(jié)構(gòu)，而一次發(fā)卡的文件結(jié)構(gòu)在 PSAM 卡出廠時已創(chuàng)建 。以下描述的為典型用戶卡的發(fā)卡過程： 1. 創(chuàng)建文件結(jié)構(gòu) 。卡片主控密鑰的更新在自身的控制下進(jìn)行。 2. 裝載應(yīng)用維護(hù)密鑰、應(yīng)用主工作密鑰 。 7. 讀記錄文件（ Read Record） READ RECORD 命令用于讀取記錄文件中的內(nèi)容。 16. 通用 DES 計(jì)算初始化（ INIT_FOR_DESCRYPT） INIT_FOR_DESCRYPT 命令用來初始化通用密鑰計(jì)算過程。 在 APPLICATION UNBLOCK 命令執(zhí)行前必須執(zhí)行 GET CHANLLENGE命令取得 4 字節(jié)的隨機(jī)數(shù)。由于硬件加密機(jī)具備了攻擊防范能力，所以密鑰可以在硬件加密機(jī)中以相對較低的成本安全地保持，而且所有密鑰運(yùn)算可在安全的物理環(huán)境中 完成。 5） 產(chǎn)生隨機(jī)數(shù) 該命令要求硬件加密機(jī)產(chǎn)生一個隨機(jī)數(shù)，并直接返回給請求 者。該安全管理部門必須直接向最高行政管或相應(yīng)的管理人員負(fù)責(zé)。 第二條 銀行 IC 卡密鑰管理采用三級密鑰管理體制：銀行 IC 卡全國級密鑰管理中心、試點(diǎn)城市銀行 IC 卡密鑰管理中心或商業(yè)銀行總行 IC 卡密鑰管理中心（簡稱二級密鑰管理中心）和發(fā)卡行 IC 卡密鑰管理中心（簡稱三級密鑰管理中心）。 第十六條 密鑰管理中心，特別是密鑰管理系統(tǒng)所處的機(jī)房，應(yīng)能夠防御各種形式的自然災(zāi)害和攻擊。 第二十七條 在試點(diǎn)期間，允許下級密鑰管理中心先領(lǐng)取測試密鑰。＊） 11 │ 解 密 的 方 式 如 下 ： X=DES’（ KL）［ DES（ K。以下是我們對密鑰管理中心安全管理制度的一些建 議： 1．物理環(huán)境的安全管理 1．建議密鑰管理中心設(shè)置在專門的房間中，房間周邊避免閑雜人員的出入， 最好有錄 像監(jiān)控設(shè)備； 2. 房間安裝防盜門窗，門鎖的鑰匙由專人保管，對鑰匙的使用情況進(jìn)行記錄。 人總行洗卡母卡 簡稱 RIKC，母卡主控密鑰和 PSAM 卡洗卡密鑰；用 于母卡的洗卡和 PSAM 卡的洗卡 PSAM 卡 POS 機(jī)使用的安全存取模塊 二級機(jī)構(gòu)主控母卡 簡稱 BMKC 由全國密鑰管理總中心發(fā)放，存放二級 密鑰管理中心的 BMPK，可以用來產(chǎn)生成員行發(fā)卡母卡。任何情況下，不允許某一個 接收人員接收所有密鑰信息的載體。 第二十一條 操作人員應(yīng)定期輪換。 第七條 成員行中心，是成員銀行內(nèi)部密鑰管理的具體承擔(dān)機(jī)構(gòu)，它的主要職責(zé)是： ? 安全保管消費(fèi)密鑰（ MPK）； ? 產(chǎn)生銀行專用密鑰； ? 進(jìn)行密鑰管理系統(tǒng)的維護(hù)、升級； ? 根據(jù)顧客卡發(fā)卡、 PSAM 二次發(fā)卡、聯(lián)機(jī)交易、清算等多種密鑰服務(wù)； ? 對操作人員進(jìn)行安全操作培訓(xùn)； ? 成員銀行賦予的其他職責(zé)。 3） 業(yè)務(wù)培訓(xùn) 對安全管理部門的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。 10） 分散次主密鑰 該命令要求硬件加密機(jī)用指定索引的次主密鑰對輸入信息進(jìn)行分散，直接返回分散結(jié)果。密鑰的生成、作廢、替換等等工作都可以通過加密機(jī)接口提供，從而使密鑰管理工作大為簡化。 參與處理的終端機(jī)標(biāo)號和終端交易序號由卡片操作 系統(tǒng)從卡片中取得。 17. 通用 DES 計(jì)算（ DES Crypt） DES CRYPT 命令利用指定的密鑰來進(jìn)行運(yùn)算。 10. 寫二進(jìn)制文件（ Update Binary） UPDATE BINARY 命令用命令 APDU 中給定的數(shù)據(jù)修改 EF 文件中已有的數(shù)據(jù)。 3. 進(jìn)行應(yīng)用解鎖。卡片的管理者可在卡片維護(hù)密鑰的控制下， 1. 安全更新記錄文件 。 8. 啟用用戶卡。 2. 為銀行網(wǎng)點(diǎn)的用戶卡維護(hù)服務(wù)提供 MAC 計(jì)算服務(wù) 。 4) 硬件加密機(jī)裝載密鑰流程 成員行硬件加密機(jī)需要裝載 MPK，以用于聯(lián)機(jī)的消費(fèi)和取現(xiàn)；這一步操作必須在二級機(jī)構(gòu)進(jìn)行，因?yàn)槌蓡T行主控母卡中雖然有 MPK，但該 MPK 的密鑰屬性為必須分散。一方面，在卡片生命周期內(nèi)多組密鑰全被破解的可能性不大，并且對付硬掩膜攻擊的方法，密鑰組數(shù)再多也沒用；另一方面，密鑰組數(shù)太多，將占用用戶卡的大量空間，增加卡片的成本。 金融 IC 卡密鑰管理系統(tǒng) 設(shè)計(jì)方案 一． 設(shè)計(jì)目標(biāo) 在人民銀行統(tǒng)一組織，有各商業(yè)銀行參加的金融 IC卡聯(lián)合試點(diǎn)中，各級銀行對 IC卡密鑰的安全控制和管理，是整個應(yīng)用系統(tǒng)安全的關(guān)鍵。 密鑰組數(shù)也不能太多。 二級密鑰管理中心主要有以下的密鑰： 代碼 名稱 數(shù)量 父密鑰 BMPK 全國通用消費(fèi)主密鑰 5*5 GMPK PCCK 二級機(jī)構(gòu) PSAM 卡卡片主控密鑰 1 GPCCK kIct1B 二級機(jī)構(gòu)母卡主控密鑰 1 kIct1B BTK 二級機(jī)構(gòu)傳輸密鑰 1 人工輸入 注： kIct1B=DIV（ kIct1R，接收機(jī)構(gòu)標(biāo)識） 2) 母卡和母卡中的密鑰 二級密鑰管理中心主要有以下密鑰母卡： 代碼 名稱 數(shù)量 密鑰 BMKC 二級機(jī)構(gòu)主控母卡 1 BMPK、 kIct1B BIKC 二級機(jī)構(gòu)洗卡母卡 1 kIct1B、 BTK BACK 二級機(jī)構(gòu)母卡認(rèn)證卡 1 kIct1B BTKC 二級機(jī)構(gòu)傳輸密鑰卡 1 RTK MMKC 成員行主控母卡 1 MPK、 kIct1M MIKC 成員行洗卡母卡 1 kIct1M、 PCCK MAKC 成員行母卡認(rèn)證卡 1 kIct1M 3) 母卡發(fā)卡流程 由于二級機(jī)構(gòu)不需要生成和管理本級的密鑰，因此發(fā)卡流程相對簡單，如下圖所示： 二級密鑰管理中心發(fā)卡流程以從母卡廠商處獲得密鑰母卡和從人總行領(lǐng)取母卡開始，到制作出三級機(jī)構(gòu)（成員行）所需的成員行母卡為止，詳細(xì)描述如下： 1． 設(shè)置傳輸密鑰：輸入二級密鑰管理中心傳輸密鑰，系統(tǒng)制作出二級機(jī)構(gòu)傳輸密鑰卡； 2． 母卡的個人化：與全國密鑰總中心類似； 3． 裝載傳輸密鑰到二級機(jī)構(gòu)洗卡母卡中：洗卡母 卡需要在認(rèn)證卡的認(rèn)證下才能進(jìn)行裝載密鑰操作，裝載 BTK 后的洗卡母卡用于制作成員行母卡； 4． 制作成員行主控母卡、洗卡母卡和母卡認(rèn)證卡：二級機(jī)構(gòu)主控母卡和二級機(jī)構(gòu)洗卡母卡配合使用，將二級機(jī)構(gòu)主控母卡中相應(yīng)的密鑰裝載到成員行母卡中，該分散的密鑰進(jìn)行分散。 5) 硬件加密機(jī)裝載專有密鑰 成員行采用硬件加密機(jī)進(jìn)行聯(lián)機(jī)的交易和為主機(jī)的清算提供加密服務(wù)，硬件加密機(jī)在成 員行主要有 以下職能： 1. 為圈存、圈提交易提供聯(lián)機(jī)的密鑰 MAC 計(jì)算服務(wù) 。 6. 在 DUACK 的控制下，寫入用戶卡應(yīng)用維護(hù)密鑰 DAMK； 7. 在用戶卡 DAMK 的控制下，寫用戶卡 DADF 下的應(yīng)用信息文件 。 卡片維護(hù)密鑰用于卡片 CDF 區(qū)域的應(yīng)用維護(hù)，在卡片主控密鑰的控制下裝載和更 新。 2. 安全更新二進(jìn)制文件 。 9. 讀二進(jìn)制文件（ Read Binary） READ BINARY 命令用于讀取二進(jìn)制文件的內(nèi)容（或部分內(nèi)容）。 臨時密鑰產(chǎn)生后，與原密鑰的屬性一致。只有進(jìn)行本命令后，才允許進(jìn)行 MAC 校驗(yàn)的命令。由于加密機(jī)本身提供了管理接口和監(jiān)控接口，密鑰可以在加密機(jī)中得到有效的管理。該命令主要是針對關(guān)系到跨行 共享的密鑰，如 GMPK、 BMPK。 為了防止某些管理人員從事某項(xiàng)業(yè)務(wù)時間過長，而互 相勾結(jié)，系統(tǒng)要求管理人員必須定期輪換，特別是系統(tǒng)的超級用戶，一般應(yīng)隨著密鑰的更換而輪換。 第六條 二級密鑰管理中心，是各試點(diǎn)城市所在的中國人民銀行相應(yīng)機(jī)構(gòu)或商業(yè)銀行總行密鑰管理的具體承擔(dān)機(jī)構(gòu)，它的主要職責(zé)是： ? 安全保管二級消費(fèi)密鑰（ BMPK）； ? 為成員行分發(fā)消費(fèi)密鑰（ MPK）； ? 根據(jù)各成員行的申請，統(tǒng)一向全國密鑰管理總中心申請 PSAM 卡，并下發(fā)給各成員行； ? 進(jìn)行密鑰管理 系統(tǒng)的維護(hù)、升級； ? 對操作人員進(jìn)行安全操作培訓(xùn)； ? 對成員行進(jìn)行安全監(jiān)管； ? 二級機(jī)構(gòu)賦予的其他職責(zé)。任何時候都要求必須兩個操作員同時在場，分別進(jìn)行控制，才能操作和控