【文章內(nèi)容簡(jiǎn)介】 國(guó)密鑰管理總中心主控母卡外部認(rèn)證密鑰卡（ RAKC）相配合，主控母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證以后，才能使用它。外部認(rèn)證密鑰卡是被 PIN 保護(hù)的，只有輸入正確的 PIN 以后，才銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 21 能使用外部認(rèn)證卡。 3） 二級(jí)機(jī)構(gòu)母卡 在發(fā)放二級(jí)機(jī)構(gòu)母卡時(shí)，全國(guó)密鑰管理總中心首先進(jìn)行主控母卡（ PMKC）和主控母卡外部認(rèn)證卡（ RAKC）的雙向認(rèn)證。在輸入正確的 PIN 以后，利用 RAKC 中的外部認(rèn)證密鑰RAK 加密 RMKC 中輸出的隨機(jī)數(shù)，返回的密文送 RMCK，供 RMKC 來驗(yàn)證使用者的合法身份。如果驗(yàn)證通過，則可利用 GMPK 對(duì)各二級(jí)機(jī)構(gòu)標(biāo)識(shí)（ BrandID）進(jìn)行分散，得到各二級(jí)機(jī)構(gòu)的消費(fèi) /取現(xiàn)主密鑰 BMPK。 BMPK = Diversify (GMPK, BrandID) 在傳輸密鑰 RTK 的控制下，全國(guó)密鑰管理總中心密鑰管理系統(tǒng)利用 RMKC 加密裝載 BMPK。具體的過程是：全國(guó)密鑰管理總中心使用 PMKC 中的 GMPK 對(duì)各二級(jí)機(jī)構(gòu)標(biāo)識(shí)進(jìn)行分散 ,得到 BMPK：然后用傳輸密鑰 PTK 對(duì) BMPK 進(jìn)行加密，得到密文 3DES（ RTK， BMPK）。導(dǎo)出全國(guó)密鑰管理總中心主控母卡，載入代發(fā)行的 IC 卡中；在這張 IC 卡內(nèi)部，是用傳輸密要 PTK 對(duì)密文解密， 3DES1（ RTK， 3DES（ RTK，銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 22 BMPK）），得到 BMPK，同時(shí)，在這張卡上還要裝載外部認(rèn)證密鑰 RAK，用于各二級(jí)密鑰管理中心認(rèn)證這張卡，這樣，就產(chǎn)生了二級(jí)機(jī)構(gòu)發(fā)卡母卡（ BKC）。 BKC 中有： 密鑰種類 組數(shù) 備注 RTK 一組 倒入 BMPK 的傳輸密鑰 RAK 一組 二級(jí)機(jī)構(gòu)發(fā)卡母卡外部認(rèn)證密鑰 BMPK 五組 二級(jí)消費(fèi) /取現(xiàn)主密鑰，可用來分散產(chǎn)生成員行的消費(fèi) /取現(xiàn)主密鑰 二級(jí)機(jī)構(gòu)發(fā)卡母卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便 今后跟蹤審計(jì)和安全管理： ? 卡片個(gè)人化標(biāo)識(shí)，必須，位于 CDF（ Common Data File）銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 23 區(qū)域，操作條件不可變，長(zhǎng)度為一個(gè)字節(jié)； ? CDF 激活標(biāo)識(shí)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)，前 6 個(gè)字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識(shí)，后四個(gè)字節(jié)是附加標(biāo)識(shí)符； ? CDF 激活序列號(hào)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)； ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 4 個(gè)字節(jié)。 YYYYMMDD。 二級(jí)機(jī)構(gòu)發(fā)卡母卡要正常工作，需有存放 BAK 的二級(jí)機(jī)構(gòu)外部認(rèn)證密鑰卡（ BACK）相配合。二級(jí)機(jī)構(gòu)發(fā)卡母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證后，才能使用它。外部認(rèn)證密鑰卡是被 PIN 保護(hù)的，只有輸入正確的 PIN 以后，才能使用外部認(rèn)證卡。 4） PSAM 洗卡 GMPK 使整個(gè)系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來政治、經(jīng)濟(jì)上的重大損失，所以，從安全的角度來說，全國(guó)所有的 PSAM 卡必須在全國(guó)密鑰管理總中心統(tǒng)銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 24 一安全裝載 GMPK。出了全國(guó)密鑰管理總中心外，任何其他個(gè)人和組織無法得到 GMPK 的明文，也無法通過 PSAM 卡來利用 GMPK 進(jìn)行非法的密鑰運(yùn)算，各個(gè)成員行可以向通過二級(jí)密鑰管理中 心申報(bào)所需 PSAM 卡的數(shù)量，由全國(guó)密鑰管理總中心按需求量統(tǒng)一洗卡。 在 RAKC 的配合下，全國(guó)密鑰管理總中心利用主控母卡可以對(duì) PSAM 卡進(jìn)行統(tǒng)一洗卡，全國(guó)密鑰管理總中心首先進(jìn)行主控母卡（ RMKC）和主控母卡外部認(rèn)證卡（ PAKC）的雙向認(rèn)證，在輸入正確的 PIN 以后，利用 RAKC 中的外部認(rèn)證密鑰 RAK加密 RMKC中輸出的隨機(jī)數(shù)，返回的密文送 RMKC，供 RMKC 來驗(yàn)證使用者的合法身份。 全國(guó)密鑰管理總中心得到一批 PSAM 卡，卡片已經(jīng)過預(yù)個(gè)人化處理，卡片 CDF 區(qū)域和通用 ADK 區(qū)域下的文件已由廠商建好，生產(chǎn)商密鑰（卡片 主控密鑰）也已裝載。在這一批 IC卡送交全國(guó)密鑰管理總中心的同時(shí)，存放生產(chǎn)商密鑰的生產(chǎn)商母卡也要交給全國(guó)密鑰管理總中心。 全國(guó)密鑰管理總中心在接到這批卡之后，用生產(chǎn)商母卡中的生產(chǎn)商密鑰 kMprd 來鑒別每一張 IC 卡。鑒別通過后，全國(guó)銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 25 密鑰管理總中心將用自己產(chǎn)生的密鑰 kIctlR，來替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的卡片主控密鑰。 kIctlR 是全國(guó)密鑰管理總中心隨機(jī)產(chǎn)生或采用其他方法產(chǎn)生的，被加密導(dǎo)入后作為這一批 PSAM 卡的主控密鑰，控制CDF 區(qū)域下文件創(chuàng)建和密鑰更新。 全國(guó)密鑰管理總中心必須在卡片主控 密鑰的控制下裝載和更新密鑰。具體的過程如下所示： —— 在生產(chǎn)上密鑰（卡片主控密鑰）的控制下，更新卡片主控密鑰。 —— 在卡片主控密鑰的控制下，裝載卡片維護(hù)密鑰。 —— 在卡片維護(hù)密鑰的控制下，安全更新卡片 MF 區(qū)域的文件 —— 在卡片主控密鑰的控制下，裝載應(yīng)用主控密鑰 —— 在應(yīng)用主控密鑰的控制下，裝載應(yīng)用維護(hù)密鑰 —— 在應(yīng)用主控密鑰的控制下，裝載應(yīng)用主工作密鑰 —— 在應(yīng)用維護(hù)密鑰的控制下，安全更新卡片 ADF 區(qū)域的文件 如驗(yàn)證通過，全國(guó)密鑰管理總中心利用 RMKC 加密裝載銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 26 GMPK。具體的過程是：在 RMKC 中， PSAM 傳 輸密鑰 PRTK對(duì) GMPK 進(jìn)行加密，得到密文 3DES（ RPTK， GMPK），將密文載入到發(fā)行的 IC 卡中； IC 卡內(nèi)部是用傳輸密鑰 PRTK對(duì)密文解密， 3DES1（ RPTK， 3DES（ RPTK， GMPK））。得到 GMPK，放在 MF 下的密鑰文件中。 PSAM 卡中有： 密鑰種類 組數(shù) 備注 RPTK 一組 導(dǎo)入 GMPK 的傳輸密鑰 RPAK 一組 PSAM 認(rèn)證密鑰 GMPK 五組 全國(guó)消費(fèi) /取現(xiàn)主密鑰，只可用來三級(jí)分撒，產(chǎn)生 MAC 成員行 PSAM卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計(jì)和安全管 理： ? 卡片個(gè)人化標(biāo)識(shí)，必須，位于 CDF（ Common Data File）區(qū)域，操作條件不可變，長(zhǎng)度為一個(gè)字節(jié)； 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 27 ? CDF 激活標(biāo)識(shí)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)，前 6 個(gè)字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識(shí)，后四個(gè)字節(jié)是附加標(biāo)識(shí)符； ? CDF 激活序列號(hào)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)； ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 4 個(gè)字節(jié)， YYYYMMDD。 在 GMPK 裝載到 PSAM 卡中之后，對(duì) PSAM 卡的使用受到了嚴(yán)格的控制， GMPK 存放在一個(gè) 固定的密鑰文件中，它不能被外界直接訪問，在通過相應(yīng)的認(rèn)證過程后， GMPK 只能接受內(nèi)部操作系統(tǒng)發(fā)來的進(jìn)行 MAC 計(jì)算的指令，按照指定的流程計(jì)算出 MAC。 全國(guó)密鑰管理總中心還須為成員行產(chǎn)生相應(yīng)的 PSAM外部認(rèn)證卡（ PAKC），通過二級(jí)密鑰管理中心發(fā)給各成員行，用來控制裝載各成員銀行的專用密鑰。 3 二級(jí)密鑰管理中心 在從全國(guó)密鑰管理總中心接收到二級(jí)機(jī)構(gòu)發(fā)卡母卡（ BKC）銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 28 和二級(jí)機(jī)構(gòu)外部認(rèn)證密鑰卡（ BACK），并驗(yàn)證了母卡的真實(shí)身份后，二級(jí)密鑰管理中心利用 BKC 生成各成員行的消費(fèi) /取現(xiàn)主密鑰，產(chǎn)生各成員銀行的發(fā)卡母卡 和相應(yīng)的成員行外部認(rèn)證卡。 1， 二級(jí)機(jī)構(gòu)外部認(rèn)證卡 BAKC（ BAK） 2， 二級(jí)機(jī)構(gòu)發(fā)卡母卡 BKC（ RTKBMPKBAK） 提 供 二級(jí)密鑰管理中心 認(rèn)證、裝載 1 二級(jí)機(jī)構(gòu)外部認(rèn)證 BAKC（ BAK） 2．二級(jí)機(jī)構(gòu)發(fā)卡母卡 BKC（ BTKBMPKBAKBTK） 導(dǎo) 出 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 29 1． 成員行發(fā)卡母卡 MKC（ BTKMPKMAK） 2． 成員行外部認(rèn)證卡 MAKC（ MAK） 圖 2—4 二級(jí)機(jī)構(gòu)密鑰管理流程圖 1） 密鑰替換 二級(jí)密鑰管理中心得到一批 IC 卡，用作二級(jí)機(jī)構(gòu)下發(fā)給各成員銀行的母卡，在利用生產(chǎn)商母卡鑒別這批 IC 卡后，二級(jí)機(jī)構(gòu)產(chǎn)生密鑰 kIctlB，替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的主控密鑰，然后立即作廢 kMprd。具體的過程與全國(guó)密鑰管理總中心的密鑰替換過程相同，這批 IC 卡上都以kIctlB 作為主控密鑰。 考慮到安全的需要，密鑰卡中的密鑰的裝載和導(dǎo)出都必須是銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 30 密文所有的 IC 卡中先要統(tǒng)一裝載傳輸密鑰 BTK，將傳入卡中加密數(shù)據(jù)解密恢復(fù)。 2） 成員行發(fā)卡母卡 在發(fā)放成員行發(fā)卡母卡時(shí)，二級(jí)機(jī)構(gòu)必須首先使用 BACK 中的外部認(rèn)證密鑰 BAK，供二級(jí)機(jī)構(gòu)發(fā)卡母卡進(jìn)行外部認(rèn)證，驗(yàn)證使用 者的合法身份，如果卡片驗(yàn)證通過，二級(jí)機(jī)構(gòu)可載入傳輸密鑰 BTK。之后，成員行發(fā)卡母卡報(bào)文的傳送必須在BTK 的保護(hù)之下。 在二級(jí)密鑰管理中心密鑰管理系統(tǒng)中，利用裝載 BTK 的二級(jí)機(jī)構(gòu)發(fā)卡母卡報(bào)文的傳送必須在 BTK 的保護(hù)之下。 在二級(jí)密鑰管理中心密鑰管理系統(tǒng)中，利用裝載 BTK 的二級(jí)機(jī)構(gòu)發(fā)卡母卡，二級(jí)機(jī)構(gòu)可以發(fā)放成員行發(fā)卡母卡，加密裝載 MPK。 二級(jí)機(jī)構(gòu)可以用城市消費(fèi) /取現(xiàn)主密鑰 BMPK 對(duì)各成員銀行的標(biāo)識(shí)（ BandID）進(jìn)行分散，得到各成員行的消費(fèi) /取現(xiàn)主密鑰 MPK。 MPK = Diversify (BMPK, BankID) 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 31