[翻译]ANSI X9.24-1-2009

于 2024-10-07 06:15:00 发布
阅读量779 收藏 22
点赞数 8
分类专栏: 信息安全 文章标签: 信息安全 密码技术 X9.24-1-2009 DUKPT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mickey2007/article/details/142439683
版权

目录

1 目的

2 范围

2.1 应用

3 参考文献

4 术语和定义

4.1 acceptor 接收器

4.2 acquirer 收单

4.3 algorithm 算法

4.4 archived key 存档密钥

4.5 authentication 认证/鉴别/身份验证

4.6 authentication algorithm 认证算法

4.7 authentication element 认证要素

4.8 base derivation key 基础派生密钥(主密钥)

4.9 card acceptor 卡片接收器

4.10 card issuer 发卡机构

4.11 check value 校验值

4.12 ciphertext 密文

4.13 cleartext 明文

4.14 communicating pair 通信对

4.15 compromise 泄露

4.16 cryptographic key 密钥

4.17 cryptographic key synchronization 密钥同步

4.18 Data Encryption Algorithm 数据加密算法(DEA)

4.19 decryption 解密

4.20 derivation key 派生密钥

4.21 double-length key 双长度密钥

4.22 dual control 双重控制

4.23 DUKPT(Derived Unique Key per Transaction)

4.24 encryption 加密

4.25 exclusive-or 异或

4.26 institution 机构

4.27 interchange 互操作

4.28 issuer 发行人

4.29 key 密钥

4.30 key component 密钥组件

4.31 key encrypting key 密钥的加密密钥

4.32 keying material 密钥材料

4.33 key separation 密钥分离

4.34 key set 密钥集

4.35 key set identifier 密钥集标识符

4.36 master key 主钥匙

4.37 message 消息

4.38 message authentication code (MAC) 消息认证码

4.39 node 节点

4.40 non-reversible transformation 不可逆变换

4.41 Originator 发起人

4.42 parity 对等

4.43 privacy 隐私

4.44 pseudo random 伪随机值

4.45 random 随机

4.46 recipient 收件人

4.47 replay 重放

4.48 sender 发件人

4.49 single length key 单长度密钥

4.50 SMID(Security Management Information Data)

4.51 split knowledge 分割知识

4.52 symmetric key 对称密钥

4.53 switch 转换

4.54 tampering 篡改

4.55 TDEA(Triple Data Encryption Algorithm)

4.56 terminal 终端

4.57 transaction 交易

4.58 transaction key 交易密钥

4.59 Triple Data Encryption Algorithm 三重数据加密算法

4.60 triple-length key 三重长度密钥

4.61 TRSM(Tamper Resistant Security Module)

4.62 UKPT(Unique Key Per Transaction)

4.63 variant of a key 密钥的变体

4.64 verification 验证

4.65 XOR 异或

5 标准组织

6 环境

6.1 总则

6.2 持卡人和发卡人

6.3 读卡器

6.4 收单机构

7 密钥管理要求

7.1 概述

7.2 用于密钥管理的防篡改安全模块(TRSM)

7.3 安全环境

7.4 密钥生成

7.5 对称密钥分发

7.5.1 手动分配

7.5.2 密钥初始化工具

7.5.3 密钥加载装置

7.6 密钥利用率

7.7 密钥更换

7.8 密钥销毁和归档

7.9 密钥加密/解密

8 密钥管理规范

8.1 总则

8.2 密钥管理方法

8.2.1 需要防泄漏控制的密钥管理方法

8.2.1.1 固定交易密钥

8.2.1.2 主密钥/交易密钥

8.2.2 需要泄漏检测控制的密钥管理方法

8.3 密钥识别技术

8.3.1 密钥识别

8.3.2 按名称识别密钥

8.4 安全管理信息数据(SMlD)元素

8.5 方法:固定交易密钥

8.6 方法:主密钥/交易密钥

8.7 方法:DUKPT(每笔交易派生唯一密钥)

8.7.1 SMID

8.7.2 附加密钥管理要求

8.7.2.1 初始化

8.7.2.2 加密密钥同步

8.7.3 其他注意事项

9 附件:标准下载

美国国家金融服务标准

ANSI X9.24-1:2009

零售金融服务 对称密钥管理 第1部分:使用对称技术

批准日期:2009年10月13日

美国国家标准协会

1 目的

        该密钥管理标准与美国国家标准三重数据加密算法(TDEA)(见参考文献2)结合使用,用于管理对称密钥,这些密钥可用于保护金融服务环境中的消息和其他敏感信息。基于TDEA的任何过程的安全性和可靠性直接取决于对称加密密钥的保护

        本标准规定了密钥操作的安全管理和应用程序级互操作性的要求和条件。这些密钥可用于验证消息(见参考文献5)、加密个人识别号(PlN)(见参考资料4)、加密其他数据和加密其他密钥。

2 范围

        本标准的这一部分涵盖了用于金融服务(如销售点(POS)交易(借记和贷记)、自动取款机(ATM)交易、终端和金融机构之间的消息,以及收单机构、交换机和发卡机构之间的交换消息)的密钥的手动和自动管理。本标准的这一部分专门涉及使用对称技术的对称密钥管理。本标准的这一部分规定了密钥管理的最低要求。所涉及的是密钥管理生命周期的所有组成部分,包括密钥的生成、分发、使用、存储、归档、更换和销毁。一个机构的密钥管理过程,无论是在计算机还是终端中实施,都不能以比本文所述的安全性、保护性或控制性更低的方式实施或控制。如果两个节点实现了兼容版本,则意味着它们有:

  • 相同的安全密钥管理方法
  • 为特定方法批准的相同安全密钥识别技术,以及
  • 相同的密钥分离方法

        根据本标准的这一部分,将在应用程序级别进行互操作。节点互操作性可能还需要有其他要求。本标准的这一部分不包括消息格式、通信协议、传输速度或设备接口等。

2.1 应用

        本标准的这一部分适用于实施技术以保护用于消息和其他敏感数据的身份验证和加密的加密密钥的机构。具体而言,这适用于实施参考文献4和/或5的金融服务行业机构。

        强制性标准技术和流程用“应”字表示。指导方针用“应该”一词表示。

3 参考文献

        本标准的这一部分应与以下出版物一起使用

  1. ANS INCITS 92-1981 (R2003), Information Technology - Data Encryption Algorithm (DEA)
  2. NIST SP800-67, Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
  3. ANS X9.65-2004, Triple Data Encryption Algorithm (TDEA) ImplementationThe following publications are applicable and may be referenced in this part of this standard
  4. ANS X9.8-1-2003, Personal ldentification Number (PlN) Management and Security
  5. ISO 16609, Banking-Requirements for Message Authentication using SymmetricTechniques
  6. IS0 7812-1985 ,ldentification cards-Numbering system and registration procedure forissuer identifiers
  7. IS0 8583-1993, Bankcard Originated Messages-Interchange Message Specifications -Content for Financial Transactions
  8. IS0 9797-1, Information technology-Security techniques-Message AuthenticationCodes (MACs)-Part 1:Mechanisms using a block cipher

        所列版本是本文件发布时的最新版本,但这些文件会定期更新和重申。使用本标准的这一部分时,应参考当前版本。

4 术语和定义

4.1 acceptor 接收器

        与“卡片接收器”相同

4.2 acquirer 收单

        从卡接受者处获取与交易相关的财务数据并将该数据发起到交换系统中的机构(或其代理人)

4.3 algorithm 算法

        明确规定的计算数学过程:一组规则,如果遵循这些规则,将给出规定的结果

4.4 archived key 存档密钥

        以安全方式保存的非活动密钥,用于非操作目的,例如未来恢复的法律要求

4.5 authentication 认证/鉴别/身份验证

        确定消息自离开其来源点以来未被更改的行为。发起者的身份被隐式验证

4.6 authentication algorithm 认证算法

        一种加密过程的应用,其中输出文本取决于所有前面的输入文本

4.7 authentication element 认证要素

        一组连续的比特或字符,通过认证算法进行处理来保护

4.8 base derivation key 基础派生密钥(主密钥)

        每笔交易派生唯一密钥(DUKPT)关联的派生密钥

4.9 card acceptor 卡片接收器

        接受卡并向收单机构出示交易数据的一方

4.10 card issuer 发卡机构

        向持卡人发放卡的机构或其代理人

4.11 check value 校验值

        一个计算值,是通过不可逆算法计算数据值的结果

4.12 ciphertext 密文

        加密形式的数据

4.13 cleartext 明文

        原始未加密形式的数据

4.14 communicating pair 通信对

        发送和接收交易的两个实体(通常是机构)。这包括通信实体拥有或承包的代理处理站点

4.15 compromise 泄露

        在密码学中,指违反保密性和/或安全性。违反系统安全,可能发生未经授权的敏感信息披露

4.16 cryptographic key 密钥

        确定密码函数操作的参数,例如:

  • 明文到密文的转换
  • 密钥的同步生成
  • 数字签名或验签

4.17 cryptographic key synchronization 密钥同步

        以加密方式处理事务的两个节点,确定相同密钥的能力。

4.18 Data Encryption Algorithm 数据加密算法(DEA)

        ANSl采用的密码算法(见参考文献1)

4.19 decryption 解密

        将密文(不可读)转换为明文(可读)的过程

4.20 derivation key 派生密钥

        用于计算另一个密钥的密钥。通常,在交易接收(如收单机构)TRSM中使用单个派生密钥来派生或解密大量发起(如终端)TRSM使用的交易密钥。

4.21 double-length key 双长度密钥

        一个长度为128位的TDEA密钥(见参考文献2“密钥选项2”和参考文献3“TDEA2密钥实现”)

4.22 dual control 双重控制

        利用两个或多个单独的实体(通常是人)协同操作以保护敏感功能或信息的过程。这两个实体对涉及易受攻击交易的材料的实物保护负有同等责任。它应确保没有任何实体能够访问或使用这些材料(例如,加密密钥)。对于手动密钥生成、传输、加载、存储和检索,双重控制需要实体之间密钥的分割知识。另请参见“split knowledge 知识分割”。

4.23 DUKPT(Derived Unique Key per Transaction)

        一种密钥管理方法,为每笔交易使用唯一密钥,并防止泄露发起交易TRSM使用的任何过去的密钥。唯一交易密钥是从基础派生密钥中推导出来的,只使用作为每笔交易一部分传输的非机密数据。

4.24 encryption 加密

        为了安全或隐私的目的,将明文(可读)转换为密文(不可读)的过程

4.25 exclusive-or 异或

        一种数学运算,符号“XOR”,定义为:

0 XOR 0 = 0      
0 XOR 1 = 1      
1 XOR 0 = 1     
1 XOR 1 = 0

        相当于无进位的二进制加法(模2加法)

4.26 institution 机构

        负责促进客户发起的交易或资金转移以扩大信贷,或保管、贷款、交换或发行货币的机构

4.27 interchange 互操作

        金融机构之间相互接受和交换信息

4.28 issuer 发行人

        持有由主账号(PAN)标识的账户的机构

4.29 key 密钥

        与“加密密钥”相同

4.30 key component 密钥组件

        具有密码密钥格式的至少两个参数中的一个,该密码密钥与一个或多个类似参数以模2形式互斥/相加,以形成密码密钥。组件的长度与生成的密钥相等

4.31 key encrypting key 密钥的加密密钥

        专用于加密和解密密钥的密钥

4.32 keying material 密钥材料

        建立和维护密码关系所需的数据(如密钥和初始化向量)

4.33 key separation 密钥分离

        确保密钥仅用于其预期目的的过程

4.34 key set 密钥集

        一组密钥,所有密钥都由一个通用的加密过程确定,并由该过程的非加密输入区分,这样一个密钥的知识就不会泄露组中的任何其他密钥

4.35 key set identifier 密钥集标识符

        唯一标识密钥集的非秘密值

4.36 master key 主钥匙

        在密钥加密密钥和交易密钥的层次结构中,最高级别的密钥加密密钥称为主密钥

4.37 message 消息

        包含一个或多个交易或相关信息的通信

4.38 message authentication code (MAC) 消息认证码

        一个加密值,是使用特定密钥通过消息认证算法传递金融消息的结果

4.39 node 节点

        网络中任何对数据进行某种形式处理的点,如终端、采集器或交换机

4.40 non-reversible transformation 不可逆变换

        明文加密,使密文无法解密回原始明文状态

4.41 Originator 发起人

        负责并授权发起信息的个人、机构或其他实体

4.42 parity 对等

        一组“0”和“1”位中,“1”位数的度量;奇数或偶数

4.43 privacy 隐私

        数据的机密性,需要保护以防止未经授权的披露

4.44 pseudo random 伪随机值

        尽管由算法生成,但在统计上是随机的,基本上是不可预测的

4.45 random 随机

        集合中的一个值,从总可能性中选择的概率相等,因此不可预测

4.46 recipient 收件人

        负责并被授权接收信息的个人、机构或其他实体

4.47 replay 重放

        发送先前发送的消息作为欺诈手段的过程

4.48 sender 发件人

        发送消息的个人、机构或其他实体

4.49 single length key 单长度密钥

        密码密钥,长度为56位加8个奇偶校验位

4.50 SMID(Security Management Information Data)

        安全管理信息用于管理和控制密码操作的数据元素

4.51 split knowledge 分割知识

        一种情况,在这种情况下,两个或多个当事方分别秘密地拥有信息(例如密钥组件),而这些信息单独地不传达对由此产生的组合信息(例如密码密钥)的任何知识

4.52 symmetric key 对称密钥

        在对称密码算法(例如TDEA)中使用的密码密钥。用于加密的对称密钥,也用于解密

4.53 switch 转换

        可以将数据从一个节点路由到其他节点的节点

4.54 tampering 篡改

        渗透或修改内部操作和/或插入主动或被动窃听机制,以确定或记录秘密数据

最低0.47元/天 解锁文章
[翻译]ANSI X9.24-3-2017
mickey2007的博客
11-11 995
美国金融服务国家标准 ANIS X9.24-3-2017 零售金融服务 对称秘钥管理 第3部分 每笔交易导出的唯一秘钥 批准日期:2017年10月11日 对称密钥管理第3部分:每次交易的派生唯一密钥
ANSI 9.8 , ANSI 9.9ANSI X9.19
yizhizou123ABC的专栏
10-14 2703
ANSI 9.8 :加密PIN(账号) (1) ANSI X9.8 Format(不带主账号信息 ) 位置 长度 说明 1 1byte PIN的长度 2...
ANSI X9.143-2022
MarvelZhang的博客
06-09 475
规范标准算法讨论的+V : T15989346634。
ANSI X9.24零售金融业务对称密钥管理第1部分:对称技术 (带详细书签)
09-29
本人收藏的文档,分为2004版和2009版。 非常经典的密钥管理文档,建议搞银行卡收单这一行的程序员仔细读一读。里面涵盖了所有现如今银行卡收单涉及的基础安全知识。 PIN加密、MAC加密、DUKPT2009版PDF 网络上一版都没有书签,为了方便自己学习破解PDF后加上了详细书签。
ANS X9.24-1:2009
08-08
Retail Financial Services Symmetric Key Management
C语言:ANSI-X9.9-MAC算法实现
chengleizuan9819的博客
03-27 391
示例代码: **************************************************************************************** "mac.c" /* ANSI-X9.9-MAC算法 * 将data分为单位8字节的数据块(不足...
dukpt.zip_DUKPT C_DUKPT解码_dukpt
07-15
很好的DUKPT加解密资料,C代码,供初学者参考。
ANSI X9.24-3-2017 DUKPT
09-21
ANSI X9.24-3-2017 DUKPT是美国国家标准协会发布的关于零售金融服务中对称密钥管理的第三部分,主要讲述了DUKPT(Derived Unique Key Per Transaction,每笔交易派生唯一密钥)技术的应用与规范。DUKPT技术是一种...
ANSI X9.24-1-2009
09-22
ANSI X9.24-1-2009是一份由美国国家标准协会(American National Standards Institute,简称ANSI)发布的金融行业标准文件,它详细规定了对称密钥加密用于银行间的ATM机、销售点(POS)和其他电子资金转账(EFT)...
ANSI X9.24-1-2009 以及对应的openssl实现代码
09-21
ANSI X9.24-1-2009标准是由美国国家标准协会(ANSI)下属的X9委员会制定的一系列关于金融行业信息安全的标准之一。特别地,ANSI X9.24-1-2009涉及的是“衍生密钥加密技术的使用”,通常被称为基于密钥的派生技术...
ANSI X9.8标准 PIN
weixin_30853329的博客
03-21 538
(1) ANSI X9.8 格式(不带主账号信息) PIN(个人识别码 Personal Identity Number)总共有8个byte长度,分为两个部分;(类似数据包的格式) 1:Byte1记录PIN的长度 2:Byte2-Byte8 6-12位(字符)PIN(每个字符占4个BIT,不足8位右补F) 例如:明文PIN为 123456, 则...
ANSI X9 TR-31_2010
10-23
Describes a method consistent with the requirements of ANS X9.24 Retail Financial Services Symmetric Key Management Part 1 for the secure exchange of keys and other sensitive data between two devices that share a symmetric key exchange key.
ANSIX9.24 PART2-2006
01-31
ANSIX9.24PART2-2006 零售金融业务 对称密钥管理 第2部分:对称密钥的非对称技术
常见的MAC算法(PBOC_3DES_MAC、ANSI X9.9MAC算法、ANSI x9.19算法)
kxlele
02-07 2420
个人总结的常用mac算法,附上源码,完全使用java原生写法,效率极高 [code="java"] public final class Pboc3DesMACUtils { public static final byte[] ZERO_IVC = new byte[] { 0, 0, 0, 0, 0, 0, 0, 0 }; /** * 计算MAC(hex) PBOC...
ansi x9.9 MAC算法(转载)
yjh0628的专栏
04-16 3167
MAC算法void xor(unsigned char *input1,unsigned char *input2,unsigned char *output,int len){while (len) {*output++=*input1++^*input2++;len--;}}/**@brief: 根据输入数据计算MAC,初始IV向量默认为"x00x00x00x00x00x00x00x00"
ANSI X9.19 MAC算法介绍
05-05 7035
(1)               ANSI X9.19MAC算法只使用双倍长密钥,也就是16字节密钥; (2)               MAC数据按8字节分组,表示为D0~Dn,如果Dn不足8字节时,尾部以字节00补齐; (3)               用MAC密钥左半部加密D0,加密结果与D1异或作为下一次的输入。 (4)               将上一步的加密结果与下一分组
ANSI X9.9 MAC算法介绍
05-05 6148
1)该算法只使用单倍长密钥,也就是8字节密钥; 2)MAC数据按8字节分组,尾部以字节00补齐; 3)用MAC密钥加密第一个8字节分组,加密结果与第二个8字节分组异或,然后再用MAC密钥加密,重复该步骤,直至所有分组结束,取最后结果的左半部作为MAC。
基于Simulink的风火水储联合调频系统中储能SOC对ACE影响的技术分析
最新发布
04-03
内容概要:本文详细探讨了在Simulink环境中构建的风火水储联合调频系统中,储能系统的荷电状态(SOC)对区域控制偏差(ACE)的影响。文中通过具体案例和MATLAB代码展示了储能系统在不同SOC水平下的表现及其对系统稳定性的作用。同时,文章比较了储能单独调频与风火水储联合调频的效果,强调了储能系统在应对风电波动性和提高系统响应速度方面的重要作用。此外,作者提出了针对SOC变化率的参数整定方法以及多电源协同工作的优化策略,旨在减少ACE波动并确保系统稳定运行。 适合人群:从事电力系统调频研究的专业人士,尤其是熟悉Simulink仿真工具的研究人员和技术人员。 使用场景及目标:适用于希望深入了解储能系统在电力系统调频中作用的研究者和技术人员,目标是通过合理的SOC管理和多电源协同工作,优化调频效果,提高系统稳定性。 其他说明:文章提供了详细的MATLAB代码片段,帮助读者更好地理解和应用所讨论的概念。同时,文中提到的实际案例和仿真结果为理论分析提供了有力支持。
clickhouse-v22.8.9.24应该使用哪个版本的clickhouse-jdbc
11-24
根据引用内容,无法确定clickhouse-v22.8.9.24需要使用哪个版本的clickhouse-jdbc。一般来说,clickhouse-jdbc的版本应该与clickhouse-server的版本相对应,以确保兼容性和稳定性。建议您查看clickhouse-v22.8.9.24的官方文档或者联系clickhouse的支持团队以获取更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值