加密机主密钥(MK——Master Key)
加密机主密钥是存入在HSM机内的由三个成分合成的一对最上层密钥。在HSM机器以外的地方不会以明文形式存放,它采用双倍标准DES密钥(长达112位)实现三重数据加密。由于DES算法依靠某一个密钥进行加密,同时所有密钥和数据都经由MK进行加密,所以MK必须通过一种安全的方法生成和维护。MK由三个成分组成,32位十六进制数为一个成分。MK以密文行书存储在加密机黑匣子中,且永远不以明文形式出现。一般说来TMK通过MK加密后保持在数据库中。
终端主密钥(TMK——Terminal Master Key)
TMK,主要作用是用来验证工作密钥是否合法,以及加密TAK、TPK,保证TAK和TPK在传输线路上地安全性。一般情况下,TMK是人工在POS设置或者通过IC卡导入,也有可能通过母POS下发。TMK被写入密钥保护芯片,此芯片具有自毁功能,能很好地保护TMK的安全性。TMK是和每一台POS相关联的,即主密钥和POS设备是一一对应的。TMK又分为明文和密文,由具备银联认可资质的服务商下发(举例:工商银行、招商银行、建设银行)。如果是密文,则需要先解密,然后校验,校验通过后,在本地存储。
如果终端主密钥时密文,该如何解密呢?需要用KEK进行解密,那么KEK又是什么呢?KEK为密钥加密密钥。
工作密钥
工作密钥也称为数据密钥,包含PIN密钥,MAC密钥以及磁道密钥。在POS每次做签到交易时,由POS中心下发给POS。存储在本地,需要经常性地定期更换,通常每天更换一次。
PIN密钥
终端PIN密钥是一个数据加密用的密钥,用于加密PIN,什么是PIN呢?PIN就是你的银行卡密码。在签到时,以密文的形式下发给POS终端,POS机接收到密文后,需要用TMK去解密,然后校验,校验通过后,将TPK存储在专用地密钥保护芯片里。TPK用于加密在局域网内POS终端和POS中心之间传送地PIN。
TPK的用法:当你在密码键盘上输入银行卡密码时,输出的是加密后的密文(通过TPK加密),那么在网络传输中,一直都使用该密文,即使被截获,得到的也是密文。
这里有个注意点,就是校验。通过校验KCV,签到的时候,下发给POS机的不仅有工作密钥,还有每个密钥的checkvalue。
终端认证密钥(TAK–Terminal Administrative Key)
终端认证密钥用于计算校验MAC。MAC是用来完成消息来源正确性鉴别,防止数据被篡改或非法用户切入的数据。TAK也同样是在签到时,以密文的形式下发给POS终端,POS机接收到密文后,用TMK终端主密钥解密,然后校验,校验通过后,将TAK存储在专用的密钥保护芯片里。TAK用于局域网内POS终端与POS中心之间传送消息时,生成和校验一个消息认证码(Message Authentication Code), 从而达到消息认证的目的。TAK需要经常性地定期更换,通常每天更换一次。
为什么POS机要签到?
其实POS协议的签到不是单纯的开机报到,它是加强整个交互的安全性和可靠性。POS机签到有两个目的:一是链接主机证明该POS机设备是合法的,二是下载最新的工作密钥。POS设备硬件芯片在出厂时会设置一个设备ID和一个密钥。签到就是POS设备向服务器发起签到请求,然后让服务器返回三个工作密钥,分别用于加密POS传输给服务器的银行卡的三个信息。三个工作密钥是通过POS设备硬件芯片内的密钥(在服务器端也有)进行加密的。
版权声明
具体相关咨询,微信:ipos90
桃源地POS机知识网发表,不得转载。
- 上一篇: 有可以刷花贝的pos机吗?
- 下一篇: pos机商户名称写什么?
评论