求下大神知道转门派的说下
我109转门派主密钥7500仙玉啊？还有_梦幻西游吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：3,002,049贴子：
求下大神知道转门派的说下
我109转门派主密钥7500仙玉啊？还有
求下大神知道转门派的说下
我109转门派主密钥7500仙玉啊？还有潜能果怎么办？ 知道说下吧
随后会放制作过程
筒子们，请容我平复下此...
万圣夜（英语：Hallowee...
前排熟悉吧友
此贴为吧友爆照评分贴，...
不知道能否镇的住
今年听到不少吧友们表示...
大家好~我是电影二组的...
此帖里星乔君教你怎么做...
186cm 大一 阳光开朗 喜...
97年双子不杂 处一个可...
第一次做，有什么建议和...
是转种族吧
7500仙玉是怎么回事啊 没人知道吗
贴吧热议榜
使用签名档&&
保存至快速回贴博客访问： 88478
博文数量： 40
博客积分： 1950
博客等级： 中尉
技术积分： 450
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
金融行业因为对比较敏感，所以对数据的加密也相应的比较重视。在其中有关密钥及加密方面的文章很少，并且散发在各个银行及公司的手中，在网上没有专门对这部分进行介绍的。本文对金融行业的密钥进行较深入的介绍，包括象到底什么是主密钥（MasterKey）、传输密钥（MacKey），为什么我们需要这些东西等。本文采取追源溯本的方式，力求让对这感兴趣的人达到知其然，同时也知其所以然，而不是模模糊糊的知道几个概念和名词。因为本文主要是针对对金融行业密钥不是很熟悉的人，所以如果你对密钥很熟悉就不必仔细看了。好了，咱们言规正传。我们知道，金融行业有很多数据要在上传递，包括从前置到主机，从自助终端到前置等，这些数据在网络上传来传去，我们很容易就会想到安全性的问题，如果这些数据被人窃取或拦截下来，那我们怎么敢在银行存钱了。这个问题在计算机出现时就被前人考虑到了，所以出现了很多各种各样的加解密。抛开这些不管，假设当初由我们自己来设计怎样解决数据被窃取的情况。假设我们有一段数据，是ATM取款的报文，包括一个人的磁卡号、密码、取款金额，现在需要将这些数据从一台ATM机器传到前置机处理，这些数据是比较机密的，如果被人窃取了，就可以用该卡号和密码把帐户中的钱取走。首先，我们可以想到用专用的银行内部网络，外面的人无法获得网络的访问权。这个仔细想想显然不可行的，因为一是不能保证外人一定没办法进入银行内部网络，二是银行内部人员作案是没法防止的。接着，我们很容易想到，既然保证数据不被窃取的可能性很小，那我们何不变换一下思路，数据避免不了被窃取，那我如果将数据处理下，让你即使窃取到数据，也是一些无用的乱码，这样不就解决问题了吗。这个想法比较接近现在的做法了，当前置机接收到了数据，它肯定是对数据进行反处理，即与ATM端完全步骤相反的数据处理，即可得到明文的数据。我们再进一步想想，如果因为某种原因，报文中的取款金额被改变了，这样就会导致ATM出的钱和前置扣帐记录的钱不一致的情况，看来我们必须加上一个验证机制，当前置机收到ATM发送的一个报文时，能够确认报文中的数据在网络传输过程中没有被更改过。怎样实现？最简单的，象计算机串口通讯一样，对通讯数据每一位进行异或，得到0或1，把0或1放在在通讯数据后面，算是加上一个奇偶校验位，收到数据同样对数据每位进行异或，得到0或1，再判断下收到数据最后一位与算出来的是否一致。这种方式太简单了，对于上面提到的ATM到前置机的报文来说，没什么用处，不过我们可以将对数据每一位异或的算法改成一个比较复杂点的。因为DES算法已经出来了很多年了，并且在金融行业也有广泛的，我们何不用DES算法进行处理，来解决上面的问题呢。我们应该了解DES算法（此处指单DES）的，就是用一个64bit 的Key对64bit的数据进行处理，得到加密后的64bit数据。那我们用一个Key对上面的报文进行DES算法，得到加密后的64bit数据，放到报文的最后，跟报文一起送到前置机，前置机收到报文后，同样用Key对数据（不包括最后的64bit加密数据）进行DES加密，得出64bit的数据，用该数据与ATM发送过来的报文最后的64bit数据比较，如果两个数据相同，说明报文没有中途被更改过。再进一步，因为DES只能够对64bit的数据进行加密，一个报文可不止64bit，哪我们怎么处理呢？只对报文开头的64bit加密？这个是显然不够的。我们可以这样，先对报文的开始64bit加密，接着对报文第二个64bit加密，依次类推，不过这有问题，因为每个64bit都会得到同样长度的加密后的数据，我不能把这些数据都放到报文的后面，那报文的长度不变成两倍长了。换个思路，我先对报文第一个64bit加密，得到64bit的加密后数据data1，接着再拿加密后的data1与报文第二个64bit数据进行按位异或，得到同样长64bit的数据data2，我再用Key对data2加密，得到加密后的数据data3，再拿data3与报文第三个64bit数据进行按位异或，同样的处理依次类推。直到最后会得到一个64bit的数据，将这个数据放到报文的最后发到前置机，这样报文的长度只增加了64bit而已。这个算法就叫做MAC算法。好了，到目前为止我们已经知道了什么是MAC算法，为什么需要它，接着我们再看看经常被提起的另外一个名词。在上面说到MAC算法的时候，我们会注意到其中进行DES加密算法时提到了一个Key，这个用来参与MAC计算的Key就常被称为MacKey，也有叫工作密钥、过程密钥的。我们继续来处理ATM和前置机间网络数据传输的问题。前面提到的MAC算法对传送的报文进行了处理，保证了在网络传输过程中数据不会被有意或无意的篡改，但是，我们再进一步想想，如果仍然是上面提到的一个取款报文，如果想作案的话，我不改报文的内容，我只是截取报文的内容，因为内容里面有卡号和密码，都是明文的形式，很容易就看出来哪些内容是卡号、哪些内容是密码。有了卡号和密码，我就好办了，找个读卡器就能够很快的制出一张磁卡，然后拿这个磁卡可以随便取钱了，根本不需要修改报文，这样你就算前置机对报文的MAC校验通过了，也只是保证了报文没改动过，对于防止作案没有实质上的帮助。那我们很容易想到，我再加上一道加密，这次我把整个存款的报文都用DES加密，将明文全部转换成密文，然后送到前置机，这下好了吧。即使你把报文截取了也没用，你拿着这些密文也没有用，你也没有DES的密钥来解密它，只有前置机才知道密钥。这是个好主意，确实防止了卡号和密码等被人获知的危险。这也是现在普遍采取的做法，不过我们需要对这个做法进行一些改进。首先，我们要知道用DES对数据加解密是耗时间的，尤其是使用硬加密（下一步讲什么是硬加密）的情况，速度是比较慢的。我们来想想，整个存款报文有必要每个数据都DES加密吗，象报文中的什么流水号、ATM号等信息，对它们加密没什么意义，进一步讲，取款金额加密也没意义，假设你取500块，但是你将报文改成了100块，导致主机只把你帐户扣100块钱，你白赚了400块。这个听起来挺划算的，实际上是不可行的，因为这样造成了帐务上的短款，银行当然会查账的，根据ATM记录的硬件出钞张数和主机扣款金额，肯定会把你查出来的，那这种掩耳盗铃的做法，下场显而易见，想必没人这么傻。我们来考虑一个报文中到底什么信息是需要加密的，目前一般的做法是只对帐号和密码（也有只对密码加密的）进行加密，其他的内容不加密的，明文就明文，没什么大不了的。对帐号和密码加密有个术语，我们可能都听说过，叫PinBlock，即PIN块，就是对帐号和密码进行DES加密处理后的一个密文数据块。即然使用了DES算法来加密帐号和密码，则必然有个Key来加密，那么我们就把这个Key称为PinKey，就是专门来加密用户帐户和密码的Key。至于怎样进行加密形成最后的密文PinBlock，有很多标准的，象IBM3624、ANSI、ISO、DIEBOLD等标准，其实它们大同小异，就是在对报文中的密码进行一个预处理，再用PinKey来DES加密，主要的差别就是怎样预处理而已，比如有的是密码后面补F，补够16位，就是类似这样的预处理。到这里我们应该理解PinKey和PinBlock了。通过PinKey和MacKey对报文进行了两重处理，基本上报文就是安全的了。如果我们对DES算法比较了解，就会知道，如果想对加密后的密文解密，必须要知道Key才行，所以说Key一定要保密。怎样来保密Key呢？我们前面提到的无论是算MAC还是算PIN块，都是直接拿明文的Key来计算的，那么这个Key很容易被窃取的，比如有人在机器上装了个黑客程序，只要检测到你在用Key加密数据，就把明文的Key获取了。这个听起来好像挺玄乎的，不过是有这个可能性的，尤其是网上银行这些东东最容易中招了。这样看来，我们还要对PinKey和MacKey本身进行加密，不要让人知道了。怎样实现，同样是DES算法大显身手的地方。我再找个Key对PinKey和MacKey进行一次加密，这样你就看不到PinKey和MacKey的明文了，好，解决问题了。这时用来对PinKey和MacKey进行加密的Key就被我们称为MasterKey，即主密钥，用来加密其他密钥的密钥。不过，需要等一下，那MasterKey怎么办，它是明文啊。再找个Key来加密MasterKey，那最终无论处理多少道，最后的那个Key肯定是明文，这样看来，安全的问题还没有解决啊。既然此路不通，那我们需要换个思维角度了，仔细想想怎样处理明文的MasterKey。黑客程序只能窃取我上的东西，如果我把MasterKey放到硬件里面怎么样，黑客是没能力跑到我硬件里面把MasterKey取出来的，当然，不排除道高一尺、魔高一丈的情况，但至少99.9％的黑客都没这能力的。那这样不就解决了我们遇到的问题了吗，只要把MasterKey放到硬件里面（一般是键盘的加密模块里面）就好了。好，到这里，我们已经不怕有人把报文中的关键信息获取到了，总算是安全了。在最近，老是有人提到“硬加密”，这个有什么用呢？我上面不是已经解决了加密的问题了吗，还要这个概念干什么？看来我还是有些地方没考虑到。我一直想的是将明文的密码加密成密文，其中有个环节需要考虑下，明文的密码是怎样形成的，不就是我按键盘上面的数字形成的吗。以前我的软件处理是这样的，键盘每按一下，我就把那个数字在程序里面先存起来，等到4位或6位密码按完后，再把它们合在一起，再送给PinKey加密。那如果黑客程序直接把我的按键信息获取，那他根本不用破解报文中用PinKey加密后的密码，直接简单的就把我输入的密码得到了，我前面费尽心思对密码进行加密处理变得一点意义都没有了。怎么办？如果我把获取按键的程序固化进入加密硬件（一般在键盘中），按键的数字根本不通过上层的软件，直接一步进入硬件里面处理，等到按键按完了后，硬件直接把经过一道处理的按键信息给我上层软件，此时已经是密文了，就相当于把前面计算PinBlock的处理移到硬件里面去了，那黑客就没法获取我的按键了。这种处理现在就被称为硬加密，伴随着EMV和3DES算法，变得越来越流行了，好像自助终端不支持硬加密就不行，连EMV也强制要求了。最近还有个名词经常被提到，就是3DES。为什么要提出3DES的概念呢？我在一篇文章中提到了3 DES的具体算法，其实推出3DES是因为原来的单DES算法随着计算机硬件的速度提升，存在被破解的可能性，所以将算法进行了改进，改为3DES算法。但是对于我们理解金融行业的密钥及加密机制来说，用什么算法都一样。不同算法的差别只是怎样对数据进行移位变换等具体处理而已。对于ATM交易安全性的考虑问题，通过pin加密，MAC效验来保证系统交易数据的合法性及完整性,PIN BLOCK产生，PIN加密，MAC效验都可在ATM的加密键盘进行。以下简单解释概念：1．工作密钥(WK)PIN Key：持卡人密码的加密传输(TPK,ZPK,PVK)2．MAC Key：用于交易报文的鉴别，保证数据完整性(TAK, ZAK)3．COM Key: 用于交易报文的通讯加密/解密(TEK,ZEK)4．密钥交换密钥(KEK)Zone Master Key：节点间交换工作密钥时加密保护(ZMK)5．Terminal Master Key：用于主机与金融终端交换工作密钥(TMK)6．本地主密钥(LMK)Local Master Key：用于加密存储其它密钥系统密钥的是保证整个系统交易安全的关键，三级密钥管理体系：LMK(本地主密钥)& && && && && && && &&&最高层密钥，用于加密TMK,ZMK TMK(终端主密钥)，ZMK(区域主密钥)& && &交换密钥，用于加密PIN KEY& && && && && && && && && && && && && && && && && & MAC KEY,COM KEY& && &&&PIN KEY,MAC KEY,COM KEY& && && && && &PIN KEY用于加密密码工作密钥& && && && && && && && && && && && & MAC KEY 用于效验报文& &&&& && && && && && && && && && && && && && && && && && & COM KEY 用于通讯加密
附：EMV标准　　EMV标准是由国际三大银行卡组织--Europay(欧陆卡,已被万事达收购）、MasterCard(万事达卡)和Visa(维萨)共同发起制定的银行卡从磁条卡向智能IC卡转移的技术标准，是基于IC卡的金融支付标准，目前已成为公认的全球统一标准。其目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准，使得在此体系下所有的卡片和终端能够互通互用，并且该技术的采用将大大提高银行卡支付的安全性，减少欺诈行为。目前正式发布的版本有EMV96和EMV2000。 　　EMV2000标准是国际上金融IC卡借记/贷记应用的统一技术标准，由国际三大银行卡组织联合制定，标准的主要内容包括借贷记应用交易流程、借记/贷记应用规范和安全认证机制等。 　　EMV迁移是按照EMV2000标准，在发卡、业务流程、安全控管、受理市场、信息转接等多个环节实施推进银行磁条卡向芯片卡技术的升级，即把现在使用磁条的银行卡改换成使用IC卡的银行卡。随着信息技术、微电子技术的发展和EMV标准的完善及国际ENV迁移计划的实施，银行磁条卡向IC卡的迁移是必然的发展趋势。 　　国际组织为推行EMV迁移计划，决定从2005年起，不再对欧洲地区因利用磁条卡犯罪所造成的损失承担相应责任，这一决定在亚太地区生效的时间定在2006年。根据新的游戏规则，从2006年起，伪卡损失责任将按照是否符合EMV标准来划分，也就是说，如果交易中的一方符合EMV标准，而另一方不符合，将由不符合EMV标准的一方承担全部责任。全球范围内统一使用IC卡的时限为2008年。 　　1999年2月，当时的国际三大卡组织共同成立了EMVCo组织，用来管理、维护和完善EMV智能（芯片）卡的规格标准。 　　EMVCo组织提供 EMV LEVEL 1 和 EMV LEVEL 2 认证. 　　1.4 EMV Level 1 and Level 2认证 　　EMV Level 1 认证规范 　　- 受理卡片的插入而不引起机械部分的损坏. 　　- 提供电源和时钟而不引起电器部分的损坏. 　　- 确定支持的协议并与卡片进行通信. 　　- 正确地下载卡片以利再用卡片. 　　EMV Level 2认证规范 　　- 定义卡片借记卡信用卡交易的应用需求 　　- 定义卡片与终端间应用处理规范. 　　- 卡片与终端的应用软件通常是可访问的. 　　- 终端的应用软件可读取卡片应用列表. 　　- 定义卡片持有者校验方法,比如密码验证. 　　1.5 各方应对 EMV 认证的措施 　　发卡机构应发行EMV标准的卡. 　　POS 终端生产商应提供: 　　- 新的或升级设备(有EMV认证的) 　　- 兼容EMV的密码键盘 　　- 升级POS应用软件 　　- EMVCo 组织认证 　　发卡行与收单行应升级主机系统以支持: 　　- 传送和处理每种交易所增加的数据域. 　　- 增强的加密技术. 　　- 应能满足EMVCo.组织的测试要求
附：& &&&异或逻辑运算（半加运算）& & 异或运算通常用符号"⊕"表示，其运算规则为：& & 0⊕0=0 0同0异或，结果为0& & 0⊕1=1 0同1异或，结果为1& & 1⊕0=1 1同0异或，结果为1& & 1⊕1=0 1同1异或，结果为0& & 即两个逻辑变量相异，输出才为1
阅读(2242) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。PBOC密钥管理中心及数据准备系统方案_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
PBOC密钥管理中心及数据准备系统方案
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩4页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢金融IC卡安全体系_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
金融IC卡安全体系
上传于||暂无简介
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩5页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢