银行卡网络安全系统的三级密钥体系

　　银行卡网络安全系统采用了三级密钥管理体制，从上而下依次是主密钥、密钥交换密钥、数据密钥。上级密钥用于加密下级密钥，具体如下：

 

　　1. 主密钥用于加密密钥交换密钥和数据密钥作本地存储；

 

　　2. 密钥交换密钥用于加密数据密钥作网络传输；

 

　　3. 数据密钥用于对数据进行加解密。

 

　　三级密钥体制示意图：

　　

 

　　三级密钥体制

　　

 

　　三级密钥体制说明

　　第一层，LMK为本地主密钥,共有50对不同的LMK，它是采用双倍标准的DES密钥（长达112位），它是存放在HSM机内的，它的作用是对所有在本地存放的其它密钥和加密数据进行加密，不同对的LMK用于加密不同的数据或密钥。由于本地存放的其它密钥和加密数据，都是在LMK加密之下。因此，LMK是最重要的密钥。

 　　第二层，通常称为密钥加密密钥或传输密钥（Key-encrypting key），包括TMK、ZMK等密钥。它的作用是加密在通讯线上需要传递的数据密钥。从而实现数据密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密钥(KEK)，从而实现密钥的分工管理，它在本地存放时，处于本地LMK的加密之下。

　　 第三层，通常称为数据加密密钥或工作密钥。包括TPK、TAK、ZPK、ZAK、PVK、CVK等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于本地LMK的加密之下。