銀行整體安全設(shè)計

**商業(yè)銀行整體安全設(shè)計2010年7月范福勝目錄1術(shù)語52概述63整體安全目標73.1用戶密碼處理全過程加密73.2集中安全管理73.3加密設(shè)備集中管理73.4安全功能接口標準統(tǒng)一83.5提高管理效率84全行安全系統(tǒng)框架94.1全行安全系統(tǒng)架構(gòu)94.2安全系統(tǒng)架構(gòu)說明95數(shù)據(jù)安全設(shè)計115.1分段設(shè)計115.2傳輸段的安全設(shè)計115.3PIN加密傳輸?shù)膶崿F(xiàn)125.4密鑰設(shè)計125.5安全傳輸選用的算法125.6PIN存儲安全設(shè)計135.6.1依據(jù)賬戶類型設(shè)計135.6.2密鑰設(shè)計135.6.3安全處理流程135.6.4PIN的存儲算法145.7CVV安全生成驗證設(shè)計145.7.1依據(jù)卡類型設(shè)計145.7.2密鑰設(shè)計145.7.3安全處理流程145.7.4CVV的算法145.8密碼信封的批量打印155.9密碼遷移156節(jié)點密鑰設(shè)計166.1密鑰關(guān)系圖166.2核心系統(tǒng)166.3第三方機構(gòu)166.4ATM設(shè)備176.5柜面177業(yè)務(wù)信息流加密過程187.1用戶密碼流187.1.1柜面業(yè)務(wù)密碼187.1.2ATM業(yè)務(wù)密碼197.1.3第三方機構(gòu)密碼207.2報文安全控制流218柜面密碼鍵盤初始化和啟用過程228.1密碼鍵盤初始化過程圖示228.2密碼鍵盤初始化過程說明238.3密碼鍵盤啟用過程說明238.4密碼鍵盤編碼說明239網(wǎng)點柜面ZMK的更新過程249.1ZMK的更新過程流程圖示249.2ZMK的更新過程流程圖示說明259.3ZMK更新啟發(fā)機制2510網(wǎng)點柜面ZPK更新2610.1柜面ZPK更新圖示2610.2ZPK密鑰下載更新過程說明2610.3平臺ZPK密鑰下載過程判斷2711CVV遷移2811.1標準CVV算法2811.2非標準CVV算法2812一機一密改造2912.1終端初始化方案2913密碼服務(wù)平臺配置和接口3013.1設(shè)備配置3013.2實施周期3013.3提交開發(fā)接口庫3013.4提交的接口功能3113.5其它專用接口3114實施步驟和建議3214.1綜合前置系統(tǒng)3214.2城商行清算系統(tǒng)3214.3柜面系統(tǒng)3214.4核心系統(tǒng)3214.5ATMP系統(tǒng)3214.6第三方支付系統(tǒng)32術(shù)語HSM：HostSecurityModule，即主機硬件加密器是一個堅固的抗干擾的硬件加密裝置。在本方案中是指金融數(shù)據(jù)加密機。LMK：LocalMasterKey，即本地主密鑰是存入在加密機內(nèi)的由三個成分合成，是整個安全體系中的最高層密鑰。ZMK：ZoneMasterKey，即區(qū)域主密鑰是總行與分行、總行與支行等兩個區(qū)域之間傳輸工作密鑰的密鑰。PVK：PINVerificationKey，即PIN驗證密鑰，用于總行產(chǎn)生PIN－Offset及校驗PIN。CVK：CardVerificationKey，即卡驗證密鑰，用于銀行卡的合法性驗證。ZPK：即區(qū)域PIN密鑰是一個數(shù)據(jù)加密密鑰，用于加密兩個通訊網(wǎng)點之間需傳輸?shù)腜IN，這樣就實現(xiàn)了PIN的保密。ZAK：即區(qū)域MAC密鑰是一個數(shù)據(jù)加密密鑰，用于兩個通訊網(wǎng)點之間傳送信息時，生成和校驗一個信息認證代碼(MAC)，從而達到信息認證的目的。PIN：PersonalIdentificationNumber，即客戶個人密碼。MAC：MessageAuthenticationCode，即信息認證代碼，可用于總行與分行、分行與支行/網(wǎng)點之間的數(shù)據(jù)交換，以保障信息的完整性。概述此文檔是在前期技術(shù)溝通交流和需求調(diào)研的基礎(chǔ)上，根據(jù)目前行內(nèi)業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀，對行內(nèi)安全業(yè)務(wù)系統(tǒng)中的安全節(jié)點進行改造并詳細描述，用于指導(dǎo)新系統(tǒng)的安全規(guī)劃設(shè)計，對應(yīng)安全方面的技術(shù)開發(fā)以及現(xiàn)場實施。本方案涉及核心域，行內(nèi)前置域，柜面系統(tǒng)，城商行清算，第三方支付系統(tǒng)，一機一密改造。由于目前行內(nèi)的計劃可能無法全部實現(xiàn)此安全方案，因此在此次系統(tǒng)改造過程中，可逐步實現(xiàn)此安全方案規(guī)劃，對于目前有些系統(tǒng)無法實現(xiàn)的，可在以后條件成熟的條件下逐步實現(xiàn)。整體安全目標用戶密碼處理全過程加密用戶PIN在業(yè)務(wù)系統(tǒng)中，全部在密文方式進行加密傳輸。在業(yè)務(wù)系統(tǒng)中的任意交易點，用戶PIN將以密文的形式存在。用戶在交易時，PIN明文直接從密碼鍵盤輸入后，由密碼鍵盤加密輸出。用戶PIN信息從一個節(jié)點傳輸?shù)搅硪还?jié)點時，將由加密機解密，同時以另一節(jié)點的密鑰加密輸出，保證用戶PIN在傳輸時，不會出現(xiàn)明文。用戶的PIN在主機做驗證時，將數(shù)據(jù)庫保存的密文和交易PIN密文直接送加密機，由加密機驗證用戶密碼是否一致。集中安全管理抽象全行業(yè)務(wù)系統(tǒng)的安全屬性和加密功能，統(tǒng)一管理所有業(yè)務(wù)系統(tǒng)的安全處理。對全行各節(jié)點的密鑰，實現(xiàn)統(tǒng)一的生成、傳輸、保存、使用和銷毀。統(tǒng)一全行業(yè)務(wù)系統(tǒng)的安全機制，實現(xiàn)可管理的安全。可根據(jù)管理角色和管理制度實現(xiàn)透明安全管理。制定統(tǒng)一的安全服務(wù)和安全監(jiān)控管理機制。加密設(shè)備集中管理統(tǒng)一的設(shè)備管理，將加密設(shè)備集中統(tǒng)一起來，由密碼服務(wù)平臺統(tǒng)一管理。設(shè)備不與任何業(yè)務(wù)系統(tǒng)關(guān)聯(lián)，提供統(tǒng)一的加密、解密服務(wù)。終端加密設(shè)備（如密碼鍵盤），由密碼服務(wù)平臺集中初始化，集中調(diào)度。由安全系統(tǒng)集中對設(shè)備的使用、調(diào)度和監(jiān)控?？筛鶕?jù)實際情況，動態(tài)分配加密設(shè)備和減少設(shè)備以及對某一設(shè)備的操作維護。設(shè)備的操作維護不影響現(xiàn)有的業(yè)務(wù)系統(tǒng)和其它相關(guān)的管理系統(tǒng)。安全功能接口標準統(tǒng)一統(tǒng)一制定全行安全系統(tǒng)的服務(wù)功能，對不同的業(yè)務(wù)系統(tǒng)統(tǒng)一接口調(diào)用。不同的開發(fā)人員和業(yè)務(wù)系統(tǒng)，統(tǒng)一使用標準的接口程序。全行維護和管理一套標準的接口程序。標準安全功能接口不涉及到相應(yīng)的設(shè)備，采取安全接口與設(shè)備無關(guān)性，同時也與密鑰無關(guān)性。安全接口的使用者，無法得到相關(guān)加密設(shè)備的信息和密鑰信息。提高管理效率統(tǒng)一安全管理機制、集中設(shè)備管理機制、統(tǒng)一功能接口開發(fā)、調(diào)用和維護，提供開發(fā)、運維的管理效率。全行密鑰的集中生成、維護、保存、使用、更新，不需采用原有的分布式管理，提供密鑰管理的效率。全行安全系統(tǒng)框架全行安全系統(tǒng)架構(gòu)圖安全系統(tǒng)框架安全系統(tǒng)架構(gòu)說明密碼服務(wù)平臺部署密碼服務(wù)平臺可跟綜合前置部署在同一臺服務(wù)器，平臺的熱備機制可跟綜合前置系統(tǒng)一致（服務(wù)器自帶HA功能），密碼服務(wù)平臺主備系統(tǒng)的密鑰實時同步。密鑰存儲：各節(jié)點和終端密鑰統(tǒng)一保存在密碼服務(wù)平臺，加密機只保存加密機主密鑰以及私鑰；密鑰命名規(guī)則：密鑰的全名由三部分組成：Application.Owner.Name其中：Application，是2位的應(yīng)用編號。Owner，是密鑰擁有者的標識，長度不限。Name，是應(yīng)用系統(tǒng)為這類密鑰起的名稱（標識），長度不限。密鑰全名的總長度（包括分隔符“.”），最長為40字符。密鑰全名可以包括字母、數(shù)字、“-”、“_”、漢字，等等；“.”，只能用做分隔符。密鑰的全名由密鑰設(shè)計方案分配。系統(tǒng)安全接口調(diào)用：密碼服務(wù)平臺支撐全行業(yè)務(wù)系統(tǒng)的安全功能，各系統(tǒng)統(tǒng)一調(diào)用密碼服務(wù)平臺實現(xiàn)安全需求。加密機部署：密碼服務(wù)平臺掛載兩臺或多臺加密機，實現(xiàn)加密機雙機熱備、負載均衡功能；測試環(huán)境部署：測試環(huán)境的搭建可考慮使用SJL06加密機；數(shù)據(jù)安全設(shè)計分段設(shè)計采用分段安全傳輸設(shè)計原則，即：每兩個相鄰的節(jié)點之間的數(shù)據(jù)傳輸，作一個最小的安全傳輸設(shè)計單位；一個完整的、多節(jié)點的、數(shù)據(jù)交換流程的安全，是通過分段保證每兩個相鄰節(jié)點之間的傳輸安全而實現(xiàn)的。圖5-1是一個數(shù)據(jù)傳輸流程的安全設(shè)計：：節(jié)點一節(jié)點一節(jié)點二節(jié)點三安全傳輸段一安全傳輸段一圖5-1數(shù)據(jù)傳輸流程的安全設(shè)計圖5-1中數(shù)據(jù)傳輸流程，分為了兩個安全傳輸段。每一安全傳輸段，都可以獨立設(shè)計、實現(xiàn)。有N個節(jié)點的傳輸流程，可以設(shè)計（N-1）個安全傳輸段。傳輸段的安全設(shè)計在每一段中，前面的節(jié)點是上游節(jié)點，后面的節(jié)點是下游節(jié)點。交易請求報文由上游節(jié)點發(fā)往下游節(jié)點，交易響應(yīng)報文由下游節(jié)點發(fā)往上游節(jié)點；如圖4-2所示：上游節(jié)點上游節(jié)點下游節(jié)點請求響應(yīng)圖5-2安全傳輸段傳輸?shù)膱笪尼槍γ恳粋€傳輸段，采用以下安全設(shè)計：請求報文數(shù)據(jù)中附加MAC，即上游節(jié)點對請求報文生成MAC，下游節(jié)點要驗證請求報文中的MAC，驗證通過之后，才認為請求報文合法。響應(yīng)報文數(shù)據(jù)中附加MAC，即下游節(jié)點對響應(yīng)報文生成MAC，上游節(jié)點要驗證響應(yīng)報文中的MAC，驗證通過之后，才認為響應(yīng)合法。如果請求報文中有PIN，PIN加密傳輸。PIN加密傳輸實現(xiàn)方式，見后文。PIN加密傳輸?shù)膶崿F(xiàn)PIN加密傳輸，總是由上游節(jié)點加密，然后向下游節(jié)點發(fā)送。下游節(jié)點不向上游節(jié)點發(fā)送PIN。上游節(jié)點在發(fā)送PIN明文之前，對PIN的處理分為兩類：如果上游節(jié)點是交易的原始受理點，那么這個節(jié)點是對明文的PIN加密之后，再向下游節(jié)點發(fā)送。如果上游節(jié)點是數(shù)據(jù)傳輸中的一個中間節(jié)點，這個節(jié)點就即是下游節(jié)點（對于前一節(jié)點而言）也是上游節(jié)點（對于下一節(jié)點后而言）。那么這個節(jié)點要將它的上游節(jié)點加密的PIN密文，轉(zhuǎn)換為它的下游節(jié)點可以識別的PIN密文。密鑰設(shè)計安全傳輸段的兩個節(jié)點之間，采用對稱密鑰算法實現(xiàn)數(shù)據(jù)安全傳輸。在一個安全傳輸段，兩個節(jié)點之間，約定以下密鑰：1個ZPK密鑰，上游節(jié)點加密PIN或轉(zhuǎn)換PIN密文時，使用該ZPK密鑰。1個ZAK密鑰，兩個節(jié)點生成/驗證MAC時使用。1個ZMK密鑰，如果兩個節(jié)點之間，要通過密鑰置換交易同步ZPK/ZAK，需要設(shè)計這個密鑰。在兩節(jié)點間傳輸ZPK/ZAK時，用于加密要傳輸?shù)腪PK/ZAK。每一個傳輸段，需要上述密鑰中的那幾個，視情況而定：節(jié)點之間無PIN傳輸?shù)?，不需要ZPK。節(jié)點之間，不附加MAC的，不需要ZAK。節(jié)點之間，不通過報文傳輸ZPK/ZAK，不需要ZMK。每個密鑰，都需要保持兩個版本，以保證在一個節(jié)點更新密鑰之后，另一個節(jié)點沒有同步更新密鑰時，交易仍能正常進行。但新版本密鑰生效之后，舊版本密鑰繼續(xù)有效的時間，應(yīng)該設(shè)一上限值。安全傳輸選用的算法PIN加密：選用ansix9.8標準。MAC：選用ansix9.9/x9.19標準。PIN存儲安全設(shè)計本方案只考慮PIN的安全存儲，不考慮其它數(shù)據(jù)的安全存儲。依據(jù)賬戶類型設(shè)計本方案依據(jù)賬戶類型設(shè)計PIN的安全存儲，即：將每一類賬戶的PIN，視為一個最小安全存儲設(shè)計單位，為每類賬戶設(shè)計一個PIN安全存儲方案。如有N類賬戶，則有N個安全存儲方案。每個PIN安全存儲方案，其設(shè)計要點都相同。密鑰設(shè)計每個PIN安全存儲方案中，都包括1個PVK密鑰，這個密鑰加密了PIN之后，獲取一個PIN密文，這個PIN密文存儲在業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫中。強調(diào)：PVK加密PIN時，必須將PIN對應(yīng)的賬戶也作為一個加密參數(shù)，從而保證相同PIN明文，不同的PIN賬戶，加密得到的PIN密文不同。安全處理流程每個PIN安全儲存方案中，包括以下安全處理過程：PIN的存儲，即客戶第一次輸入PIN時，存儲PIN密文；或客戶更新PIN時，存儲新PIN的密文。PIN的驗證，即客戶交易時，驗證客戶的PIN。PIN的存儲流程PIN存儲節(jié)點，從其上游節(jié)點獲得一個ZPK加密的PIN密文（簡稱PinBlock）后，將ZPK加密的PinBlock，轉(zhuǎn)換為PVK加密的PIN密文（簡稱PinOffset），然后將PinOffset存儲到數(shù)據(jù)庫中。PIN的驗證流程PIN存儲節(jié)點，從其上游節(jié)點獲得一個ZPK加密的PinBlock之后，從數(shù)據(jù)庫中獲取PVK加密的PinOffset，然后將ZPK、PinBlock、PVK、PinOffset作為“函數(shù)”的輸入?yún)?shù)，驗證PIN是否正確。PIN的存儲算法PIN的存儲算法，考慮選用IBMPinOffset生成算法。PIN的存儲算法，也可以考慮采用銀行自選的算法。CVV安全生成驗證設(shè)計本方案將生成/驗證CVV的節(jié)點，稱為CVV節(jié)點。依據(jù)卡類型設(shè)計本方案依據(jù)卡類型設(shè)計CVV的生成/驗證，即：將每一類卡，視為一個最小設(shè)計單位，為每類卡設(shè)計一個CVV生成/驗證方案。如有N類卡，則有N類CVV方案。每個CVV安全方案，其設(shè)計要點都相同。密鑰設(shè)計每個CVV安全方案中，都包括1個CVK密鑰，這個密鑰用于生成CVV，存儲到磁道信息中。安全處理流程每個CVV安全方案中，包括以下安全處理過程：CVV的生成，即制卡時，使用CVK生成CVV，該CVV將寫入到磁道信息中。CVV的驗證，即卡交易時，取出磁道中的CVV，驗證CVV。CVV的生成流程CVV節(jié)點，根據(jù)卡號、服務(wù)碼、有效期，使用CVK生成CVV，并將CVV放入磁道信息中。CVV的驗證流程CVV節(jié)點，從磁道信息中獲取CVV，然后將CVK、CVV、卡號、服務(wù)代碼、有效期作為“函數(shù)”的輸入?yún)?shù)，驗證CVV是否正確。CVV的算法CVV的算法，應(yīng)該采用國際或國內(nèi)銀行卡交換機構(gòu)頒布的標準，比如VISA、MASTER或中國銀聯(lián)的標準，等等。密碼信封的批量打印密碼信封的批量打印，通過文件傳輸進行。如圖5-3所示：圖5-3密碼信封的批量打印過程圖示批量打印文件（文本文件），由業(yè)務(wù)系統(tǒng)提供。文件中的每條記錄包括卡號、用戶名、地址等基本信息，以及卡對應(yīng)的PIN密文。PIN密文使用一個ZPK加密。密碼平臺的批量打印程序根據(jù)打印文件，逐條記錄打印密碼信封。打印程序?qū)IN密文及其它信息送入加密機，加密機內(nèi)部解密PIN密文，然后按照預(yù)定義的格式，打印密碼信封。密碼遷移密碼批量遷移，指將數(shù)據(jù)庫中的一個密鑰加密的PIN密文，轉(zhuǎn)換為另一個密鑰加密的PIN密文。密碼批量遷移，要通過編寫程序?qū)崿F(xiàn)。這個程序逐條從數(shù)據(jù)庫中讀出要遷移的密碼，然后將密碼由一個PVK加密，轉(zhuǎn)換為另一個PVK加密，然后將新的PIN密文，替換數(shù)據(jù)庫中舊的PIN密文。節(jié)點密鑰設(shè)計密鑰關(guān)系圖核心系統(tǒng)核心系統(tǒng)主要與綜合前置系統(tǒng)約定密鑰，所有核心系統(tǒng)所屬密鑰由密碼服務(wù)平臺保存，由于核心系統(tǒng)還有驗證（pin和卡）等功能，因此核心系統(tǒng)定義的密鑰有：ZMK:與綜合前置系統(tǒng)約定一對；ZPK:與綜合前置系統(tǒng)約定一對；ZAK:與綜合前置系統(tǒng)約定一對；PVK:保存一對，用于用戶密碼驗證；CVK:保存多對，用于卡CVV驗證；第三方機構(gòu)第三方機構(gòu)業(yè)務(wù)系統(tǒng)如：銀聯(lián)業(yè)務(wù)、電話銀行等業(yè)務(wù)，全部統(tǒng)稱為第三方機構(gòu)業(yè)務(wù)。第三方機構(gòu)對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK、ZAK。ZMK:與第三方機構(gòu)和綜合前置系統(tǒng)各約定一對；ZPK:與第三方機構(gòu)和綜合前置系統(tǒng)各約定一對；ZAK:與第三方機構(gòu)和綜合前置系統(tǒng)各約定一對；ATM設(shè)備ATM設(shè)備對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK、ZAK。ZMK:與每一ATM設(shè)備各約定一對；ZPK:與每一ATM設(shè)備各約定一對；ZAK:與每一ATM設(shè)備各約定一對；柜面柜面設(shè)備對應(yīng)的密鑰由密碼服務(wù)平臺保存，使用的密鑰角色名稱有：ZMK、ZPK。ZMK:與每一柜面終端各約定一對；ZPK:與每一柜面終端各約定一對；注：柜面一般不計算MAC業(yè)務(wù)信息流加密過程用戶密碼流柜面業(yè)務(wù)密碼PIN的安全處理過程圖示PIN安全處理流程說明用戶在密碼鍵盤上輸入PIN明文。密碼鍵盤使用ZPK對PIN的明文加密成PIN的密文發(fā)送給柜面系統(tǒng)。柜面系統(tǒng)通過ActiveX控件讀取ZPK加密的PIN密文。柜面系統(tǒng)將PIN的密文發(fā)送給綜合前置系統(tǒng)，綜合前置系統(tǒng)通過與核心系統(tǒng)約定的ZPK加密后送核心系統(tǒng)驗證。核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeVerifyPinOffsetAndPinByZpk，將鍵盤標識、ZPK加密的PIN密文、PINOFFSET、卡號一起送到密碼服務(wù)平臺去驗證。ATM業(yè)務(wù)密碼PIN的安全處理過程圖示PIN安全處理流程說明用戶在終端ATM機密碼鍵盤上輸入PIN明文。密碼鍵盤使用ZPK對PIN的明文加密成PIN的密文發(fā)送給ATMP系統(tǒng)。ATMP系統(tǒng)將PIN密文不做處理地發(fā)送給綜合前置。綜合前置系統(tǒng)判斷該PIN是否屬于第三方機構(gòu)業(yè)務(wù)。若不是屬于第三方業(yè)務(wù)系統(tǒng)，核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeVerifyPinOffsetAndPinByZpk，將鍵盤標識、ZPK加密的PIN密文、PINOFFSET、卡號一起送到密碼服務(wù)平臺去驗證。若是屬于第三方業(yè)務(wù)系統(tǒng)，綜合前置系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù)轉(zhuǎn)換為第三方ZPK加密。將ZPK加密的PIN密文送第三方機構(gòu)處理第三方機構(gòu)密碼PIN的安全處理過程圖示PIN的安全處理流程說明第三方機構(gòu)業(yè)務(wù)系統(tǒng)將PIN密文發(fā)送給綜合前置。綜合前置系統(tǒng)將PIN密文轉(zhuǎn)加密后發(fā)送給核心系統(tǒng)。核心系統(tǒng)在收到ZPK加密的PIN密文，通過調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeVerifyPinOffsetAndPinByZpk，將鍵盤標識、ZPK加密的PIN密文、PINOFFSET、卡號一起送到密碼服務(wù)平臺去驗證。報文安全控制流安全報文處理主要是兩個節(jié)點之間的MAC生成和MAC驗證，目的用于報文的完整性校驗和防篡改處理。柜面密碼鍵盤初始化和啟用過程密碼鍵盤初始化過程圖示密碼鍵盤初始化由專門的初始化系統(tǒng)與密碼服務(wù)平臺系統(tǒng)聯(lián)動實現(xiàn)。密碼鍵盤初始化過程說明密碼鍵盤初始化系統(tǒng)與密碼服務(wù)平臺約定一套傳輸密鑰。密碼鍵盤初始化系統(tǒng)讀到密碼鍵盤編號，將編號送密碼服務(wù)平臺系統(tǒng)。密碼服務(wù)平臺創(chuàng)建對應(yīng)的密碼鍵盤編號節(jié)點，在密碼服務(wù)平臺隨機生成ZMK，并將ZMK存儲到密碼服務(wù)平臺。密碼鍵盤初始化系統(tǒng)根據(jù)收到ZMK密鑰密文，通過約定的傳輸密鑰解密，并將ZMK明文存儲到密碼鍵盤。完成密碼鍵盤登記后，密碼服務(wù)平臺將等待鍵盤啟用的申請。密碼鍵盤啟用過程說明密碼平臺收到柜面啟用密碼鍵盤請求，調(diào)用密碼平臺提供的專用功能函數(shù)（NodeActive）即可。密碼服務(wù)平臺收到密碼鍵盤啟用動作后，自動生成新的ZMK。密碼鍵盤編碼說明密碼鍵盤設(shè)備ID長度為9位，BANCS交易報文提供兩個相鄰欄位共10字節(jié)供密碼鍵盤設(shè)備ID使用。網(wǎng)點柜面ZMK的更新過程ZMK的更新過程流程圖示圖6-1ZMK更新流程圖ZMK的更新過程流程圖示說明ZMK下載請求首先由網(wǎng)點的柜面系統(tǒng)發(fā)起申請，在請求報文中通過鍵盤編號來標識所下載的ZMK密鑰。柜面前置系統(tǒng)收到ZMK下載申請后，調(diào)用密碼服務(wù)平臺API接口函數(shù)NodeReadKey，讀取密碼服務(wù)平臺中密鑰庫中對應(yīng)的密鑰，等待密碼服務(wù)平臺的應(yīng)答。密碼服務(wù)平臺在收到函數(shù)NodeReadKey調(diào)用的請求后，新生成的ZMK用舊的ZMK加密，并且將密文和校驗值返回給柜面前置系統(tǒng)。柜面前置系統(tǒng)將新生成的ZMK的密文和校驗值返回給網(wǎng)點柜面。網(wǎng)點柜面系統(tǒng)在通過ActiveX將新生成的ZMK密文和校驗值寫入密碼鍵盤。ZMK更新啟發(fā)機制密碼服務(wù)平臺，保存與不同柜面約定的ZMK密鑰（柜面ZMK保存在對應(yīng)的密碼鍵盤上）。密鑰庫記錄ZMK密鑰的失效時間。當柜面向平臺申請工作密鑰時，密碼平臺判斷對應(yīng)的保護ZMK是否過有效期，若ZMK密鑰過有效期，則不允許做密鑰更新，向柜面系統(tǒng)返回相應(yīng)錯誤代碼，表示需要柜面手工更新ZMK。另外，若柜面系統(tǒng)簽到時，若系統(tǒng)多次申請工作密鑰不成功，則需要手工發(fā)起更新ZMK請求。網(wǎng)點柜面ZPK更新柜面ZPK密鑰更新，采用直接從柜面前置系統(tǒng)申請密鑰方式。柜面前置系統(tǒng)定期（如晚上12點）生成全部柜面終端的工作密鑰，柜員向簽到時，柜面前置系統(tǒng)從密鑰庫中讀取工作密鑰（ZPK），將工作下傳到柜面終端的密碼鍵盤上。柜員換班時，若工作密鑰需要更新，可由系統(tǒng)或手式的方式，強制更新ZPK密鑰。密碼服務(wù)平臺隨機生成新的ZPK密鑰，并下發(fā)到對應(yīng)的柜面終端。柜面ZPK更新圖示ZPK密鑰下載更新過程說明柜面前置系統(tǒng)定期生成全部柜面的ZPK工作密鑰，保存在密鑰庫中。ZPK下載請求首先由網(wǎng)點的柜面系統(tǒng)向柜面前置系統(tǒng)發(fā)起申請，在請求報文中通過鍵盤編號來標識所下載的ZPK密鑰。柜面前置系統(tǒng)讀取平臺保存的ZPK密文和校驗值返回給網(wǎng)點柜面系統(tǒng)。網(wǎng)點柜面系統(tǒng)在通