手刷终端安全加密规范.docxVIP

手刷终端安全加密规范第一部分 终端读取数据1.终端所需读取数据:域名定义属性格式类型包含性备注终端号N16MBCDM主账号N..19BCDM交易金额N12BCDC卡有效期N4BCDC服务点输入方式N3BCDM卡片序列号N3BCDC2磁道数据z..37LLLVARBCDC3磁道数据Z…104LLLVARBCDC个人标识码数据B64BINARYCIC卡数据域最大255字节LLLVAR包含多个子域CMACB64BINARYC2.数据格式详细信息服务点输入方式：第1、2位含义第3位含义02磁条0未指明05集成电路卡1交易中包含PIN98标准PBOC借/贷记IC卡读入（非接）2交易中不包含PIN第二部分 秘钥分发以及解析1．秘钥体系介绍：1.1 分量分量分为两组，以分批次方式下发给厂商，分发方式为电子邮件或快递邮寄。厂商收到分量后，将两组分量异或后，取其异或后的值，对下发的密文终端主密钥进行解析。1.2终端主密钥终端主密钥为双倍长128位秘钥。终端主密钥用于解析终端签到是获取到密文工作秘钥。终端主密钥下发方式为密文形式下发，厂商在收到密文主密钥后，使用分量计算出来的key对密文主密钥进行3Des解密，解密后的结果与8字节的0进行加密取的校验值，校验值与文件中的校验值一致，则终端主密钥正确，可以灌注到终端。1.3工作秘钥工作秘钥：工作秘钥包含PINKEY和MACKEY，均为双倍长秘钥。其作用为加密个人识别码和计算报文校验值。工作秘钥的获取:当终端发起签到交易后，会获得一组长48字节的秘钥数据串。其结构为：16字节为密文PINKEY，8字节为PINKEY校验值，16字节密文MACKEY，8字节MACKEY校验值。工作秘钥的解析：用终端主密钥对密文秘钥进行3DES解密，其结果为明文PINKEY，使用明文PINKEY于8字节0进行3DES加密，其结果应与校验值一致。第三部分 敏感数据加密磁道数据加密规范磁道数据格式：两字节长度（不足两字节右靠左补位0）+明文磁道数据密文磁道数据格式：两字节长度（原数据实际长度）+密文数据例：磁道数据：1234567890123456789012345678901234长度：34对磁道数据进行加密：FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF则密文数据为：0034FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF磁道密文数据的生成：将磁道数据进行按8字节分组，不足8位数据左靠右补位0，然后用MACKEY按组对数据进行3DES加密，加密后的数据拼接回原位置。Pin数据加密规范采用ANSI9.8带主账号信息算法。IC数据加密IC数据格式：两字节长度（不足两字节右靠左补位0）+明文IC数据密文IC数据格式：两字节长度（原数据实际长度）+密文IC数据密文IC数据的生成：将IC数据按8字节分组，不足8字节数据左靠右补0，然后用MACKEY按组对数据进行3DES加密，然后将数据拼接回原位置例：ic数据：123456789012345678901234567890123456789012345长度：45对磁道数据进行加密：FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF则密文数据为：0045FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFMAC生成MAB数据序号数据定义名称1终端号2主账号3交易金额4卡有效期5服务点输入方式6卡片序列号72磁道数据83磁道数据9个人标识码数据10IC卡数据域将数据按照以上顺序按序拼接作为MAB数据。补位方式为左靠右补位0。MAC算法为ANSI x9.19算法。