银行卡网络安全系统采用了三级密钥管理体制,从上而下依次是主密钥、密钥交换密钥、数据密钥。上级密钥用于加密下级密钥,具体如下:
1. 主密钥用于加密密钥交换密钥和数据密钥作本地存储;
2. 密钥交换密钥用于加密数据密钥作网络传输;
3. 数据密钥用于对数据进行加解密。
三级密钥体制示意图:
三级密钥体制
- LMK:本地主密钥
- ZMK:区域主密钥
- TMK:终端主密钥
- ZAK:区域认证密钥
- ZPK:区域PIN密钥
- TAK:终端认证密钥
- TPK:终端PIN密钥
三级密钥体制说明
第一层,LMK为本地主密钥,共有50对不同的LMK,它是采用双倍标准的DES密钥(长达112位),它是存放在HSM机内的,它的作用是对所有在本地存放的其它密钥和加密数据进行加密,不同对的LMK用于加密不同的数据或密钥。由于本地存放的其它密钥和加密数据,都是在LMK加密之下。因此,LMK是最重要的密钥。
第二层,通常称为密钥加密密钥或传输密钥(Key-encrypting key),包括TMK、ZMK等密钥。它的作用是加密在通讯线上需要传递的数据密钥。从而实现数据密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密钥(KEK),从而实现密钥的分工管理,它在本地存放时,处于本地LMK的加密之下。
第三层,通常称为数据加密密钥或工作密钥。包括TPK、TAK、ZPK、ZAK、PVK、CVK等密钥,它的作用是加密各种不同的数据。从而实现数据的保密,信息的认证,以及数字签名的功能,这些数据密钥在本地存放时,处于本地LMK的加密之下。