密钥管理系统设计方案.doc

密钥管理系统设计方案目录1.设计目的42.安全机制43.密钥表84.名词解释125.发卡流程125.1 一级密钥管理中心125.1.1密钥和密钥的生成125.1.2发卡流程概述135.1.2.1母卡发卡流程145.1.2.2 PSAM卡一次发卡流程155.1.3卡片创建155.1.3.1创建一级传输密钥卡155.1.3.2创建一级主控母卡165.1.3.3创建一级洗卡母卡185.1.3.4创建一级母卡认证卡195.1.3.5创建二级主控母卡205.1.3.6创建二级洗卡母卡225.1.3.7创建二级母卡认证卡235.1.3.8 PSAM卡一次发卡245.1.3.9 PSAM认证卡265.2二级密钥管理中心275.2.1密钥275.2.2发卡流程概述275.2.2.1母卡发卡流程285.2.3卡片创建285.2.3.1创建二级传输密钥卡285.2.3.2导入二级洗卡母卡305.2.3.3创建三级主控母卡315.2.3.4创建三级洗卡母卡325.2.3.5创建三级母卡认证卡335.2.3.6加密机一次导入345.3 三级密钥管理中心355.3.1密钥355.3.2发卡流程概述365.3.2.1母卡发卡流程365.3.2.2 PSAM卡二次发卡流程375.3.2.3用户卡发卡流程375.3.3卡片创建385.3.3.1创建三级传输密钥卡385.3.3.2导入三级主控母卡395.3.3.3导入三级洗卡母卡415.3.3.4 PSAM卡二次发卡425.3.3.5创建用户卡445.3.3.6加密机二次导入461.设计目的在人民银行统一组织，有各商业银行参加的金融IC卡联合试点中，各级银行对IC卡密钥的安全控制和管理，是整个应用系统安全的关键。本方案遵循中国金融集成电路（IC）卡规范和银行IC卡联合试点技术方案，方便各三级机构自主发卡，实现读卡机具共享，完成异地跨行交易。本设计方案实现以下几条设计目标：1 密钥管理系统采用3DES加密算法，采用全国密钥管理总中心、二级密钥管理中心（如商业银行总行）和三级密钥管理中心三级管理体制，实现公共主密钥的安全共享；2 在充分保证密钥安全性的基础上，支持IC卡联合试点密钥的生成、注入、导出、备份、恢复、更新、服务等功能，实现密钥的安全管理；3 密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限；4 用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能；5 密钥服务一般以硬件加密机的形式提供，也可采用密钥卡的形式；6 密钥存储以密钥卡或硬件加密机的形式，而密钥备份可以采用密钥卡或密码信封的形式。2.安全机制在金融IC卡联合试点中，各级密钥管理中心利用密钥管理系统来实现密钥的安全管理。密钥管理系统采用3DES加密算法，采用一级密钥管理中心、二级密钥管理中心（如商业银行总行）、三级密钥管理中心（如成员银行）三级管理体制，安全共享公共主密钥的，实现卡片互通、机具共享。密钥管理系统是整个应用系统安全的关键，图2-1是密钥管理系统在发卡行的一个典型应用案例，显示了密钥管理系统为卡务系统、主机系统、终端系统提供统一的密钥服务。图2-1：密钥管理系统典型应用案例整个安全体系结构主要包括两类密钥：1 全国通用的消费/取现密钥（在一级机构为GMPK、二级机构为BMPK、三级机构为MPK、用户卡为DPK）；2 三级机构的其他主密钥（如MLK、MULK、MTK、MPUK、PRPK、MUK、MAMK等）；系统对这两类密钥采用不同的处理策略，如图2-2所示：图2-2：密钥分散流程图GMPK是全国通用消费主密钥，只能由一级密钥管理中心产生和控制，并直接装载到的PSAM卡中（称为PSAM卡的一次发卡），另一方面，GMPK用二级机构的标识进行分散后得到二级机构的消费密钥BMPK，并传递到该二级机构的密钥管理中心；二级机构收到BMPK后，将BMPK用三级机构（成员行）标识进行分散，得到MPK，并传递到三级机构的密钥管理中心；三级机构收到MPK后，在用户卡的发卡过程中，将MPK用用户卡的应用序列号分散（ASN）得到DPK，并装载到用户卡中。这样，任何一张用户卡中的DPK都有相同的根密钥-GMPK，在消费时，PSAM卡中的GMPK就可以对任何一张用户卡中的DPK进行相互认证，完成消费过程，实现卡片互通、机具共享。三级机构的其他主密钥（如MLK、MULK、MTK、MPUK、MRPK、MUK、MAMK等），由于这些密钥不涉及到跨行使用的问题，因此由三级机构自行产生和管理。这些密钥在用户卡的发卡过程中，将通过用户卡的应用序列号分散得到各子密钥，并装载到用户卡中；另外其中的一些密钥还会被直接装载到PSAM卡中（称为PSAM卡的二次发卡）。金融IC卡密钥管理系统安全地实现上述所有联合试点密钥的生成、注入、导出、备份、恢复、更新、服务等功能。密钥管理可以采用密钥母卡或密钥管理加密机来实现。本方案主要采用密钥母卡实现密钥的安全管理。方案采用以下设计提高密钥母卡中密钥的安全性：1密钥的生成可采用多种方式，但无论哪种方式，生成密钥所需的码单都有两份，并进行分别保管；2所有的密钥母卡必须与至少一张其他的母卡配合才能使用；3除传输密钥的约定外，所有的密钥的变换和转移都以密文进行；4严格设置母卡中密钥的属性，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限；5每张母卡都有PIN进行保护，PIN校验多次失败后，卡片将被锁定；6每张卡片制作信息（制作时间、接受机构等）都在数据库中进行记录，提供安全审计功能；为了降低密钥泄露造成的风险，消费密钥（GMPK/BMPK/MPK）有多个版本和多个索引（联合试点采用5个版本、5个索引共25个消费密钥）；并且在PSAM卡中存放一个索引所对应的多个版本的消费密钥，在用户卡中存放一个版本所对应得多个索引的消费密钥；在消费时，取PSAM卡和用户卡中共有的密钥进行相互的认证和消费；如下图所示：图2-3：消费密钥的版本和索引当图中所示的版本3索引4的消费密钥泄露时，可以将所有索引为4的PSAM卡销毁，替换成其他索引的PSAM卡，这样，该泄露的密钥不会在消费中再次使用，保证了交易的安全；由于只更换了少量的PSAM卡，大量的用户卡不用作任何变动，从而降低了密钥泄露所导致的风险。为了确定消费时所用密钥的版本和索引，需要知道PSAM卡中密钥的索引和用户卡中密钥的版本，这些信息都保存在PSAM卡和用户卡相应的信息文件中；消费时，POS机从用户卡中取得密钥的版本信息，从PSAM卡中取得密钥的索引信息，从而唯一确定某一个消费密钥。密钥组数也不能太多。一方面，在卡片生命周期内多组密钥全被破解的可能性不大，并且对付硬掩膜攻击的方法，密钥组数再多也没用；另一方面，密钥组数太多，将占用用户卡的大量空间，增加卡片的成本。综合考虑几方面的因素，联合试点密钥管理系统中使用五组消费密钥，而其他成员行专有密钥的组数由成员行自行决定，建议一般不少于两组。3.密钥表这里列出了本设计方案中所涉及到的密钥，以及相关的信息。如下表所示：代码名称数量来源输入方式kMprd厂商传输密钥1厂商提供 人工输入RTK一级传输密钥1一级密钥管理中心人工输入kIctlR一级母卡主控保护密钥1一级密钥管理中心AB种子码单GPIK一级PSAM卡洗卡密钥1一级密钥管理中心AB种子码单GPCCK一级PSAM卡卡片主控密钥1一级密钥管理中心AB种子码单GPACK一级PSAM卡应用主控密钥1一级密钥管理中心AB种子码单GPCMK一级PSAM卡卡片维护密钥1一级密钥管理中心AB种子码单GPAMK一级PSAM卡应用维护密钥1一级密钥管理中心AB种子码单GMPK一级消费主密钥5X5一级密钥管理中心AB种子码单kIctlB二级母卡主控保护密钥1一级密钥管理中心kIctlR根据二级机构标识做分散得到BMPK二级消费主密钥5X5一级密钥管理中心GMPK根据二级机构标识做分散得到BTK二级传输密钥1二级密钥管理中心人工输入kIctlM三级母卡主控保护密钥1二级密钥管理中心kIctlB根据三级机构标识做分散得到MPK三级消费主密钥5X5二级密钥管理中心BMPK根据三级机构标识做分散得到PIK二级PSAM卡洗卡密钥1一级密钥管理中心GPIK根据二级机构标识分散得到PCCK二级PSAM卡卡片主控密钥1一级密钥管理中心GPCCK根据PSAM卡序列号（PSN）分散得到PCMK二级PSAM卡卡片维护密钥1一级密钥管理中心GPCMK根据PSAM卡序列号（PSN）分散得到PACK二级PSAM卡应用主控密钥1一级密钥管理中心GPACK根据PSAM卡序列号（PSN）分散得到PAMK二级PSAM卡应用维护密钥1一级密钥管理中心GPAMK根据PSAM卡序列号（PSN）分散得到MUIK三级用户卡洗卡密钥1三级密钥管理中心AB种子码单MUCCK三级用户卡卡片主控密钥1三级密钥管理中心AB种子码单MUACK三级用户卡应用主控密钥1三级密钥管理中心AB种子码单MUCMK三级用户卡卡片维护密钥1三级密钥管理中心AB种子码单MUAMK三级用户卡应用维护密钥1三级密钥管理中心AB种子码单MUOTHK三级用户卡其它密钥需求定三级密钥管理中心AB种子码单UTK三级传输密钥1三级密钥管理中心人工输入MPCCK三级PSAM卡卡片主控主密钥1三级密钥管理中心AB种子码单MPCMK三级PSAM卡卡片维护主密钥1三级密钥管理中心AB种子码单MPACK三级PSAM卡应用主控主密钥1三级密钥管理中心AB种子码单MPAMK三级PSAM卡应用维护主密钥1三级密钥管理中心AB种子码单DUCMK用户卡卡片维护密钥1三级密钥管理中心MUCMK根据用户卡卡号分散得到DUAMK用户卡应用维护密钥1三级密钥管理中心MUAMK根据用户卡卡号分散得到DPK用户卡消费密钥5X5三级密钥管理中心MPK根据用户卡卡号分散得到DUOTHK用户卡其它密钥需求定三级密钥管理中心MUOTHK根据用户卡卡号分散得到DPCCK三级PSAM卡卡片主控密钥1三级密钥管理中心MPCCK根据PSAM卡序列号（PSN）分散得到DPCMK三级PSAM卡卡片维护密钥1三级密钥管理中心MPCMK根据PSAM卡序列号（PSN）分散得到DPACK三级PSAM卡应用主控密钥1三级密钥管理中心MPACK根据PSAM卡序列号（PSN）分散得到DPAMK三级PSAM卡应用维护密钥1三级密钥管理中心MPAMK根据PSAM卡序列号（PSN）分散得到4.名词解释SAM卡白卡：含默认主控密钥为kMprd的出厂SAM卡。母卡白卡：含默认主控密钥为kMprd的出厂母卡。用户卡白卡：含默认主控密钥为kMprd的出厂用户卡。5.发卡流程5.1 一级密钥管理中心一级密钥管理总中心：1 生成一级传输密钥卡，用于将该卡内的一级传输密钥RTK替换白卡内的厂商传输密钥kMprd；2 生成全国通用的消费/取现主密钥GMPK和一级机构的其他密钥，制作出一级主控母卡，一级洗卡母卡和一级母卡认证卡；3 用GMPK对各二级机构标识进行分散，产生二级机构消费/取现主密钥BMPK，制作二级主控母卡，二级洗卡母卡和二级母卡认证卡；4 进行PSAM卡的一次发卡，往PSAM卡中装载GMPK。5 制作PSAM认证卡，用于在PSAM卡的二次发卡前作认证。5.1.1密钥和密钥的生成一级机构采用AB种子码单生成所有的密钥，如下图所示：图2-4：一级机构密钥的生成一级密钥管理中心主要有以下的密钥：代码名称数量父密钥GMPK一级消费主密钥5X5AB种子码单GPIK一级PSAM卡洗卡密钥1AB种子码单GPCCK一级PSAM卡卡片主控密钥1AB种子码单GPCMK一级PSAM卡卡片维护密钥1AB种子码单GPACK一级PSAM卡应用主控密钥1AB种子码单GPAMK一级PSAM卡应用维护密钥1AB种子码单kIctlR一级母卡主控保护密钥1AB种子码单RTK一级传输密钥1人工输入5.1.2发卡流程概述一级机构主要发卡流程如下图所示：图2-5：一级密钥管理中心密钥管理流程图5.1.2.1母卡发卡流程整个发卡流程以从母卡厂商处获得密钥母卡和一级机构领导输入密钥种子码单开始，到制作出二级机构所需的二级机构母卡为止，详细描述如下：1 设置传输密钥：输入一级密钥管理中心传输密钥，系统制作一级传输密钥卡；2 母卡的个人化：每个IC卡厂商在支付卡片时，都会在每张IC卡上设置厂商传输密钥（kMprd），用来控制IC卡的安全传输，以防止IC卡在生产商和全国密钥管理总中心之间被替换。全国密钥管理总中心从厂商处获得密钥空白母卡后，首先用传输密钥卡中的RTK替换空白母卡中的厂商传输密钥（kMprd），然后在母卡上创建所需的文件；3 制作一级主控母卡：由两位人行领导分别输入A、B种子码单，系统生成所需的密钥，通过RTK注入到经个人化的母卡中，该卡即成为一级主控母卡；4 制作一级洗卡母卡：由两位人行领导分别再次输入A、B种子码单，系统生成所需的密钥，通过RTK注入到经个人化的母卡中，该卡即成为一级洗卡母卡；5 制作一级母卡认证卡：由两位人行领导分别再次输入A、B种子码单，系统生成所需的密钥，通过RTK注入到经个人化的母卡中，该卡即成为一级母卡认证卡；6 装载传输密钥到一级洗卡母卡中：洗卡母卡需要在认证卡的认证下才能进行装载密钥操作，装载RTK后的洗卡母卡用于制作二级机构母卡；7 制作二级机构主控母卡、二级机构洗卡母卡和二级机构母卡认证卡：一级主控母卡和一级洗卡母卡配合使用（洗卡母卡用于装载kIct1R，主控母卡用于装载其他密钥，下同），将一级主控母卡中相应的密钥装载到二级机构母卡中，该分散的密钥进行分散。5.1.2.2 PSAM卡一次发卡流程GMPK是整个系统的根密钥，如果一旦被盗取或非法使用，就可能会伪造出大量的假卡，所有的银行IC卡将不得不停止使用，从而带来政治、经济上的重大损失。所以，从安全的角度来说，全国所有的PSAM卡必须在一级密钥管理中心统一安全装载GMPK。除了一级密钥管理中心外，任何其他个人和组织无法得到GMPK的明文，也无法通过PSAM卡来利用GMPK进行非法的密钥运算。各个三级管理密钥中心可以向通过二级密钥管理中心申报所需PSAM卡的数量，由一级密钥管理中心按需求量统一进行一次发卡。PSAM卡在出厂时已创建了PBOC电子钱包/电子存折应用的文件结构，一次发卡只需写入所需的密钥和信息，PSAM卡的一次发卡在一级主控母卡和一级洗卡母卡（现装载PSAM卡的厂商传输密钥）的配合下进行在GMPK装载到PSAM卡中之后，对PSAM卡的使用受到了严格的控制。GMPK存放在一个固定的密钥文件中，它不能被外界直接访问。GMPK只能接受内部操作系统发来的进行MAC计算的指令，按照指定的流程计算出MAC。5.1.3卡片创建5.1.3.1创建一级传输密钥卡5.1.3.1.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.1.3.1.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 在kMprd的控制下更新主控密钥，密钥值为RTK。6. 在新的主控密钥的控制下安装替换密钥，密钥值为RTK。7. 在新的主控密钥的控制下安装厂商保护密钥，密钥值为kMprd。8. 在新的主控密钥的控制下安装一级传输保护密钥，密钥值为RTK。9. 在新的主控密钥的控制下安装PIN，PIN值由外部输入。10. 结束MF创建。5.1.3.1.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为AA，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100RTKPIN0d0155外部输入替换密钥0f0180RTK厂商保护密钥0c0100kMprd一级传输保护密钥0c0200RTK5.1.3.2创建一级主控母卡5.1.3.2.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.1.3.2.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 在一级传输密钥卡的RTK控制下安装一级母卡主控保护密钥，密钥值为kIctlR。8. 在一级传输密钥卡的RTK控制下安装一级PSAM卡洗卡保护密钥，密钥值为GPIK。9. 在一级传输密钥卡的RTK控制下安装一级PSAM卡卡片主控保护密钥，密钥值为GPCCK。10. 在一级传输密钥卡的RTK控制下安装一级PSAM卡应用主控保护密钥，密钥值为GPACK。11. 在一级传输密钥卡的RTK控制下分别安装如下导出密钥：GMPK、GPIK、GPCCK、GPCMK、GPACK、GPAMK。12. 在一级传输密钥卡的RTK控制下更新主控密钥，密钥值为kIctlR。13. 结束MF创建。5.1.3.2.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlR一级母卡主控保护密钥2e0100kIctlR一级PSAM卡洗卡保护密钥2e0200GPIK一级PSAM卡卡片主控保护密钥2e0300GPCCK一级PSAM卡应用主控保护密钥2e0400GPACK一级消费主密钥1f011980GMPK一级PSAM卡洗卡密钥0f1a80GPIK一级PSAM卡卡片主控密钥0f1b80GPCCK一级PSAM卡卡片维护密钥1f1c80GPCMK一级PSAM卡应用主控密钥0f1d80GPACK一级PSAM卡应用维护密钥1f1e80GPAMK5.1.3.3创建一级洗卡母卡5.1.3.3.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.1.3.3.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 在一级传输密钥卡的RTK控制下安装一级传输保护密钥，密钥值为RTK。8. 在一级传输密钥卡的RTK控制下分别安装如下导出密钥：kIctlR、GPIK。9. 在一级传输密钥卡的RTK控制下更新主控密钥，密钥值为kIctlR。 10. 结束MF创建。5.1.3.3.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlR一级传输保护密钥0c0100RTK一级母卡主控保护密钥0f0180kIctlR一级PSAM卡洗卡密钥0f0280GPIK5.1.3.4创建一级母卡认证卡5.1.3.4.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.1.3.4.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 在一级传输密钥卡的RTK控制下安装一级传输认证密钥，密钥值为kIctlR。8. 在一级传输密钥卡的RTK控制下安装PIN，PIN值由外部输入。9. 在一级传输密钥卡RTK的控制下更新主控密钥，密钥值为kIctlR。10. 结束MF创建。5.1.3.4.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为AA，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlR一级传输认证密钥070100kIctlR一级PSAM卡洗卡密钥0f0280GPIKPIN0d0155外部输入5.1.3.5创建二级主控母卡5.1.3.5.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.1.3.5.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 对一级母卡认证卡进行PIN校验8. 使用一级母卡认证卡的一级传输认证密钥对一级洗卡母卡做外部认证。9. 在一级洗卡母卡的RTK控制下安装二级母卡主控保护密钥，密钥值为kIctlB。10. 在一级洗卡母卡的RTK控制下更新主控密钥，密钥值为kIctlB。11. 使用一级母卡认证卡的一级传输认证密钥对一级主控母卡做外部认证。12. 在一级主控母卡的kIctlR控制下分别安装如下导出密钥：BMPK、GPCCK。13. 结束MF创建。5.1.3.5.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlB二级母卡主控保护密钥2e0100kIctlB二级消费主密钥0f011980BMPK一级PSAM卡卡片主控密钥0f1a80GPCCK5.1.3.6创建二级洗卡母卡5.1.3.6.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.1.3.6.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 对一级母卡认证卡进行PIN校验8. 使用一级母卡认证卡的一级传输认证密钥对一级洗卡母卡做外部认证。9. 在一级洗卡母卡的RTK控制下分别安装如下导出密钥：kIctlB。10. 在一级洗卡母卡的RTK控制下更新主控密钥，密钥值为kIctlB。11. 结束MF创建。5.1.3.6.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为55。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlB二级母卡主控保护密钥0f0180kIctlB5.1.3.7创建二级母卡认证卡5.1.3.7.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.1.3.7.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 对一级母卡认证卡进行PIN校验8. 使用一级母卡认证卡的一级传输认证密钥对一级洗卡母卡做外部认证。9. 在一级洗卡母卡的RTK控制下安装二级传输认证密钥，密钥值为kIctlB。10. 在一级洗卡母卡的RTK控制下安装PIN，PIN值由外部输入。11. 在一级洗卡母卡的RTK控制下更新主控密钥，密钥值为kIctlB。12. 结束MF创建。5.1.3.7.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlB二级传输认证密钥070100kIctlBPIN0d0155外部输入5.1.3.8 PSAM卡一次发卡5.1.3.8.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.1.3.8.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 创建文件结构。4. 对一级传输密钥卡进行PIN校验5. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。6. 对一级母卡认证卡进行PIN校验7. 使用一级母卡认证卡的一级传输认证密钥对一级洗卡母卡做外部认证。8. 使用一级母卡认证卡的一级传输认证密钥对一级主控母卡做外部认证。9. 在一级洗卡母卡的RTK控制下更新MF下卡片主控密钥，密钥值为PIK。10. 在一级主控母卡的GPIK控制下更新MF下卡片主控密钥，密钥值为PCCK。11. 在一级主控母卡的GPCCK控制下安装MF下卡片维护密钥，密钥值为PCMK。12. 在PCMK的控制下，写入MF下的卡片信息文件。13. 在一级主控母卡的GPCCK控制下安装PBOC ADF下应用主控密钥，密钥值为PACK。14. 在一级主控母卡的GPACK控制下安装PBOC ADF下应用维护密钥，密钥值为PAMK。15. 在一级主控母卡的GPACK控制下安装PBOC ADF一级消费主密钥，密钥值为GMPK。16. 在PAMK的控制下，写入PBOC ADF下的应用信息文件。17. 结束创建。5.1.3.8.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为55。2. MF下密钥文件的使用权限为0f、修改权限为55。其下各密钥属性如下表所示：名称用途版本算法标识值卡片主控密钥000100PCCK卡片维护密钥010100PCMK3. PBOC ADF下创建权限为f0。4. PBOC ADF下密钥文件的使用权限为0f、修改权限为f0。其下各密钥属性如下表所示：名称用途版本算法标识值应用主控密钥000100PACK应用维护密钥010100PAMK一级消费主密钥62011900GMPK5.1.3.9 PSAM认证卡5.1.3.9.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.1.3.9.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对一级传输密钥卡进行PIN校验6. 在一级传输密钥卡kMprd的控制下更新主控密钥，密钥值为RTK。7. 对一级母卡认证卡进行PIN校验8. 使用一级母卡认证卡的一级传输认证密钥对一级洗卡母卡做外部认证。9. 使用一级母卡认证卡的一级传输认证密钥对一级主控母卡做外部认证。10. 在一级洗卡母卡的RTK控制下安装PSAM卡认证密钥，密钥值为GPCCK。11. 在一级洗卡母卡的RTK控制下安装PIN，PIN值由外部输入。12. 在一级洗卡母卡的RTK控制下更新主控密钥，密钥值为kIctlR。13. 结束MF创建。5.1.3.9.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为f0。2. MF下密钥文件的使用权限为AA、修改权限为f0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlRPSAM卡认证密钥270100GPCCKPIN0d0155外部输入5.2二级密钥管理中心二级密钥管理中心：1. 接受一级密钥管理中心下发的母卡、PSAM卡和PSAM认证卡；2. 用BMPK对各三级机构标识进行分散，生成三级消费/取现主密钥MPK，制作生成三级主控母卡，三级洗卡母卡和三级母卡认证卡；3. 为三级机构的硬件加密机装载MPK；4. 向三级机构转交一级机构下发的装载有GMPK的PSAM卡。5.2.1密钥二级密钥管理中心（如：人行地区分行）本身不产生密钥（除传输密钥外），所有的密钥都从一级密钥管理总中心得到。二级密钥管理中心主要有以下的密钥：代码名称数量父密钥BMPK二级消费主密钥5X5GMPKPCCK二级PSAM卡卡片主控密钥1GPCCKkIct1B二级母卡主控保护密钥1kIct1RBTK二级传输密钥1人工输入注：kIct1B=DIV（kIct1R，二级机构标识）5.2.2发卡流程概述由于二级机构不需要生成和管理本级的密钥，因此发卡流程相对简单，如下图所示：图2-6：二级密钥管理中心密钥管理流程图5.2.2.1母卡发卡流程二级密钥管理中心发卡流程以从母卡厂商处获得密钥母卡和从一级机构领取母卡开始，到制作出三级机构所需的母卡为止，详细描述如下：1 设置传输密钥：输入二级密钥管理中心传输密钥，系统制作出二级机构传输密钥卡；2 母卡的个人化：与全国密钥总中心类似；3 装载传输密钥到二级机构洗卡母卡中：洗卡母卡需要在认证卡的认证下才能进行装载密钥操作，装载BTK后的洗卡母卡用于制作三级机构母卡；4 制作三级主控母卡、三级洗卡母卡和三级母卡认证卡：二级机构主控母卡和二级机构洗卡母卡配合使用，将二级机构主控母卡中相应的密钥装载到三级母卡中，该分散的密钥进行分散。5.2.3卡片创建5.2.3.1创建二级传输密钥卡5.2.3.1.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.2.3.1.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 在kMprd的控制下更新主控密钥，密钥值为BTK。6. 在新的主控密钥的控制下安装替换密钥，密钥值为BTK。7. 在新的主控密钥的控制下安装厂商保护密钥，密钥值为kMprd。8. 在新的主控密钥的控制下安装二级传输保护密钥，密钥值为BTK。9. 在新的主控密钥的控制下安装PIN，PIN值由外部输入。10. 结束MF创建。5.2.3.1.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为AA，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100BTKPIN0d0155外部输入替换密钥0f0180BTK厂商保护密钥0c0100kMprd二级传输保护密钥0c0200BTK5.2.3.2导入二级洗卡母卡5.2.3.2.1 前提条件导入该卡时必须已拥有以下一些智能卡：l 在一级密钥管理中心已生成的二级洗卡母卡。5.2.3.2.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 对二级母卡认证卡进行PIN校验3. 使用二级母卡认证卡的二级传输认证密钥对二级洗卡母卡做外部认证。4. 在二级母卡认证卡的二级传输认证密钥控制下安装二级传输保护密钥，密钥值为BTK。5.2.3.2.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为55。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlB二级母卡主控保护密钥0f0180kIctlB二级传输保护密钥0c0100BTK5.2.3.3创建三级主控母卡5.2.3.3.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.2.3.3.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对二级传输密钥卡进行PIN校验6. 在二级传输密钥卡kMprd的控制下更新主控密钥，密钥值为BTK。7. 对二级母卡认证卡进行PIN校验8. 使用二级母卡认证卡的二级传输认证密钥对二级洗卡母卡做外部认证。9. 在二级洗卡母卡的BTK控制下安装三级母卡主控保护密钥，密钥值为kIctlM。10. 在二级洗卡母卡的BTK控制下更新主控密钥，密钥值为kIctlM。11. 使用二级母卡认证卡的二级传输认证密钥对二级主控母卡做外部认证。12. 在二级主控母卡的kIctlB控制下分别安装如下导出密钥：MPK。13. 结束MF创建。5.2.3.3.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为55。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlM三级母卡主控保护密钥2e0100kIctlM三级消费主密钥0f011980MPK5.2.3.4创建三级洗卡母卡5.2.3.4.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的母卡白卡。5.2.3.4.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对二级传输密钥卡进行PIN校验6. 在二级传输密钥卡kMprd的控制下更新主控密钥，密钥值为BTK。7. 对二级母卡认证卡进行PIN校验8. 使用二级母卡认证卡的二级传输认证密钥对二级洗卡母卡做外部认证。9. 在二级洗卡母卡的BTK控制下更新主控密钥，密钥值为kIctlM。10. 结束MF创建。5.2.3.4.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为55。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlM5.2.3.5创建三级母卡认证卡5.2.3.5.1 前提条件创建该卡时必须已拥有以下一些智能卡：l 一张待创建的SAM卡白卡。5.2.3.5.2 创建步骤创建该卡的过程如下所述：1. 对卡进行复位。2. 擦除MF。3. 新建MF。4. 创建密钥文件。5. 对二级传输密钥卡进行PIN校验6. 在二级传输密钥卡kMprd的控制下更新主控密钥，密钥值为BTK。7. 对二级母卡认证卡进行PIN校验8. 使用二级母卡认证卡的二级传输认证密钥对二级洗卡母卡做外部认证。9. 在二级洗卡母卡的BTK控制下安装三级传输认证密钥，密钥值为kIctlM。10. 在二级洗卡母卡的BTK控制下安装PIN，PIN值由外部输入。11. 在二级洗卡母卡的BTK控制下更新主控密钥，密钥值为kIctlM。12. 结束MF创建。5.2.3.5.3 文件属性文件属性说明如下：1. MF下创建和擦除文件的权限为F0。2. 密钥文件的使用权限为55，修改权限为F0。其下各密钥属性如下表所示：名称用途版本算法标识值主控密钥000100kIctlM三级传输认证密钥070100kIctlMPIN0d0155外部输入5.2.3.6加密机一次导入加密机需要装载MPK，以用于联机的消费和取现；这一步操作必须在二级机构进行，因为三级主控母卡中虽然有MPK，但该MPK的密钥属性为必须分散。这样做可以最大限度的减少密钥泄露的可能性。加密机装载MPK的流程如下：1. 装载传输密钥到硬件加密机中：将二级传输密钥卡中的传输密钥BTK装载到硬件加密机的导入密钥区；2. 导入MPK: 在二级传输密钥的BTK控制下，将MPK以密文形式通过网络或串行口装载到硬件加密机中。5.3 三级密钥管理中心三级密钥管理中心：1. 生成三级机构专有密钥（MTK、MLK等），并装载专有密钥到三级主控母卡中;2. 将三级机构的专有密钥注入到硬件加密机中，为账务主机的清算和联机交易提供密钥服务。3. 使用三级主控母卡和三级洗卡母卡进行用户卡的发卡和PSAM卡的二次发卡;5.3.1密钥三级密钥管理中心有大量的专有密钥（MLK、MULK、MTK等），这些密钥由各三级机构自行产生，产生的方式由各三级机构自行决定，但不论采用哪种方式，密钥的原始码单必须至少由两人分别保管和输入。三级密钥管理中心主要有以下的密钥：代码名称数量父密钥MPK三级消费主密钥5X5BMPKMLK三级圈存主密钥MxNAB种子码单MULK三级圈提主密钥MxNAB种子码单MTK三级TAC主密钥MxNAB种子码单MUK三级透支限额修改密钥MxNAB种子码单MAMK三级应用维护密钥MxNAB种子码单MRPK三级PIN重装密钥MxNAB种子码单MPUK三级PIN解锁密钥MxNAB种子码单MPCCK三级PSAM卡卡片主控主密钥1AB种子码单MPCMK三级PSAM卡卡片维护主密钥1AB种子码单MPACK三级PSAM卡应用主控主密钥1AB种子码单MPAMK三级PSAM卡应用维护主密钥1AB种子码单MUIK三级用户卡洗卡密钥1AB种子码单MUCCK三级用户卡卡片主控密钥1AB种子码单MUCMK三级用户卡卡片维护密钥1AB种子码单MUACK三级用户卡应用主控密钥1AB种子码单MUAMK三级用户卡应用维护密钥1AB种子码单kIct1M三级母卡主控保护密钥1kIctlB注：kIct1M=DIV（kIct1R，三级机构标识）5.3.2发卡流程概述三级机构主要发卡流程如下图所示：图2-7：三级密钥管理中心密钥管理流程图5.3.2.1母卡发卡流程三级密钥管理系统生成专有密钥后，直接装载到三级主控母卡和三级洗卡母卡中，装载后的这两张母卡即可用于用户卡的发卡和PSAM卡的二次发卡，具体过程详细描述如下：1. 装载三级专有密钥：在三级母卡认证卡的认证下，向三级主控母卡和三级洗卡母卡中装载三级专有密钥;2. 装载三级传输密钥：在三级母卡认证卡的认证下，向三级洗卡母卡中装载三级传输密钥，装载后的三级洗卡母卡可用于用户卡的洗卡（入库）；3. 装载三级机构专有密钥到硬件加密机中：三级主控母卡和三级洗卡母卡配合使用，将三级主控母卡中的专有密钥装载到硬件加密机中;5.3.2.2 PSAM卡二次发卡流程三级主控母卡和三级洗卡母卡配合使用，将三级主控母卡中的部分密钥装载到已一次发卡的PSAM卡中，并写入PSAM卡的信息（如终端号TID等），经二次发卡后的PSAM卡即可用于POS机中