下面介紹一下加密機中最主要的幾種密鑰:
1、加密機主密鑰(MK)
加密機主密鑰(Master Key - MK)是存入在HSM機內的由三個成分合成的一對最上層密鑰。在HSM機器以外的地方不會以明文形式存放,它採用雙倍標準DES密鑰(長達112位)實現三重數據加密。
HSM投入運行時,必須先產生和裝載MK。由於DES算法依靠某一個密鑰進行加密,同時所有密鑰和數據都經由MK進行加密,所以MK必須通過一種安全的方法生成和維護。
MK的產生需要銀行三位主要的管理人員參與產生,在SJL06主機加密模塊中採用MK(加密機主密鑰)對BMK進行加密保護;
MK由三個成分(32位十六進制數)組成,由加密機使用單位通過行政手段分派專人管理和維護,一般由2~3人採用"背對背"形式進行輸入;
MK以密文形式存儲在加密機黑匣子中,且永遠不以明文形式出現。
2、銀行主密鑰(BMK)
銀行主密鑰(BMK),是加密密鑰用的密鑰,適用於共享網絡中,它可以在共享網絡中兩個(或多個)通訊網點之間以部分形式進行人工分配且保持雙方的對稱性,共享網絡中任何兩個通訊網點之間均共用不同的BMK。BMK用於加密底層需要傳送的數據密鑰,這樣遠地密鑰就能自動進行交換(無須人工干預)。該密鑰可以長期不更改,通常二年更新一次。本地存儲時,BMK是通過MK進行加密的或以索引方式存儲在加密機中。
3、區域PIN密鑰(PIK)
區域PIN密鑰PIK是一個數據加密密鑰,適用於共享網絡,它通過BMK加密在兩個(或多個)通訊網點之間進行自動分配,PIK用於加密兩個通訊網點之間需傳輸的PIN,這樣就實現了PIN的保密。PIK需要經常性地定期更改,在本地存儲時,它是通過BMK進行加密的。PIK需要經常性地定期更改,通常每天更換一次。
4、區域MAC密鑰(MAK)
區域MAC密鑰MAK是一個數據加密密鑰,適用於共享網絡,它通過BMK加密在兩個(或多個)通訊網點之間進行自動分配。用於兩個通訊網點之間傳送信息時,生成和校驗一個信息認證代碼(Message Authentication Code),從而達到信息認證的目的。MAK需要經常性地定期更改,通常每天更換一次。
5、終端PIN密鑰(TPK)
終端PIN密鑰是一個數據加密用的密鑰,適用於局域網絡中,它是在局域網內通過TMK加密,由終端數據受理者自動分配到終端且保持通訊雙方之間的對稱性。TPK用於加密在局域網內終端和終端數據受理者之間傳送的PIN。TPK在本地存儲在加密機中通過索引的方式調用。TPK需要經常性地定期更換,通常每天更換一次。
6、終端認證密鑰(TAK)
終端認證密鑰是一個數據加密用的密鑰,適用於局域網內。它在局域網內通過TMK加密由終端數據受理者自動分配到終端或通過BMK加密由終端數據受理者自動分配到交換中心。TAK用於局域網內終端與終端數據受理者之間傳送信息時,生成和校驗一個信息認證代碼(Message Authentication Code),從而達到信息認證的目的。TAK需要經常性地更換,通常每天更換一次,TAK在本地存儲在加密機中通過索引的方式調用。
7、PIN 校驗密鑰(PVK)
PIN 校驗密鑰是一個數據加密密鑰,用於生成和校驗PIN校驗數據,同時校驗一個PIN的可靠性。傳送時PVK通過TMK或ZMK加密;存放本地時,它通過MK加密。
8、卡校驗密鑰(CVK)
卡校驗密鑰(CVK)類似於PIN校驗密鑰,僅僅是用卡的信息取代了PIN。
9、傳輸密鑰(Key-encrypting key)
用於加解密主密鑰
另外,Pos終端簽到成功,會得到以下結果:
Pin密鑰:加密密碼
Mac密鑰:加密報文
批次號:每次執行批結算-簽退流程,批次號會更新,一般交易號 = 批次號 + 流水號遞增