中国银联POS密钥分发终端安全规范

"中国银联POS密钥分发专用终端规范" 本文档《中国银联POS密钥分发专用终端规范》详细阐述了在中国银联系统中，如何安全有效地进行POS终端主密钥（Terminal Master Key，简称TMK）的分发。这份规范属于企业标准，由Q/CUP发布，旨在确保银联网络中交易的安全性和可靠性。 1. 术语定义： - 密钥分发专用终端TMK deliver special terminal：专用于分发主密钥的设备。 - 密钥加载keys load：将密钥安装到终端的过程。 - 密钥分发key deliver：将密钥从一个点传输到另一个点的行为。 - 联机分发online key deliver：通过网络实时传输密钥。 - 离线分发offline key deliver：通过物理介质如存储卡进行密钥传输。 - 终端主密钥terminal master key (TMK)：POS终端的核心安全密钥。 - 加密密钥terminal keys encrypting key (KEK)：用于保护TMK和其他密钥的加密密钥。 - POS中心POS center：负责管理POS终端的中心机构。 2. 基本功能要求： - 密钥生成：生成符合安全标准的密钥。 - 密钥加载：安全地将密钥安装到终端上。 - 密钥存贮：在终端内安全保存密钥。 - 密钥分发：执行联机或离线的密钥分发过程。 - 操作人员管理：对操作人员的身份验证和权限控制。 3. 操作流程要求： - 系统登录：操作员需通过认证才能访问系统。 - 密钥设置：设定和管理终端密钥。 - 密码修改：定期更新和保护操作员的密码。 - 密钥分发：详细规定了分发流程，包括验证和记录。 - 密钥维护：定期检查和更新密钥状态，确保其安全性。 4. 技术细节： - 附录A提供了KEK分量校验值的计算方法，包括TDES算法和校验值算法，以及终端主密钥的加密算法。 - 附录B则详细列出了文件导入密钥报文格式，包括串口通讯参数约定、数据交换应用协议等。 此规范对于理解银联POS系统中密钥管理的重要性、流程及其安全措施具有重要意义，是保证银联网络交易安全的基础。同时，它也为其他金融机构或支付系统的密钥管理提供了参考。