密钥管理系统密钥卡设计

《密钥管理系统密钥卡设计》由会员分享，可在线阅读，更多相关《密钥管理系统密钥卡设计（21页珍藏版）》请在装配图网上搜索。

1、密钥管理系统密钥卡设计2012年11月目录1.密钥卡类型22.密钥卡产生流程33.密钥卡文件结构53.1.密钥替换卡53.1.1.文件结构图53.1.2.文件属性53.1.3.文件说明53.1.4.密钥说明63.2.领导卡83.2.1.文件结构图83.2.2.文件属性83.2.3.文件说明83.2.4.密钥说明93.3.发行总控卡103.3.1.文件结构图103.3.2.文件属性103.3.3.文件说明103.3.4.密钥说明113.4.发行总控认证卡123.4.1.文件结构图123.4.2.文件属性123.4.3.文件说明123.4.4.密钥说明133.5.业务总控卡143.5.1.文件结构

2、图143.5.2.文件属性143.5.3.文件说明143.5.4.密钥说明153.6.业务总控认证卡163.6.1.文件结构图163.6.2.文件属性163.6.3.文件说明163.6.4.密钥说明173.7.专用密钥卡183.7.1.文件结构图183.7.2.文件属性183.7.3.文件说明183.7.4.密钥说明191. 密钥卡类型密钥管理系统中存在以下密钥卡类型1. 密钥替换卡：用来替换系统中发行的密钥卡中的主控密钥。2. 领导卡：用于保存手工输入的领导密码。3. 发行总控卡：用于保存由所有领导密码通过特定算法计算出来的发行总控密钥。4. 发行总控卡认证卡：用于认证以获取使用发行总控卡的

3、权限。5. 业务总控卡：用于保存创建的业务种子代码。6. 业务总控卡认证卡：用于认证以获取使用业务总控卡的权限。7. 专用密钥卡：用于保存由发行总控密钥对业务种子代码进行分散而获取的专有业务主密钥。8.各密钥卡中的COS类型见下表:密钥卡类型COS类型最小数量密钥替换卡母卡1领导卡母卡2发行总控卡母卡1发行总控认证卡认证卡1业务总控卡母卡1业务总控认证卡认证卡1专用密钥卡母卡12. 密钥卡产生流程产生各类密钥卡包括以下步骤：1. 创建密钥替换卡。2. 用密钥替换卡创建各种认证卡及传输卡，包括替换卡中的主控密钥，安装外部认证密钥等。3. 用创建的密钥替换卡对系统中用到的其余密钥卡进行洗卡，替换卡

4、中的主控密钥。4. 按下列顺序产生领导卡、发行总控卡、业务总控卡和专用密钥卡。3. 密钥卡文件结构3.1. 密钥替换卡3.1.1. 文件结构图3.1.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/AAAF00819密钥卡类型文件004000N/A0FF00001分散因子文件004101N/AAAF003083.1.3. 文件说明3.1.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1103.1.3

5、.2. 分散因子文件文件标识0041文件类型定长记录文件大小0308访问控制：AAF0读权限：PIN写权限：Never字节数据元格式长度值1-8分散因子1b8随机产生或人工输入后密码变换9-16分散因子2b8随机产生或人工输入后密码变换17-24分散因子3b8随机产生或人工输入后密码变换注：分散因子1用于发行总控认证卡分散因子2用于业务总控认证卡分散因子3用于专用密钥传输卡3.1.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100随机产生卡片新的主控密钥PIN0d0155手工输入用于获取卡片的使用权限替换密钥10f0180随机产生或手工输入l 对卡号明文分散导出后作为

6、发行总控卡的主控密钥。l 对分散因子1明文分散导出后作为发行总控认证卡的主控密钥（以便装载下面导出的外部认证密钥）。l 用分散因子1作为保护因子用保护密钥1密文直接导出作为发行总控认证卡的外部认证密钥。替换密钥20f0280随机产生或手工输入l 对卡号明文分散导出后作为业务总控卡的主控密钥。l 对分散因子2明文分散导出后作为业务总控认证卡的主控密钥（以便装载下面导出的外部认证密钥）。l 用分散因子2作为保护因子用保护密钥2密文直接导出作为业务总控认证卡的外部认证密钥。替换密钥30f0380随机产生或手工输入l 对卡号明文分散导出后作为专用密钥卡的主控密钥。l 对分散因子3明文分散导出后作为专用

7、密钥卡的主控密钥（以便装载下面导出的外部认证密钥）。l 用分散因子3作为保护因子用保护密钥3密文直接导出作为专用密钥认证卡的外部认证密钥。保护密钥12e0100同替换密钥1保护密钥22e0200同替换密钥2保护密钥32e0300同替换密钥3注：如果替换密钥为随机产生，则需要提供备份功能，备份流程见后续设计。3.2. 领导卡3.2.1. 文件结构图3.2.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/AAAF00219密钥卡类型文件004000N/A0FF00001领导密码文件004100N/AAAF

8、000083.2.3. 文件说明3.2.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1113.2.3.2. 领导密码文件文件标识0041文件类型透明文件大小0008访问控制：AAF0读权限：PIN写权限：Never字节数据元格式长度值1-8领导密码b8手工输入3.2.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100随机产生卡片新的主控密钥PIN0d0155手工输入用于获取卡片的使用权限3.3. 发行总控卡3.3.1. 文件结构图3.3.2. 文件属性文件名称文件

9、标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/A5F5F0319密钥卡类型文件004000N/A0FF000013.3.3. 文件说明3.3.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1123.3.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100由密钥替换卡中的替换密钥1对卡号进行明文分散导出获取卡片新的主控密钥发行总控密钥10f0180由所有的领导密码通过变换获得通过发行总控认证卡中的外部

10、认证密钥（需用发行总控卡的卡号进行分散）计算密文及MAC保护密钥2e0100同密钥替换卡中的替换密钥3l 用发行总控卡的卡号作为保护因子，用保护密钥1密文直接导出替换密钥3后写入。l 在发专用密钥卡时，用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，用该密钥对发行总控密钥进行密文分散导出后，写入专用密钥卡（专用密钥卡的主控密钥为替换密钥3对专用密钥卡的卡号分散后获得）。3.4. 发行总控认证卡3.4.1. 文件结构图3.4.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/AAAF00319密钥

11、卡类型文件004000N/A0FF000013.4.3. 文件说明3.4.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1133.4.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100由密钥替换卡中的替换密钥1对分散因子1明文分散获取卡片新的主控密钥PIN0d0155手工输入用于获取卡片的使用权限外部认证密钥280100同密钥替换卡中的替换密钥1用分散因子1作为保护因子，用密钥替换卡中的保护密钥1密文直接导出替换密钥1后写入。3.5. 业务总控卡3.5.1. 文件结

12、构图3.5.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/A5F5F0119密钥卡类型文件004000N/A0FF00001卡业务代码文件004101N/A5F5F32083.5.3. 文件说明3.5.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1143.5.3.2. 卡业务代码文件文件标识0041文件类型定长记录文件大小56访问控制：5F5F读权限：EA写权限：Never字节数据元格式长度值1

13、-8主控密钥代码b8手工输入或随机产生9-16维护密钥代码b8手工输入或随机产生17-24外部认证密钥代码b8手工输入或随机产生25-32内部认证密钥代码b8手工输入或随机产生33-40消费密钥代码b8手工输入或随机产生41-48圈存密钥代码b8手工输入或随机产生49-57Tac密钥代码b8手工输入或随机产生.3.5.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100由密钥替换卡中的替换密钥2对卡号进行明文分散获取卡片新的主控密钥3.6. 业务总控认证卡3.6.1. 文件结构图3.6.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3

14、F00N/AF0N/AN/AN/A密钥文件3F0105N/AAAF00319密钥卡类型文件004000N/A0FF000013.6.3. 文件说明3.6.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1153.6.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100由密钥替换卡中的替换密钥2对分散因子2明文分散获取卡片新的主控密钥PIN0d0155手工输入用于获取卡片的使用权限外部认证密钥280100同密钥替换卡中的替换密钥2用分散因子2作为保护因子，用密钥替换卡中的

15、保护密钥2密文直接导出替换密钥2后写入3.7. 专用密钥卡3.7.1. 文件结构图3.7.2. 文件属性文件名称文件标识文件类型创建/删除权限读/使用权限写权限文件大小MF3F00N/AF0N/AN/AN/A密钥文件3F0105N/A5F5F0a19密钥卡类型文件004000N/A0FF000013.7.3. 文件说明3.7.3.1. 密钥卡类型文件文件标识0040文件类型透明文件大小1访问控制：0FF0读权限：Free写权限：Never字节数据元格式长度值1 密钥卡类型b1083.7.4. 密钥说明密钥名称密钥用途密钥标识算法标识密钥值说明主控密钥000100由密钥替换卡中的替换密钥3对卡号

16、进行明文分散导出获取卡片新的主控密钥保护密钥2e0180同密钥替换卡中的替换密钥3通过密钥替换卡中的保护密钥3密文直接导出替换密钥3（卡号作为保护因子）后写入。主控密钥0f0180由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM卡片主控业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。保护密钥0f0280由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM卡片主控业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。维护密钥0f0380同密

17、钥替换卡中的替换密钥3通过密钥替换卡中的保护密钥3密文直接导出替换密钥3（卡号作为保护因子）后写入。外部认证密钥0f0480由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM卡片主控业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。内部认证密钥0f0580由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM卡片维护业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。消费密钥0f0680由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM应用主控业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。圈存密钥0f0780由发行总控卡中的发行总控密钥1对业务总控卡中的ISAM应用维护业务代码密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。TAC密钥0f0880由发行总控卡中的发行总控密钥1对业务总控卡中的KeyB业务代码1密文分散获取用业务代码作为分散因子，用专用密钥卡的卡号作为保护因子，对发行总控密钥进行密文分散导出后，写入专用密钥卡。第 20 页