数据安全传输控制规范

终端主密钥下载

• 加密机生成终端主密钥后，需要 传输密钥 对终端主密钥进行加密，终端将主密钥解密后，存储在终端中；传输密钥必须要有安全保护措施，只能写入并参与运算，不能被读取。

二级密钥体系

• POS终端密钥分为二级：密钥加密密钥(KEK)和工作密钥(WK)。

密钥加密密钥(KEK)

• 用于对工作密钥(WK)进行加密保护，每台POS终端与POS中心共享唯一的KEK。KEK必须要有安全保护措施，只能写入并参与运算，不能被读取。

工作密钥（WK）

• 分为用于对个人标识码(PIN)加密的PIK、进行报文鉴别(MAC)的MAK以及加密二磁三磁数据的TDK。
• 由POS前置机的加密机产生，在POS终端每次签到时从POS中心利用KEK加密后下载，并由KEK加密存储。
• TDK 用于加密二磁三磁数据 16 字节长(双倍长)3DES 密钥 注：二磁和三磁分别用 TDK 加密
• Pinkey 用于加密 Pin Block 16 字节长(双倍长)3DES 密钥
• Mackey 用于计算报文的 Mac 值 8 字节长 DES 密钥
• 注：POS终端工作密钥在下载时必须以密文传送，严禁明文传送。

POS 终端 MAC 的算法

• 从报文消息类型（MTI）到63域之间的部分构成MAC ELEMEMENT BLOCK （MAB），采用ECB算法，加密结果为64位的MAC，详细算法见附录。

PIN 加密

• PIN加密采用ANSI X9.8 Format（带主账号信息）。
• 加密算法采用单倍长密钥算法或双倍长密钥算法。POS终端对以上两种加密算法都应支持。具体的方法见附录。