1 PBOC2.0密码机类型 ? 密钥管理密码机 ? 发卡密码机 ? 交易密码机
2 密钥类型 ? 本地主密钥(LMK) ? 应用密钥(WK) ? 交换密钥(KEK1) ? 交换密钥(KEK2) ? 交换密钥(TK)
1
3 各类密码机存放密钥列表 所属系统 KMC系统 密码机类型 密钥管理密码机 密钥类型 工作主密钥WK(4个) 交换密钥KEK1(KMC-DP) DP系统 CP系统 银行业务系统 发卡密码机 传输密钥TK(BANK-DP) 交换密钥KEK1(KMC-DP) 交换密钥KEK2(DP-CP) 银行业务系统 交易密码机 工作主密钥WK(4个) 4 各类密钥在各密码机中的作用 1. WK:工作主密钥四个(MDK/MDKENC/MDKMAC/KMU),此密钥装载到密管密
码机及交易密码机
? MDK:用于卡片和发卡行进行联机验证
? MDKENC:用于对发卡后更新机密数据(脱机PIN)进行加密的对话密钥 ? MDKMAC:用于进行发卡后的数据更新所需要的消息认证对话密钥 ? KMU:卡片控制密钥,用于卡片个人化时的卡片认证
2. KEK1:卡证书及卡数据从KMC系统出来时的加密密钥,卡证书及卡数据导入
DP系统时的解密密钥,密钥值和KMC系统密管密码机的KEK1值一致 3. KEK2: 制卡数据文件出DP系统时的加密密钥及导入CP系统的解密密钥,
密钥值和CP系统发卡密码机的KEK2值一致
4. TK:发卡行业务系统与DP系统之间数据文件的加解密密钥
2
5 各类密码机密钥装载 5.1 密钥管理密码机
用密钥管理密码机“密钥管理员”登陆卡登陆密管密码机 选择“密钥管理”菜单下的“xx省密钥管理” 1. 选择“生成本地主密钥”
1) 输入码单A;例如:0123456789ABCDEF(16个16进制字符) 2) 输入码单B;例如:0123456789ABCDEF(16个16进制字符) 3) 本地主密钥生成完成 2. 选择“装载应用密钥”
1) 输入应用密钥索引;例如:00(2个16进制字符)
2) 输入密钥分量数;例如:01或02( 2个16进制字符,根据具体情况银行自定,
以下用02分量为例)
3) 输入控制密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
4) 输入控制密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 5) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
6) 输入加密密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
7) 输入加密密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符) 8) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
9) 输入校验密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
10) 输入校验密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符) 11) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
12) 输入发卡方主密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个
16进制字符)
13) 输入发卡方主密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF(32个
16进制字符) 14) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录) 15) 应用密钥装载完成
3. 选择“装载交换密钥”用于数据传出KMC系统的加密密钥KEK1
1) 输入应用密钥索引;例如:08(2个16进制字符)
2) 输入密钥分量数;例如:01或02( 2个16进制字符,根据具体情况银行自定,
以下用02分量为例)
3) 输入加密密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
4) 输入加密密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 5) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
6) 输入校验密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
7) 输入校验密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符)
3
8) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录) 9) 交换密钥装载完成
5.2 发卡密码机
用发卡密码机“密钥管理员”登陆卡登陆发卡密码机 选择“密钥管理”菜单下的“xx省密钥管理” 选择“生成本地主密钥”
1) 输入码单A;例如:0123456789ABCDEF(16个16进制字符) 2) 输入码单B;例如:0123456789ABCDEF(16个16进制字符) 3) 本地主密钥生成完成
选择“装载传输密钥”用于银行卡数据传入DP系统脱密密钥TK 1) 输入应用密钥索引;例如:05(2个16进制字符)
2) 输入密钥分量数;例如:01或02( 2个16进制字符,根据具体情况银行自定,
以下用02分量为例)
3) 输入控制密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
4) 输入控制密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 5) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
6) 输入校验密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
7) 输入校验密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 8) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录) 9) 传输密钥装载完成
选择“装载交换密钥”用于KMC数据传入DP系统脱密密钥KEK1 1) 输入应用密钥索引;例如:08(2个16进制字符)
2) 输入密钥分量数;例如:01或02( 2个16进制字符,根据具体情况银行自定,
以下用02分量为例)
3) 输入控制密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
4) 输入控制密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 5) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
6) 输入校验密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
7) 输入校验密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 8) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录) 9) 交换密钥装载完成
选择“装载交换密钥”用于DP系统产生的制卡数据加密密钥KEK2 1) 输入应用密钥索引;例如:08(2个16进制字符)
2) 输入密钥分量数;例如:01或02( 2个16进制字符,根据具体情况银行自定,
以下用02分量为例)
3) 输入控制密钥分量1;例如:0123456789ABCDEF0123456789ABCDEF(32个16进
制字符)
4) 输入控制密钥分量2;例如:0123456789ABCDEF0123456789ABCDEF (32个16进
制字符) 5) 点击“完成”,产生校验值;例如:0123456789ABCDE(此值请及时记录)
4
1.
2.
3.
4.
