KMS发卡流程及安全数据处理流程讲解.ppt

密钥管理系统

内容PBOC2.0密钥管理系统(KMS) ----发卡处理流程 ----平安数据〔密钥、证书、签名应用数据〕处理流程2

密钥术语KMC——个人化主密钥(发卡行主密钥)KEK——发卡行密钥交换密钥TK——数据加密密钥MDK-AC——借记/贷记应用联机验证密钥MDK-MAC——借记/贷记应用信息认证密钥MDK-ENC——借记/贷记应用数据加密密钥K-ENC——加密分散密钥K-MAC——校验码分散密钥K-DEK——密钥加密分散密钥3

PBOC2.0PBOC是中国人民银行的英文名称的缩写，也就是我们平时所说的央行。PBOC2.0是中国人民银行公布的第二代金融IC卡标准的简称，利用金融IC卡，能够有效解决目前使用磁条卡时存在的假卡、脱机交易平安等问题。根据我国银行卡芯片化方案要求，2005年3月13日，人民银行发布第55号文，正式颁发了行业标准《中国金融集成电路〔IC〕卡标准》〔JR/T0025-2005〕(业内简称PBOC2.0)。4

PBOC2.0标准金融IC卡借记/贷记应用根CA公钥认证标准 动态数据认证标准中国金融集成电路〔IC〕卡标准第10局部：借记/贷记应用个人化指南平安数据的产生局部5

PBOC2.0：标准动态数据认证在动态数据认证〔DDA〕过程中，终端验证卡片上的静态数据以及卡片产生的当前动态交易数据的签名。DDA能确认卡片上的发卡机构应用数据自卡片个人化后没有被非法篡改，更重要的是DDA还能确认卡片的真实性，防止卡片的非法复制和伪造。6

对称密钥与非对称密钥密码学中常见的密码算法为对称密钥算法和非对称密钥算法对称密钥加密又叫专用密钥加密，即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括：DES、3DES、IDEA、FEAL、BLOWFISH等。非对称密钥加密也叫公开密钥加密，是指每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。主要包括：RSA7

8

密钥区一般说来，个人化过程有三个密钥区：在发卡行和数据准备系统之间有一个密钥区，在数据准备系统和个人化设备之间有一个密钥区，在个人化设备和卡片之间还有一个密钥区9

密钥区密钥在发卡行和数据准备系统之间的密钥区里，建有一个通称为KEK〔密钥交换密钥〕的加密密钥，采用该密钥对中国金融集成电路〔IC〕卡的平安信息进行加密接收来自发卡行的机密数据时，必须把KEK密钥置换成TK〔传输密钥〕，以便在数据准备过程和个人化设备之间对机密数据进行加密。个人化设备接收这些机密数据时，机密数据必须从TK变换成IC卡的K-DEK，然后通过个人化过程被传送给IC卡，再由IC卡对它们进行解密和存储。10

11

密钥管理系统(KMS) 以PBOC2.0相关标准及中国银联相关业务标准为根底，结合光大银行现有的业务情况，建立的密钥管理系统，以满足金融IC卡业务发卡要求负责完成PBOC2.0标准的发卡行证书的申请、管理等；负责IC卡应用相关的密钥〔包括应用密钥、卡片个人化交换主密钥等〕管理；负责分发各类密钥到卡片制造商、卡片个人化中心及业务前置交易加密机等；对于对称、非对称密钥体系的各种密钥管理；其它与密钥管理相关的功能需求，如密钥操作审计，密钥操作权限限制的等功能。12

发卡处理流程13IC卡的发卡流程涉及的系统有核心系统、数据准备系统、密钥管理系统和个人化系统。发卡流程说明如下：1、核心系统产生原始制卡数据文件；2、数据准备系统接收到核心系统产生的原始制卡文件后，增加制卡数据准备任务；3、数据准备系统对任务进行预处理，主要是对原始制卡文件进行解析；4、数据准备系统向密钥管理系统申请每张IC卡的密钥、证书数据；5、数据准备系统根据原始制卡数据文件、每张IC卡的密钥、证书数据，生成每张卡的目标制卡文件；6、数据准备系统打包并发送目标制卡文件；7、个人化系统接收到目标制卡文件后，完成IC卡的写卡操作。

示意图14

系统功能15核心系统发卡时，产生源制卡数据文件交易时，受理IC卡联机交易密码效劳系统IC卡联机交易的平安验证密钥管理系统管理发卡行证书、IC卡根密钥等生成IC卡的密钥、证书数据数据准备系统接收并解析核心系统的原始制卡数据文件向密钥管理系统申请IC卡的密钥、证书数据生成目标制卡文件个人化系统完成IC卡的写卡

四种数据流16红色线密钥、证书数据实线表示实时的数据，虚线表示手工操作的数据