问cvk加密技术到底是怎么实现的？

卡校验密钥(CVK)　　　卡校验密钥(CVK)类似于PIN校验密钥，仅仅是用卡的信息取代了PIN。区域PIN密钥(PIK)区域PIN密钥PIK是一个数据加密密钥，适用于共享网络，它通过BMK加密在两个(或多个)通讯网点之间进行自动分配，PIK用于加密两个通讯网点 之间需传输的PIN，这样就实现了PIN的保密。PIK需要经常性地定期更改，在本地存储时，它是通过BMK进行加密的。PIK需要经常性地定期更改，通 常每天更换一次。

第一层，mk为加密机主密钥, 有三个成分组成，它是采用双倍标准的des密钥（长达112位），它是存放在hsm机内的，真正实现三重数据加密技术。它的作用是将所有在本地存放的其它 密钥和加密数据进行加密。由于本地存放的其它密钥和加密数据，都是在mk加密之下。因此，mk是最重要的密钥。 第二层，bmk通常称为密钥加密密钥或密钥交换密钥（key-encrypting key或key exchange key）。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密 钥，从而实现密钥的分工管理，它在本地存放时，处于本地m的加密之下或直接保存在硬件加密机中。 第三层，通常称为工作密钥或数据加密密钥。包括pik、mak、tmk（包括tpk、tak）等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于bmk的加密之下或直接保存在硬件加密机中。 3.2 加密机密钥分类 下面介绍一下加密机中最主要的几种密钥： 1、加密机主密钥(mk) 加密机主密钥（master key - mk）是存入在hsm机内的由三个成分合成的一对最上层密钥。在hsm机器以外的地方不会以明文形式存放，它采用双倍标准des密钥（长达112位）实现三重数据加密。 hsm投入运行时，必须先产生和装载mk。由于des算法依靠某一个密钥进行加密，同时所有密钥和数据都经由mk进行加密，所以mk必须通过一种安全的方法生成和维护。 mk的产生需要银行三位主要的管理人员参与产生，在sjl06主机加密模块中采用mk（加密机主密钥）对bmk进行加密保护； mk由三个成分（32位十六进制数）组成，由加密机使用单位通过行政手段分派专人管理和维护，一般由2~3人采用"背对背"形式进行输入； mk以密文形式存储在加密机黑匣子中，且永远不以明文形式出现。 2、银行主密钥(bmk) 银行主密钥（bmk），是加密密钥用的密钥，适用于共享网络中，它可以在共享网络中两个(或多个)通讯网点之间以部分形式进行人工分配且保持双方的对 称性，共享网络中任何两个通讯网点之间均共用不同的bmk。bmk用于加密底层需要传送的数据密钥，这样远地密钥就能自动进行交换(无须人工干预)。该密 钥可以长期不更改，通常二年更新一次。本地存储时，bmk是通过mk进行加密的或以索引方式存储在加密机中。 3、区域pin密钥(pik) 区域pin密钥pik是一个数据加密密钥，适用于共享网络，它通过bmk加密在两个(或多个)通讯网点之间进行自动分配，pik用于加密两个通讯网点 之间需传输的pin，这样就实现了pin的保密。pik需要经常性地定期更改，在本地存储时，它是通过bmk进行加密的。pik需要经常性地定期更改，通 常每天更换一次。 4、区域mac密钥(mak) 区域mac密钥mak是一个数据加密密钥，适用于共享网络，它通过bmk加密在两个(或多个)通讯网点之间进行自动分配。用于两个通讯网点之间传送信息时，生成和校验一个信息认证代码(message authentication code)，从而达到信息认证的目的。mak需要经常性地定期更改，通常每天更换一次。 5、终端pin密钥(tpk) 终端pin密钥是一个数据加密用的密钥，适用于局域网络中，它是在局域网内通过tmk加密，由终端数据受理者自动分配到终端且保持通讯双方之间的对称 性。tpk用于加密在局域网内终端和终端数据受理者之间传送的pin。tpk在本地存储在加密机中通过索引的方式调用。tpk需要经常性地定期更换，通常 每天更换一次。 6、终端认证密钥(tak) 终端认证密钥是一个数据加密用的密钥，适用于局域网内。它在局域网内 通过tmk加密由终端数据受理者自动分配到终端或通过bmk加密由终端数据受理者自动分配到交换中心。tak用于局域网内终端与终端数据受理者之间传送信 息时，生成和校验一个信息认证代码(message authentication code)，从而达到信息认证的目的。tak需要经常性地更换，通常每天更换一次，tak在本地存储在加密机中通过索引的方式调用。 7、pin 校验密钥(pvk) pin 校验密钥是一个数据加密密钥，用于生成和校验pin校验数据，同时校验一个pin的可靠性。传送时pvk通过tmk或zmk加密；存放本地时，它通过mk加密。 8、卡校验密钥(cvk) 卡校验密钥(cvk)类似于pin校验密钥，仅仅是用卡的信息取代了pin。 4. 解决方案 本方案采用sjl06t和sjl06s加密机为国有商业银行的综合前置系统的数据安全问题提供一基于应用层解决途 atm将pin明文和bmk1加密下pik1送入sjl06s加密机； sjl06s将pik1加密下的pin返回atm； atm调用sjl06s完成mac的产生（发送bmk加密下的mak和mac数据到加密机，以下相同）后将交易报文发送综合业务前置机； 综合业务前置机首先调用sjl06t完成交易mac校验，然后将atm送到的pin密文，bmk1加密下pik1 和bmk2加密下pik2以及pik1加密下的pin送入sjl06t加密机； sjl06t加密机将客户pin在加密机内部转换成用pik2加密保护返回综合业务前置机，如果需要加密机还将完成pin block的转换； 综合业务前置机调用sjl06t完成mac的产生后，将新的交易报文发送区域中心业务主机； 区域中心主机首先调用本地加密机完成交易mac校验，然后将综合业务前置机送到的pin密文，bmk2加密下pik2以及本地存放的pin密文等信息本地加密机； 区域中心的加密机在其内部将业务终端上送的pin和本地数据库中存放的pin进行比较（也可能是其它校验方式）完成pin的校验，并将校验结果返回区域中心主机。

第一层，MK为加密机主密钥, 有三个成分组成，它是采用双倍标准的DES密钥（长达112位），它是存放在HSM机内的，真正实现三重数据加密技术。它的作用是将所有在本地存放的其它 密钥和加密数据进行加密。由于本地存放的其它密钥和加密数据，都是在MK加密之下。因此，MK是最重要的密钥。第二层，BMK通常称为密钥加密密钥或密钥交换密钥（Key-encrypting key或Key Exchange Key）。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密 钥，从而实现密钥的分工管理，它在本地存放时，处于本地M的加密之下或直接保存在硬件加密机中。　　第三层，通常称为工作密钥或数据加密密钥。包括PIK、MAK、TMK（包括TPK、TAK）等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于BMK的加密之下或直接保存在硬件加密机中。3.2 加密机密钥分类