Part2:NCR RKT( 基于NDC)完整解决方案--NCR RKT流程

 

流程一 EPP出厂设置及初始化KEY导入

 

  在NCR的EPP出厂前,NCR的RKM初始化必须执行如下流程,且在出厂前仅执行一次:

l         为每个EPP分配唯一的EPP serial number和唯一的EPP public key/EPP private key.

l         把EPP serial number,EPP public key,Epp private key写入EPP.

l         把NCR public key,NCR private key写入EPP.

l         用NCR private key签名EPP public key后,将签名结果写入EPP.

l         联系银行分配HSM public key和HSM private key,并将HSM public key以邮件等安全的方式发给NCR.

l         用NCR private key签名HSM public key,并将签名结果和NCR public key以邮件等安全的方式发给银行.

l         银行将把用NCR private key签名HSM public key 的签名结果,NCR public key,HSM public key,HSM  private key导入HSM.

注:对于NCR public key/NCR private key,EPP public key/EPP private key,HSM public key/HSM private key的理解,请参加<< Part1 NCR RKM技术之--RSA算法在RKM中的应用>>

 

流程二远程修改密钥方式

  用RSA算法做密钥交换时,ATM必须使用3DES.如果密钥交换前ATM不使用3DES,则主机需要远程修改ATM的密钥方式,并且能修改成如下加密方式的任意一种:

并且使用下面的消息查询和修改ATM的当前的密钥方式:

 

注:如果该流程失败,下一步流程将不能继续.

 

 

 

流程三 HSM-EPP校验

 上述流程完成后,EPP和HSM在公钥交换时,用 NCR Public Key对采用NCR private key分别签名HSM  public key和EPP public key的厂商签名结果进行认证,同时,为了下载初始master key, HSM必须用交换公钥的消息获取EPP public key, EPP 必须用交换公钥的消息获取HSM public key.

 

  HOST使用Extended Encryption Key Load 消息的 ’B’字段发送HSM Public Key到EPP,发送时附上HSM public key的厂商签名.ATMC用Encryptor Initialization data消息的字段’5’响应.

 

  HSM使用Extended Encryption Key Load 消息的’G’字段请求Epp public key,ATMC用Encryptor Initialization data消息的字段’2’字段将EPP public key发送到Host,同时附上EPP public key的厂商签名.

  EPP的厂商签名认证过程和EPP public key和HSM public key的交换过程总结如下:

只有EPP的厂商签名认证过程和公钥交换成功后,才能继续下一步流程.

 

 

 

流程四 DES KEY远程导入

   EPP厂商签名校验和公钥交换成功完成后,开始DES密钥远程导入,流程如下:

注: 初始Master key发送必须使用Extended Encryption Key Load消息,初始密钥导入完成后,之后的密钥发送使用现有的Encryption key load message, 对于APTRA Edge,只有Extended key load message才能发送3DES密钥.

 

流程五密钥状态确认

  HOST使用如下消息确认密钥状态: