金融行业密钥基础知识
密钥管理系统应用场景
密钥管理系统应用场景
密钥管理系统是一种重要的保密技术,它利用加密技术和密钥管理技术,保护关键信息的安全性。
下面就是密钥管理系统的应用场景。
1、金融行业
金融机构处理大量的敏感信息,包括客户信息、账户信息、交易记录等。
这些信息的泄露将会造成极大的经济损失和信任危机。
因此,金融行业是密钥管理系统的一个重要应用场景。
使用密钥管理系统,可以保证金融机构信息的安全性,保护客户的资产和隐私。
2、电子商务
电子商务涉及到的信息包括客户信息、订单信息、支付信息等,这些信息需要进行保密。
此外,在电子商务领域中,数据传输速度也非常重要。
使用密钥管理系统,可以保证数据的安全性和传输速度。
3、医疗行业
医疗信息包括病历、医疗保险信息、患者病史等等,这些信息的泄露会对患者的隐私和医疗机构的信誉造成严重影响。
因此,在医疗行业中,使用密钥管理系统可以保证患者信息的保密和医疗机构的安全运营。
4、政府和军事
政府和军事领域是一个比较特殊的领域,它需要保护的信息非常重要和敏感。
政府和军事领域涉及的信息包括国家安全、国防信息等等,这些信息的泄露将对国家安全造成严重的危害。
因此,在政府和军事领域使用密钥管理系统将有助于维护国家安全。
总之,密钥管理系统具有广泛的应用场景,可以应用于多个领域,包括金融、电子商务、医疗、政府和军事等领域。
在这些行业中,使用密钥管理系统将帮助保障信息的保密性、完整性和可用性,提高运营效率和安全性。
金融数据加密方案
金融数据加密方案在当今数字化时代,金融数据的安全性尤为重要。
随着技术的发展,金融机构面临着不断增长的网络威胁和数据泄露的风险。
为了确保金融数据的安全性和隐私保护,加密方案成为了不可或缺的一部分。
本文将介绍金融数据加密的重要性以及一些常见的加密方案。
1. 金融数据加密的重要性在金融行业,大量的数据被传输和存储,包括客户的个人信息、交易记录和财务数据。
这些敏感信息如果落入不法分子手中,可能导致金融机构和客户的巨大损失,甚至引发金融体系的崩溃。
因此,金融数据加密成为保护数据安全和隐私的关键措施。
2. 常见的金融数据加密方案(1)对称加密算法对称加密算法使用相同的密钥进行加密和解密。
这种算法简单高效,加密解密速度快,适用于大批量数据传输场景。
常见的对称加密算法包括DES、AES等。
(2)非对称加密算法非对称加密算法使用公钥和私钥进行加密和解密。
公钥可以公开,而私钥只能由相应的私钥持有者掌握。
非对称加密算法安全性更高,适用于密钥交换和数字签名等场景。
RSA是一种常见的非对称加密算法。
(3)哈希算法哈希算法将消息或数据块转化为固定长度的哈希值,这个过程是不可逆的。
常用的哈希算法有MD5、SHA-1、SHA-256等。
哈希算法主要用于数据完整性校验和数字签名。
(4)混淆算法混淆算法通过调整数据的顺序、添加随机字符等方式,对原始数据进行转换和混淆。
混淆算法可以增加破解难度,提高数据的安全性。
3. 金融数据加密方案的应用(1)网络传输加密金融机构在数据传输过程中,使用加密算法对数据进行加密,确保数据在传输过程中的安全性。
TLS/SSL协议是一种常见的网络传输加密方案。
(2)数据存储加密金融机构通过数据库加密、文件加密等方式,对数据进行加密保护,防止数据被非法访问或泄露。
(3)用户身份认证用户身份认证是金融机构重要的安全环节。
通过采用双因素认证、生物识别等技术,确保用户身份的真实可靠性。
(4)交易数据加密对于金融交易数据,采用数据加密技术保护交易的隐私性和完整性,防止交易过程中的信息泄露或篡改。
公钥基础设施(PKI)的作用
公钥基础设施(PKI)的作用公钥基础设施(PKI)是一种加密技术体系,用于确保网络通信的安全性和可信性。
其作用包括建立和管理密钥、数字证书和数字签名等,为信息安全提供了重要的基础支持。
本文将介绍PKI的概念、功能以及在现代社会中的广泛应用。
一、概述PKI是一种安全基础设施,用于确保通信数据的机密性、完整性和认证性。
它包含了加密算法、数字证书、证书颁发机构(CA)和注册机构(RA)等组件,通过这些组件协同工作,实现了保护网络通信的目标。
二、功能1. 机密性保护:PKI通过使用公钥和私钥配对来实现信息的机密性保护。
发送方使用接收方的公钥将信息加密,只有接收方拥有与其对应的私钥,才能解密信息。
2. 完整性保护:PKI使用数字签名技术来保护数据的完整性。
发送方使用私钥对信息进行签名,接收方使用发送方的公钥来验证数字签名,以确保数据在传输过程中没有被篡改。
3. 身份认证:PKI通过数字证书来验证用户的身份。
数字证书中包含用户的公钥和一些身份信息,由可信的证书颁发机构进行签名和发布。
使用者可以通过验证数字证书的合法性,来确认通信双方的身份。
4. 密钥交换:PKI可以实现安全的密钥交换,确保通信双方的密钥不被窃取或篡改。
通过使用公钥加密算法,通信双方可以在不安全的网络中安全地交换密钥。
三、应用1. 电子商务:PKI在电子商务领域的应用非常广泛。
用户可以通过数字证书进行身份验证,并使用数字签名保护交易的机密性和完整性。
此外,PKI还可以提供交易双方之间的安全通信渠道。
2. 电子政务:PKI可用于政府机构与公民之间的安全通信和身份认证。
通过数字证书的应用,政府机构可以确保公民身份的准确性,并保证与公民之间的信息交互的安全性。
3. 敏感数据保护:PKI对于保护敏感数据的安全性至关重要。
银行、金融机构等行业可以使用PKI来保护客户的个人账户信息和交易数据,从而防止黑客攻击和数据泄露。
4. 远程访问和虚拟专用网络(VPN):PKI可用于远程访问和VPN连接的安全性保障。
金融行业网络安全防护手册
金融行业网络安全防护手册第一章网络安全概述 (2)1.1 网络安全基本概念 (3)1.2 金融行业网络安全特点 (3)1.3 网络安全防护目标 (3)第二章信息安全政策与法规 (4)2.1 国家网络安全法律法规 (4)2.2 金融行业信息安全政策 (4)2.3 企业内部信息安全规定 (5)第三章网络安全风险管理 (5)3.1 风险识别与评估 (5)3.2 风险防范与控制 (6)3.3 风险监测与预警 (6)第四章信息安全体系建设 (7)4.1 信息安全架构设计 (7)4.2 信息安全管理制度 (7)4.3 信息安全技术手段 (8)第五章网络安全防护技术 (8)5.1 防火墙与入侵检测 (8)5.1.1 防火墙技术概述 (8)5.1.2 防火墙的主要功能 (8)5.1.3 入侵检测系统 (9)5.2 安全审计与日志管理 (9)5.2.1 安全审计概述 (9)5.2.2 日志管理 (9)5.3 数据加密与安全存储 (10)5.3.1 数据加密概述 (10)5.3.2 数据安全存储 (10)5.3.3 安全存储解决方案 (10)第六章系统安全防护 (10)6.1 操作系统安全 (10)6.1.1 安全配置与优化 (10)6.1.2 身份鉴别与访问控制 (11)6.1.3 审计与监控 (11)6.2 数据库安全 (11)6.2.1 数据库加密 (11)6.2.2 访问控制与认证 (11)6.2.3 安全审计与脱敏 (11)6.3 应用系统安全 (11)6.3.1 Web应用安全 (11)6.3.2 邮件安全 (11)6.3.3 即时通信安全 (11)6.3.4 网络安全 (11)6.3.5 数据备份与恢复 (12)第七章网络安全运维管理 (12)7.1 网络设备安全 (12)7.2 网络接入安全 (12)7.3 网络运维监控 (12)第八章信息安全应急响应 (13)8.1 应急预案制定 (13)8.2 应急响应流程 (13)8.3 应急演练与培训 (14)第九章安全意识培训与宣传 (14)9.1 员工安全意识培养 (14)9.2 安全知识培训 (15)9.3 安全宣传活动 (15)第十章网络安全监测与预警 (16)10.1 网络安全态势感知 (16)10.1.1 网络安全态势感知技术 (16)10.1.2 网络安全态势感知应用 (16)10.2 安全事件监测 (16)10.2.1 安全事件监测技术 (17)10.2.2 安全事件监测应用 (17)10.3 预警信息发布 (17)10.3.1 预警信息发布内容 (17)10.3.2 预警信息发布方式 (17)第十一章网络安全合规与审计 (18)11.1 合规性检查与评估 (18)11.2 审计流程与要求 (18)11.3 审计结果处理 (19)第十二章网络安全技术发展趋势 (19)12.1 人工智能在网络安全中的应用 (19)12.1.1 人工智能在入侵检测中的应用 (20)12.1.2 人工智能在恶意代码检测中的应用 (20)12.1.3 人工智能在安全运维中的应用 (20)12.2 云计算与大数据安全 (20)12.2.1 云计算安全挑战 (20)12.2.2 大数据安全挑战 (20)12.2.3 云计算与大数据安全解决方案 (20)12.3 未来网络安全发展趋势 (21)第一章网络安全概述互联网技术的飞速发展,网络安全已经成为当今社会关注的焦点。
CFCA技术及应用介绍
内 容
1 CFCA介绍 2 CFCA技术架构及PKI基本知识 3 CFCA的业务拓展及典型应用案例 4 A&Q
CFCA介绍
CFCA背景
中国金融认证中心( China Financial Certification Authority ,英 文缩写CFCA)是国内全面支持电子商务安全支付业务的国家级网上信任 服务机构。 作为金融界唯一的、权威的、第三方认证机构,CFCA致力于保障网上跨 行支付安全,通过以数字证书为核心的信任和安全服务,实现互联网上 各方身份真实性、信息保密性和完整性、网上交易行为的不可否认性, 为网上银行、电子商务提供安全保障。CFCA认证体系基于双密钥机制, 具有完善的证书管理功能,能够提供证书申请、审核、生成、颁发、存 储、查询、废止等全程自动审计服务,并已通过了国家信息安全产品测 评认证中心的安全评测。 目前CFCA已在银行、证券公司、政府机构建成覆盖全国的认证服务体系, 同时针对企业、个人提供包括普通、高级、Web站点、手机证书等在内的 15种证书和多种信息安全服务,以满足社会各界用户的应用需求,证书 应用遍及银行、证券、税务、保险、政府机构、企业集团等金融和非金 融领域。
CA的相关概念
• CA是认证中心的英文Certification Authority的缩 写
• CA是PKI 的核心执行机构
• CA是PKI的主要组成实体 • CA由CA签发服务器、RA、LDAP等组成
• 为电子商务环境中各个实体颁发电子证书
• 负责在交易中检验和管理证书 • 电子商务和网上银行交易的权威性、可信赖性及公 正性的第三方机构
常用PKI名词说明
1:PKI-Public Key Infrastructure 公钥基础设施是一种遵循标准 的利用公钥加密技术为电子商务提供一套安全基础平台的技术和规 范。当前互联网上的安全认证解决方案广泛采用安全先进的PKI技术 和规范。 2:CA-Certificate Authority 证书管理和认证的机构,即认证中心 3:RA-Registration Authority 证书注册审批机构 4:数字证书-CA用其私钥进行了数字签名的包含用户身份、公开密钥、 有效期等许多相关信息的权威性的电子文件,是各实体在网上的电 子身份证。 5:公钥/私钥-可以认为是一种加密/解密的算法凭证,公钥可以公开 获得,私钥是私密的保存 6:数字签名-基于数字证书的一种信息技术处理,类似与传统的手写 签名保证信息的不可抵赖性
金融科技知识
金融科技知识金融科技基础知识1、什么是金融IC卡?金融IC卡又叫做“芯片卡”,它是由商业银行(信用社)发行的,采用集成电路技术,遵循国家金融行业标准,具有消费信用、转账结算、现金存取全部或部分功能,可以具有其他商业服务和社会管理功能的金融工具。
金融IC卡的信息是存储在智能芯片中,通过先进的芯片加密技术,卡内信息难以复制和伪造,有效保障了持卡人账户资金安全。
2、如何使用金融IC卡?金融IC卡分为接触式与非接触式(闪付)两种,接触式金融IC卡,可通过插入受理终端的读卡槽实现在POS和ATM上使用。
如果是非接触式金融IC卡(或称闪付卡),用户可在支持银联“闪付”的非接触式支付终端上轻松一挥便可快速完成支付。
3、什么是云闪付?云闪付APP是一种非现金收付款移动交易结算工具,由中国银联携手各商业银行、支付机构等产业各方共同开发建设、共同维护运营的移动支付APP,具有收付款、享优惠、卡管理三大核心功能。
“云闪付”采用最新的支付令牌、动态密钥、云端验证技术、实现了最高级别的风险控制,保证互联网传输过程中的客户信息安全,为持卡人提供了更加方便快捷的支付体验。
4、什么是“小额免密免签”?小额免密免签是中国银联为持卡人提供的一种小额快速支付服务。
当持卡人使用具有“闪付”功能的金融IC卡或支持“银联云闪付”的移动设备,在制定商户进行一定金额(境内单笔限额一般为1000元人民币)及以下金额的交易时,只需要将卡片或移动设备靠经POS机等受理终端的闪付感应区,即可完成支付。
支付过程中,持卡人不需要输入密码,也不需要签名。
5、什么是智慧网点?智慧网点是通过有效的计划和组织银行线上/线下服务中所涉及的人、基础设施、通信交流以及物料等因素,使用人工智能相关技术和手段,从而提高用户体验和服务质量的交互活动。
银行通过一系列交互触点与客户之间产生关联,并以此传递完整统一的智能体验。
智慧网点主要是打通各种设备之间屏障,串联设备简化业务流程,智能化网点差异化运维。
金融行业密钥基础知识
金融行业密钥基础知识1密钥管理SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI X9.17标准),其密钥层次如下图:图1.1 密钥层次1.1 各种密钥在密钥层次中的作用1.1.1本地主密钥(Local Master Key)又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。
当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。
这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。
1.1.2区域主密钥主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。
它主要用来加密下一层次的数据密钥(如:PIK、MAK)。
1.1.3数据加密密钥(Date Encrypt Key)又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(Key Encrypt/Exchange Key,简称KEK)。
数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC 的密钥称为MAK(Mac Key)。
1.2 各种密钥的注入与分发1.2.1本地主密钥通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。
一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。
密钥管理系统应用场景
密钥管理系统应用场景
随着信息技术的快速发展,各行各业的企业都面临着数据安全问题。
为了保护企业的数据安全,密钥管理系统应运而生。
密钥管理系统是一种用于管理和保护密钥的软件系统,它可以帮助企业实现对重要数据进行加密和解密的操作。
以下是密钥管理系统的几个应用场景:
1. 金融行业
金融行业的数据安全问题尤为突出,因为金融机构存储着大量的客户隐私数据和交易数据。
密钥管理系统可以帮助金融机构实现对这些数据的加密和解密,从而保护客户的隐私和交易数据的安全。
2. 医疗保健行业
医疗保健行业也面临着数据安全问题,因为医疗机构存储着大量的患者个人隐私数据和医疗记录。
密钥管理系统可以帮助医疗机构实现对这些数据的加密和解密,从而保护患者的隐私和医疗记录的安全。
3. 政府机构
政府机构存储着大量的机密文件和敏感信息。
密钥管理系统可以帮助政府机构实现对这些文件和信息的加密和解密,从而保护国家的机密和敏感信息的安全。
4. 企业内部通信
企业内部通信也需要保护数据安全,特别是在涉及到商业机密和竞争对手的情况下。
密钥管理系统可以帮助企业实现加密通信,从而保护企业的商业机密和竞争优势。
综上所述,密钥管理系统在各行各业都有广泛的应用,它可以帮助企业保护重要数据的安全,提高数据安全性和保密性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
金融行业密钥基础知识内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)金融行业密钥基础知识1密钥管理SJL05金融数据加密机采用三级密钥管理方法(遵循ANSI 标准),其密钥层次如下图:图密钥层次1.1各种密钥在密钥层次中的作用1.1.1本地主密钥(Local Master Key)又称主机主密钥(Master Key),主要用来保护它下一级的区域主密钥(Zone Master Key)(银行主密钥(Bank Master Key)、终端主密钥(Terminal Master Key))。
当区域主密钥需要导出或保存到加密机以外时,通常需要用本地主密钥(或衍生的密钥对)加密区域主密钥。
这一点在RACAL系列的加密机中有最好的体现,在RACAL加密机中,区域主密钥都由主机主密钥加密存放于主机数据库中,加密机不保存区域主密钥。
1.1.2区域主密钥主要有两种,一种是金卡中心与成员行之间的传输密钥(通常称为银行主密钥),另一种是成员行主机与ATM或POS之间的传输密钥(通常称为终端主密钥)。
它主要用来加密下一层次的数据密钥(如:PIK、MAK)。
1.1.3数据加密密钥(Date Encrypt Key)又称工作密钥(Working Key),是最终用于加密传输数据的密钥,其上层两种密钥可以称为密钥加密/交换密钥(KeyEncrypt/Exchange Key,简称KEK)。
数据密钥一般分为两种,一种是用来加密PIN的密钥称为PIK(Pin Key),另一种是用来计算MAC的密钥称为MAK(Mac Key)。
1.2各种密钥的注入与分发1.2.1本地主密钥通常由各成员行(或下属机构)采用加密机前面板上的键盘或直接通过IC卡注入到加密机中,各成员行的本地主密钥各不相同。
一般本地主密钥的注入都由成员行的三位高层领导注入,三人分别保存一部分密钥(密钥分量Component),三部分密钥可以在加密机中以一定的算法(异或)合成为最终的本地主密钥(或通过衍生(Derive)生成密钥对)。
本地主密钥在注入加密机时通过IC卡进行备份,当加密机密钥丢失时可用IC卡来恢复。
1.2.2区域主密钥(银行主密钥)一般由上级机构(金卡中心)产生并分发。
上级机构(金卡中心)产生并保存下属机构(各成员行)的区域主密钥(银行主密钥),同时将密码分量的明文或IC卡的形式将区域主密钥(银行主密钥)下发给下属机构(各成员行)。
下属机构(成员行)将密钥分量注入到加密机内,如果区域主密钥(银行主密钥)是保存到本机构的主机数据库中,则将区域主密钥(银行主密钥)注入到加密机后,加密机显示本地主密钥加密的区域主密钥(银行主密钥)密文,由银行工作人员将其录入主机数据库。
银行主密钥通常由两人注入,各自保存一部分。
区域主密钥中的终端主密钥由各成员行自己注入到加密机中,同时下装到ATM 和POS 中,由于各成员行的ATM 和POS 数量都较大,一般是所有ATM 和POS 共用一个终端主密钥或是一组ATM 和POS 共用一个终端主密钥。
1.2.3 数据密钥分为两种,一般不在加密机中保存。
一种是金卡中心与成员行之间的数据密钥,一种是成员行主机与ATM 或POS 之间的数据密钥。
前一种数据密钥可以由金卡中心主动向下分发,也可以由成员行主动向上申请。
数据密钥在传输过程中由金卡中心与成员行之间共享的银行主密钥加密,成员行接收到数据密钥后都需要验证其正确性后才会启用新的数据密钥。
后一种数据密钥每天由ATM 或POS 签到申请,由加密机随机产生,并由终端主密钥加密传送。
金卡中心与成员行及其终端(ATM 、POS)之间的密钥关系如下图:图 金卡中心、成员行、终端之间密钥关系示意金卡中心HSM BMK 、MAK1BMK:银行主密钥TMK:终端主密钥PIK1:金卡中心与成员行之间的PIKMAK1:金卡中心与成员行之间的MAKPIK2:成员行与终端(ATM、POS)之间的PIKMAK2:成员行与终端(ATM、POS)之间的MAKDATA:传输的数据(PIK1)BMK:被BMK加密的PIK12术语解释2.1本地主密钥LMK:Local Master Key,本地主密钥,又称为文件主密钥(MDS)、加密机主密钥、主机主密钥,在密钥体系中处于最上层,以明文存储在加密机中,加密保护存储在加密机外的其它密钥。
LMK一般为双长度密钥,也有三倍长度密钥。
2.2区域主密钥ZMK:Zone Master Key,区域主密钥,在RACAL加密机中,指主机与主机间的传输主密钥。
在密钥体系中处于中间层,可以通过LMK 加密后存储在主机数据库中,也可直接存储在加密机中,一般为双长度,也有单长度和三倍长度密钥。
用于主机间动态分发工作密钥时对其进行加密保护BMK:Bank Master Key,银行主密钥,同ZMK,多用于金卡联网,在金卡联网中,有时POS和银行主机之间也使用BMK。
MMK:Member Master Key,成员行主密钥,同ZMK。
多用于金卡联网SMK:Shared Master Key,共享主密钥,同ZMK.2.3数据加密密钥TMK:Terminal Master Key,终端主密钥,在RACAL加密机中,指主机与终端ATM/POS间的传输主密钥,在密钥体系中处于中间层,可以通过LMK加密后存储在主机数据库中,也可直接存储在加密机中,现在一般为单长度,也有双长度和三倍长度。
PIK:PIn Key,PIN密钥,专用于加密保护PIN的工作密钥,在密钥体系中处于最下层,一般通过LMK和ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。
在MDS中,当采用动态密钥时,PIK每12小时或每2500笔交易就必须更换一次(两个条件满足任何一个时更换)PEK:Pin Encrypt Key,PIN加密密钥,同PIK。
ZPK:Zone Pin Key,区域PIN密钥,PIK的一种,专指主机与主机间的PIK。
TPK:Terminal Pin Key,终端PIN密钥,PIK的一种,专指主机与终端间的PIK。
MAK:Mac Key,Mac密钥,专用于计算MAC的工作密钥,在密钥体系中处于最下层,一般通过LMK和ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。
在MDS中,当采用动态密钥时,PIK每12小时或每2500笔交易就必须更换一次(两个条件满足任何一个时更换)ZAK:Zone Authenticate Key,区域认证密钥,MAK的一种,专指主机与主机间的MAK。
TAK:Terminal Authenticate Key,终端认证密钥,MAK的一种,专指主机与终端间的MAK。
DEK:Data Encrypt Key,数据加密密钥,专用于加密数据的密钥,在密钥体系中处于最下层,一般通过LMK和ZMK/TMK加密后存储在数据库中,也有直接存储在加密机中的,密钥长度有单长度、双倍长度和三倍长度。
在MDS中,当采用动态密钥时,PIK每12小时或每2500笔交易就必须更换一次(两个条件满足任何一个时更换)ZEK:Zone Encrypt Key,区域加密密钥,见DEK,专指主机与主机间的数据加密密钥。
TEK:Terminal Encrypt Key,终端加密密钥,见DEK,专指主机与终端间的数据加密密钥。
CVK:Card Verification Key,卡校验密钥,专用于校验卡真伪的工作密钥,在密钥体系中处于最下层,一般通过LMK加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分别称为CVKA和CVKB,合起来叫CVK pairs,CVK一般数据年更新一次。
PVK:Pin Verification Key,PIN校验密钥,专指用于计算PVV的工作密钥,在密钥体系中处于最下层,一般通过LMK加密后存储在数据库中,也有直接存储在加密机中,密钥由两个单长度密钥组成,分别称为PVKA和PVKB,合起来叫PVK pairs,CVK一般数据年更新一次。
PIN:Personal Identify Number,个人识别码,即卡密码,在标准中,规定为同4-12位0-9的数字组成,在中国一般采用4位或6位PIN。
PINBlock:PIN块,指将PIN按指定格式生成的64位数据。
PVV:Pin Verification Value,PIN校验值,是指当采用ABA 算法校验PIN时,用PVK对PIN、主帐号等信息加密生成的4位数字的校验值。
PAN:Private Account Number,主帐号,即卡号或帐号。
CVV:Card Verification Value,卡校验值,是指用CVK对卡号、服务码、卡有效期进行加密生成的用来校验卡的合法性的3位数字的校验值。
CVC:Card Verification Code,卡校验码,同CVV,用于VISA。
CVV1:Card Verifycation Value 1,CVV的一种,与CVV2相比,计算参数中服务码不同。
CVV2:Card Verifycation Value 2,CVV的一种,与CVV1相比,计算参数中服务码不同。
ICVV:ICard Verification Value,VISA中用于IC卡的仿磁卡业务中,与CVV计算方法同,其服务代码为‘999’。
MAC:Message Authentication Code,消息认证码,用于鉴别数据真实性的加密结果,按要求MAC由32-64位数据 (8-16个16进制字符)组成。
TAC:Transaction Authentication Code,交易认证码,在IC 卡中用于验证交易正确性。
MK:Master Key,主密钥,IC卡业务中的各级应用主密钥。
2.4IC卡业务密钥SK:Session Key,过程密钥/会话密钥,IC卡业务中用主密钥对过程数据(Session Data)进行3DES加密或其它方式处理得到的单长度或双长度密钥,用于计算MAC或加密数据。
HSMK1:主密钥一,SJL05金卡版本的IC卡密钥区中,保留的加密机主密钥。
HSMK2:主密钥二,SJL05金卡版本的IC卡密钥区中,用于存储或读取次主密钥时对其进行加密保护。
SHSMK:次主密钥,SJL05金卡版本的IC卡密钥区中,对应存储IC卡业务的各级应用主密钥,也可用于存储IC卡传输主密钥。
2.5密钥管理体系2.6涉及的国家(际)标准ANSI 数据加密算法;ANSI 信息鉴别;ANSI PIN的管理与安全;ANSI 密钥管理;ANSI 零售金融信息的鉴别;中国人民银行金融IC卡规范PBOC;VISA及MASTER对硬件加密机的相关需求。