加密体系介绍（LMK、ZMK、ZAK、ZPK）

相关术语：
HSM：硬件加密机；
PIN:客户个人密码
MAC:信息认证代码*（YL叫做报文鉴别码，128域）
note：图中，箭头向下可以暂且认为加解密的关系。**

三级加密体系*
第一级：
LMK(LOCAL MAIN KEY)，存放于HSM机中，用于对所有存于本地的其他密钥和加密数据进行加密，是最重要的密钥；（工作中，不太会接触到，姑且了解下即可）

第二级：
如ZMK（即平时大家说的主密钥MK），存于本地或共享网络中，用于加密在通讯线路上需要的传递的数据密钥（即YL重置PIK和重置MAK时，48域传递的mak或pik密文信息）。该二级密钥，在本地存放时是置于本地LMK的加密之下的。

第三级：
note:仅介绍ZMK这部分，工作中常用到的。
如ZAK或ZPK（这个是我们平时常说的PIK密文或MAK密文密钥，后文按照我们常用说法，即PIK或MAK），通称为数据加密密钥或工作密钥，它的作用是加密各种不同的数据，如PIK明文（通过主密钥解PIK密文获得）用于加解密52/63域密码，MAK明文（通过主密钥解MAK密文获得）用于生成128域，从而实现数据的解密或保密。

  在细讲下ZPK，英文意思为ZONE PIN KEY，也就是区域PIN密钥（也就是YL说的PIK密文）。即我平时YL重置PIK密钥交易中48域的报文域内容。对应的ZPK存在一个PIN校验密钥（PVK），用于生成和校验PIN数据，同时校验一个PIN的可靠性传送时，PVK通过ZMK加密。存放本地时，用一对LMK加密。

  非管理类交易报文中PIN密码域，大致如下：MK解密PIK密文，获得PIK明文，PIK明文与PIN BLOCK获得最终值（报文52/63域）。

note:在YL重置PIK交易中的128域，是通过本交易传递中的48域（PIK密文），用MK解密PIK密文，获得PIK明文,PIK明文与MAC BLOCK全报文加密（排除48,128域）生成128域。

  ZAK，即区域MAC密钥是一个数据加密密钥(也就是YL说的MAK密文)，用于两个通讯网点（银行与YL）之间传递信息时，生成和校验一个信息认证代码（MAC，128域），从而达到信息认证的目的。此即平时YL重置MAK密钥交易中的48域的报文域内容。

  在非管理类交易中，MAC的生成就是通过MK解密MAK密文，得到MAK明文，MAK明文在与MAC BLOCK加密获得的最终值（MAC）.