【正文】 為了防止某些管理人員從事某項業(yè)務(wù)時間過長，產(chǎn)生安全隱患，系統(tǒng)要求管理人員必須定期輪換，特別是系統(tǒng)的超級用戶，一般應(yīng)隨著密鑰的更換而輪換。整個管理層次不宜過多，以免造成不必要的信息延誤或遺失。 14） 輸出加密機運行日志 該命令要求返回受主密鑰保護的密鑰區(qū)域內(nèi)所有的操作事件。 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 50 10） 分散次主密鑰 該命令要求硬件加密機用指定索引的次主密鑰對輸入信息進行分散，直接返回分散結(jié)果。 7） 裝載次主密鑰 該命令要求向硬件加密機中輸入密文信息，用指定密鑰索引的傳輸密鑰解密恢復后，作為次主密鑰存儲 在硬件加密機中。 3） 獲得指定次主密鑰狀態(tài) 該命令要求返回指定索引號的次主密鑰的狀態(tài)，包括是否存在，密鑰屬性等信息。異步通信時，加密機在收到數(shù)據(jù)幀頭標識后開始計時，如果在指定的時間內(nèi)沒有收到楨尾標識，則加密機可以認為該條命令出錯，拋棄所有已接受命令，準備接收下一條命令。 為了整個密鑰管理體系的安全，加密機應(yīng)在二級密鑰管理中心進行統(tǒng)一的初始化，裝載傳輸密鑰，以后所有的密鑰裝載工作都必須在傳輸密鑰的控制下進行。它可以通過硬件電路提供產(chǎn)生密鑰所需的真隨機數(shù)，在硬件上具有一定的防物理攻擊能力，在軟件上對密鑰的生成、存放、備件和運算進行權(quán)限控制，并 可采取一定策略進行審計。 ? 在卡上打印應(yīng)用序列號。 ? PC 機向高速發(fā)卡機發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的 kMprd 來驗證 IC 卡?？刂?IC 卡的安全運輸，以防止在 IC 卡生產(chǎn)商和卡發(fā)行機構(gòu)間被人替換，在將 IC 卡交給發(fā)卡銀行的同時，也將裝有生產(chǎn)商密鑰的母卡交給發(fā)卡銀行。 ? 全國密鑰管理系統(tǒng)總中心根據(jù)各成員行的申報要求，產(chǎn)生不同數(shù)量和卡號的 PSAM 卡，與存放 RPTKC 一起， 通過各分行傳送到成員行的手中。 ? 在 kIctIR 的控制下，加密載入 PSAM 傳輸密要 RPTK，具體的過程是： 用 kIctIR 將 RPTK 加密，將密文 3DES (kMprd,RPTK )載入 IC 卡，在卡中使用 kIctIR 解密得到3DES1（ kIctIR,DES(kIctIR,RPTK)） ,即 RPTK。每張 IC 卡具有唯一的 PSN，不同的 IC 卡具有不同的 PSN。 ? 在 kIctI 的控制下，創(chuàng)建 MF 下的 EF 文件，并 把相關(guān)的審計信息寫入卡中。 三 發(fā)卡流程 1 母卡發(fā)卡流程 ? 在 IC 卡生產(chǎn)過程中， IC 卡生產(chǎn)廠商在卡中設(shè)置生產(chǎn)商密鑰（ kMprd），控制 IC 卡的安全運輸，以防止在 IC 卡生產(chǎn)商和卡發(fā)行機構(gòu)間被人替換，在將 IC 卡交給發(fā)卡銀行的同時，也將裝有生產(chǎn)商密鑰的母卡交給發(fā)卡銀行。 在銀行 PSAM 卡的安全審計信息中應(yīng)增加： ? ADF 激活標識，必須，位于 ADF 區(qū)域，操作條件不可變，格式為 10 個字節(jié)，前 6 個字節(jié)是 ISO7812 中定義的發(fā)卡者標識，后四個字節(jié)是卡片發(fā)行者定義的附加標識符； ? ADF 激活日期，可選，位于 ADF 區(qū)域、操作條件不可變，格式為 4 和字節(jié)， YYYYMMDD。 在成員行的密鑰管理系統(tǒng)中，必須首先裝載傳輸密鑰MMTK，然后在導入 MMTK 加密的密文后，在密鑰管理系統(tǒng)內(nèi)部，將密文解密，恢復出 MPK。 Ⅱ、統(tǒng)一初始化硬件加密機，將 MPK導入硬件加密機 在二級密鑰管理中心對硬件加密機進行統(tǒng)一初始化，裝載傳輸密鑰 BTK，消費密鑰 MPK 和認證密鑰后，再將硬件加密機和相配套的成員行外部認證卡（ MAKC）交給各個成員銀行。 1. 成員行外部認證卡 MAKC（ MAK） 2. 成員行發(fā)卡母卡 MKC（ BTKMPSMAK） 3. PSAM 外部認證卡 RPAKC（ RPAK） 4. PSAM 卡（ RPAKRPTK（ MPK） 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 35 提 供 方案 成員行 方案 硬件加密機 成員行發(fā)卡母卡 （ BTKMAKMPK專用密鑰） MKC（ MMTKMPKMAK專用密鑰） 認證、裝載、注入 PSAM 卡 PSAM 卡 顧客卡（子密鑰） 顧客卡（子密鑰） 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 36 圖 25 成員銀行密鑰管理流程圖 1） 專用密鑰的產(chǎn)生 成員行可以根據(jù)需要在自己的密鑰管理系統(tǒng)中產(chǎn)生其他的交易主密鑰，具體內(nèi)容及方式由各個銀行自己確定，成員行密鑰管理系統(tǒng)中的密鑰可能包括： 密鑰種類 組數(shù) 備注 MPK 五組 成員行消費 /取現(xiàn)主密鑰，可用來加密運算 MTK 五組 成員行 TAC 主密鑰，可用于加速運算 MLK 兩組 成員行圈存主密鑰，可用于加密運算 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 37 MPUK 兩組 成員行解鎖 PIN 主密鑰，可用于加密運算 MRPK 兩組 成員行重裝 PIN 主密鑰，可用于加密運算 MAMK 兩組 成員行應(yīng)用維護主密鑰，可用于加密運算 MULK 兩組 成員行 圈提主密鑰，可用于加密運算 MUK 兩組 成員行修改透支限額主密鑰，可用于加密運算 在銀行密鑰管理系統(tǒng)中也可存放有關(guān)的日志，記錄密鑰產(chǎn)生的時間、地點、管理員、密鑰啟動日期等信息。 ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 4 和字節(jié)， YYYYMMDD。 MPK = Diversify (BMPK, BankID) 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 31 然后用傳輸密鑰 BTK 對 MPK 進行加密，得到密文 3DES（ BTK， MPK），導出二級機構(gòu)發(fā)卡母卡，載入代發(fā)行的 IC卡內(nèi)部使用傳輸密鑰 BTK 對密文解密， 3DES1（ BTK， 3DES（ BTK， MPK）），得到 MPK，這樣，就得到了成員行發(fā)卡母卡（ MKC）。之后，成員行發(fā)卡母卡報文的傳送必須在BTK 的保護之下。 1， 二級機構(gòu)外部認證卡 BAKC（ BAK） 2， 二級機構(gòu)發(fā)卡母卡 BKC（ RTKBMPKBAK） 提 供 二級密鑰管理中心 認證、裝載 1 二級機構(gòu)外部認證 BAKC（ BAK） 2．二級機構(gòu)發(fā)卡母卡 BKC（ BTKBMPKBAKBTK） 導 出 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 29 1． 成員行發(fā)卡母卡 MKC（ BTKMPKMAK） 2． 成員行外部認證卡 MAKC（ MAK） 圖 2—4 二級機構(gòu)密鑰管理流程圖 1） 密鑰替換 二級密鑰管理中心得到一批 IC 卡，用作二級機構(gòu)下發(fā)給各成員銀行的母卡，在利用生產(chǎn)商母卡鑒別這批 IC 卡后，二級機構(gòu)產(chǎn)生密鑰 kIctlB，替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的主控密鑰，然后立即作廢 kMprd。 PSAM 卡中有： 密鑰種類 組數(shù) 備注 RPTK 一組 導入 GMPK 的傳輸密鑰 RPAK 一組 PSAM 認證密鑰 GMPK 五組 全國消費 /取現(xiàn)主密鑰，只可用來三級分撒，產(chǎn)生 MAC 成員行 PSAM卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計和安全管 理： ? 卡片個人化標識，必須，位于 CDF（ Common Data File）區(qū)域，操作條件不可變，長度為一個字節(jié)； 銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 27 ? CDF 激活標識，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個字節(jié)，前 6 個字節(jié)是 ISO7812 中定義的發(fā)行者標識，后四個字節(jié)是附加標識符； ? CDF 激活序列號，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個字節(jié)； ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 4 個字節(jié)， YYYYMMDD。 —— 在卡片主控密鑰的控制下，裝載卡片維護密鑰。鑒別通過后，全國銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 25 密鑰管理總中心將用自己產(chǎn)生的密鑰 kIctlR，來替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的卡片主控密鑰。 在 RAKC 的配合下，全國密鑰管理總中心利用主控母卡可以對 PSAM 卡進行統(tǒng)一洗卡，全國密鑰管理總中心首先進行主控母卡（ RMKC）和主控母卡外部認證卡（ PAKC）的雙向認證，在輸入正確的 PIN 以后，利用 RAKC 中的外部認證密鑰 RAK加密 RMKC中輸出的隨機數(shù)，返回的密文送 RMKC，供 RMKC 來驗證使用者的合法身份。二級機構(gòu)發(fā)卡母卡是被密鑰保護的，只有通過外部認證后，才能使用它。導出全國密鑰管理總中心主控母卡，載入代發(fā)行的 IC 卡中；在這張 IC 卡內(nèi)部，是用傳輸密要 PTK 對密文解密， 3DES1（ RTK， 3DES（ RTK，銀行 IC卡聯(lián)合試點密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 22 BMPK）），得到 BMPK，同時，在這張卡上還要裝載外部認證密鑰 RAK，用于各二級密鑰管理中心認證這張卡，這樣，就產(chǎn)生了二級機構(gòu)發(fā)卡母卡（ BKC）。在輸入正確的 PIN 以后，利用 RAKC 中的外部認證密鑰RAK 加密 RMKC 中輸出的隨機數(shù)，返回的密文送 RMCK，供 RMKC 來驗證使用者的合法身份。 考慮到安全的需要，密鑰卡中密鑰的裝載和導出都必須是密文，所有的 IC 卡中須裝載傳 輸密鑰，在所有的母卡中要統(tǒng)一裝載全國密鑰管理總中心母卡傳輸密鑰 PTK，用來解密恢復傳入卡中的加密數(shù)據(jù) ,同時 , 全國密鑰管理總中心也必須在所有的 PSAM卡中統(tǒng)一裝載全國密鑰管理總中心 PSAM傳輸密鑰 RPTK,保證 PASM 卡的安全傳輸 ,并在此密鑰的控制下 ,進行密鑰替換和密鑰裝載 . 2) 全國密鑰管理總中心主控母卡 全國密鑰管理總中心產(chǎn)生多組全國消費 /取現(xiàn)主密