外卡ATM取現(xiàn)業(yè)務(wù)交換中心系統(tǒng)-安全技術(shù)規(guī)范.doc

機(jī)密文件 僅供內(nèi)部傳閱機(jī)密文件 僅供內(nèi)部傳閱 中國建設(shè)銀行中國建設(shè)銀行 外卡外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng)取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范安全技術(shù)規(guī)范 上海諾祺科技有限公司上海諾祺科技有限公司 2002 9 172002 9 17 SKYON Technologies 諾諾 祺祺 科科 技技 文 檔 信 息 項項 目目 名名 稱稱 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 文文 檔檔 主主 題題安全技術(shù)規(guī)范 項項 目目 經(jīng)經(jīng) 理理 張月鵬文文 檔檔 版版 本本 編編 號號 1 2 PM 階階 段段 先啟期文文 檔檔 版版 本本 日日 期期 2002 9 17 起起 草草 人人 林辛起起 草草 日日 期期 2002 9 5 校校 審審 人人 校校 審審 日日 期期 批批 準(zhǔn)準(zhǔn) 人人 批批 準(zhǔn)準(zhǔn) 日日 期期 分 發(fā) 名 單 來來 自自 From 日日 期期 電電 話話 傳傳 真真 給給 To 行行 動動 截截 止止 日日 期期電電 話話 傳傳 真真 版 本 記 錄 版版 本本 編編 號號版版 本本 日日 期期撰撰 寫寫 者者參參 考考 文文 檔檔 編編 號號 1 02002 9 5林辛討論稿 1 22002 9 17林辛討論稿 上上 海海 諾諾 祺祺 科科 技技 有有 限限 公公 司司 SKYON Technologies Co Ltd 地址 Add 上海江蘇路 369 號九樓 D 座 郵編 Zip 200050 電話 Tel 8621 5240 1338 傳真 Fax 8621 5240 1339 Email skyon Homepage 目目 錄錄 1引言引言 1 1 1引用標(biāo)準(zhǔn)及參考文獻(xiàn) 1 1 1 1引用標(biāo)準(zhǔn) 1 1 1 2參考文獻(xiàn) 1 2安全要求安全要求 2 2 1信息安全原則 2 2 2PIN 安全需求 2 2 3安全責(zé)任 3 2 4PIN 碼管理 3 2 5PIN 碼的輸入方式要求 3 2 6DES DATA ENCRYPTION STANDARD 算法 3 2 7PIN 碼傳送要求 3 2 8MAC 校驗要求 4 2 9硬件加密機(jī) 4 3密鑰管理密鑰管理 4 3 1密鑰名稱定義 4 3 2密鑰的產(chǎn)生 4 3 2 1主密鑰 MK 的產(chǎn)生 4 3 2 2成員主密鑰 ZMK 的產(chǎn)生 5 3 2 3數(shù)據(jù)密鑰 PIK and MAK 的產(chǎn)生 5 3 3密鑰的分發(fā) 5 3 3 1成員主密鑰的分發(fā) 5 3 3 2數(shù)據(jù)密鑰的分發(fā) 5 3 4密鑰的存儲 6 3 4 1主密鑰 MK 6 3 4 2成員主密鑰 ZMK 6 3 4 3數(shù)據(jù)密鑰 PIK MAK 6 3 5密鑰檔案的保存 6 4數(shù)據(jù)加密處理數(shù)據(jù)加密處理 6 4 1概述 6 4 2個人標(biāo)識 PIN 的加密和解密 7 4 2 1PIN的字符集 7 4 2 2PIN格式 7 4 2 3PIN碼的3DES加密 8 4 3消息來源正確性鑒別 MAC 8 4 3 1MAC消息域的選擇 8 4 3 2MAC域的構(gòu)成規(guī)則 10 5其它安全管理其它安全管理 11 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 1 頁 1 引言引言 本規(guī)范是對于中國建設(shè)銀行外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng)中 收單行系統(tǒng)關(guān)于在 線金融交易部分的通信安全技術(shù)規(guī)范 規(guī)定了在線交易金融交易傳送數(shù)據(jù)信息的處理 傳 輸 編碼 加解密 密鑰管理等技術(shù)規(guī)范 本規(guī)范中使用的概念 術(shù)語 規(guī)定原自于 銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 1 0 版 1 1 引用標(biāo)準(zhǔn)及參考文獻(xiàn)引用標(biāo)準(zhǔn)及參考文獻(xiàn) 1 1 1引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn) ISO 8583 Financial transaction card originated messages Interchange message specifications Second Edition 1993 12 15 銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 1 0 版 VisaNet Technical Documentation MasterCard Debit Switch Specifications ANSI X9 8 1982 PIN Management and Security 1 1 2參考文獻(xiàn)參考文獻(xiàn) 銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 1 0 版 銀行卡聯(lián)網(wǎng)聯(lián)合業(yè)務(wù)規(guī)范 VISA 國際信用卡組織 V I P System SingleConnect Service SMS ATM Processing Specification March 2001 VISA 國際信用卡組織 V I P System SingleConnect Service SMS ATM Technical Specification March 2001 MasterCard 國際信用卡組織 MasterCard Debit Switch Online Specifications 2002 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 2 頁 2 安全要求安全要求 2 1 信息安全原則信息安全原則 下列三個觀點(diǎn)之稱著信息安全管理中信息安全性原則 機(jī)密性 保護(hù)機(jī)密信息和敏感性信息不被泄露到無權(quán)的任何方面 完整性 保障信息的完整程度 信息不被未經(jīng)授權(quán)的修改或刪除 可用性 確保所有的信息和服務(wù)在需要時都是可用的 上述信息的安全觀點(diǎn)也導(dǎo)致了下列兩個觀點(diǎn)是同樣適用的 真實性 確保那些你不能夠親自檢查的人 數(shù)據(jù) 軟件 設(shè)備是他們 向你 聲稱的那樣 認(rèn)可度 確保經(jīng)過授權(quán)的信息來源的真實完整性 并且可以被證實受法律保護(hù)的 下列關(guān)于信息安全策略的一般性原則將被采納 1 信息和數(shù)據(jù)的處理是國際信用卡組織及其成員共同目標(biāo) 它必須被保護(hù)而不被無授權(quán) 的和不合適的使用 2 所有成員必須負(fù)有采用和執(zhí)行信息安全策略的完全的責(zé)任 從而有效地 有力地保護(hù) 個人 數(shù)據(jù)以及數(shù)據(jù)處理的安全性 3 所有成員必須針對保障數(shù)據(jù)和數(shù)據(jù)處理的機(jī)密性 完整性 可用性 設(shè)立有效的風(fēng)險 管理機(jī)制 4 安全性必須確保成員間的合法的契約和規(guī)則 5 安全規(guī)定必須滿足國際信用卡組織的各項準(zhǔn)則 規(guī)定 2 2 PIN 安全需求安全需求 使用PIN的方式是一個有效驗證持卡人操作公共協(xié)定 PIN 代碼意味著有效的驗證持 卡人的合法身份 通過PIN碼的輸入 其被網(wǎng)絡(luò)交換系統(tǒng)傳輸?shù)桨l(fā)卡方 并由發(fā)卡方進(jìn)行 驗證處理 為確保持卡人的PIN在進(jìn)入交換網(wǎng)絡(luò)時的機(jī)密性 需要形成一系列經(jīng)過嚴(yán)格檢驗的安 全標(biāo)準(zhǔn) 基于這些標(biāo)準(zhǔn) 加密并安全保護(hù)持卡人的PIN代碼 這樣的保護(hù)需要全體參與 成員形成規(guī)范化的安全控制 對于任何使用PIN代碼的交換網(wǎng)絡(luò)交易事務(wù) 本文中的規(guī)格是一個最低限度的可接受 的標(biāo)準(zhǔn) 發(fā)卡方希望持卡人的PIN在網(wǎng)絡(luò)處理過程中被安全的保護(hù) 受理方希望增強(qiáng)消費(fèi)者對 事務(wù)處理能力的信心 為了確保網(wǎng)絡(luò)上可靠的服務(wù) 本文描述了在安全PIN傳輸和安全密 鑰的標(biāo)準(zhǔn) 成功的管理手段依賴于全體參與成員 當(dāng)持卡人在ATM機(jī)上進(jìn)行金融事務(wù)的時候 所 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 3 頁 有的終端設(shè)備 網(wǎng)絡(luò) 代理服務(wù)機(jī)構(gòu)必需保障持卡人的PIN碼不被危及和泄漏 2 3 安全責(zé)任安全責(zé)任 每一個受理方必須保證 PIN 碼被安全地加密傳輸在相關(guān)的交換系統(tǒng)中 作為附加條 件受理方必須有能力履行密鑰管理的任務(wù) 按本文檔所描述的 讀卡終端必須要有的加密 4 到 6 位長數(shù)字 PIN 碼的能力 建議設(shè) 備能夠加密更長直至 12 位數(shù)字 PIN 碼的能力 只有持卡人可以輸入 PIN 碼 其他關(guān)系到事務(wù)的信息可以被持卡人或卡操作人 如收 銀員等 輸入 卡操作人禁止要求持卡人向其透露 PIN 碼 2 4 PIN 碼管理碼管理 為了保障 PIN 碼的高度安全 必須存在控制手段 使得 PIN 碼在輸入 傳輸 存儲和 處理過程中被泄漏的風(fēng)險降到最低 2 5 PIN 碼的輸入方式要求碼的輸入方式要求 所有被持卡人輸入的 PIN 碼必須做到下列要求 利用下列方法 實現(xiàn)可逆 DES 算法加密 PIN 碼 a 使用符合安全標(biāo)準(zhǔn)的金融硬件加密機(jī) b 使用符合安全標(biāo)準(zhǔn)的 PIN 碼安全輸入設(shè)備 使用符合安全標(biāo)準(zhǔn)的金融加密機(jī)和 PIN 碼輸入設(shè)備來加密和轉(zhuǎn)送 PIN 碼 2 6 DES Data Encryption Standard 算法算法 DES 是一個標(biāo)準(zhǔn)的加密技術(shù) 應(yīng)用于保護(hù)機(jī)密信息 信息被一個 64 Bit 的輸入密鑰轉(zhuǎn) 化為密碼 聯(lián)網(wǎng)成員必須使用 3DES 密鑰 兩個 64 bit 密鑰 加密 PIN 碼信息 2 7 PIN 碼傳送要求碼傳送要求 為了安全地將 PIN 碼從受理方傳送到發(fā)卡方 必須使用在以下描述中定義的加密的 PIN Block 格式 a 將數(shù)字明文 PIN 轉(zhuǎn)化為 ANSI X9 8 1982 標(biāo)準(zhǔn)的 8 byte PIN Block 格式 b 將上述結(jié)果和主帳號進(jìn)行位異或操作 c 用數(shù)據(jù)密鑰 PIK 使用 3DES 加密方式加密上步結(jié)果的 Pin Block 形成加密傳 送的 PIN Block 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 4 頁 詳細(xì)過程將在后面的章節(jié)中介紹 2 8 MAC 校驗要求校驗要求 消息來源正確性鑒別 MAC 技術(shù)用于防治消息信息被篡改 從受理方發(fā)往銀行卡總中 心的消息都用數(shù)據(jù)密鑰 MAK 產(chǎn)生一個 MAC MAC 隨消息一起發(fā)往銀行卡總中心 總中 心將收到的消息再作 MAC 運(yùn)算 與接收的 MAC 相比較 如果相等 則接受消息 否則 拒絕消息 2 9 硬件加密機(jī)硬件加密機(jī) 成員機(jī)構(gòu)必須使用硬件加密機(jī)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密 硬件加密機(jī)用于保護(hù)密鑰 PIN 的加密和解密以及消息鑒別 所有這些操作都在硬件加密機(jī)中完成 以保證密鑰和 PIN 的明碼只出現(xiàn)在加密機(jī)中 防止明碼的泄露 硬件加密機(jī)應(yīng)通過國家商用密碼委員會的安全認(rèn)證并允許在國內(nèi)金融機(jī)構(gòu)中使用 此 外還必須滿足以下要求 1 支持單字節(jié) B64 和雙字節(jié) B128 的密鑰 2 支持本文中關(guān)于 PIN 的規(guī)定 驗證 轉(zhuǎn)換 PIN 的密文 3 支持本文中關(guān)于 MAC 的規(guī)定 驗證和產(chǎn)生 MAC 4 能對密鑰作驗證 5 受到非法攻擊時 加密機(jī)內(nèi)部保護(hù)的密鑰自動銷毀 3 密鑰管理密鑰管理 3 1 密鑰名稱定義密鑰名稱定義 所有的聯(lián)網(wǎng)成員采用三層密鑰管理 第一層為主密鑰 MK 存放在硬件加密機(jī)中 用 于產(chǎn)生和加密其他密鑰 第二層為成員密鑰 ZMK 可存放在硬件加密機(jī)中或在主密鑰機(jī) 密保護(hù)下存儲于加密機(jī)中 第三層為數(shù)據(jù)密鑰 分為 PIK 和 MAK 分別加密 PIN Block 和 Mac 校驗值 數(shù)據(jù)密鑰在成員主密鑰加密保護(hù)下存儲在主機(jī)中 用于對各節(jié)點(diǎn)間傳輸?shù)?數(shù)據(jù)進(jìn)行加解密 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 5 頁 3 2 密鑰的產(chǎn)生密鑰的產(chǎn)生 3 2 1主密鑰主密鑰 MK 的產(chǎn)生的產(chǎn)生 主密鑰用人工方式輸入 主密鑰由三部分構(gòu)成 由三個人分別掌握 為了保證輸入的正確 性 每一部分的密鑰必須輸入兩次 同時兩次輸入必須一致 如果密鑰人工輸入失敗 必 須重新輸入 在三個人分別輸入三部分密鑰后 加密機(jī)作奇偶校驗檢查 奇偶校驗正確時 加密機(jī)產(chǎn)生主密鑰 主密鑰必須儲存在硬件加密機(jī)中 受硬件設(shè)備的保護(hù) 一旦硬件加密 機(jī)受到非授權(quán)的操作時 主密鑰會自動銷毀 注 也可由雙方商定 ZMK 的產(chǎn)生辦法 3 2 2成員主密鑰成員主密鑰 ZMK 的產(chǎn)生的產(chǎn)生 ZMK 由銀行卡總中心和成員機(jī)構(gòu)各自產(chǎn)生一部分 分別輸入到雙方的加密機(jī)中 合成 ZMK 3 2 3數(shù)據(jù)密鑰數(shù)據(jù)密鑰 PIK and MAK 的產(chǎn)生的產(chǎn)生 數(shù)據(jù)密鑰由硬件加密機(jī)中的隨機(jī)數(shù)發(fā)生器產(chǎn)生 密鑰產(chǎn)生后 硬件加密機(jī)將檢查密鑰 的有效性 弱密鑰和半弱密鑰將被剔除 將由交換總中心的加密機(jī)產(chǎn)生數(shù)據(jù)密鑰 入網(wǎng)成員系統(tǒng)通過事務(wù)消息交換方式獲得并 儲存交換總中心發(fā)來的被對應(yīng)成員密鑰加密下的數(shù)據(jù)密鑰 當(dāng)入網(wǎng)機(jī)構(gòu)需要新密鑰的時侯 須向交換總中心發(fā)起更改新密鑰請求 3 3 密鑰的分發(fā)密鑰的分發(fā) 3 3 1成員主密鑰的分發(fā)成員主密鑰的分發(fā) ZMK 的分發(fā)有三個途徑 d 如果銀行卡總中心和成員機(jī)構(gòu)均使用 IC 卡保存 ZMK 則通過相互郵寄 IC 卡 向加密機(jī)中輸入 ZMK e 如果一方?jīng)]有 IC 卡或 IC 卡不能通用 則需雙方相關(guān)人員到場共同輸入 ZMK f 也可由雙方相關(guān)人員協(xié)商確定分發(fā)途徑 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 6 頁 3 3 2數(shù)據(jù)密鑰的分發(fā)數(shù)據(jù)密鑰的分發(fā) 數(shù)據(jù)密鑰由總中心產(chǎn)生 通過聯(lián)機(jī)報文的方式分發(fā) 總中心定時更新數(shù)據(jù)密鑰 重置密 鑰 成員機(jī)構(gòu)也可向總中心申請重置密鑰 重置密鑰和申請重置密鑰的報文詳見 交易描 述及交易流程 新密鑰成功接收后 以后所有新消息用新密鑰加密后再發(fā)出 新老密鑰切換窗口定義 為三分鐘 此時新老密鑰共存 成員機(jī)構(gòu) 包括銀行卡總中心 對接收到的 PIN 和 MAC 信 息 首先用新密鑰進(jìn)行解密 轉(zhuǎn)換或驗證 如果出現(xiàn) PIN 格式錯誤或 MAC 驗證錯誤 則 必須再用舊密鑰進(jìn)行解密 轉(zhuǎn)換或驗證 如再出錯 則為實際出錯 加 解密操作失敗 在窗口時間結(jié)束后 入網(wǎng)機(jī)構(gòu)執(zhí)行下述動作 1 用新密鑰覆蓋老密鑰 2 消除新密鑰啟用標(biāo)記 注 交換中心重置 PIN 密鑰的請求報文和應(yīng)答報文中產(chǎn)生 MAC 所使用的密鑰是要重置的 新密鑰 PIK 3 4 密鑰的存儲密鑰的存儲 3 4 1主密鑰主密鑰 MK 主密鑰必須保存在硬件加密機(jī)中 受加密機(jī)的硬件保護(hù) 3 4 2成員主密鑰成員主密鑰 ZMK 成員主密鑰 ZMK 應(yīng)保存在硬件加密機(jī)內(nèi) 受加密機(jī)的主密鑰的加密存儲保護(hù) 3 4 3數(shù)據(jù)密鑰數(shù)據(jù)密鑰 PIK MAK 數(shù)據(jù)密鑰可以保存在硬件加密機(jī)或業(yè)務(wù)主機(jī)內(nèi) 但必須是經(jīng)成員主密鑰加密保護(hù)的密文 3 5 密鑰檔案的保存密鑰檔案的保存 密鑰注入 密鑰管理的調(diào)試和密鑰檔案的保管應(yīng)由專人負(fù)責(zé) 密鑰資料須保存在保險 柜內(nèi) 保險柜的鑰匙由專人負(fù)責(zé) 不同的密鑰分量由不同的人員分別掌管 并使用各自獨(dú)立的保險柜 使用密鑰和銷毀密鑰要在監(jiān)督下進(jìn)行并有記錄 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 7 頁 4 數(shù)據(jù)加密處理數(shù)據(jù)加密處理 4 1 概述概述 為保證數(shù)據(jù)的安全傳輸 網(wǎng)絡(luò)中的消息采用了 PIN 的加密和消息來源正確性鑒別 MAC 兩種加密技術(shù) 當(dāng)消息經(jīng)受理方進(jìn)入交換網(wǎng)絡(luò)時 持卡人的個人標(biāo)識 PIN 已經(jīng)用受理方的 PIK 加密 交換中心主機(jī)將其送至加密機(jī)內(nèi) 在加密機(jī)中加密機(jī)將 PIN 用受理方的 PIK 解密后 立即 用的國際信用卡組織的 PIK 加密 送至交換中心主機(jī) 交換中心主機(jī)再將其發(fā)往國際信用 卡組織 從受理方發(fā)往接收方的消息都用 MAK 產(chǎn)生一個 MAC MAC 隨消息一起發(fā)往接收方 總中心將收到的消息再作 MAC 運(yùn)算 與接收的 MAC 相比較 如果相等 則接受消息 否則拒絕消息 4 2 個人標(biāo)識個人標(biāo)識 PIN 的加密和解密的加密和解密 4 2 1PIN 的字符集的字符集 PIN 用數(shù)字字符表示 下表給出了它的二進(jìn)制對照表 PIN 字符 二進(jìn)制表示 00000 10001 20010 30011 40100 50101 60110 70111 81000 91001 4 2 2PIN 格式格式 PIN 的格式應(yīng)符合 ISO 公布的 ANSI X9 8 標(biāo)準(zhǔn)中 PIN 的格式 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 8 頁 ANSI X9 8 Format 帶主賬號信息 PIN BLOCK 格式等于 PIN 按位異或主賬號 PAN PIN 格式 位置長度說明 11 BYTEPIN 長度 27 BYTE6 12 位 PIN 每個字符占 4 個 BIT 不足 8 位右補(bǔ) F PAN 格式 位置長度說明 12 BYTE H0000 35 BYTE取主賬號的右 12 位 不包括最右邊的校驗位 不足 12 位左補(bǔ) 0 例如 明文 PIN 為 123456 假設(shè) 磁卡上的 PAN 1234 5678 9012 3456 78 截取下的 PAN 6789 0123 4567 假設(shè) 磁卡上的 PAN 1234 5678 9012 3456 78 截取下的 PAN 6789 0123 4567 則用于 PIN 加密的 PAN 為 0 x00 0 x00 0 x67 0 x89 0 x01 0 x23 0 x45 0 x67 PIN BLOCK 為 0 x06 0 x12 0 x34 0 x56 0 xFF 0 xFF 0 xFF 0 xFF 異或 0 x00 0 x00 0 x67 0 x89 0 x01 0 x23 0 x45 0 x67 結(jié)果為 0 x06 0 x12 0 x53 0 xDF 0 xFE 0 xDC 0 xBA 0 x98 假設(shè) 磁卡上 PAN 1234 5678 9012 3456 截取下的 PAN 4567 8901 2345 則用于 PIN 加密的主賬號為 0 x00 0 x00 0 x45 0 x67 0 x89 0 x01 0 x23 0 x45 PIN BLOCK 為 0 x06 0 x12 0 x34 0 x56 0 xFF 0 xFF 0 xFF 0 xFF 異或 0 x00 0 x00 0 x45 0 x67 0 x89 0 x01 0 x23 0 x45 結(jié)果為 0 x06 0 x12 0 x71 0 x31 0 x76 0 xFE 0 xDC 0 xBA 4 2 3PIN 碼的碼的 3DES 加密加密 PIN 碼的加密使用 128 bit 密鑰 第一步 對 PIN Block 使用左邊的 64 bit 密鑰進(jìn)行 DES 加密 第二步 對第一步的結(jié)果使用右邊的 64 bit 密鑰進(jìn)行 DES 解密 第三步 對第二步的結(jié)果使用左邊的 64 bit 密鑰進(jìn)行 DES 加密 得到最終的被加密的 Pin Block 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 9 頁 4 3 消息來源正確性鑒別消息來源正確性鑒別 MAC 消息來源正確性鑒別 MAC 是一種判別消息來源是否正確 以及消息在發(fā)送途中是否 被篡改的算法 全國銀行卡網(wǎng)絡(luò) MAC 域選擇采用系統(tǒng)約定的方式 MAC 算法采用密文塊 鏈接 CBC 的模式 4 3 1MAC 消息域的選擇消息域的選擇 4 3 1 1金融交易類消息金融交易類消息 說明 對于金融交易類消息 應(yīng)嚴(yán)格按照消息交換格式定義中規(guī)定的域進(jìn)行選擇 以 下域出現(xiàn)或條件成立時 就應(yīng)該包含在 MAC 計算中 金融交易包括 預(yù)授權(quán) 消費(fèi) 預(yù) 授權(quán)完成 退貨 ATM 取款 查詢及上述交易的撤消 沖正和成功的應(yīng)答 NO位域名屬性 10Message typen4 22Primary account numbern 19 n PAN 33Processing coden6 44Amount of Transactionn12 57Transmission date and timen10 611System trace audit numbern6 718Merchants typen4 825Point of service codition coden2 932Acquiring institution identification coden 11 LLVAR 1033Forwording institution identification coden 11 LLVAR 1138Authorization identification responsen6 1239Response coden2 1341Card acceptor terminal identificationan8 1442card acceptor identification codean15 1590Original data elementsn42 其中 Primary acount number 應(yīng)根據(jù)發(fā)卡行 PAN 的長度來取 內(nèi)容為 PAN 長度 2 PAN Acquiring institution identification code 為入網(wǎng)機(jī)構(gòu)代碼 長度域 2 實際機(jī)構(gòu)長度 Forwarding institution identification code 為入網(wǎng)機(jī)構(gòu)代碼 長度域 2 實際機(jī)構(gòu)長度 Original data elements org message typen4 org system trace numbern6 org transmission date time n10 外卡 ATM 取現(xiàn)業(yè)務(wù)交換中心系統(tǒng) 安全技術(shù)規(guī)范 SKYON Technologies Co Ltd 2002第 10 頁 4 3 1 2對帳類消息對帳類消息 對帳類消息以下域只要出現(xiàn) 就應(yīng)該包含在 MAC 計算中 NO位域名屬性 10message typen4 27Transmission date and timen10 311system trace audit numbern6 466Settlement coden1 582Processing fee amount of creditsn12 684Processing fee amount of debitsn12 786Amount of creditsn16 887Reversal amount of creditsn16 988Amount of debitsn16 10 89 Reversal amount of debitsn16 1197Amount of net settlementx n16 4 3 1 3密鑰管理類消息密鑰管理類消息 密鑰管理消息包括 重置密鑰申請 重置密鑰 其的 MAC 域由如下域組成 NO 位域名屬性 10Message typen4 27Transmission date and timen10 311System trace audit numbern6 439Response coden2 553Security related control in