2.2.1 全国密钥管理中心功能
多层密钥管理系统的功能主要由全国密钥管理中心和省密钥管理中心来完成。其中全国密钥管理中心作为系统的第一级别,主要负责以下几方面。
· 根据密钥种子A、B 生成全国根密钥, 使用全国应用标识分散全国根密钥得到全国卡片管理密钥、全国应用管理密钥、全国应用功能密钥、全国通信保护密钥和省应用根密钥。
· 通过第三方提供的第三方应用母卡接收合作类应用的密钥。
· 加载全国通信保护密钥到加密机,销毁加密机中的全国通信保护密钥。
· 使用全国通信保护密钥制作省通信母卡,使用省应用根密钥制作省应用母卡, 使用全国卡片管理密钥、全国应用管理密钥和全国应用功能密钥制作PSAM 卡发卡母卡和省用户卡发卡母卡,使用第三方应用母卡制作省第三方应用母卡,使用全国卡片管理密钥制作PSAM卡洗卡母卡和省PSAM 卡发卡母卡。
· 把省通信母卡、省应用母卡、省用户卡发卡母卡、省第三方应用母卡、PSAM 卡洗卡母卡和省PSAM卡发卡母卡传递给各省密钥管理中心。
· PSAM 卡的一次发卡。全国发卡系统使用PSAM卡发卡母卡,把PSAM 卡的厂商密钥替代为母卡中的PSAM卡卡片主控密钥。然后,在卡片主控密钥控制下导入卡片维护密钥,创建卡文件结构和导入全国应用管理密钥和全国应用功能密钥。
· 把一次发卡后的PSAM 卡传递给各省密钥管理中心。
2.2.2 省密钥管理中心功能
省密钥管理中心是多层密钥管理系统的第二级别,主要负责以下几方面。
· 接收全国密钥管理中心传递省通信母卡、省应用母卡、省用户卡发卡母卡、省第三方应用母卡、PSAM卡洗卡母卡和省PSAM卡发卡母卡。
· 通过第三方提供的第三方应用母卡接收合作类应用的密钥。
· 加载省通信保护密钥到加密机,销毁加密机中的省通信保护密钥。
· 使用本省应用标识分散省应用母卡中的本省应用根密钥从而生成本省应用功能密钥和本省应用管理密钥。
· PSAM 卡二次发卡母卡和用户卡发卡母卡的制作。使用省通信保护密钥、本省应用功能密钥、本省应用管理密钥和省PSAM 卡发卡母卡制作PSAM 卡二次发卡母卡;利用省用户卡发卡母卡、省第三方应用母卡、本省第三方应用母卡、本省应用功能密钥和本省应用管理密钥制作用户卡发卡母卡。
· 用户卡的发卡。省发卡系统首先使用用户卡发卡母卡,将用户卡的厂商密钥替换母卡中的用户卡卡片主控密钥;然后,在卡片主控密钥控制下导入卡片维护密钥,创建用户卡根目录下的文件和应用目录,并导入应用的主控密钥。接着,在应用主控密钥控制下导入应用维护密钥和应用功能密钥,在应用维护密钥控制下创建应用目录下的文件。最后,将个人化信息写入用户卡内。用户卡发卡母卡中的密钥经用户卡序列号分散后倒入用户卡。
· PSAM 卡的二次发卡。省发卡系统使用PSAM卡二次发卡母卡和PSAM 卡洗卡母卡,往PSAM 卡写入终端机编号,创建本省应用文件,并导入发卡母卡中的密钥。发卡母卡中的应用管理密钥需使用PSAM 卡序列号分散后写入。
3 密钥管理流程
RFID 智能卡上集成多种支付应用,能否准确地生成用户卡和PSAM 卡中的密钥, 对支付系统的安全至关重要。因此,多层密钥管理系统的一个重要方面是管理系统中各类密钥的生成,包括用户卡的卡片管理密钥和运营商自营业务的密钥生成,PSAM 卡的卡片管理密钥、通信保护密钥和运营商自营业务的密钥生成和合作类业务的密钥加载。
3.1 用户卡密钥生成流程
首先,全国密钥管理中心使用省编码分散全国卡片管理密钥、全国应用管理密钥、全国应用功能密钥得到省卡片管理密钥、省应用管理密钥和省应用功能密钥,把省卡片管理密钥、省应用管理密钥和省应用功能密钥写入空白密钥母卡得到省用户卡发卡母卡;将分散省应用根密钥得到的各省的本省应用根密钥写入空白密钥母卡得到省应用母卡。然后,省密钥管理中心使用本省应用标识分散省应用母卡中的本省应用根密钥,得到本省应用管理密钥和本省应用功能密钥。将本省应用管理密钥和本省应用功能密钥一起加载到省用户卡发卡母卡,从而得到用户卡发卡母卡。最后,省发卡系统对用户卡进行发卡。用户卡密钥的生成流程具体如图3所示。
.jpg)
图3 用户卡密钥生成流程
3.2 PSAM 卡密钥生成流程
首先,全国密钥管理中心把全国应用管理密钥,全国卡片管理密钥和全国应用功能密钥写入空白密钥母卡得到PSAM 卡发卡母卡;将分散全国通信保护密钥得到的省通信保护密钥写入空白密钥母卡得到省通信母卡;将卡片管理密钥写入空白密钥母卡得到PSAM 卡洗卡母卡;使用省编码分散卡片管理密钥后写入空白密钥母卡得到省PSAM 卡发卡母卡。全国发卡系统利用PSAM 卡发卡母卡对PSAM 卡进行一次发卡。
然后,省密钥管理中心把本省应用管理密钥、本省应用功能密钥和省通信保护密钥写入到省PSAM 卡发卡母卡,从而生成PSAM 卡二次发卡母卡。最后,省发卡系统利用PSAM 卡洗卡母卡和PSAM 卡二次发卡母卡对一次发卡后的PSAM 卡进行二次发卡。PSAM 卡的密钥生成流程具体如图4 所示。
.jpg)
图4 PSAM卡密钥生成流程
