为了保证交易信息在通讯过程中的安全性,就有了加密、密钥的算法;
POS终端密钥分为二级:密钥加密密钥(TMK)和工作密钥(WK)。
一、密钥加密密钥(TMK)
用于对工作密钥(WK)进行加密保护,每台POS终端与POS中心共享唯一的TMK。
TMK必须要有安全保护措施,只能写入并参与运算,不能被读取。
二、工作密钥(WK)
分为用于对个人标识码(PIN)加密的PIK以及进行报文鉴别(MAC)的MAK。
由POS前置机的加密机产生,在POS终端每次签到时从POS中心利用加密后下载,并由TMK加密存储。
TMK存储在密码键盘中,密码键盘至少应可存储30个双倍长密钥。
终端签到时获得的WK有3个。
PIK:用于对个人标识码(PIN)加密;
MAK:用于进行报文鉴别(MAC);
TRK:用于加密2、3磁道和主帐号加密。
POS终端工作密钥在下载时必须以密文传送,严禁明文传送。
以下针对POS的卡交易的一种密钥逻辑记录:
一、密钥介绍
交易主密钥:加载到Pos机中,用于验证工作密钥是否合法等;
工作密钥:包括PIN密钥、MAC密钥、磁道密钥,用于加密密码、MAC、磁道信息。在信息上送到服务端前加密。
加载的顺序是,先加载主密钥,再加载工作密钥。如果二者不匹配,在加载过程中会报错。
二、主密钥加载逻辑
我们要加载两部分的密钥到POS机中,主密钥一般是由有银联认可资质的服务商下发的。下发的主密钥可能有两种形式,密文或者明文。
如果是密文,服务商会额外提供一个解密用的密钥。例如交易主密钥:E51D9047310F731798CF74AF483931B3712C8C734B2E669E(密文),如果将交易主密钥密文解密,请用服务商提供的解密密钥“31313131313131313131313131313131”对交易主密钥的前32位进行解密,得到明文1CF88AB5D64F314F9EF237FBD99E29CD。对明文再用8个字节的0x00做3DES加密,得到的是712C8C734B2E669E。最后得到的这个值就是交易主密钥的后16位,所以验证是成功的。如果不等,则验证是失败的。
当我们验证完交易主密钥,并正确后,就往下做工作密钥的加载。
二、工作密钥加载逻辑
工作密钥也由服务商下发,POS端获取工作密钥(一般为密文),如果以以下作为例子,如:
PIN密钥:C1DDD6ED1CAB0F57ABD1CEC0370AB1C1 checkValue:AE103AE98D332DCB
MAC密钥:9FBAC976C9257C5B1BAF05AFAD30DFFE checkValue:0D71EFC36C294171
磁道密钥:7603E9E0EE8E8FE5DAB80C29B692DB86 checkValue:3F5480EB4F2A29EE
加解密密钥:交易主密钥明文——这个就是主密钥必须先加载的原因
验证方法:
PIN密钥——对PIN密钥密文用密钥(交易主密钥明文)做3DES解密,得到明文C7D50808A7DFFE62B9943B45A4C77FC7。再对明文用8字节0x00做3DES加密,得到AE103AE98D332DCB。与checkvalue相等。
与checkvalue相等,则验证通过,可正常加载到POS机上,如果不等,则验证不通过,报错。
三、POS交易
当主密钥和工作密钥都成功加载后,在做交易,比如刷卡消费时,加载到pos的密钥,会将你的卡信息加密,然后再上传到服务端,避免你的信息外泄。
四、总结流程
流程是这样的:
(1)获取交易主密钥(密文)->解密得到明文->加载交易主密钥到POS。
(2)用交易主密钥明文验证工作密钥的合法性,合法即可加载到POS。
(3)以上都成功后,可以做卡交易。
注:关于MAC计算的方式请查看我的另一篇博客:https://blog.csdn.net/zfr_xuexiao66/article/details/94665452
注:如有问题可以回复,看到第一时间分析解决,码农不易,感觉对您有用,帮助到您,可否打赏一杯可乐,在此谢过诸位,愿诸君终成大神,前程似锦~~~
1336
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
