【正文】 另一條（或多條）命令。異步通信時(shí)，加密機(jī)在受到數(shù)據(jù)幀頭標(biāo)識(shí)后開始計(jì)時(shí)，如果在指定的時(shí)間內(nèi)沒有收到幀尾標(biāo)識(shí)，則加密機(jī)可以認(rèn)為該 條命令出錯(cuò)，拋棄所有已接受命令，準(zhǔn)備接受下一條命令。 根據(jù)加密機(jī)與應(yīng)用平臺(tái)之間通訊協(xié)議，采取不同的報(bào)文格式，消息用 HEX 方式傳送。 1） 硬件加密機(jī)初始化 該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為主密鑰 SHMK。 2） 傳輸密鑰初始化 該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為傳輸密鑰。 3） 獲得指定次主密鑰狀態(tài) 該命令要求返回指定索引號(hào)的次主密鑰的狀態(tài)，包括是否存在、密鑰屬性等信息。 4） 列密鑰清單 該命令要求列出硬件加密機(jī)中所有工作密鑰的索引。 5） 產(chǎn)生隨機(jī)數(shù) 該命令要求硬件加密機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)，并直接返回給請求 者。 6） 產(chǎn)生次主密鑰 該命令要求硬件加密機(jī)通過碼單輸入或在內(nèi)部產(chǎn)生一個(gè)隨機(jī)數(shù)，進(jìn)行密鑰檢查后，存放在硬件加密機(jī)中，返回密鑰索引。 7） 裝載次主密鑰 該命令要求向硬件加密機(jī)中輸入密文信息，用指定密鑰索引號(hào)的傳輸密鑰解密恢復(fù)后，作為次主密鑰存儲(chǔ)在硬件加密機(jī)中。 8） 取次主密鑰 該命令允許在超級(jí)用戶權(quán)限下，用主密鑰對(duì)指定索引的次主密鑰加密，返回加密的密文，在主機(jī)上通過約定的主密鑰解密后存放在主機(jī)上。 9） 加密導(dǎo)出分散結(jié)果 該命令要求用指定索引的次主密鑰對(duì)輸入信息進(jìn)行分散，用指定索引的傳輸密鑰加密導(dǎo)出。該命令主要是針對(duì)關(guān)系到跨行 共享的密鑰，如 GMPK、 BMPK。 10） 分散次主密鑰 該命令要求硬件加密機(jī)用指定索引的次主密鑰對(duì)輸入信息進(jìn)行分散，直接返回分散結(jié)果。 11） 產(chǎn)生 MAC 該命令用指定的次主密鑰對(duì)輸入信息分散產(chǎn)生雙長度的過程密鑰 SESK，再用這個(gè)SESK 產(chǎn)生一個(gè) MAC，返回給請求者。 12） 驗(yàn)證 MAC 該命令用指定的次主密鑰對(duì)輸入數(shù)據(jù)分散加密產(chǎn)生 MAC，與輸入數(shù)據(jù)中的 MAC 進(jìn)行比較，返回驗(yàn)證結(jié)果。 13） 驗(yàn)證 TAC 該命令用指定的次主密鑰對(duì)輸入數(shù)據(jù)分散產(chǎn)生 TAC 子密鑰，再對(duì) TAC 子密鑰的左右兩部分異或產(chǎn)生單長度的過程密鑰，對(duì)輸入數(shù)據(jù)加密產(chǎn)生 TAC， 并與輸入數(shù)據(jù)中的 TAC進(jìn)行比較，返回驗(yàn)證結(jié)果。 14） 數(shù)據(jù)加密機(jī)運(yùn)行日志 該命令要求返回受主密鑰保護(hù)的密鑰區(qū)域內(nèi)所有的操作事件。 八．密鑰管理辦法 在任何一個(gè)機(jī)構(gòu)中，如果要實(shí)施一套完整而有效的安全系統(tǒng)，沒有一系列的安全策略是不可想象的。從某種角度來說，管理是造成安全問題的根源。因而，只有建筑在盡可能完善安全策略的基礎(chǔ)上，并嚴(yán)格執(zhí)行安全策略的密鑰管理系統(tǒng)，才有實(shí)際意義。 1. 安全管理策略 1） 管理機(jī)構(gòu) 使用密鑰管理系統(tǒng)的機(jī)構(gòu)必須有獨(dú)立的安全管理部門，負(fù)責(zé)整個(gè)安全概念及安全策略的制定、實(shí)現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進(jìn) 行審計(jì)。有條件的可以請第三方獨(dú)立的審計(jì)部門來進(jìn)行審計(jì)。該安全管理部門必須直接向最高行政管或相應(yīng)的管理人員負(fù)責(zé)。整個(gè)管理層次不宜過多，以免造成不必要的信息延誤或遺失。 2） 操作管理 對(duì)整個(gè)系統(tǒng)的操作管理，應(yīng)做到：專人負(fù)責(zé)、相互制約、定期輪換。 系統(tǒng)業(yè)務(wù)應(yīng)有明確分工，每一項(xiàng)業(yè)務(wù)都應(yīng)該指定專人負(fù)責(zé)，避免管理人員之間互相扯皮推委而可能造成的損失。 同時(shí)，為了避免權(quán)利過分集中，特別是超級(jí)用戶權(quán)力過大，而出現(xiàn)的內(nèi)部人員作案的可能性，管理人員之間應(yīng)互相制約，做到權(quán)力的有效制衡。 為了防止某些管理人員從事某項(xiàng)業(yè)務(wù)時(shí)間過長，而互 相勾結(jié)，系統(tǒng)要求管理人員必須定期輪換，特別是系統(tǒng)的超級(jí)用戶，一般應(yīng)隨著密鑰的更換而輪換。 3） 業(yè)務(wù)培訓(xùn) 對(duì)安全管理部門的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。任何關(guān)鍵業(yè)務(wù)的支持人員，及安全管理部門在該業(yè)務(wù)上崗之前必須進(jìn)行相關(guān)的安全培訓(xùn)。培訓(xùn)主要包括如何獲取最新的安全技術(shù)資料，現(xiàn)有系統(tǒng)的安全問題，在出現(xiàn)問題時(shí)如何尋求援助并報(bào)警，如何采取緊急措施進(jìn)行恢復(fù)并將影響減少為最小及安全管理隊(duì)伍的鍛煉等內(nèi)容。 4） 管理文檔化 整個(gè)機(jī)構(gòu)的所有管理規(guī)章必須文檔化，切實(shí)落實(shí)執(zhí)行。同時(shí)，對(duì)所有的事件必須盡可能地書面記錄下來，存檔備案， 以便及時(shí)監(jiān)控和審計(jì)。 5） 應(yīng)急措施 應(yīng)急措施適用于應(yīng)付突發(fā)事件，突發(fā)事件在這里的定義應(yīng)該是突然發(fā)生、未曾考慮、出乎意料的緊急事件。目的在于為在應(yīng)付此類事件時(shí)，提供一個(gè)基本的向?qū)Чδ堋? 應(yīng)急措施的原則是：在對(duì)密鑰管理中心的安全和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，由核心到應(yīng)用，由局部到全局?？梢圆扇∫韵虏襟E： 1． 關(guān)閉核心系統(tǒng)對(duì)外的網(wǎng)絡(luò)通道，隔絕可能的破壞； 2． 報(bào)警及通知有關(guān)人員； 3． 啟動(dòng)應(yīng)急系統(tǒng)，如電力應(yīng)急系統(tǒng)，運(yùn)行系統(tǒng)的備份系統(tǒng)； 4． 清點(diǎn)設(shè)備，如硬件加密機(jī)，密鑰備份卡等； 5． 妥善保管敏感信息和核心設(shè)備； 6． 逐步關(guān)閉其他設(shè)備和服務(wù)，保留審計(jì)信 息； 7． 分析情況，追查原因； 8． 作出書面報(bào)告。 2. 具體辦法 參見附錄 A：銀行 IC 卡密鑰管理中心章程（試行） 附錄 A銀行 IC 卡密鑰管理中心章程（試行） 第一章 總則 第一條 為了加強(qiáng)銀行 IC 卡密鑰管理中心的管理，防范銀行卡業(yè)務(wù)風(fēng)險(xiǎn)，制訂本章程。 第二條 銀行 IC 卡密鑰管理采用三級(jí)密鑰管理體制：銀行 IC 卡全國級(jí)密鑰管理中心、試點(diǎn)城市銀行 IC 卡密鑰管理中心或商業(yè)銀行總行 IC 卡密鑰管理中心（簡稱二級(jí)密鑰管理中心）和發(fā)卡行 IC 卡密鑰管理中心（簡稱三級(jí)密鑰管理中心）。 第三條 各級(jí)銀行 IC 卡密鑰管理中心管理的密鑰，包括同城跨行（包括異地跨行）總共享的消 費(fèi)密鑰和各發(fā)卡銀行專用的其他密鑰。 第四條 凡在銀行 IC 卡聯(lián)合試點(diǎn)中開展銀行 IC 卡業(yè)務(wù)的商業(yè)銀行、試點(diǎn)城市所在的人民銀行相應(yīng)機(jī)構(gòu)建立的密鑰管理中心均應(yīng)遵守本章程。 第二章 安全職責(zé) 第五條 全國密鑰管理總中心，是銀行 IC 卡聯(lián)合試點(diǎn)密鑰管理的具體承擔(dān)機(jī)構(gòu)，目前由中國人民銀行上海分行代為管理。它的主要職責(zé)是： ? 尋找合作伙伴共同設(shè)計(jì)、開發(fā)密鑰管理系統(tǒng)； ? 一次產(chǎn)生多組全國消費(fèi)主密鑰（ GMPK），安全保存在主控母卡中； ? 利用主控母卡，為二級(jí)密鑰管理中心分發(fā)二級(jí)消費(fèi)密鑰（ BMPK）； ? 根據(jù)二級(jí)密鑰管理中心的申請，統(tǒng)一進(jìn)行 PSAM 洗卡； ? 對(duì)下 發(fā)的 PSAM 卡進(jìn)行統(tǒng)一監(jiān)控，并回收損壞的 PSAM 卡； ? 進(jìn)行密鑰管理系統(tǒng)的維護(hù)、升級(jí)； ? 對(duì)系統(tǒng)操作人員進(jìn)行安全操作培訓(xùn)； ? 對(duì)二級(jí)管理中心進(jìn)行安全監(jiān)管； ? 對(duì)系統(tǒng)安全進(jìn)行評(píng)估，發(fā)現(xiàn)問題，及時(shí)給下級(jí)機(jī)構(gòu)和有關(guān)部門； ? 中國人民銀行賦予的其他職責(zé)。 第六條 二級(jí)密鑰管理中心，是各試點(diǎn)城市所在的中國人民銀行相應(yīng)機(jī)構(gòu)或商業(yè)銀行總行密鑰管理的具體承擔(dān)機(jī)構(gòu)，它的主要職責(zé)是： ? 安全保管二級(jí)消費(fèi)密鑰（ BMPK）； ? 為成員行分發(fā)消費(fèi)密鑰（ MPK）； ? 根據(jù)各成員行的申請，統(tǒng)一向全國密鑰管理總中心申請 PSAM 卡，并下發(fā)給各成員行； ? 進(jìn)行密鑰管理 系統(tǒng)的維護(hù)、升級(jí)； ? 對(duì)操作人員進(jìn)行安全操作培訓(xùn)； ? 對(duì)成員行進(jìn)行安全監(jiān)管； ? 二級(jí)機(jī)構(gòu)賦予的其他職責(zé)。 第七條 成員行中心，是成員銀行內(nèi)部密鑰管理的具體承擔(dān)機(jī)構(gòu)，它的主要職責(zé)是： ? 安全保管消費(fèi)密鑰（ MPK）； ? 產(chǎn)生銀行專用密鑰； ? 進(jìn)行密鑰管理系統(tǒng)的維護(hù)、升級(jí)； ? 根據(jù)顧客卡發(fā)卡、 PSAM 二次發(fā)卡、聯(lián)機(jī)交易、清算等多種密鑰服務(wù)； ? 對(duì)操作人員進(jìn)行安全操作培訓(xùn)； ? 成員銀行賦予的其他職責(zé)。 第八條 所有從事銀行 IC 卡密鑰管理的單位和個(gè)人應(yīng)當(dāng)接受安全部門的安全監(jiān)督、檢查和指導(dǎo)，如實(shí)向安全部門提供有關(guān)安全保護(hù)的信息、資料和數(shù)據(jù)文件，協(xié)助安全 部門查處有關(guān)違法犯罪行為。 第九條 若發(fā)現(xiàn)某些密鑰可能存在安全問題，應(yīng)及時(shí)向上級(jí)密鑰管理中心匯報(bào)。在試點(diǎn)范圍內(nèi)，停止使用該密鑰，進(jìn)行調(diào)換。 第三章 中心建設(shè) 第十條 各級(jí)密鑰管理中心負(fù)責(zé)組織開發(fā)隊(duì)伍，遵循《中國金融集成電路（ IC）卡規(guī)范、《銀行 IC卡聯(lián)合試點(diǎn)總體技術(shù)方案》、《銀行 IC 卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案》，設(shè)計(jì)一套符合銀行應(yīng)用現(xiàn)狀的密鑰管理系統(tǒng)。 第十一條 設(shè)計(jì)完成的密鑰管理系統(tǒng)，所有軟硬件必須通過專業(yè)機(jī)構(gòu)的測試，以保證系統(tǒng)的安全可靠。 第十二條 密鑰管理系統(tǒng)應(yīng)確保密鑰三級(jí)管理的可操作性，保證密鑰的裝載、存放和分散必須在安全的環(huán)境下完成， 任何中間結(jié)果不可以被內(nèi)部操作人員和外界獲得。 第十三條 無論是全國密鑰管理中心產(chǎn)生的根密鑰，還是成員行產(chǎn)生的專用密鑰，必須存放在安全的媒介中，如硬件加密模塊（ HSM）或具有安全保護(hù)的密鑰母卡。 第十四條 密鑰不能直接以密碼信封形式存放。 第十五條 密鑰管理中心原則上應(yīng)與其他業(yè)務(wù)處理系統(tǒng)分開，應(yīng)獨(dú)立進(jìn)行管理。 第十六條 密鑰管理中心，特別是密鑰管理系統(tǒng)所處的機(jī)房，應(yīng)能夠防御各種形式的自然災(zāi)害和攻擊。 第十七條 上級(jí)密鑰管理中心應(yīng)當(dāng)督促下級(jí)密鑰管理中心建立健全安全管理制度，監(jiān)督、檢查銀行 IC 卡密鑰管理以及技術(shù)措施的落實(shí)情況。對(duì)安全檢查中發(fā)現(xiàn)的問題，應(yīng)當(dāng)提出改進(jìn) 意見，作出詳細(xì)記錄，存檔備案。 第四章 操作管理 第十八條 密鑰管理業(yè)務(wù)應(yīng)有明確分工，每一項(xiàng)業(yè)務(wù)都應(yīng)該指 第十九條 定專人負(fù)責(zé)，避免管理人員之間互相扯皮推委而可能造成的損失。 第二十條 操作人員之間應(yīng)互相制約。任何時(shí)候都要求必須兩個(gè)操作員同時(shí)在場，分別進(jìn)行控制，才能操作和控制系統(tǒng)。 第二十一條 操作人員應(yīng)定期輪換。 第二十二條 密鑰管理中心應(yīng)當(dāng)建立工作日志，詳細(xì)記錄密鑰生成、分發(fā)、更新、廢除等有關(guān)情況，記載密鑰系統(tǒng)的配置情況，并安排專人定期檢查工作日志，發(fā)現(xiàn)問題，及時(shí)報(bào)告。 第二十三條 所有關(guān)鍵業(yè)務(wù)的工作人員，應(yīng)在上崗之前接受相關(guān)的安全及操作培訓(xùn)。 第二十四條 在緊急情況下，操作人員應(yīng)關(guān)閉 核心系統(tǒng)對(duì)外的網(wǎng)絡(luò)通道，隔絕可能的破壞，并報(bào)警及通知有關(guān)人員，清點(diǎn)設(shè)備，妥善保管敏感信息和核心設(shè)備，保留審計(jì)信息。時(shí)候，管理人員應(yīng)分析情況，追查原因，作 出書面報(bào)告。 第五章 密鑰 申 領(lǐng) 第二十四條 下級(jí)業(yè)務(wù)機(jī)構(gòu)應(yīng)向上級(jí)業(yè)務(wù)機(jī)構(gòu)提出書面申請，申領(lǐng)共享的消費(fèi)密 鑰 和 P S AM 卡。 第二十五條 上級(jí)業(yè)務(wù)機(jī)構(gòu)應(yīng)切實(shí)了解下級(jí)業(yè)務(wù)機(jī)構(gòu)的情況，包括信用等級(jí)、資產(chǎn) 數(shù)量、經(jīng)營狀況和密鑰管理中心建設(shè)狀況等。在接到下級(jí)業(yè)務(wù)機(jī)構(gòu)請求 后一個(gè)月內(nèi)，作出書面批復(fù)；確認(rèn)是 否批準(zhǔn)下級(jí)業(yè)務(wù)機(jī)構(gòu)領(lǐng)取消費(fèi)密鑰。 第二十六條 在收到上級(jí)業(yè)務(wù)機(jī)構(gòu)同意領(lǐng)取消費(fèi)密鑰的書面批復(fù)三個(gè)月以內(nèi) ,下級(jí) 密鑰管理中心需派專人到上級(jí)密鑰管理中心領(lǐng)取消費(fèi)密鑰。若三個(gè)月內(nèi) 未領(lǐng)取消費(fèi)密鑰，應(yīng)重新申請報(bào)批。 第二十七條 在試點(diǎn)期間，允許下級(jí)密鑰管理中心先領(lǐng)取測試密鑰。 第二十八條 在領(lǐng)取消費(fèi)密鑰時(shí)，下級(jí)密鑰管理中心應(yīng)派不少于兩名的工作人員， 持上級(jí)業(yè)務(wù)機(jī)構(gòu)的批復(fù)原件、下級(jí)業(yè)務(wù)機(jī)構(gòu)的介紹信函、工作或身份證 件，填寫備案表，辦理密鑰申 領(lǐng)手續(xù)。 第二十九條 上級(jí)密鑰管理中心操作人員應(yīng)在接到申請一周內(nèi)，為申請機(jī)構(gòu)產(chǎn)生消 費(fèi)密鑰后；存放在硬件加密模塊（母卡或硬件加密機(jī)）中，分別交給接 收人員。 第三十條 全國密鑰管理中心在接到 PSAM 卡申領(lǐng)請求后；應(yīng)盡快排定計(jì)劃，在一 個(gè)月內(nèi)提供發(fā)卡服務(wù)。特殊情況下；