【正文】 母卡中。同時(shí)，全國(guó)密鑰管理總中心還需對(duì)要下發(fā)的所有 PSAM 卡進(jìn)行統(tǒng)一洗卡，裝入 GMPK，和 PSAM 外部認(rèn)證卡一起傳遞給二銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 13 級(jí)密鑰管理中心。在接收到全國(guó)密鑰管理總中心傳來的二級(jí)機(jī)構(gòu)發(fā)卡母卡和外部認(rèn)證卡后，用 BMPK 對(duì)各成員行標(biāo)識(shí)進(jìn)行分散，生成成員行消費(fèi) /取現(xiàn)主密鑰 MPK，產(chǎn)生成員行發(fā)卡母卡，和 成員行外部認(rèn)證卡一起傳送給各成員行，同時(shí)，二即機(jī)構(gòu)還要向成員行轉(zhuǎn)交 PSAM 外部認(rèn)證卡和PSAM 卡。成員行也可自己產(chǎn)生專用密鑰，將成員行發(fā)卡母卡中的消費(fèi) /取現(xiàn)主密鑰 MPK 注入到硬件加密機(jī)或母卡，利用硬件加密機(jī)或母卡來提供密鑰服務(wù)。減少銀行 IC 卡試點(diǎn)的風(fēng)險(xiǎn)。 綜合考慮幾方面的因素，密要管理系統(tǒng)中使用五組消費(fèi) /取現(xiàn)主密鑰，而其他主密鑰的組數(shù)由成員行自行決定，建議一般不少于兩組。母卡尚須記錄法卡的有關(guān)信息，以便今后跟蹤審計(jì)。 1 生產(chǎn)商母卡 （ kMprd 2 白卡（ kMprd） 密鑰 替換 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 17 全國(guó)密鑰 管理總中心 產(chǎn) 生 1 主控母卡 RMKC（ RTKRPTKRAKGMPK） 2 主控母卡外部認(rèn)證卡 RAKC（ RAK） 導(dǎo) 出 1 二級(jí)機(jī)構(gòu)發(fā)卡母卡 BKC（ RTKBMPKBAK） 2 二級(jí)機(jī)構(gòu)外部認(rèn)證卡（ BAK） 3 PSAM 卡（ RPTKRPAKGMPK） 4 PSAM 外部認(rèn)證卡（ RPAK） 圖 2 –3 全國(guó)密鑰管理總中心密鑰管理流程圖 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 18 1） 密鑰替換 全國(guó)密鑰 管理總中心得到一批 IC 卡，用作下發(fā)給二級(jí)密鑰管理中心的母卡和 PSAM 卡。在這一批 IC卡交給全國(guó)密鑰管理總中心的同時(shí)，存放生產(chǎn)上密鑰 kMprd的生產(chǎn)商母卡也要交給全國(guó)密鑰管理總中心。 鑒別通過后，全國(guó)密鑰管理總中心將用自己產(chǎn)生的密鑰kIctlR，來替換卡上的生產(chǎn)商密鑰 kMprd，稱為卡上的主控密鑰，具體的過程是： 全國(guó)密鑰管理總中心首先使用生產(chǎn)商母卡中密鑰 kMprd 將 kIctlR 加密，得到 3DES（ kMprd， kIctlR），然后將加密過的密文載入 IC 卡中；在 IC 卡內(nèi)部使用 kMprd解密密文， 3DES1（ kMprd， 3DES（ kMprd， kIctlR）），還原得到 kIctlR，然后立即作廢 kMprd。 考慮到安全的需要，密鑰卡中密鑰的裝載和導(dǎo)出都必須是密文，所有的 IC 卡中須裝載傳 輸密鑰，在所有的母卡中要統(tǒng)一裝載全國(guó)密鑰管理總中心母卡傳輸密鑰 PTK，用來解密恢復(fù)傳入卡中的加密數(shù)據(jù) ,同時(shí) , 全國(guó)密鑰管理總中心也必須在所有的 PSAM卡中統(tǒng)一裝載全國(guó)密鑰管理總中心 PSAM傳輸密鑰 RPTK,保證 PASM 卡的安全傳輸 ,并在此密鑰的控制下 ,進(jìn)行密鑰替換和密鑰裝載 . 2) 全國(guó)密鑰管理總中心主控母卡 全國(guó)密鑰管理總中心產(chǎn)生多組全國(guó)消費(fèi) /取現(xiàn)主密鑰 GMPK的各個(gè)密鑰分量 (A、 B 碼單 ),并由各個(gè)密鑰分量生成 GMPK,在主控密鑰 kIctlR 的控制下 ,將多組 GMPK 傳入卡片中 ,并加密載入外部認(rèn)證密鑰 RAK 后 , 產(chǎn)生全國(guó)密鑰管理總中心主控密鑰卡 (RMKC). 具體的過程是 : 全國(guó)密鑰管理總中心使用密鑰 kIctlR 將GMPK 加密 ,得到 3DES(kIctlR、 GMPK)，然后將加密過的密銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 20 文載入 IC 卡中； IC 卡內(nèi)部使用 kIctlR 解密密文， 3DES1（ kIctlR、 3DES（ KLETIR、 GMPK）），得到 GMPK。外部認(rèn)證密鑰卡是被 PIN 保護(hù)的，只有輸入正確的 PIN 以后，才銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 21 能使用外部認(rèn)證卡。在輸入正確的 PIN 以后，利用 RAKC 中的外部認(rèn)證密鑰RAK 加密 RMKC 中輸出的隨機(jī)數(shù)，返回的密文送 RMCK，供 RMKC 來驗(yàn)證使用者的合法身份。 BMPK = Diversify (GMPK, BrandID) 在傳輸密鑰 RTK 的控制下，全國(guó)密鑰管理總中心密鑰管理系統(tǒng)利用 RMKC 加密裝載 BMPK。導(dǎo)出全國(guó)密鑰管理總中心主控母卡，載入代發(fā)行的 IC 卡中；在這張 IC 卡內(nèi)部，是用傳輸密要 PTK 對(duì)密文解密， 3DES1（ RTK， 3DES（ RTK，銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 22 BMPK）），得到 BMPK，同時(shí)，在這張卡上還要裝載外部認(rèn)證密鑰 RAK，用于各二級(jí)密鑰管理中心認(rèn)證這張卡，這樣，就產(chǎn)生了二級(jí)機(jī)構(gòu)發(fā)卡母卡（ BKC）。 YYYYMMDD。二級(jí)機(jī)構(gòu)發(fā)卡母卡是被密鑰保護(hù)的，只有通過外部認(rèn)證后，才能使用它。 4） PSAM 洗卡 GMPK 使整個(gè)系統(tǒng)的根密鑰，如果一旦被盜取或被非法使用，從而帶來政治、經(jīng)濟(jì)上的重大損失，所以，從安全的角度來說，全國(guó)所有的 PSAM 卡必須在全國(guó)密鑰管理總中心統(tǒng)銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 24 一安全裝載 GMPK。 在 RAKC 的配合下，全國(guó)密鑰管理總中心利用主控母卡可以對(duì) PSAM 卡進(jìn)行統(tǒng)一洗卡，全國(guó)密鑰管理總中心首先進(jìn)行主控母卡（ RMKC）和主控母卡外部認(rèn)證卡（ PAKC）的雙向認(rèn)證，在輸入正確的 PIN 以后，利用 RAKC 中的外部認(rèn)證密鑰 RAK加密 RMKC中輸出的隨機(jī)數(shù)，返回的密文送 RMKC，供 RMKC 來驗(yàn)證使用者的合法身份。在這一批 IC卡送交全國(guó)密鑰管理總中心的同時(shí)，存放生產(chǎn)商密鑰的生產(chǎn)商母卡也要交給全國(guó)密鑰管理總中心。鑒別通過后，全國(guó)銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 25 密鑰管理總中心將用自己產(chǎn)生的密鑰 kIctlR，來替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的卡片主控密鑰。 全國(guó)密鑰管理總中心必須在卡片主控 密鑰的控制下裝載和更新密鑰。 —— 在卡片主控密鑰的控制下，裝載卡片維護(hù)密鑰。具體的過程是：在 RMKC 中， PSAM 傳 輸密鑰 PRTK對(duì) GMPK 進(jìn)行加密，得到密文 3DES（ RPTK， GMPK），將密文載入到發(fā)行的 IC 卡中； IC 卡內(nèi)部是用傳輸密鑰 PRTK對(duì)密文解密， 3DES1（ RPTK， 3DES（ RPTK， GMPK））。 PSAM 卡中有： 密鑰種類 組數(shù) 備注 RPTK 一組 導(dǎo)入 GMPK 的傳輸密鑰 RPAK 一組 PSAM 認(rèn)證密鑰 GMPK 五組 全國(guó)消費(fèi) /取現(xiàn)主密鑰，只可用來三級(jí)分撒，產(chǎn)生 MAC 成員行 PSAM卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計(jì)和安全管 理： ? 卡片個(gè)人化標(biāo)識(shí)，必須，位于 CDF（ Common Data File）區(qū)域，操作條件不可變，長(zhǎng)度為一個(gè)字節(jié)； 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 27 ? CDF 激活標(biāo)識(shí)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)，前 6 個(gè)字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識(shí)，后四個(gè)字節(jié)是附加標(biāo)識(shí)符； ? CDF 激活序列號(hào)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)； ? CDF 激活日期，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 4 個(gè)字節(jié)， YYYYMMDD。 全國(guó)密鑰管理總中心還須為成員行產(chǎn)生相應(yīng)的 PSAM外部認(rèn)證卡（ PAKC），通過二級(jí)密鑰管理中心發(fā)給各成員行，用來控制裝載各成員銀行的專用密鑰。 1， 二級(jí)機(jī)構(gòu)外部認(rèn)證卡 BAKC（ BAK） 2， 二級(jí)機(jī)構(gòu)發(fā)卡母卡 BKC（ RTKBMPKBAK） 提 供 二級(jí)密鑰管理中心 認(rèn)證、裝載 1 二級(jí)機(jī)構(gòu)外部認(rèn)證 BAKC（ BAK） 2．二級(jí)機(jī)構(gòu)發(fā)卡母卡 BKC（ BTKBMPKBAKBTK） 導(dǎo) 出 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 29 1． 成員行發(fā)卡母卡 MKC（ BTKMPKMAK） 2． 成員行外部認(rèn)證卡 MAKC（ MAK） 圖 2—4 二級(jí)機(jī)構(gòu)密鑰管理流程圖 1） 密鑰替換 二級(jí)密鑰管理中心得到一批 IC 卡，用作二級(jí)機(jī)構(gòu)下發(fā)給各成員銀行的母卡，在利用生產(chǎn)商母卡鑒別這批 IC 卡后，二級(jí)機(jī)構(gòu)產(chǎn)生密鑰 kIctlB，替換卡上的生產(chǎn)商密鑰 kMprd，成為卡上的主控密鑰，然后立即作廢 kMprd。 考慮到安全的需要，密鑰卡中的密鑰的裝載和導(dǎo)出都必須是銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 30 密文所有的 IC 卡中先要統(tǒng)一裝載傳輸密鑰 BTK，將傳入卡中加密數(shù)據(jù)解密恢復(fù)。之后，成員行發(fā)卡母卡報(bào)文的傳送必須在BTK 的保護(hù)之下。 在二級(jí)密鑰管理中心密鑰管理系統(tǒng)中，利用裝載 BTK 的二級(jí)機(jī)構(gòu)發(fā)卡母卡，二級(jí)機(jī)構(gòu)可以發(fā)放成員行發(fā)卡母卡，加密裝載 MPK。 MPK = Diversify (BMPK, BankID) 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 31 然后用傳輸密鑰 BTK 對(duì) MPK 進(jìn)行加