加密体系介绍(LMK、ZMK、ZAK、ZPK)

加密体系介绍(LMK、ZMK、ZAK、ZPK)_第1张图片
相关术语:
HSM:硬件加密机;
PIN:客户个人密码
MAC:信息认证代码*(YL叫做报文鉴别码,128域)
note:图中,箭头向下可以暂且认为加解密的关系。**

三级加密体系*
第一级:
LMK(LOCAL MAIN KEY),存放于HSM机中,用于对所有存于本地的其他密钥和加密数据进行加密,是最重要的密钥;(工作中,不太会接触到,姑且了解下即可)

第二级:
如ZMK(即平时大家说的主密钥MK),存于本地或共享网络中,用于加密在通讯线路上需要的传递的数据密钥(即YL重置PIK和重置MAK时,48域传递的mak或pik密文信息)。该二级密钥,在本地存放时是置于本地LMK的加密之下的。

第三级:
note:仅介绍ZMK这部分,工作中常用到的。
如ZAK或ZPK(这个是我们平时常说的PIK密文或MAK密文密钥,后文按照我们常用说法,即PIK或MAK),通称为数据加密密钥或工作密钥,它的作用是加密各种不同的数据,如PIK明文(通过主密钥解PIK密文获得)用于加解密52/63域密码,MAK明文(通过主密钥解MAK密文获得)用于生成128域,从而实现数据的解密或保密。

  在细讲下ZPK,英文意思为ZONE PIN KEY,也就是区域PIN密钥(也就是YL说的PIK密文)。即我平时YL重置PIK密钥交易中48域的报文域内容。对应的ZPK存在一个PIN校验密钥(PVK),用于生成和校验PIN数据,同时校验一个PIN的可靠性传送时,PVK通过ZMK加密。存放本地时,用一对LMK加密。

  非管理类交易报文中PIN密码域,大致如下:MK解密PIK密文,获得PIK明文,PIK明文与PIN BLOCK获得最终值(报文52/63域)。

note:在YL重置PIK交易中的128域,是通过本交易传递中的48域(PIK密文),用MK解密PIK密文,获得PIK明文,PIK明文与MAC BLOCK全报文加密(排除48,128域)生成128域。

  ZAK,即区域MAC密钥是一个数据加密密钥(也就是YL说的MAK密文),用于两个通讯网点(银行与YL)之间传递信息时,生成和校验一个信息认证代码(MAC,128域),从而达到信息认证的目的。此即平时YL重置MAK密钥交易中的48域的报文域内容。

  在非管理类交易中,MAC的生成就是通过MK解密MAK密文,得到MAK明文,MAK明文在与MAC BLOCK加密获得的最终值(MAC).

你可能感兴趣的:(加密体系介绍(LMK、ZMK、ZAK、ZPK))