DUKPT: (derived unique key per Transaction)每笔交易衍生单玥管理方法
是一种非常安全的密钥管理技术,主要应用于对称密钥加密MAC,PIN等安全数据方面.
主要思想:
保证每一次交易流程使用唯一的密钥,采用一种不可逆的密钥转换算法,使得无法从当前交易数据信息破解上一次交易密钥。
应用:要求收单行和终端必须是同步支持该密钥管理技术。
是每交易一次密钥。是由基础密钥BDK和KSN(密钥标识+设备标识+密钥计数器)共同完成。其中BDK是基础主密钥,它派生出加密安全模块的初始密钥。初始密钥和KSN一起装入加密模块。
KSN的组成如下:以下位数是16进制的字符(1-F)
(1) 密钥标识10位(基础派生密钥标识9位+子密钥标识1位)
(2) 设备标识5位:其中最右边的一个二进制位给下面第三部分使用(只有二进制的19位)。
(3) 交易计数标识5位:即二进制的20位,但它占用了设备标识的一个二进制位,其实是二进制的21位。
每次进行交易,都是用唯一的密钥,用完之后就销毁。
另外 ,由于交易终端没有保存 以往的任何交易密钥 ,使用这种密钥管 理方法,仅仅要求密码键盘等安全模 块物理使用这种密钥管理方法,仅仅 要求 密码 键盘 要从 结 构 ,电路 以及逻 辑上 进行 安全 保护 ,达到受 到物 理攻 击 时能够 留下 明 显的攻 击证 据 的效果, 并且 禁止 继续 使用 ,以便那 些试 图输 入 P I N的用户 能够 识别 出这台 密码键 盘 已 经 受 到 攻 击 而 拒 绝使用就可 以了。所以其对交易终端的设备实体安 全 要 求 略 低 于使 用 MK/SK方 法 以及 FIXed KEY方 法 的交易终端。
与另外一种mksk的加密算法有所区别。mksk是需要每次产生随机数得到密钥,而DUCKPT是由每次交易结果ksn计数加一,得到不同的密钥,从而保证密钥的安全性与唯一性。
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
