【文章內(nèi)容簡介】 CK）相配合。二級機(jī)構(gòu)發(fā)卡母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證后，才能使用它。外部認(rèn)證密鑰卡是被 PIN 保護(hù)的，只有輸入正確的 PIN 以后，才能使用外部認(rèn)證卡。 4） PSAM 洗卡 GMPK 使整個系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來政治、經(jīng)濟(jì)上的重大損失，所以，從安全的角度來說，全國所有的PSAM 卡必須在全國密鑰管理總中心統(tǒng)一安全裝載 GMPK。出了全國密鑰管理總中心外，任何其他個人和組織無法得到 GMPK 的明文，也無法通過 PSAM 卡來利用 GMPK 進(jìn)行非法的密鑰運算，各個成員行可以向通過二級密鑰管理中 心申報所需 PSAM 卡的數(shù)量，由全國密鑰管理總中心按需求量統(tǒng)一洗卡。 在 RAKC 的配合下，全國密鑰管理總中心利用主控母卡可以對 PSAM卡進(jìn)行統(tǒng)一洗卡，全國密鑰管理總中心首先進(jìn)行主控母卡（ RMKC）和主控母卡外部認(rèn)證卡（ PAKC）的雙向認(rèn)證，在輸入正確的 PIN 以后，利用 RAKC 中的外部認(rèn)證密鑰 RAK 加密 RMKC 中輸出的隨機(jī)數(shù)，返回的密文送 RMKC，供 RMKC 來驗證使用者的合法身份。 全國密鑰管理總中心得到一批 PSAM 卡，卡片已經(jīng)過預(yù)個人化處理，卡片 CDF 區(qū)域和通用 ADK 區(qū)域下的文件已由廠商建好，生產(chǎn)商密鑰（卡片 主控密鑰）也已裝載。在這一批 IC 卡送交全國密鑰管理總中心的同時，存放生產(chǎn)商密鑰的生產(chǎn)商母卡也要交給全國密鑰管理總中銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 15 心。 全國密鑰管理總中心在接到這批卡之后，用生產(chǎn)商母卡中的生產(chǎn)商密鑰 kMprd 來鑒別每一張 IC 卡。鑒別通過后，全國密鑰管理總中心將用自己產(chǎn)生的密鑰 kIctlR，來替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的卡片主控密鑰。 kIctlR 是全國密鑰管理總中心隨機(jī)產(chǎn)生或采用其他方法產(chǎn)生的，被加密導(dǎo)入后作為這一批 PSAM 卡的主控密鑰，控制 CDF 區(qū)域下文件創(chuàng)建和密鑰更新。 全國密鑰管理總中心必須在卡片主控 密鑰的控制下裝載和更新密鑰。具體的過程如下所示： —— 在生產(chǎn)上密鑰（卡片主控密鑰）的控制下，更新卡片主控密鑰。 —— 在卡片主控密鑰的控制下，裝載卡片維護(hù)密鑰。 —— 在卡片維護(hù)密鑰的控制下，安全更新卡片 MF 區(qū)域的文件 —— 在卡片主控密鑰的控制下，裝載應(yīng)用主控密鑰 —— 在應(yīng)用主控密鑰的控制下，裝載應(yīng)用維護(hù)密鑰 —— 在應(yīng)用主控密鑰的控制下，裝載應(yīng)用主工作密鑰 —— 在應(yīng)用維護(hù)密鑰的控制下，安全更新卡片 ADF 區(qū)域的文件 如驗證通過，全國密鑰管理總中心利用 RMKC 加密裝載 GMPK。具體的過程是：在 RMKC 中， PSAM 傳 輸密鑰 PRTK 對 GMPK 進(jìn)行加密，得到密文 3DES（ RPTK， GMPK），將密文載入到發(fā)行的 IC 卡中；IC 卡內(nèi)部是用傳輸密鑰 PRTK 對密文解密， 3DES1（ RPTK， 3DES（ RPTK， GMPK））。得到 GMPK，放在 MF 下的密鑰文件中。 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 16 PSAM 卡中有： 密鑰種類 組數(shù) 備注 RPTK 一組 導(dǎo)入 GMPK 的傳輸密鑰 RPAK 一組 PSAM 認(rèn)證密鑰 GMPK 五組 全國消費 /取現(xiàn)主密鑰，只可用來三級分撒，產(chǎn)生 MAC 成員行 PSAM 卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計和安全管 理： ? 卡片個人化標(biāo)識，必須，位于 CDF（ Common Data File）區(qū)域，操作條件不可變，長度為一個字節(jié)； ? CDF 激活標(biāo)識，可選，位于 CDF 區(qū)域，操作條件不可變，格式為10 個字節(jié)，前 6 個字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識，后四個字節(jié)是附加標(biāo)識符； ? CDF 激活序列號，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個字節(jié)； ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為4 個字節(jié)， YYYYMMDD。 在 GMPK 裝載到 PSAM 卡中之后，對 PSAM 卡的使用受到了嚴(yán)格的控制， GMPK 存放在一個 固定的密鑰文件中，它不能被外界直接訪問，在通過相應(yīng)的認(rèn)證過程后， GMPK 只能接受內(nèi)部操作系統(tǒng)發(fā)來的進(jìn)行MAC 計算的指令，按照指定的流程計算出 MAC。 全國密鑰管理總中心還須為成員行產(chǎn)生相應(yīng)的 PSAM 外部認(rèn)證卡（ PAKC），通過二級密鑰管理中心發(fā)給各成員行，用來控制裝載各成員銀行的專用密鑰。 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 17 3 二級密鑰管理中心 在從全國密鑰管理總中心接收到二級機(jī)構(gòu)發(fā)卡母卡（ BKC）和二級機(jī)構(gòu)外部認(rèn)證密鑰卡（ BACK），并驗證了母卡的真實身份后，二級密鑰管理中心利用 BKC 生成各成員行的消費 /取現(xiàn)主密鑰，產(chǎn)生各成員銀行的發(fā)卡母卡 和相應(yīng)的成員行外部認(rèn)證卡。 1， 二級機(jī)構(gòu)外部認(rèn)證卡 BAKC（ BAK） 2， 二級機(jī)構(gòu)發(fā)卡母卡 BKC（ RTKBMPKBAK） 提 供 二級密鑰管理中心 認(rèn)證、裝載 1 二級機(jī)構(gòu)外部認(rèn)證 BAKC（ BAK） 2．二級機(jī)構(gòu)發(fā)卡母卡 BKC（ BTKBMPKBAKBTK） 導(dǎo) 出 1． 成員行發(fā)卡母卡 MKC（ BTKMPKMAK） 2． 成員行外部認(rèn)證卡 MAKC（ MAK） 圖 2—4 二級機(jī)構(gòu)密鑰管理流程圖 1） 密鑰替換 二級密鑰管理中心得到一批 IC 卡，用作二級機(jī)構(gòu)下發(fā)給各 成員銀行的母卡，在利用生產(chǎn)商母卡鑒別這批 IC 卡后，二級機(jī)構(gòu)產(chǎn)生密鑰銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 18 kIctlB，替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的主控密鑰，然后立即作廢 kMprd。具體的過程與全國密鑰管理總中心的密鑰替換過程相同，這批 IC 卡上都以 kIctlB 作為主控密鑰。 考慮到安全的需要，密鑰卡中的密鑰的裝載和導(dǎo)出都必須是密文所有的 IC 卡中先要統(tǒng)一裝載傳輸密鑰 BTK，將傳入卡中加密數(shù)據(jù)解密恢復(fù)。 2） 成員行發(fā)卡母卡 在發(fā)放成員行發(fā)卡母卡時，二級機(jī)構(gòu)必須首先使用 BACK 中的外部認(rèn)證密鑰 BAK，供二級機(jī)構(gòu)發(fā)卡母卡進(jìn)行外部認(rèn)證，驗證使用 者的合法身份，如果卡片驗證通過，二級機(jī)構(gòu)可載入傳輸密鑰 BTK。之后，成員行發(fā)卡母卡報文的傳送必須在 BTK 的保護(hù)之下。 在二級密鑰管理中心密鑰管理系統(tǒng)中，利用裝載 BTK 的二級機(jī)構(gòu)發(fā)卡母卡報文的傳送必須在 BTK 的保護(hù)之下。 在二級密鑰管理中心密鑰管理系統(tǒng)中，利用裝載 BTK 的二級機(jī)構(gòu)發(fā)卡母卡，二級機(jī)構(gòu)可以發(fā)放成員行發(fā)卡母卡，加密裝載 MPK。 二級機(jī)構(gòu)可以用城市消費 /取現(xiàn)主密鑰 BMPK 對各成員銀行的標(biāo)識（ BandID）進(jìn)行分散，得到各成員行的消費 /取現(xiàn)主密鑰 MPK。 MPK = Diversify (BMPK, BankID) 然后用傳輸密鑰 BTK 對 MPK 進(jìn)行加密，得到密文 3DES（ BTK，MPK），導(dǎo)出二級機(jī)構(gòu)發(fā)卡母卡，載入代發(fā)行的 IC 卡內(nèi)部使用傳輸密鑰 BTK 對密文解密， 3DES1（ BTK， 3DES（ BTK， MPK）），得到銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 19 MPK，這樣，就得到了成員行發(fā)卡母卡（ MKC）。 BKC 中有： 密鑰種類 組數(shù) 備注 BMPK 五組 二級消費 /取現(xiàn)主密鑰，可用來分散產(chǎn)生各成員行的消費 /取現(xiàn)主密鑰 RTK 一組 全國密鑰管理總中心導(dǎo)入 BMPK 的傳輸密鑰 BAK 一組 二級機(jī)構(gòu)發(fā)卡母卡外部認(rèn)證密鑰 BTK 一組 二級 機(jī)構(gòu)導(dǎo)出 BMPK 分散結(jié)果的傳輸密鑰 在二級機(jī)構(gòu)發(fā)卡母卡的安全審計信息中應(yīng)增加： ? ADF 激活標(biāo)識，必須，位于 ADF 區(qū)域，操作條件不可變，格式為 10 個字節(jié)，前 6 個字節(jié)是 ISO7812 中定義的發(fā)卡者標(biāo)識，后四個字節(jié)是卡片發(fā)行者定義的附加標(biāo)識符； ? ADF 激活日期，可選，位于 ADF 區(qū)域，操作條件不可變，格式為 8 個字節(jié)， YYYYMMDD。 BKC 中密鑰的使用受到嚴(yán)格的控制，在 BKC 進(jìn)行外部認(rèn)證，并裝在BTK 后， BMPK 才允許被分散后加密導(dǎo)出。 MKC 中有： 密鑰種類 組數(shù) 備注 BTK 一組 導(dǎo)入 MPK 的傳輸密鑰 MAK 一組 成員行發(fā)卡母卡外部認(rèn)證密鑰 MPK 五組 成員行消費 /取現(xiàn)主密鑰，可供成員行發(fā)卡 成員行發(fā)卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計和安全管理： ? 卡片和人化標(biāo)識，必須，位于 CDF（ Common Data File）區(qū)域，銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 20 操作條件不可變，長度為一個字節(jié)，內(nèi)容是全國密鑰管理總中心定義的個人化標(biāo)識； ? CDF 激活標(biāo)識，可選，位于 CDF 區(qū)域，操作條件不可變，格式為10 個字節(jié)，前 6 個字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識，后四個字節(jié)是全國密鑰管理總中心定義的附加標(biāo)識符； ? CDF 激活序 列號，可選，位于 CDF 區(qū)域，操作條件不可變；格式為 10 個字節(jié)，由二級機(jī)構(gòu)定義。 ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為4 和字節(jié)， YYYYMMDD。 成員行發(fā)卡母卡要正常工作，需有存放 MAK 的成員行外部認(rèn)證密鑰卡（ MAKC）相配合，成員行發(fā)卡母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證以后，才能使用它。外部認(rèn)證密鑰卡是被 PIN 保護(hù)的，只有輸入正確的 PIN 以后，才能使用外部認(rèn)證卡。 4 成員銀行 成員行接收到二級密鑰管理中心發(fā)來的成員行發(fā)卡母卡（ MKC）和成員行外部認(rèn)證卡（ MAKC）后，將消費 /取現(xiàn) 主密鑰 MPK 導(dǎo)入到自己的硬件加密機(jī)（或發(fā)卡系統(tǒng)母卡）中。 1. 成員行外部認(rèn)證卡 MAKC（ MAK） 2. 成員行發(fā)卡母卡 MKC（ BTKMPSMAK） 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 21 3. PSAM 外部認(rèn)證卡 RPAKC（ RPAK） 4. PSAM 卡（ RPAKRPTK（ MPK） 提 供 方案 成員行 方案 硬件加密機(jī) 成員行發(fā)卡母卡 （ BTKMAKMPK專用密鑰） MKC（ MMTKMPKMAK專用密鑰） 認(rèn)證、裝載、注入 PSAM 卡 PSAM 卡 顧客卡（子密鑰） 顧客卡（子密鑰） 圖 25 成員銀行密鑰管