銀行整體安全設(shè)計(jì)

1、*商業(yè)銀行整體安全設(shè)計(jì)2010年7月范福勝 TOC o 1-5 h z HYPERLINK l bookmark75 o Current Document 術(shù)語5 HYPERLINK l bookmark87 o Current Document 概述6 HYPERLINK l bookmark90 o Current Document 整體安全目標(biāo)7 HYPERLINK l bookmark93 o Current Document 用戶密碼處理全過程加密7 HYPERLINK l bookmark96 o Current Document 集中安全管理7 HYPERLINK l bookm

2、ark99 o Current Document 加密設(shè)備集中管理7 HYPERLINK l bookmark102 o Current Document 安全功能接口標(biāo)準(zhǔn)統(tǒng)一8 HYPERLINK l bookmark105 o Current Document 提高管理效率8 HYPERLINK l bookmark108 o Current Document 全行安全系統(tǒng)框架9 HYPERLINK l bookmark111 o Current Document 全行安全系統(tǒng)架構(gòu)9 HYPERLINK l bookmark114 o Current Document 安全系統(tǒng)架構(gòu)說明9

3、HYPERLINK l bookmark117 o Current Document 數(shù)據(jù)安全設(shè)計(jì)11 HYPERLINK l bookmark120 o Current Document 分段設(shè)計(jì)11 HYPERLINK l bookmark123 o Current Document 傳輸段的安全設(shè)計(jì)11 HYPERLINK l bookmark127 o Current Document PIN加密傳輸?shù)膶?shí)現(xiàn)12 HYPERLINK l bookmark130 o Current Document 密鑰設(shè)計(jì)12 HYPERLINK l bookmark139 o Current Docu

4、ment 安全傳輸選用的算法12 HYPERLINK l bookmark142 o Current Document PIN存儲安全設(shè)計(jì)13依據(jù)賬戶類型設(shè)計(jì).13密鑰設(shè)計(jì)13安全處理流程13PIN的存儲算法14 HYPERLINK l bookmark150 o Current Document CVV安全生成驗(yàn)證設(shè)計(jì)14依據(jù)卡類型設(shè)計(jì)14密鑰設(shè)計(jì)14安全處理流程14CVV 的算法14 HYPERLINK l bookmark158 o Current Document 密碼信封的批量打印 15 HYPERLINK l bookmark161 o Current Document 密碼遷移1

5、5 HYPERLINK l bookmark164 o Current Document 節(jié)點(diǎn)密鑰設(shè)計(jì)16 HYPERLINK l bookmark167 o Current Document 密鑰關(guān)系圖16 HYPERLINK l bookmark170 o Current Document 核心系統(tǒng)16 HYPERLINK l bookmark178 o Current Document 第三方機(jī)構(gòu)16 HYPERLINK l bookmark184 o Current Document ATM 設(shè)備17 HYPERLINK l bookmark190 o Current Document

6、 柜面17業(yè)務(wù)信息流加密過程18 HYPERLINK l bookmark195 o Current Document 用戶密碼流18柜面業(yè)務(wù)密碼18ATM業(yè)務(wù)密碼.19第三方機(jī)構(gòu)密碼20 HYPERLINK l bookmark219 o Current Document 報(bào)文安全控制流21 HYPERLINK l bookmark222 o Current Document 柜面密碼鍵盤初始化和啟用過程22 HYPERLINK l bookmark225 o Current Document 密碼鍵盤初始化過程圖示22 HYPERLINK l bookmark228 o Current D

7、ocument 密碼鍵盤初始化過程說明23 HYPERLINK l bookmark236 o Current Document 密碼鍵盤啟用過程說明23 HYPERLINK l bookmark239 o Current Document 密碼鍵盤編碼說明23 HYPERLINK l bookmark242 o Current Document 網(wǎng)點(diǎn)柜面ZMK的更新過程24 HYPERLINK l bookmark245 o Current Document ZMK的更新過程流程圖示24 HYPERLINK l bookmark248 o Current Document ZMK的更新過程流

8、程圖示說明 25 HYPERLINK l bookmark257 o Current Document ZMK更新啟發(fā)機(jī)制25 HYPERLINK l bookmark267 o Current Document 網(wǎng)點(diǎn)柜面ZPK更新26 HYPERLINK l bookmark270 o Current Document 柜面ZPK更新圖示26 HYPERLINK l bookmark273 o Current Document ZPK密鑰下載更新過程說明26 HYPERLINK l bookmark276 o Current Document CVV 遷移28 HYPERLINK l boo

9、kmark279 o Current Document 標(biāo)準(zhǔn)CVV算法28 HYPERLINK l bookmark282 o Current Document 非標(biāo)準(zhǔn)CVV算法28 HYPERLINK l bookmark285 o Current Document 一機(jī)一密改造29 HYPERLINK l bookmark288 o Current Document 終端初始化方案29 HYPERLINK l bookmark291 o Current Document 密碼服務(wù)平臺配置和接口 30 HYPERLINK l bookmark294 o Current Document 設(shè)備

10、配置30 HYPERLINK l bookmark297 o Current Document 實(shí)施周期30 HYPERLINK l bookmark300 o Current Document 提交開發(fā)接口庫30 HYPERLINK l bookmark303 o Current Document 提交的接口功能31 HYPERLINK l bookmark306 o Current Document 其它專用接口31 HYPERLINK l bookmark309 o Current Document 實(shí)施步驟和建議32 HYPERLINK l bookmark312 o Current

11、Document 綜合前置系統(tǒng)32 HYPERLINK l bookmark315 o Current Document 城商行清算系統(tǒng)32 HYPERLINK l bookmark318 o Current Document 柜面系統(tǒng)32 HYPERLINK l bookmark321 o Current Document 核心系統(tǒng)32 HYPERLINK l bookmark324 o Current Document ATMP 系統(tǒng)32 HYPERLINK l bookmark327 o Current Document 第三方支付系統(tǒng)321術(shù)語HSM： Host Security Mo

12、dule，即主機(jī)硬件加密器是一個(gè)堅(jiān)固的抗干擾的硬件加密 裝置。在本方案中是指金融數(shù)據(jù)加密機(jī)。LMK： Local Master Key，即本地主密鑰是存入在加密機(jī)內(nèi)的由三個(gè)成分合成，是 整個(gè)安全體系中的最高層密鑰。ZMK： Zone Master Key，即區(qū)域主密鑰是總行與分行、總行與支行等兩個(gè)區(qū)域之 間傳輸工作密鑰的密鑰。PVK： PIN Verification Key，即PIN驗(yàn)證密鑰，用于總行產(chǎn)生PIN-Offset及校驗(yàn) PIN。CVK： Card Verification Key，即卡驗(yàn)證密鑰，用于銀行卡的合法性驗(yàn)證。ZPK：即區(qū)域PIN密鑰是一個(gè)數(shù)據(jù)加密密鑰，用于加密兩個(gè)通訊網(wǎng)

13、點(diǎn)之間需傳輸 的PIN，這樣就實(shí)現(xiàn)了 PIN的保密。ZAK：即區(qū)域MAC密鑰是一個(gè)數(shù)據(jù)加密密鑰，用于兩個(gè)通訊網(wǎng)點(diǎn)之間傳送信息時(shí)， 生成和校驗(yàn)一個(gè)信息認(rèn)證代碼(MAC)，從而達(dá)到信息認(rèn)證的目的。PIN: Personal Identification Number，即客戶個(gè)人密碼。MAC： Message Authentication Code，即信息認(rèn)證代碼，可用于總行與分行、分行 與支行/網(wǎng)點(diǎn)之間的數(shù)據(jù)交換，以保障信息的完整性。2概述此文檔是在前期技術(shù)溝通交流和需求調(diào)研的基礎(chǔ)上，根據(jù)目前行內(nèi)業(yè)務(wù)系統(tǒng)的安全現(xiàn) 狀，對行內(nèi)安全業(yè)務(wù)系統(tǒng)中的安全節(jié)點(diǎn)進(jìn)行改造并詳細(xì)描述，用于指導(dǎo)新系統(tǒng)的安全規(guī)劃 設(shè)計(jì)

14、，對應(yīng)安全方面的技術(shù)開發(fā)以及現(xiàn)場實(shí)施。本方案涉及核心域，行內(nèi)前置域，柜面系統(tǒng)，城商行清算，第三方支付系統(tǒng)，一機(jī)一 密改造。由于目前行內(nèi)的計(jì)劃可能無法全部實(shí)現(xiàn)此安全方案，因此在此次系統(tǒng)改造過程中， 可逐步實(shí)現(xiàn)此安全方案規(guī)劃，對于目前有些系統(tǒng)無法實(shí)現(xiàn)的，可在以后條件成熟的條件下 逐步實(shí)現(xiàn)。3整體安全目標(biāo)3.1用戶密碼處理全過程加密用戶PIN在業(yè)務(wù)系統(tǒng)中，全部在密文方式進(jìn)行加密傳輸。在業(yè)務(wù)系統(tǒng)中的任意交易點(diǎn)， 用戶PIN將以密文的形式存在。用戶在交易時(shí)，PIN明文直接從密碼鍵盤輸入后，由密碼鍵盤加密輸出。用戶PIN信息從一個(gè)節(jié)點(diǎn)傳輸?shù)搅硪还?jié)點(diǎn)時(shí)，將由加密機(jī)解密，同時(shí)以另一節(jié)點(diǎn)的密鑰加密輸出，保證用戶

15、PIN在傳輸時(shí)，不會(huì)出現(xiàn)明文。用戶的PIN在主機(jī)做驗(yàn)證時(shí)，將數(shù)據(jù)庫保存的密文和交易PIN密文直接送加密機(jī)，由 加密機(jī)驗(yàn)證用戶密碼是否一致。3.2集中安全管理抽象全行業(yè)務(wù)系統(tǒng)的安全屬性和加密功能，統(tǒng)一管理所有業(yè)務(wù)系統(tǒng)的安全處理。對全 行各節(jié)點(diǎn)的密鑰，實(shí)現(xiàn)統(tǒng)一的生成、傳輸、保存、使用和銷毀。統(tǒng)一全行業(yè)務(wù)系統(tǒng)的安全機(jī)制，實(shí)現(xiàn)可管理的安全。可根據(jù)管理角色和管理制度實(shí)現(xiàn) 透明安全管理。制定統(tǒng)一的安全服務(wù)和安全監(jiān)控管理機(jī)制。3.3加密設(shè)備集中管理統(tǒng)一的設(shè)備管理，將加密設(shè)備集中統(tǒng)一起來，由密碼服務(wù)平臺統(tǒng)一管理。設(shè)備不與任 何業(yè)務(wù)系統(tǒng)關(guān)聯(lián)，提供統(tǒng)一的加密、解密服務(wù)。終端加密設(shè)備（如密碼鍵盤），由密碼服務(wù)平臺集

16、中初始化，集中調(diào)度。由安全系統(tǒng)集中對設(shè)備的使用、調(diào)度和監(jiān)控?？筛鶕?jù)實(shí)際情況，動(dòng)態(tài)分配加密設(shè)備和減少設(shè)備以及對某一設(shè)備的操作維護(hù)。設(shè)備的操作維護(hù)不影響現(xiàn)有的業(yè)務(wù)系統(tǒng)和其它相關(guān)的管理系統(tǒng)。3.4安全功能接口標(biāo)準(zhǔn)統(tǒng)一統(tǒng)一制定全行安全系統(tǒng)的服務(wù)功能，對不同的業(yè)務(wù)系統(tǒng)統(tǒng)一接口調(diào)用。不同的開發(fā)人員和業(yè)務(wù)系統(tǒng)，統(tǒng)一使用標(biāo)準(zhǔn)的接口程序。全行維護(hù)和管理一套標(biāo)準(zhǔn)的 接口程序。標(biāo)準(zhǔn)安全功能接口不涉及到相應(yīng)的設(shè)備，采取安全接口與設(shè)備無關(guān)性，同時(shí)也 與密鑰無關(guān)性。安全接口的使用者，無法得到相關(guān)加密設(shè)備的信息和密鑰信息。3.5提高管理效率統(tǒng)一安全管理機(jī)制、集中設(shè)備管理機(jī)制、統(tǒng)一功能接口開發(fā)、調(diào)用和維護(hù)，提供開發(fā)、 運(yùn)維的

17、管理效率。全行密鑰的集中生成、維護(hù)、保存、使用、更新，不需采用原有的分布式管理，提供 密鑰管理的效率。4全行安全系統(tǒng)框架4.1全行安全系統(tǒng)架構(gòu)圖安全系統(tǒng)框架4.2安全系統(tǒng)架構(gòu)說明 密碼服務(wù)平臺部署密碼服務(wù)平臺可跟綜合前置部署在同一臺服務(wù)器，平臺的熱備機(jī)制可跟綜合前置系統(tǒng)一致（服務(wù)器自帶HA功能），密碼服務(wù)平臺主備系統(tǒng)的密鑰實(shí)時(shí)同步。密鑰存儲：各節(jié)點(diǎn)和終端密鑰統(tǒng)一保存在密碼服務(wù)平臺，加密機(jī)只保存加密機(jī)主密鑰以及私鑰；密鑰命名規(guī)則：密鑰的全名由三部分組成：Application.Owner.Name其中：Application,是2位的應(yīng)用編號。Owner，是密鑰擁有者的標(biāo)識，長度不限。Name，

18、是應(yīng)用系統(tǒng)為這類密鑰起的名稱（標(biāo)識），長度不限。密鑰全名的總長度（包括分隔符“.”），最長為40字符。密鑰全名可以包括字母、數(shù)字、-”、_”、漢字，等等；“.”，只能用做分隔符。密鑰的全名由密鑰設(shè)計(jì)方案分配。系統(tǒng)安全接口調(diào)用：密碼服務(wù)平臺支撐全行業(yè)務(wù)系統(tǒng)的安全功能，各系統(tǒng)統(tǒng)一調(diào)用密碼服務(wù)平臺實(shí)現(xiàn) 安全需求。加密機(jī)部署：密碼服務(wù)平臺掛載兩臺或多臺加密機(jī)，實(shí)現(xiàn)加密機(jī)雙機(jī)熱備、負(fù)載均衡功能；測試環(huán)境部署：測試環(huán)境的搭建可考慮使用SJL06加密機(jī)；5數(shù)據(jù)安全設(shè)計(jì)5.1分段設(shè)計(jì)采用分段安全傳輸設(shè)計(jì)原則，即：每兩個(gè)相鄰的節(jié)點(diǎn)之間的數(shù)據(jù)傳輸，作一個(gè)最小的 安全傳輸設(shè)計(jì)單位；一個(gè)完整的、多節(jié)點(diǎn)的、數(shù)據(jù)交換流程

19、的安全，是通過分段保證每兩 個(gè)相鄰節(jié)點(diǎn)之間的傳輸安全而實(shí)現(xiàn)的。圖5-1是一個(gè)數(shù)據(jù)傳輸流程的安全設(shè)計(jì)：:圖5-1圖5-1數(shù)據(jù)傳輸流程的安全設(shè)計(jì)圖5-1中數(shù)據(jù)傳輸流程，分為了兩個(gè)安全傳輸段。每一安全傳輸段，都可以獨(dú)立設(shè)計(jì)、 實(shí)現(xiàn)。有N個(gè)節(jié)點(diǎn)的傳輸流程，可以設(shè)計(jì)（N-1）個(gè)安全傳輸段。5.2傳輸段的安全設(shè)計(jì)在每一段中，前面的節(jié)點(diǎn)是上游節(jié)點(diǎn)，后面的節(jié)點(diǎn)是下游節(jié)點(diǎn)。交易請求報(bào)文由上游節(jié)點(diǎn)發(fā)往下游節(jié)點(diǎn)，交易響應(yīng)報(bào)文由下游節(jié)點(diǎn)發(fā)往上游節(jié)點(diǎn)；如圖4-2所示:上 游 節(jié) 點(diǎn)八、請求上 游 節(jié) 點(diǎn)八、請求響應(yīng)下 游 節(jié) 點(diǎn)八、圖5-2安全傳輸段傳輸?shù)膱?bào)文針對每一個(gè)傳輸段，采用以下安全設(shè)計(jì)：請求報(bào)文數(shù)據(jù)中附加MAC

20、，即上游節(jié)點(diǎn)對請求報(bào)文生成MAC，下游節(jié)點(diǎn)要驗(yàn)證 請求報(bào)文中的MAC，驗(yàn)證通過之后，才認(rèn)為請求報(bào)文合法。響應(yīng)報(bào)文數(shù)據(jù)中附加MAC，即下游節(jié)點(diǎn)對響應(yīng)報(bào)文生成MAC，上游節(jié)點(diǎn)要驗(yàn)證 響應(yīng)報(bào)文中的MAC，驗(yàn)證通過之后，才認(rèn)為響應(yīng)合法。如果請求報(bào)文中有PIN, PIN加密傳輸。PIN加密傳輸實(shí)現(xiàn)方式，見后文。5.3 PIN加密傳輸?shù)膶?shí)現(xiàn)PIN加密傳輸，總是由上游節(jié)點(diǎn)加密，然后向下游節(jié)點(diǎn)發(fā)送。下游節(jié)點(diǎn)不向上游節(jié)點(diǎn) 發(fā)送PIN。上游節(jié)點(diǎn)在發(fā)送PIN明文之前，對PIN的處理分為兩類：如果上游節(jié)點(diǎn)是交易的原始受理點(diǎn)，那么這個(gè)節(jié)點(diǎn)是對明文的PIN加密之后， 再向下游節(jié)點(diǎn)發(fā)送。如果上游節(jié)點(diǎn)是數(shù)據(jù)傳輸中的一個(gè)中間節(jié)

21、點(diǎn)，這個(gè)節(jié)點(diǎn)就即是下游節(jié)點(diǎn)（對 于前一節(jié)點(diǎn)而言）也是上游節(jié)點(diǎn)（對于下一節(jié)點(diǎn)后而言）。那么這個(gè)節(jié)點(diǎn)要將 它的上游節(jié)點(diǎn)加密的PIN密文，轉(zhuǎn)換為它的下游節(jié)點(diǎn)可以識別的PIN密文。5.4密鑰設(shè)計(jì)安全傳輸段的兩個(gè)節(jié)點(diǎn)之間，采用對稱密鑰算法實(shí)現(xiàn)數(shù)據(jù)安全傳輸。在一個(gè)安全傳輸段，兩個(gè)節(jié)點(diǎn)之間，約定以下密鑰：1個(gè)ZPK密鑰，上游節(jié)點(diǎn)加密PIN或轉(zhuǎn)換PIN密文時(shí)，使用該ZPK密鑰。1個(gè)ZAK密鑰，兩個(gè)節(jié)點(diǎn)生成/驗(yàn)證MAC時(shí)使用。1個(gè)ZMK密鑰，如果兩個(gè)節(jié)點(diǎn)之間，要通過密鑰置換交易同步ZPK/ZAK，需要 設(shè)計(jì)這個(gè)密鑰。在兩節(jié)點(diǎn)間傳輸ZPK/ZAK時(shí)，用于加密要傳輸?shù)腪PK/ZAK。每一個(gè)傳輸段，需要上述密鑰中的那

22、幾個(gè)，視情況而定：節(jié)點(diǎn)之間無PIN傳輸?shù)?，不需要ZPK。節(jié)點(diǎn)之間，不附加MAC的，不需要ZAK。節(jié)點(diǎn)之間，不通過報(bào)文傳輸ZPK/ZAK，不需要ZMK。每個(gè)密鑰，都需要保持兩個(gè)版本，以保證在一個(gè)節(jié)點(diǎn)更新密鑰之后，另一個(gè)節(jié)點(diǎn)沒有 同步更新密鑰時(shí)，交易仍能正常進(jìn)行。但新版本密鑰生效之后，舊版本密鑰繼續(xù)有效的時(shí) 間，應(yīng)該設(shè)一上限值。5.5安全傳輸選用的算法PIN加密：選用ansi x9.8標(biāo)準(zhǔn)。MAC：選用 ansi x9.9/x9.19 標(biāo)準(zhǔn)。5.6 PIN存儲安全設(shè)計(jì)本方案只考慮PIN的安全存儲，不考慮其它數(shù)據(jù)的安全存儲。5.6.1依據(jù)賬戶類型設(shè)計(jì)本方案依據(jù)賬戶類型設(shè)計(jì)PIN的安全存儲，即：將每一

23、類賬戶的PIN,視為一個(gè)最小 安全存儲設(shè)計(jì)單位，為每類賬戶設(shè)計(jì)一個(gè)PIN安全存儲方案。如有N類賬戶，則有N個(gè)安 全存儲方案。每個(gè)PIN安全存儲方案，其設(shè)計(jì)要點(diǎn)都相同。5.6.2密鑰設(shè)計(jì)每個(gè)PIN安全存儲方案中，都包括1個(gè)PVK密鑰，這個(gè)密鑰加密了 PIN之后，獲取一 個(gè)PIN密文，這個(gè)PIN密文存儲在業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫中。強(qiáng)調(diào)：PVK加密PIN時(shí)，必須將PIN對應(yīng)的賬戶也作為一個(gè)加密參數(shù)，從而保證相同 PIN明文，不同的PIN賬戶，加密得到的PIN密文不同。5.6.3安全處理流程每個(gè)PIN安全儲存方案中，包括以下安全處理過程：PIN的存儲，即客戶第一次輸入PIN時(shí)，存儲PIN密文；或客戶更新PI

24、N時(shí)， 存儲新PIN的密文。PIN的驗(yàn)證，即客戶交易時(shí)，驗(yàn)證客戶的PIN。PIN的存儲流程PIN存儲節(jié)點(diǎn)，從其上游節(jié)點(diǎn)獲得一個(gè)ZPK加密的PIN密文（簡稱PinBlock）后，將 ZPK加密的PinBlock，轉(zhuǎn)換為PVK加密的PIN密文（簡稱PinOffset），然后將PinOffset 存儲到數(shù)據(jù)庫中。PIN的驗(yàn)證流程PIN存儲節(jié)點(diǎn)，從其上游節(jié)點(diǎn)獲得一個(gè)ZPK加密的PinBlock之后，從數(shù)據(jù)庫中獲取PVK 加密的PinOffset，然后將ZPK、PinBlock、PVK、PinOffset作為“函數(shù)”的輸入?yún)?shù)， 驗(yàn)證PIN是否正確。PIN的存儲算法PIN的存儲算法，考慮選用IBMPin

25、Offset生成算法。PIN的存儲算法，也可以考慮采用銀行自選的算法。5.7 CVV安全生成驗(yàn)證設(shè)計(jì)本方案將生成/驗(yàn)證CVV的節(jié)點(diǎn)，稱為CVV節(jié)點(diǎn)。5.7.1依據(jù)卡類型設(shè)計(jì)本方案依據(jù)卡類型設(shè)計(jì)CVV的生成/驗(yàn)證，即：將每一類卡，視為一個(gè)最小設(shè)計(jì)單位， 為每類卡設(shè)計(jì)一個(gè)CVV生成/驗(yàn)證方案。如有N類卡，則有N類CVV方案。每個(gè)CVV安全方案，其設(shè)計(jì)要點(diǎn)都相同。5.7.2密鑰設(shè)計(jì)每個(gè)CVV安全方案中，都包括1個(gè)CVK密鑰，這個(gè)密鑰用于生成CVV，存儲到磁道信 息中。5.7.3安全處理流程每個(gè)CVV安全方案中，包括以下安全處理過程：CVV的生成，即制卡時(shí)，使用CVK生成CVV，該CVV將寫入到磁道信

26、息中。CVV的驗(yàn)證，即卡交易時(shí)，取出磁道中的CVV，驗(yàn)證CVV。CVV的生成流程CVV節(jié)點(diǎn)，根據(jù)卡號、服務(wù)碼、有效期，使用CVK生成CVV，并將CVV放入磁道信息中。CVV的驗(yàn)證流程CVV節(jié)點(diǎn)，從磁道信息中獲取CVV，然后將CVK、CVV、卡號、服務(wù)代碼、有效期作為 “函數(shù)”的輸入?yún)?shù)，驗(yàn)證CVV是否正確。CVV的算法CVV的算法，應(yīng)該采用國際或國內(nèi)銀行卡交換機(jī)構(gòu)頒布的標(biāo)準(zhǔn)，比如VISA MASTER或 中國銀聯(lián)的標(biāo)準(zhǔn)，等等。5.8密碼信封的批量打印密碼信封的批量打印，通過文件傳輸進(jìn)行。如圖5-3所示:圖5-3密碼信封的批量打印過程圖示批量打印文件（文本文件），由業(yè)務(wù)系統(tǒng)提供。文件中的每條記錄

27、包括卡號、用戶名、 地址等基本信息，以及卡對應(yīng)的PIN密文。PIN密文使用一個(gè)ZPK加密。密碼平臺的批量打印程序根據(jù)打印文件，逐條記錄打印密碼信封。打印程序?qū)IN密文及其它信息送入加密機(jī)，加密機(jī)內(nèi)部解密PIN密文，然后按照預(yù) 定義的格式，打印密碼信封。5.9密碼遷移密碼批量遷移，指將數(shù)據(jù)庫中的一個(gè)密鑰加密的PIN密文，轉(zhuǎn)換為另一個(gè)密鑰加密的 PIN密文。密碼批量遷移，要通過編寫程序?qū)崿F(xiàn)。這個(gè)程序逐條從數(shù)據(jù)庫中讀出要遷移的密碼， 然后將密碼由一個(gè)PVK加密，轉(zhuǎn)換為另一個(gè)PVK加密，然后將新的PIN密文，替換數(shù)據(jù)庫 中舊的PIN密文。6節(jié)點(diǎn)密鑰設(shè)計(jì)6.1密鑰關(guān)系圖6.2核心系統(tǒng)核心系統(tǒng)主要與綜合

28、前置系統(tǒng)約定密鑰，所有核心系統(tǒng)所屬密鑰由密碼服務(wù)平臺保存， 由于核心系統(tǒng)還有驗(yàn)證（pin和卡）等功能，因此核心系統(tǒng)定義的密鑰有：ZMK:與綜合前置系統(tǒng)約定一對；ZPK:與綜合前置系統(tǒng)約定一對；ZAK:與綜合前置系統(tǒng)約定一對；PVK :保存一對，用于用戶密碼驗(yàn)證；CVK:保存多對，用于卡CVV驗(yàn)證；6.3第三方機(jī)構(gòu)第三方機(jī)構(gòu)業(yè)務(wù)系統(tǒng)如：銀聯(lián)業(yè)務(wù)、電話銀行等業(yè)務(wù)，全部統(tǒng)稱為第三方機(jī)構(gòu)業(yè)務(wù)。第三方機(jī)構(gòu)對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK、ZAK。ZMK:與第三方機(jī)構(gòu)和綜合前置系統(tǒng)各約定一對；ZPK:與第三方機(jī)構(gòu)和綜合前置系統(tǒng)各約定一對；ZAK:與第三方機(jī)構(gòu)和綜合前置系統(tǒng)

29、各約定一對；6.4 ATM設(shè)備ATM設(shè)備對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK、ZAK。ZMK:與每一 ATM設(shè)備各約定一對；ZPK:與每一 ATM設(shè)備各約定一對；ZAK:與每一 ATM設(shè)備各約定一對；6.5柜面柜面設(shè)備對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK。ZMK:與每一柜面終端各約定一對；ZPK:與每一柜面終端各約定一對；注：柜面一般不計(jì)算MAC7.1用戶密碼流7.1.1柜面業(yè)務(wù)密碼PIN的安全處理過程圖示柜面PIN的安全處理過程用戶/鍵盤柜面前置系統(tǒng)綜合前置核心系統(tǒng)密碼服務(wù)系統(tǒng)開始PIN處理用戶在密 碼鍵盤上 錄入密碼 明文pin明

30、文鍵盤內(nèi)程序使用zpk加密PIN用戶/鍵盤柜面前置系統(tǒng)綜合前置核心系統(tǒng)密碼服務(wù)系統(tǒng)開始PIN處理用戶在密 碼鍵盤上 錄入密碼 明文pin明文鍵盤內(nèi)程序使用zpk加密PINzpk加密的PIN密文zpk加密 的PIN 密文 通過（ActiveX 控件）從 鍵盤上讀 取 zpk加密的pin密 文一收到網(wǎng)點(diǎn) 傳來的 zpk 的PIN密 文Mpin 庫（與賬號相關(guān)）讀取pinOffsetzpk加密 的PIN 密文將pin密文不加處理地轉(zhuǎn)發(fā)將鍵盤標(biāo)識、zpk加密的pin密文、pinOffset、卡號一起送到密碼系統(tǒng)驗(yàn)證zpk加密的PIN密文.pinOffset .卡號w鍵盤標(biāo)識驗(yàn)證pinzpin驗(yàn)證結(jié)束在

31、此處調(diào)用密碼服務(wù)平臺NodeVerifyPinOffsetAndPinByzpkPIN安全處理流程說明用戶在密碼鍵盤上輸入PIN明文。密碼鍵盤使用ZPK對PIN的明文加密成PIN的密文發(fā)送給柜面系統(tǒng)。柜面系統(tǒng)通過ActiveX控件讀取ZPK加密的PIN密文。柜面系統(tǒng)將PIN的密文發(fā)送給綜合前置系統(tǒng)，綜合前置系統(tǒng)通過與核心系統(tǒng)約定 的ZPK加密后送核心系統(tǒng)驗(yàn)證。核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù) NodeVerifyPinOffsetAndPinByZpk，將鍵盤標(biāo)識、ZPK 加密的 PIN 密文、PINOFFSET、 卡號一起送到密碼服務(wù)平臺去驗(yàn)證。ATM

32、業(yè)務(wù)密碼PIN的安全處理過程圖示第三方機(jī)構(gòu)ZPK加密的PIN密PIN安全處理流程說明用戶在終端ATM機(jī)密碼鍵盤上輸入PIN明文。密碼鍵盤使用ZPK對PIN的明文加密成PIN的密文發(fā)送給ATMP系統(tǒng)。ATMP系統(tǒng)將PIN密文不做處理地發(fā)送給綜合前置。綜合前置系統(tǒng)判斷該P(yáng)IN是否屬于第三方機(jī)構(gòu)業(yè)務(wù)。若不是屬于第三方業(yè)務(wù)系統(tǒng)，核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密 碼服務(wù)平臺API接口函數(shù)NodeVerifyPinOffsetAndPinByZpk，將鍵盤標(biāo)識、ZPK 加密的PIN密文、PINOFFSET、卡號一起送到密碼服務(wù)平臺去驗(yàn)證。若是屬于第三方業(yè)務(wù)系統(tǒng)，綜合前置系統(tǒng)在收到ZPK加密

33、的PIN密文，通過調(diào)用 密碼服務(wù)平臺API接口函數(shù)轉(zhuǎn)換為第三方ZPK加密。將ZPK加密的PIN密文送第 三方機(jī)構(gòu)處理7.1.3第三方機(jī)構(gòu)密碼PIN的安全處理過程圖示第三方機(jī)構(gòu)系統(tǒng)PIN的安全處理過程第三方機(jī)構(gòu)綜合前置核心系統(tǒng)密碼服務(wù)系統(tǒng)ZPK加密的pin密文發(fā)送到前置系統(tǒng)zpk加密的PIN密文第三方機(jī)構(gòu)綜合前置核心系統(tǒng)密碼服務(wù)系統(tǒng)ZPK加密的pin密文發(fā)送到前置系統(tǒng)zpk加密的PIN密文zpk加密zpk加密的PIN密文pinOffset卡號鍵盤標(biāo)識驗(yàn)4證 pi nI pin驗(yàn)證結(jié)束PIN的安全處理流程說明第三方機(jī)構(gòu)業(yè)務(wù)系統(tǒng)將PIN密文發(fā)送給綜合前置。綜合前置系統(tǒng)將PIN密文轉(zhuǎn)加密后發(fā)送給核心系

34、統(tǒng)。核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeVerifyPinOffsetAndPinByZpk,將鍵盤標(biāo)識、ZPK 加密的 PIN 密文、PINOFFSET、 卡號一起送到密碼服務(wù)平臺去驗(yàn)證。7.2報(bào)文安全控制流安全報(bào)文處理主要是兩個(gè)節(jié)點(diǎn)之間的MAC生成和MAC驗(yàn)證，目的用于報(bào)文的完整性校 驗(yàn)和防篡改處理。8柜面密碼鍵盤初始化和啟用過程8.1密碼鍵盤初始化過程圖示密碼鍵盤初始化由專門的初始化系統(tǒng)與密碼服務(wù)平臺系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)。8.2密碼鍵盤初始化過程說明密碼鍵盤初始化系統(tǒng)與密碼服務(wù)平臺約定一套傳輸密鑰。密碼鍵盤初始化系統(tǒng)讀到密碼鍵盤編號，將編號送密碼服務(wù)平

35、臺系統(tǒng)。密碼服務(wù)平臺創(chuàng)建對應(yīng)的密碼鍵盤編號節(jié)點(diǎn)，在密碼服務(wù)平臺隨機(jī)生成ZMK，并將 ZMK存儲到密碼服務(wù)平臺。密碼鍵盤初始化系統(tǒng)根據(jù)收到ZMK密鑰密文，通過約定的傳輸密鑰解密，并將ZMK 明文存儲到密碼鍵盤。完成密碼鍵盤登記后，密碼服務(wù)平臺將等待鍵盤啟用的申請。8.3密碼鍵盤啟用過程說明密碼平臺收到柜面啟用密碼鍵盤請求，調(diào)用密碼平臺提供的專用功能函數(shù) (NodeActive)即可。密碼服務(wù)平臺收到密碼鍵盤啟用動(dòng)作后，自動(dòng)生成新的ZMK。8.4密碼鍵盤編碼說明密碼鍵盤設(shè)備ID長度為9位，BANCS交易報(bào)文提供兩個(gè)相鄰欄位共10字節(jié)供密碼鍵 盤設(shè)備ID使用。9網(wǎng)點(diǎn)柜面ZMK的更新過程9.1 ZMK

36、的更新過程流程圖示調(diào)用密碼服務(wù)平臺NodeReadKey!鍵盤網(wǎng)點(diǎn)柜面系統(tǒng)柜面前置系統(tǒng)密碼服務(wù)系統(tǒng)開始、更新隨機(jī)生成新的ZMK，將原當(dāng)前ZMK置為舊版ZMK開始ZMK下載等待下載ZMK申請調(diào)用密碼服務(wù)系統(tǒng)下載ZMK函數(shù)鍵盤編號鍵盤 內(nèi)的舊ZMK加程序*密的ZMK、存儲ZMK的ZMK校驗(yàn)值通過（Active*控件）向鍵盤存儲ZMK盤編號舊ZMK加密的ZMK、ZMK的校驗(yàn)值ZMKT載結(jié)束舊ZMK加密的 ZMK、ZMK的校驗(yàn)值將新生成的ZMK使用舊版ZMK加JZMKM新結(jié)束圖6-1 ZMK更新流程圖ZMK的更新過程流程圖示說明ZMK下載請求首先由網(wǎng)點(diǎn)的柜面系統(tǒng)發(fā)起申請，在請求報(bào)文中通過鍵盤編號來標(biāo)識

37、 所下載的ZMK密鑰。柜面前置系統(tǒng)收到ZMK下載申請后，調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeReadKey， 讀取密碼服務(wù)平臺中密鑰庫中對應(yīng)的密鑰，等待密碼服務(wù)平臺的應(yīng)答。密碼服務(wù)平臺在收到函數(shù)NodeReadKey調(diào)用的請求后，新生成的ZMK用舊的ZMK 加密，并且將密文和校驗(yàn)值返回給柜面前置系統(tǒng)。柜面前置系統(tǒng)將新生成的ZMK的密文和校驗(yàn)值返回給網(wǎng)點(diǎn)柜面。網(wǎng)點(diǎn)柜面系統(tǒng)在通過ActiveX將新生成的ZMK密文和校驗(yàn)值寫入密碼鍵盤。ZMK更新啟發(fā)機(jī)制密碼服務(wù)平臺，保存與不同柜面約定的ZMK密鑰（柜面ZMK保存在對應(yīng)的密碼鍵盤上）。 密鑰庫記錄ZMK密鑰的失效時(shí)間。當(dāng)柜面向平臺申請工作密鑰時(shí)，密

38、碼平臺判斷對應(yīng)的保護(hù)ZMK是否過有效期，若ZMK 密鑰過有效期，則不允許做密鑰更新，向柜面系統(tǒng)返回相應(yīng)錯(cuò)誤代碼，表示需要柜面手工 更新ZMK。另外，若柜面系統(tǒng)簽到時(shí)，若系統(tǒng)多次申請工作密鑰不成功，則需要手工發(fā)起更新ZMK 請求。鍵盤編號ZMK加密 的ZPK ZPK鍵盤編號ZMK加密 的ZPK ZPK的 校驗(yàn)值密碼服務(wù)平臺10網(wǎng)點(diǎn)柜面ZPK更新柜面ZPK密鑰更新，采用直接從柜面前置系統(tǒng)申請密鑰方式。柜面前置系統(tǒng)定期（如晚上12點(diǎn)）生成全部柜面終端的工作密鑰，柜員向簽到時(shí)，柜 面前置系統(tǒng)從密鑰庫中讀取工作密鑰（ZPK），將工作下傳到柜面終端的密碼鍵盤上。柜員換班時(shí)，若工作密鑰需要更新，可由系統(tǒng)或手

39、式的方式，強(qiáng)制更新ZPK密鑰。密 碼服務(wù)平臺隨機(jī)生成新的ZPK密鑰，并下發(fā)到對應(yīng)的柜面終端。10.1柜面ZPK更新圖示柜面ZPK更新過程隨機(jī)生成ZPK并存儲ZPK10.2 ZPK密鑰下載更新過程說明1.柜面前置系統(tǒng)定期生成全部柜面的ZPK工作密鑰，保存在密鑰庫中。2.ZPK下載請求首先由網(wǎng)點(diǎn)的柜面系統(tǒng)向柜面前置系統(tǒng)發(fā)起申請，在請求報(bào)文中通過鍵盤編號來標(biāo)識所下載的ZPK密鑰。3.柜面前置系統(tǒng)讀取平臺保存的ZPK2.ZPK下載請求首先由網(wǎng)點(diǎn)的柜面系統(tǒng)向柜面前置系統(tǒng)發(fā)起申請，在請求報(bào)文中通過鍵盤編號來標(biāo)識所下載的ZPK密鑰。3.柜面前置系統(tǒng)讀取平臺保存的ZPK密文和校驗(yàn)值返回給網(wǎng)點(diǎn)柜面系統(tǒng)。4.網(wǎng)點(diǎn)柜面系統(tǒng)在通過ActiveX將新生成的ZPK密文和校驗(yàn)值寫入密碼鍵盤。10.3平臺ZPK密鑰下載過程判斷ZPK密鑰下發(fā)時(shí)，