收藏
下载资源

银行卡联网联合技术规范8数据传输安全说明

上传人:自*** 文档编号:78980396 上传时间:2019-02-15 格式:DOC 页数:10 大小:254KB
返回 下载 相关 举报
银行卡联网联合技术规范8数据传输安全说明_第1页
第1页 / 共10页
银行卡联网联合技术规范8数据传输安全说明_第2页
第2页 / 共10页
银行卡联网联合技术规范8数据传输安全说明_第3页
第3页 / 共10页
银行卡联网联合技术规范8数据传输安全说明_第4页
第4页 / 共10页
银行卡联网联合技术规范8数据传输安全说明_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《银行卡联网联合技术规范8数据传输安全说明》由会员分享,可在线阅读,更多相关《银行卡联网联合技术规范8数据传输安全说明(10页珍藏版)》请在金锄头文库上搜索。

1、银行卡联网联合技术规范第三部分 公共接口说明8. 数据传输安全说明8.1 系统概述本章主要说明在全国银行卡信息交换网中安全传送数据信息应达到的要求。包括数据传输安全要求、密钥管理方法和加密方法。8.1.1 数据传输安全要求加入全国银行卡信息交换网主干网的成员机构应达到以下数据传输安全要求:8.1.1.1 个人标识码(PIN)的加密网络中消息传送和处理时,消息中PIN总是以加密后的密文形式出现。8.1.1.2 消息鉴别成员机构和交换总中心在发出消息之前,需按规定的MAC加密方式,产生MAC,随消息一起发往接收方,接收方在收到消息后,首先作消息来源正确性判别,仅接收来源正确的消息。MAC加密方式采

2、用美国国家标准局公布的信息鉴别码(MAC)算法。8.1.1.3 密钥管理用于加密PIN的密钥称数据密钥,包括MAC密钥(MAK)和PIN密钥(PIK)。数据密钥须定期更换,传输、存储时必须加密保护。用于加密数据密钥的密钥称成员主密钥(MMK)。MMK长度可为64位或128位。MMK在存储时必须加密保护。用于加密MMK的密钥称主密钥(MK)。主密钥长128位,必须保存于硬件加密机中,受硬件加密机的保护。密钥结构如下:序号密钥名层缩写保护方式1主密钥1MK硬件设备保护2成员主密钥2MMK用主密钥加密3PIN密钥3PIK用成员主密钥加密4MAC密钥3MAK用成员主密钥加密8.1.1.4 硬件加密机成

3、员机构必须使用硬件加密机对传输的数据进行加密。硬件加密机用于保护密钥、PIN的加密和解密以及消息鉴别。所有这些操作都在硬件加密机中完成,以保证密钥和PIN的明码只出现在加密机中,防止明码的泄露。硬件加密机应通过国家商用密码委员会的安全认证并允许在国内金融机构中使用。此外还必须满足以下要求:(1) 支持单字节(B64)和双字节(B128)的密钥。(2) 支持本文8.3.2节中PIN的规定,验证、转换PIN的密文。(3) 支持本文8.3.3节中MAC的规定,验证和产生MAC。(4) 能对密钥作验证。(5) 受到非法攻击时,加密机内部保护的密钥自动销毁。8.1.2 数据加密传输环境图6-1 数据加密

4、传输环境消息数据由成员机构进入全国银行卡信息交换网前应已被加密。成员机构从银行卡网络中得到的消息数据也是加密数据。网络中各成员机构加密机与银行卡总中心的加密机组成了一个点对点的数据加解密网络。银行卡总中心与各成员机构分别约定数据密钥。8.2 密钥管理8.2.1 密钥的产生8.2.1.1 数据密钥的产生数据密钥由硬件加密机中的随机数发生器产生。密钥产生后,硬件加密机将检查密钥的有效性。弱密钥和半弱密钥将被剔除。交换总中心的加密机产生数据密钥,入网机构的加密机接收和储存交换总中心发来的数据密钥。当入网机构需要新密钥的时侯,必须向交换总中心申请。8.2.1.2 成员主密钥(MMK)的产生MMK由银行

5、卡总中心和成员机构各自产生一部分,分别输入到双方的加密机中,合成MMK。注:也可由双方商定MMK的产生办法。8.2.1.3 主密钥的产生主密钥用人工方式输入。主密钥由三部分构成,由三个人分别掌握。为了保证输入的正确性,每一部分的密钥必须输入两次,同时两次输入必须一致。如果密钥人工输入失败,必须重新输入。在三个人分别输入三部分密钥后,加密机作奇偶校验检查。奇偶校验正确时,加密机产生主密钥。主密钥必须储存在硬件加密机中,受硬件设备的保护。一旦硬件加密机受到非授权的操作时,主密钥会自动销毁。8.2.2 密钥的分发8.2.2.1 数据密钥的分发数据密钥由银行卡总中心产生,通过联机报文的方式分发。总中心

6、定时更新数据密钥(重置密钥),成员机构也可向总中心申请重置密钥。重置密钥和申请重置密钥的报文见第1章交易描述及交易流程。新密钥成功接收后,所有消息用新密钥加密后再发出。新老密钥切换窗口定义为三分钟,此时新老密钥共存。成员机构(包括银行卡总中心)对接收到的PIN和MAC信息,首先用新密钥进行解密、转换或验证,如果出现PIN格式错误或MAC验证错误,则必须再用旧密钥进行解密、转换或验证,如再出错,则为实际出错,加、解密操作失败。在窗口时间结束后,入网机构执行下述动作:(1) 用新密钥覆盖老密钥;(2) 消除新密钥启用标记。注:交换中心重置PIN密钥的请求报文和应答报文中产生MAC所使用的密钥是要重

7、置的新密钥PIK。8.2.2.2 成员主密钥的分发MMK的分发有三个途径:(1) 如果银行卡总中心和成员机构均使用IC卡保存MMK,则通过相互邮寄IC卡向加密机中输入MMK。(2) 如果一方没有IC卡或IC卡不能通用,则需双方相关人员到场共同输入MMK。(3) 也可由双方相关人员协商确定分发途径。8.2.3 密钥的存储8.2.3.1 主密钥主密钥必须保存在硬件加密机中,受加密机的保护。8.2.3.2 数据密钥和成员主密钥数据密钥和成员主密钥应保存在硬件加密机内。如果出现在主机的数据库中必须是经加密的密文。8.2.3.3 密钥档案的保存密钥注入、密钥管理的调试和密钥档案的保管应由专人负责。密钥资

8、料须保存在保险柜内。保险柜的钥匙由专人负责。使用密钥和销毁密钥要在监督下进行并有记录。8.3 数据的加密处理8.3.1 概述为保证数据的安全传输,网络中的消息采用了PIN的加密和消息来源正确性鉴别(MAC)两种加密技术。当消息经受理方进入银行卡网络时,持卡人的个人标识(PIN)已经用受理方的PIK加密。银行卡总中心将PIN用受理方的PIK解密后,立即用发卡方的PIK加密,再发往发卡方。从受理方发往银行卡总中心的消息都用MAK产生一个MAC,MAC随消息一起发往银行卡总中心。总中心将收到的消息再作MAC运算,与接收的MAC相比较,如果相等,则接受消息,否则拒绝消息。8.3.2 个人标识(PIN)

9、的加密和解密8.3.2.1 PIN的长度PIN的长度为6位(可扩展到12位)。8.3.2.2 PIN的字符集PIN用数字字符表示,下表给出了它的二进制对照表:PIN字符二进制表示000001000120010300114010050101601107011181000910018.3.2.3 PIN格式PIN的格式应符合ISO公布的ANSI X9.8标准中PIN的两种格式之一:(1) ANSI X9.8 Format(不带主账号信息)位置长度说明11 BYTEPIN的长度27 BYTE6-12位PIN(每个字符占4个BIT,不足8位右补F)例如:明文PIN为 123456,则PIN BLOCK

10、为 0x06 0x12 0x34 0x56 0xFF 0xFF 0xFF 0xFF(2) ANSI X9.8 Format(带主账号信息)PIN BLOCK格式等于PIN按位异或主账号(PAN): PIN格式:位置长度说明11 BYTEPIN长度27 BYTE6-12位PIN(每个字符占4个BIT,不足8位右补F)PAN格式:位置长度说明12 BYTEH000035 BYTE取主账号的右12位(不包括最右边的校验位),不足12位左补0例如:明文PIN为: 123456,假设:磁卡上的PAN:1234 5678 9012 3456 78 截取下的PAN:6789 0123 4567则用于PIN加

11、密的PAN为:0x00 0x00 0x67 0x89 0x01 0x23 0x45 0x67 PIN BLOCK为:0x06 0x12 0x34 0x56 0xFF 0xFF 0xFF 0xFF异或: 0x00 0x00 0x67 0x89 0x01 0x23 0x45 0x67结果为: 0x06 0x12 0x53 0xDF 0xFE 0xDC 0xBA 0x98假设:磁卡上PAN:1234 5678 9012 3456 截取下的PAN:4567 8901 2345则用于PIN加密的主账号为:0x00 0x00 0x45 0x67 0x89 0x01 0x23 0x45 PIN BLOCK为

12、: 0x06 0x12 0x34 0x56 0xFF 0xFF 0xFF 0xFF 异或: 0x00 0x00 0x45 0x67 0x89 0x01 0x23 0x45 结果为: 0x06 0x12 0x71 0x31 0x76 0xFE 0xDC 0xBAPIN的类型(类型1或类型2)必须在消息报文的域53(SECURITYRELATEDCONTROLINFORMATION)中标明。8.3.3 消息来源正确性鉴别(MAC)消息来源正确性鉴别(MAC)是一种判别消息来源是否正确,以及消息在发送途中是否被篡改的算法。全国银行卡网络MAC域选择采用系统约定的方式,MAC算法采用密文块链接(CBC

13、)的模式。8.3.3.1 MAC消息域的选择8.3.3.1.1 金融交易类消息说明:对于金融交易类消息,应严格按照消息交换格式定义中规定的域进行选择,以下域出现或条件成立时,就应该包含在MAC计算中。金融交易包括:预授权、消费、预授权完成、退货、ATM取款、查询及上述交易的撤消、冲正和成功的应答。NO.位域名属性10Message-typen422Primary-account-numbern.19(n+PAN)33Processing-coden644Amount-of-Transactionn1257Transmission-date-and-timen10611System-trace-

14、audit-numbern6718Merchants-typen4825Point-of-service-codition-coden2932Acquiring-institution-identification-coden.11(LLVAR)1033Forwording- institution-identification-coden.11(LLVAR)1138Authorization-identification-responsen61239Response-coden21341Card-acceptor-terminal-identificationan81442card-acceptor-identification-codean151590Original-data-elementsn42其中:Primary-acount-number应根据发卡行PAN的长度来取。内容为PAN长度(2)+PAN;Acquiring-institution-identification-code为入网机构代码,长度域(2)+实际机构长度。Forwarding-institution-identification-code为

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号