加密机主密钥,成员主密钥更换2

一.加密机密钥体系密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。UP网络的密钥根据实际使用情况划分成三层，三层密钥体系根据密钥的使用对象而形成，上层对下层提供保护和一定的维护功能，不同层的密钥不许相同，不能相互共享。同一密钥只能用于其生成时所定义的目的，不能用于其他用途；不同的UP卡网络参与方、不同的地区、不同的终端设备不得使用相同的密钥，必须确保密钥的唯一性。第一层密钥（MK）加密机主密钥，即本地主密钥，是最重要的密钥，用于加、解密本地存放的其他密钥数据。MK长度规定为128bit或以上，在硬件加密机以外的地方保管时必须采取严格的安全保管措施。MK一般不更换。第二层密钥（MMK）加密机主密钥的下一层为成员主密钥（MMK）[或终端主密钥（TMK）]，作用是加、解密需传递的工作密钥，实现工作密钥的联机实时传输或其他形式的异地传输。成员主密钥在硬件加密机以外的系统中存放和使用时，处于本地MK的保护之下。两组不同的UP卡网络参与方之间不得使用相同的成员主密钥。一般情况下，MMK最长2－3年更换一次。第三层密钥（PIK、MAK、TPK、TMK）工作密钥为最底层的密钥，包括UP卡网络参与方之间使用的成员信息完整性密钥（MAK）和成员PIN保护密钥（PIK）、终端到UP卡网络参与方之间使用的终端信息完整性密钥（TAK）和终端PIN保护密钥（TPK）等，用于加密各种数据，保证数据的保密性、完整性、真实性。第三层密钥一般称为工作密钥（也称数据密钥），是使用最频繁的密钥，在本地存放时，受相应的MK、成员主密钥或终端主密钥的保护。在UP卡网络参与方之间进行传输时受成员主密钥的保护，在终端与UP卡网络参与方主机之间传输时受终端主密钥的保护。工作密钥采用定期（原则上每天更换一次），或人工触发方式，或按每隔一定交易笔数申请更换。加密机主密钥，即为本地主密钥，是指存储在加密机中，用于保护存储在加密机外的各种密钥和关键数据的密钥加密密钥，是所有密钥的根。MMK，PIK等密钥，都是基于LMK保护存储在外部的。二.导入加密机主密钥（加密机内有密钥时需获取超级权限）1.SHJ0902终端连接连接方法：用连接线缆连接PC机的串口和密码机的COM1端口。测试过程中用PC机上Windows自带的“超级终端”软件。在Windows桌面环境下依次点击：开始所有程序附件通信超级终端，运行“超级终端”。超级终端设置：9600bps、8位数据位、1位停止位、无奇偶校验位。或者使用SecureCRT软件，flowcontrol：RTS/CTS；Pc机用usb接口时，首先串口转USB数据线插在电脑上并安装完驱动；然后我的电脑——》右键——》管理——》设备管理器——》端口——》查看是COM？口是多少连接成功后会出现serial-com对话框，然后按回车键，出现如下命令行。HSM2.格式化三张管理员卡在制作权限卡之前，必须将3张IC卡格式化，格式化终端命令fc，示例如下：HSM-AUTH3fcReturnInsertthecardandpressENTER!Somethinginthecard,Continue?[Y/N]:YReturnCardpin:******Return//卡PIN可以是6-16RetypeCardpin:******ReturnEnterdate[YYMMDD]:111111Return//日期填写格式卡的日期Entertime[HHMMSS]:111111ReturnEnterIssuerID:0001Return//超级用户卡3张（0001-0003），管理卡2张（0004-0005），工作卡（0006）EnterUserID:0001ReturnFormatsuccess!Continue?[Y/N]:YReturnInsertthecardandpressENTER!Somethinginthecard,Continue?[Y/N]:YReturnCardpin:******ReturnRetypeCardpin:******ReturnEnterdate[YYMMDD]:222222ReturnEntertime[HHMMSS]:222222ReturnEnterIssuerID:0002ReturnEnterUserID:0002ReturnFormatsuccess!Continue?[Y/N]:YReturnInsertthecardandpressENTER!Somethinginthecard,Continue?[Y/N]:YReturnCardpin:******ReturnRetypeCardpin:******ReturnEnterdate[YYMMDD]:333333ReturnEntertime[HHMMSS]:333333ReturnEnterIssuerID:0003ReturnEnterUserID:0003ReturnFormatsuccess!Continue?[Y/N]:NReturnHSM-AUTH3在格式化的过程中，对IC卡设置了密码，这个密码卡片持有人必须记住，因为在后面制作权限卡的时候会要求输入卡密码。3.制作超级管理员卡制作超级管理员权限卡其实也就是制作加密机主密钥的一个过程，在执行mksuper命令后，加密机会提示输入3个明文分量，每个明文分量都是48位16进制数。三个分量会分别存储在三张IC里面，做好密钥备份工作。HSM-AUTH3MKRmkcomponent1:************************************************RetypeRmkcomponent1:************************************************Rmkcomponent2:************************************************RetypeRmkcomponent2:************************************************Rmkcomponent3:************************************************RetypeRmkcomponent3:************************************************Insertthesupercard1andpressENTER...Card1PIN:******component1checkvalue:5C23A87A84D88BE2Makethesupercard1success!Insertthesupercard2andpressENTER!Card2PIN:******component2checkvalue:6589C968EED5A45DMakethesupercard2success!Insertthesupercard3andpressENTER!Card3PIN:******component3checkvalue:697D77C07386F38FMakethesupercard3success!注：这一步只是制作管理卡并把密钥成分存入在卡里，没有存入加密机。加密机存储主密钥需要用loadmk命令从三张超级管理员卡导入完成。加密机会提示按顺序插入三张超级管理员卡，因此在制作超级管理员卡的时候必须记住IC卡的次序。4.将主密钥从三张超级管理员卡中导入到机密机上面一步只是随机生成了三个主密钥明文分量并保存在三张超级权限卡中，但是未保存到密码机中，此时需要将保存在三张超级权限卡中的密钥加载到密码机中。保存的同时，会提示输入加密机口令，这个口令务必记牢，在没有IC卡的情况下，可以通过这个口令对加密机做授权操作。主密钥的加载方式是：在PC的超级终端执行LOADMK命令，然后按提示插入超级管理员卡和输入密钥HSM-AUTH3loadmkInsertthesupercard1andentercard1Pin:********NewHsmPassword1:********RetypeNewHsmPassword1:********HsmPassword1SetOk!component1checkvalue:B57CD5439B889080Insertthesupercard2andentercard2Pin:********NewHsmPassword2:********RetypeNewHsmPassword2:********HsmPassword2SetOk!component2checkvalue:73F0BEC37FA9484BInsertthesupercard3andentercard3Pin:********NewHsmPassword3:********RetypeNewHsmPassword3:********HsmPassword3SetOk!component3checkvalue:FC9FB7F1494D9B85LMKcheckvalue:74A33E9BFD518D15三.更换成员主密钥（MMK）1.准备工作三张超级用户卡测试环境三张IC卡是由生产环境加密机复制而来，理论上测试环境加密机生成的密钥密文等同生产环境加密机产生的密文。需要有UP公司下发的两个分量的成员主密钥明文和密钥校验值2.操作步骤：(1)．SHJ0902终端连接同上(2)．进入超级授权状态HSMAReturnSuper/Administer/Worker[S/A/W]:SReturnInsertthesupercard1andenterPin:******ReturnInsertthesupercard2andenterPin:******ReturnInsertthesupercard3andenterPin:******ReturnHSM-AUTH3(3)．用成分合成密钥密钥合成使用fk命令。合成密钥密文。因为密钥成分需要两个以上的分量，所以当密钥明文只有一个分量的时候，第二个分量请用全0代替。首先在合成密钥的笔记本上新建一个文本文档。命名为密钥.txt文件内容用于记录密钥合成PC超级终端执行fk终端命令得到，fk终端命令是用成份合成密钥。HSM-AUTH3FKReturnKey-length64/128/192[1/2/3]:2ReturnKeytype:000ReturnComponentTypeClear/Encrypted[C/E]:EReturnEnternumberofComponents(2-9):2ReturnEntercomponent1:********************************ReturnEntercomponent2:********************************Return是否对密钥做奇校验处理[Y/N]:YReturn是否变种加密[Y/N]:NReturnEncryptedKey:03F79C8C1FEB888D03F79C8C1FEB888DKeycheckvalue:8CA64DE9C1B123A7将加密机返回的密钥密文（EncryptedKey）及校验值（Keycheckvalue）记录，同时比对此校验值与UP公司下发的码单中的总校验值是否一致，若不一致说明输入有误，则需要重新输入(4).密钥密文保存在应用程序（根据具体业务系统实际情况）(5)．密钥的回退加密机返回的秘钥密文和校验值与UP公司下发的校验值对比，若一致则将秘钥密文保存到应用系统的配置文件和数据库中，在保存之前做好原有秘钥的备份。然后做测试验证，验证通过则更换成功，验证不通过密钥回退，将备份的原来密钥重新输入