EMV安全體系及加密機的應用

文章出處：http://5052h112.com 作者： 人氣： 發表時間：2012年11月27日

    隨著銀行業務電子化和網絡化，作為主機安全模塊（HSM）的加密機早已經深入應用于各銀行業務的數據安全體系中。

    1. 密碼算法介紹

    對稱密碼體制又稱為單密鑰體制或隱蔽密鑰體制。在這種體制下，加密密鑰和解密密鑰相同，或者一個可從另一個導出；擁有加密能力就意味著擁有解密能力，反之亦然。對稱密碼體制的保密強度高，但開放性差，需要有可靠的密鑰傳遞渠道。常用算法包括DES、IDEA、AES、SSF33等
非對稱密碼體制又稱為公開密鑰體制。這種體制下，加密和解密的密鑰是分開的；加密密鑰公開，解密密鑰不公開，從一個密鑰去推導另一個密鑰是計算不可行的。非對稱密碼體制適用于開放的使用環境，密鑰管理相對簡單，但工作效率一般低于對稱密碼體制。常用算法有RSA、ECC等。

    信息摘要（message digests）是單向的散列函數，它以變長的信息為輸入，把其壓縮成一個定長的值輸出。若輸入的信息改變了，則輸出的定長值（摘要）也會相應改變。信息摘要可用于產生程序或文檔的“唯一性標記”，以發現對這些數據的非法修改，常用算法有MD5、SHA-1等。

    EMV2000采用的是一種對稱和非對稱混合的加密體系，在脫機數據認證中采用非對稱密鑰算法，在聯機數據認證中采用對稱密鑰算法。EMV2000批準使用的算法：DES、 RSA、 SHA-1。

    2. 加密機在銀行卡業務中的應用

    2.1. 加密機支持常規銀行卡業務中的安全需求

    對PIN的操作：
    產生PIN
    打印PIN
    轉換PIN
    加密PIN及轉換PIN的保護密鑰
    校驗PIN
    產生MAC
    驗證MAC
    驗證并轉換MAC
    MASTER卡CVC（卡有效碼）
    VISA卡CVV（卡校驗值）
    PIN 偏移量Offset處理機制

    2.2. EMV系統中加密機的功能要求

    在EMV系統中，加密機還必須支持以下功能。
    產生RSA密鑰對
    使用RSA公鑰加密
    使用RSA私鑰解密
    使用RSA密鑰進行數字簽名
    使用RSA密鑰進行簽名驗證
    將密文數據在兩個公鑰間進行密文轉換
    使用SHA-1和MD5產生信息摘要
    ARPC的驗證
    ARQC的生成

    2.3. 加密機在發卡系統中的作用

    在發卡系統中包含主機（或服務器）、打卡機、加密機和密碼信封打印機。下圖為這些設備的關系圖：

    通常EMV的發卡過程分為預發卡和打卡兩個階段。在預發卡階段主機產生將要發的每張IC卡的私有信息（如密鑰的產生、數字簽名、初始密碼等），這些私密信息全部由主機調用加密機產生并進行加密處理。第二個階段發卡系統完成卡片的私有化工作包括私有信息寫入卡片及其它卡片制作工作。密碼信封的打印是使用連接在加密機上的密碼信封打印機完成，以保證用戶密碼的安全。

    2.4. 加密機在交易系統中的應用

    在聯機交易中加密機保證交易數據的私密性（關鍵信息加密）和完整性（MAC計算和校驗）并在發卡行主機端完成相應的認證功能。

    通常終端發起的連接交易需要經過前置機及相關中轉機構（收單行及銀聯等金融網絡機構）到達發卡行業務系統。在每一個交易節點均需要加密機來保證交易的完整行、保密性等功能。如下圖所示：