本文乃数年前的培训资料
密钥体系概述
银行卡网络安全系统的三层密钥体系
金融POS系列密钥体系介绍
金融POS系列产品根据银联卡检测中心(BCTC)对于终端安全要求,设计出一套适合我们终端的三层密钥体系,从上而下依次是系统密钥、主密钥、工作密钥。上级密钥用于加密下级密钥,具体如下:
1.系统密钥用于加密主密钥或其他工作密钥作本地存储,它由POS终端或密码键盘出厂时随机产生,当遭遇拆机时会自毁,最终导致之前发行的工作密钥不能使用,以到达密钥自毁的功能;
2.主密钥用于解密工作密钥的密钥;
3.工作密钥包括TPK(PIN工作密钥),TAK(MAC工作密钥) ,TDK(磁道加密工作密钥), TPK用于PIN加密TAK,TDK用于对数据进行加解密。
密钥类型介绍
在应用实际使用中总体的密钥分为主密钥(TMK),PIN工作密钥(TPK),MAC工作密钥 (TAK),指定功能的工作密钥只能做规定的工作,例如PIN加密工作密钥只能做PIN加密;MAC工作密钥只能做MAC计算。
1.主密钥(TMK)
由银行科技人员提供,可以采用手工输入(在安全环境下)或密钥母POS注入密码键盘,密码键盘将主密钥写入密钥保护芯片,此芯片具有开机程序自毁功能,能很好的保护银行主密钥的安全性,生产中应保持密码键盘主密钥与银行后台主密钥的一致性。
2. PIN工作密钥(TPK)
PIN工作密钥为POS机向银行签到时从银行后台获取,由于签到交易需要通讯,所以需要对PIN工作密钥进行加密传输(签到时银行返回POS的PIN工作密钥是密文),POS终端收到银行返回的报文后,对PIN工作密钥用主密钥进行解密,然后将PIN工作密钥存储在专用的密钥保护芯片里,此过程用密码键盘的专用芯片进行处理,此密钥同样具有开机自毁功能。此密钥专用于计算PIN_BLOCK对磁卡人输入的密码进行加密)。
3. MAC密钥(TAK)
同PIN工作密钥的处理方式一样,POS机向银行签到时从银行后台获取,由于签到交易需要通讯,所以需要对MAC密钥进行加密传输(签到时银行返回POS的MAC密钥是密文),POS终端收到银行返回的报文后,对MAC密钥用主密钥进行解密,然后将MAC密钥存储在专用的密钥保护芯片里,此过程用密码键盘的专用芯片进行处理,此密钥同样具有开机自毁功能。此密钥专用于计算MAC(对数据包生成校验数据)。
4.Key Checkvalue(KCV)
用于密钥传输过程中密钥密文正确性的校验。它是通过密钥的明文对一串数据进行DES/TDES加密的结果,一般是用结果的前4字节数据。
其它密钥
TEK — 终端报文密钥
ZEK — 区域报文密钥
CVK — 卡检验密钥
DSK — 数据存储密钥
使用场合
1.持卡人密码(PIN工作密钥使用场合)
用来确定持卡人的身份与信用卡相符,通常是6位数字(明文)。密码应该只有持卡人自己知道。密码要送到银行主机内核对,也就是说在密码的传送过程中不能被其他人获得密码明文,就算是银行人员也不能知道。因此在密码明文输入后就必须一直以密文的形式存在,就算是银行核对密码也应该核对密码密文。
在POS上使用信用卡,持卡人在密码键盘上输入密码明文,从密码键盘出来的数据就是加密过的密码密文数据,这样在密码传输过程中(密码键盘到POS,POS到银行主机)就算被截取了,也无法获知密码明文。
2.数据包校验(MAC密钥使用场合)
按照通讯双方约定的要求,对整个需传送的数据报文或者一些具体的域组成的字符串用MAC密钥,按照约定的要求进行运算,结果为8位的校验数据,放在发送报文的后面一起发送,如果参与运算的字符串被恶意修改,则运算的结果会不同,对方收到此数据包后,也需先按照相同的方式来对数据包进行运算,并对运算的结果与收到的结果进行比对,以判断此报文的合法性。只有合法的报文才能进行下一步的操作,否则认为是非法包,拒绝处理。
3.密钥校验(KCV使用场合)
1)母POS主密钥输入时,用输入密钥分量对8字节0x00做TDES计算。显示校验值取前4字节用于人工比对校验值.
2)在实际应用签到下载工作密钥时,后台下发的密钥密文后面会带有4字节checkvalue。终端在保存工作密钥时,需要将工作密钥密文用主密钥(与后台一致的主密钥)对其解密,得到工作密钥的明文,再对8字节0x00做加密算法,取结果的前四位与checkvalue 的值比较应该是一致的,如果不一致,这次下载工作密钥失败,终端应不能做正常业务。
工作密钥加解密方法
1.个人标识码(PIN)的加密和解密方法
请参考《销售点终端(POS)应用规范-2013》附录A
2.POS终端MAC的算法
请参考《销售点终端(POS)应用规范-2013》附录B
3.磁道信息加密算法
请参考《销售点终端(POS)应用规范-2013》附录E