银行卡收单pinblock的转加密-用户输入的pin在pos终端流转到CUPS的流程
终端上的pinblock的加密
- 终端在签到时从POS中心(服务端)获取终端pin工作密钥密文存储在终端的密码键盘上
- 从密码键盘上读取用户输入的pin加密后的pin block密文上送Pos中心
注意:
- 终端pin工作密钥在加密机产生后,不可以以明文的方式出现在加密机外
- 终端pin工作密钥下发到pos端时,应确保pin密钥使用终端主密钥加密传输
- 终端pin工作密钥在加密机体系内属于ZPK或TPK,加密机应确保ZPK或TPK不可读取参与解密运算
Pos中心(服务端)转加密pinblock并上送CUPS
- Pos中心通过CUPS重置工作密钥流程从CUPS取得pin密钥
- Pos中心在接收到Pos终端上送的使用终端pin密钥加密的pinblock密文
- Pos中心通过加密机使用终端pin密钥和cups的pin密钥对上送的pinblock密文转加密为使用cups的pin密钥加密的pinblock 并上送CUPS
注意:
- 整个转加密的流程涉及的密钥和数据匀只出现在加密机内部
SM4算法的转加密示例数据
算法:ANSI X9.8带主账号 SM4
pin:123456
卡号:6224242000000021
终端 Pin密钥:31323334353637383132333435363738
cups Pin密钥:31313131313131313131313131313131
pin数据块明文>>06123456FFFFFFFFFFFFBDBDFFFFFFFD
终端 Pin密钥加密的pinBlock>>01BA08B7F20D174C51D5C1A242268029
转加密CUPS的pinBlock>>E9B60C8570500CACCB6912D3548E9B1B