加密解密教程.ppt

LMK本地主密钥 本地主密钥是存入在HSM机内的50对LMK的集合。在HSM机器以外的地方不会以明文形式存放，它采用双倍标准DES密钥（长达112位）实现三重数据加密。所有的密钥和加密数据存放在本地时都必须经过LMK进行加密。 HSM投入运行时，必须先产生和装载LMK。 LMK的产生需要银行三位主要的管理人员参与产生，每人输入三组数据(二组十六位的十六进制数，一组八位的十进制数)。。HSM利用这三组数据通过一定的运算产生50对LMK存放在HSM机内的EPROM里供HSM使用。HSM在运行的过程中一旦被打开，这时机内所有LMK就会自动销毁，HSM允许LMKS可改变，但改变后所有通过LMKS进行加密的密钥和数据，需要解密后使用新的LMKS进行加密。更换LMK是一件风险极高的工作，一旦出错，会造成整个银行加密体系的失效。 LMK本地主密钥 产生过程 ZONE MASTER KEY (ZMK) 区域主密钥 Zone Master Key (ZMK)是处于三级密钥体系的第二级是加密密钥用的密钥，适用于广域网网络中，同一个广域网网络中任何两个通讯网点之间均共用不同的ZMK。ZMK用于加密底层需要传送的数据密钥（ZPK)，这样远地密钥就能自动进行交换(无须人工干预)。该密钥可以长期不更改，通常二年更新一次 。本地存储时，ZMK是通过LMK04-05进行加密的。 区域主密钥(ZMK)的产生 在产生ZMK的时候存在交换中心和成员行的概念，如果在中行网络里，总行就是交换中心，我行就是其中的成员行，在银联网络里银联就是交换中心，中行就是其成员行了。 ZMK的产生，是由交换中心提供两组或者三组16位16进制的明文给各成员行，各成员行收到后，由成员行两名或三名业务主管分别持有，输入本行的加密机，加密机产生被LMK加密后的ZMK密文和CHECK VALUES，将密文抄下，保存到主机数据库里。CHECK VALUES用于与交换中心进行核对明文输入是否输入正确。 什么是CHECK VALUES？ 由于LMK和ZMK以及TMK的产生都是由两组或者三组由不同人持有的明文输入加密机后产生的，但如果在输入过程中一旦输入错误会造成整个密钥体系无法正常工作，如何避免这种问题呢？ CHECK VALUES就是起到校验输入的明文是否正确的作用，它通过一个加密机通用的算法对明文进行计算得出的一个值，交换中心提供明文时一般会提供相应的CHECK VALUES,或者让成员行将自己加密机产生的CHECK VALUES发给交换中心，由它确定明文是否正确。 需要了解的是：只要明文是一致的CHECK VALUES一定是一样的。CHECK VALUES一致表示输入的明文是正确的，由此产生的相应密文才是正确的。 ZONE PIN KEY(ZPK) 区域工作密钥 区域PIN密钥是一个数据加密密钥，适用于共享网络，它通过ZMK加密在两个(或多个)通讯网点之间进行自动分配（交换密钥），ZPK用于加密两个通讯网点之间需传输的PIN，这样就实现了PIN的保密。ZPK需要经常性地定期更改，在本地存储时（本地指交换中心），它是通过LMK06-07进行加密的。 TERMINAL MASTER KEY (TMK) 终端主密钥 终端主密钥是一个加密密钥用的密钥，（处于三级密钥体系的哪一层？）使用于局域网络中。可以人工地或自动地在以前安装过TMK的基础上分配给通讯的双方且保持双方之间的对称性，它用于在局域网内对新产生的底层的数据加密用的密钥加密(TPK)，然后由主机端传输到ATM或POS或其它相似的终端。TMK可以长期不作改动，通常一到二年更换一次，本地存储时通过一对LMK14-15进行加密。 注意TMK和ZMK的区别。 TERMINAL PIN KEY (TPK) 终端PIN密钥 (终端工作密钥） 终端PIN密钥是一个数据加密用的密钥，（处于三层密钥体系的第三层）适用于局域网络中，它是在局域网内通过TMK加密，由终端数据受理者自动分配到终端且保持通讯双方之间的对称性。TPK用于加密在局域网内终端和终端数据受理者之间传送的PIN。本地存储时通过一对LMK14-15进行加密的。TPK需要经常性地定期更换，通常每天更换一次。 TERMINAL AUTHENTICATION KEY (TAK) 终端认证密钥 （MAC KEY) 终端认证密钥是一个数据加密用的密钥，适用于局域网内。它在局域网内通过TMK加密由终端数据受理者自动分配到终端,TAK用于局域网内终端与终端数据受理者之间传送信息时，生成和校验一个信息认证代码(Message Authentication Code)，从而达到信息认证的目的。TAK需要经常性地更换，通常每天更换一次，本地存储时通过一对LMK16-17进行加密。 (