中国银联POS密钥分发专用终端规范.pdf-资料库

dreamssssss-10846138-4744300845226791131.pdf-第1页.png

第1页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第2页.png

第2页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第3页.png

第3页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第4页.png

第4页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第5页.png

第5页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第6页.png

第6页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第7页.png

第7页 / 共16页

dreamssssss-10846138-4744300845226791131.pdf-第8页.png

第8页 / 共16页

Q/CUP 中国银联股份有限公司企业标准 Q/CUP ×××—2009 中国银联 POS 密钥分发专用终端规范 Specification for TMK Deliver Special Terminal 2009-××-××发布 2009-××-××实施中国银联股份有限公司发布

Q/CUP ×××—2009 目次前言 ............................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语 ................................................................................ 1 3.1 ................................................................................... 1 密钥分发专用终端 TMK deliver special terminal.............................................. 1 3.2 ................................................................................... 1 密钥加载 keys load..................................................................... 1 3.3 ................................................................................... 1 密钥分发 key deliver .................................................................... 1 3.4 ................................................................................... 1 联机分发 online key deliver ............................................................... 1 3.5 ................................................................................... 1 离线分发 offline key deliver .............................................................. 1 3.6 ................................................................................... 1 终端主密钥 terminal master key; TMK ..................................................... 1 3.7 ................................................................................... 1 加密密钥 terminal keys encrypting key; KEK ................................................ 1 3.8 ................................................................................... 2 POS 中心 POS center ................................................................... 2 4 基本功能要求 ........................................................................ 2 4.1 密钥的生成 ........................................................................ 2 4.2 密钥的加载 ........................................................................ 2 4.3 密钥的存贮 ........................................................................ 2 4.4 密钥的分发 ........................................................................ 2 4.5 操作人员管理 ...................................................................... 2 5 操作流程要求 ........................................................................ 2 5.1 系统登录 .......................................................................... 2 5.2 密钥的设置 ........................................................................ 3 5.3 密码修改 .......................................................................... 4 5.4 密钥分发 .......................................................................... 5 5.5 密钥维护 .......................................................................... 7 附录 A （规范性附录） KEK 分量校验值的计算方法 .................................... 9 A.1 TDES 的 KEK 分量算法 .............................................................. 9 A.2 KEK 密钥校验值算法 ................................................................ 9 A.3 终端主密钥的加密算法 .............................................................. 9 附录 B （规范性附录）文件导入密钥报文格式 ........................................ 10 B.1 串口通讯参数约定 ................................................................. 10 B.1.1 通讯初始化 ...................................................................... 10 I

Q/CUP ×××—2009 B.1.2 通讯过程 ........................................................................ 10 B.1.3 通讯结束 ........................................................................ 10 B.2 串口数据交换应用协议 ............................................................. 10 B.2.1 接口符号约定 .................................................................... 10 B.2.2 指令报文结构 .................................................................... 10 B.2.3 指令描述 ........................................................................ 11 II

Q/CUP ×××—2009 前言本标准对分发终端主密钥专用的终端做了安全和应用规定。本标准由中国银联提出。本标准由中国银联技术管理部组织制定。本标准的主要起草单位：中国银联技术管理部。本标准主要起草人：李伟、周皓、倪国荣、戴光寰、杨志国。 III

Q/CUP ×××—2009 中国银联密钥分发专用终端规范 1 范围本标准规定了终端密钥传输专用POS终端的应用和安全要求。本标准适用于银联直联终端的收单机构及专业化服务机构。 2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 JR/T 0001 银行卡销售点（POS）终端规范 Q/CUP 007 中国银联POS终端规范 3 术语 3.1 密钥分发专用终端 TMK deliver special terminal 支持对多组终端主密钥的安全管理，并能将指定终端主密钥下发到POS终端或外置密码键盘的专用终端。密钥分发专用终端的硬件和安全应符合《中国银联POS终端规范》的要求。用于离线分发的密钥分发专用终端应同时具备内置密码键盘，用于存贮KEK。 3.2 密钥加载 keys load 将终端密钥（TMK）的密文导入或录入密钥分发专用终端的过程，仅用于密钥离线分发方式。 3.3 密钥分发 key deliver 将终端主密钥（TMK）传输到POS终端密码键盘的过程。 3.4 联机分发 online key deliver 联机分发方式指直接从PC工具获取密钥并下传给密码键盘或内置密码键盘的POS终端。 3.5 离线分发 offline key deliver 离线分发方式指将已通过PC工具下载并保存在密钥分发专用终端内的密钥下传给密码键盘或内置密码键盘的POS终端。 3.6 终端主密钥 terminal master key; TMK 用于加密终端工作密钥的密钥。 3.7 加密密钥 terminal keys encrypting key; KEK 存放于密钥分发专用终端内，用于加密终端主密钥（TMK）的密钥，KEK对每组POS终端主终端密钥的加、解密采用TDES算法。 1

每台密钥分发专用终端可保存多组KEK，索引号为00－99，可在TMK加密时约定采用不同的KEK序号。 3.8 POS 中心 POS center 接收、处理或转发POS终端的交易请求信息，并向POS终端回送交易结果信息的系统或机构。 Q/CUP ×××—2009 4 基本功能要求 4.1 密钥的生成由POS中心的终端管理系统生成一组密钥，用KEK加密为密文。 4.2 密钥的加载密钥的加载是将用KEK保护的终端主密钥（TMK）的密文载入密钥分发专用终端的过程。 4.3 密钥的存贮在密钥分发专用终端内，所有TMK应以密文存放。 4.4 密钥的分发密钥分发分为离线分发和联机分发两种方式. 密钥分发终端可根据本厂商不同型号选择不同的通讯方式。可通过密码键盘口（PINPAD）或通讯/ 下装口对外置密钥键盘和内置密码键盘的POS终端进行密钥分发。由于各厂商密码键盘及终端（内置密码键盘）所支持的密钥导入数据格式不同，本规范不对此接口进行定义，但厂商应采用相应手段保证密钥最终分发过程中的安全性。 4.5 操作人员管理 4.5.1 操作人员的分类分发专用终端上的操作员分为二级：管理员和操作员。管理员包括系统管理员和KEK密钥分量管理员。操作员包括分发操作员。 4.5.2 管理员 4.5.2.1 系统管理员系统管理员负责对分发专用终端系统进行管理，包括软件下载、参数设置。系统管理员的身份认证使用登录密码。其密码长度为8位数字，系统管理员的密码验证在分发专用终端上完成。系统管理员负责KEK的录入管理和密码设置的管理。系统管理员初始密码为“87654321”。 4.5.2.2 KEK 密钥分量管理员 KEK密钥分量管理员负责录入KEK的密钥分量。需经系统管理员登录后方可进行KEK密钥分量的录入。 KEK第一分量管理员初始密码为“88888888”。 KEK第二分量管理员初始密码为“99999999”。 4.5.3 操作员 4.5.3.1 分发操作员分发操作员只能完成密钥(TMK)的分发功能。分发操作员的密码存放在POS终端内，密码修改和验证在终端上进行。分发操作员的密码长度为8位数字，初始密码为“00000000”。 5 操作流程要求 5.1 系统登录 5.1.1 系统开机界面开机显示： 2

Q/CUP ×××—2009 密钥分发专用系统中国银联（或受理机构名称）程序版本号图1 当前界面2秒内按“5”键,进入系统管理员登录界面, 如下图所示：正确输入系统管理员密码后,进入系统管理界面,如下图所示: 系统管理员设置请输入密码: 系统管理 1.KEK 设置 2.密码改密图2 如果2秒内没有按5键,则进入密钥管理界面,分两种类型显示(联机分发类型与仅支持离线分发类型), 分别如下图所示: (1) 可联机分发类型: 上下翻页密钥下载专用机具 1.密钥加载 2.离线分发 3.联机分发 <-------- 密钥下载专用机具 4.密钥查询 5.密钥清除 (2) 仅支持离线分发类型: 密钥下载专用机具 1.密钥加载 2.离线分发 3.密钥查询图3 图4 上下翻页 <-------- 密钥下载专用机具 4.密钥清除 5.2 密钥的设置 5.2.1 KEK 的设置 KEK可设置50组,每组均为16字节的双倍长密钥. KEK重新设置后，终端内所有存贮的TMK均应删除或标记无效，不再使用。在系统管理界面，选择1进入KEK密钥设置管理界面，显示分量管理员密码输入界面： KEK 分量 1 设置请输入管理密码：图5 3

Q/CUP ×××—2009 输入设置KEK的管理密码后，显示如下画面： KEK 分量 1 设置输入分量 1 前 16 位： XXXXXXXXXXXXXXXX 图6 输入KEK密钥分量值的前16位，按确认键，显示： KEK 第 x 分量输入分量 1 后 16 位： XXXXXXXXXXXXXXXX 图7 输入KEK密钥分量值的后16位，按确认键。输入完毕KEK密钥分量值后，显示第一分量的校验值（算法见附录A.1）。 KEK 分量 1 设置分量一校验值为: XXXXXXXX [确认/取消] 图8 按确认键继续分量2的设置, 步骤与分量1设置相同; 取消键退出设置。与第一分量的设置相同，进行第二分量的设置。然后提示输入KEK索引号（０－９９）： KEK 设置请输入 KEK 索引号：图9 回车之后显示两分量异或之后的检验值（算法见附录A.2）。 KEK 两分量合并 KEK 检验值为： XXXXXXXX [确认/取消] 图10 确认后保存该索引号的KEK并返回选择界面。 5.3 密码修改在系统管理员登录界面，选择2进入密码改密界面，显示如下界面：上下翻页 ----- 修改密码 1.系统管理员 2.分量 1 管理员 3.分量 2 管理员修改密码 4.密钥分发员图11 4

资料库

中国银联POS密钥分发专用终端规范.pdf

相关推荐

开发技术

热门标签

最新资料