人行密钥管理系统总体方案

人行密钥管理系统总体方案
一、设计原则
在银行IC卡联合试点中，密钥的安全控制和管理，是应用系统安全的关键，《密钥管理系统设计方案》遵循《中国金融集成电路（IC）卡规（V1。

0）》和《银行IC卡联合试点技术方案》，方便各成员银行自主发卡，实现读卡机具共享，完成异地跨行交易，该方案遵循以下几条设计原则：
*密钥管理系统采用3DES加密算法，采用全国密钥管理总中心，二级密钥管理中心和成员银行中心三级管理体制，实现公共主密钥的安全共享；
*在充分保证密钥安全性的基础上，支持IC卡联合试点密钥的生成、注入、导出、备份、恢复、更新、服务等功能，实现密钥的安全管理；
*密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同的权限；
*用户可根据实际使用的需要，选择密钥管理系统不同的配置和不同功能；
*密钥服务一般以硬件加密机的形式提供，也可采用密钥卡的形式；*密钥存储以密钥卡或硬件加密机的形式提供，而密钥备份可以采用密钥卡或密码信封的形式。

二、安全机制
1安全体系结构
在银行IC卡联合试点中，各级密钥管理中心利用密钥管理来实现密钥的安全管理。

密钥管理系统采用3DES加密算法，采用全国密钥管理总中心、二级密钥管理中心、成员银行中心三级管理体制，安全共享公共主密钥，实现卡片互通、机具共享。

整个安全体系结构主要包括三类密钥：全国通用的消费/取现主密钥GMPK，发卡银行的消费/取现主密钥MPK和发卡银行的其他主密钥。

根据密钥的用途，系统采用不同的处理策略。

--------
全国密钥 GMPK
管理总中心 --------
二级机
构标识
--------
二级密钥 BMPK
管理中心 --------
银行标识
--------
成员银行中心 MPK
图2—1 密钥分散流程图
GMPK是整个系统的根密钥，只能由全国密钥管理总中心产生和控制，并装载到下发的PSAM卡中；MPK由二级密钥管理中心利用全国密钥管理总中心下发的二级机构发卡母卡产生，并通过母卡传输到成员银行；其他主密钥由成员行自行产生，并装载到母卡或硬件加密机中。

全国密钥管理总中心配备密钥管理服务器、硬件加密机、发卡设备和系统管理软件，生成全国通用的消费/取现主密钥GMPK，存放在全国密钥管理总中心主控母卡中。

全国密钥管理总中心用GMPK对各二级机构标识进行分散，产生二级机构消费/取现主密钥BMPK，生成二级机构发卡母卡，并且将它与二级机构外部认证密钥卡一起传输给二级机构。

同时，全国密钥管理总中心还需对要下发的所有PSAM 卡进行统一洗卡，装入GMPK，和PSAM外部认证卡一起传递给二级密钥管理中心。

二级密钥管理中心配备密钥管理服务器、硬件机、小型发卡设备和系
统管理软件。

在接收到全国密钥管理总中心传来的二级机构发卡母卡和外部认证卡后，用BMPK对各成员行标识进行分散，生成成员行消费/取现主密钥MPK，产生成员行发卡母卡，和成员行外部认证卡一起传送给各成员行，同时，二即机构还要向成员行转交PSAM外部认证卡和PSAM卡。

成员银行配备密钥管理服务器、硬件加密机和系统管理软件，通过部网与银行的发卡系统、卡务管理系统、帐务系统相连，成员行可直接向成员行发卡母卡中注入银行专用密钥，利用成员行发卡母卡来提供密钥服务（如发放用户卡，PSAM二次发卡、清算等）。

成员行也可自己产生专用密钥，将成员行发卡母卡中的消费/取现主密钥MPK注
全国密钥管
理总中心
密钥管理服务器
母卡、
二级密钥管
理总中心
密钥管理服务器
母卡、PSAM
密钥管理服务器
成员银行
图2—2 安全体系结构
为保证密钥使用的安全，并考虑到实际使用的需要，全国密钥管理总中心需要产生多组GMPK，并向PSAM卡中注入，同时各法卡银行也需要向用户卡中写入相应的多组子密钥，如果其中一组密钥被泄露或被攻破，银行将立即废止该组密钥，并在所有的POS机上使用另一组密钥，这就在充分保证安全性的条件下，尽可能的避免现有投资和设备的浪费。

减少银行IC卡试点的风险。

密钥组数也不能太多，一方面，在卡片生命周期多组密钥全被破解的可能性不大，并且对付硬掩膜攻击的方法，密钥组数再多也没用；另一帮面密钥组数太多，将占用用户卡的大量空间，增加卡片的成本。

综合考虑几方面的因素，密要管理系统中使用五组消费/取现主密钥，而其他主密钥的组数由成员行自行决定，建议一般不少于两组。

2全国密钥管理中心
全国密钥管理总中心密钥管理系统产生全国消费/取现主密钥GMPK，为二级密钥管理中心产生二级消费/取现主密钥BMPK，并依母卡的形式传输到各二级密钥管理中心。

母卡尚须记录法卡的有关信息，以便今后跟踪审计。

全国密钥管理总中心还要用主控母卡对要下发的PSAM卡进行统一洗卡，下装GMPK，并与PSAM外部认证一起传送给各成员银行。

图2 –3 全国密钥管理总中心密钥管理流程图
1）密钥替换
全国密钥管理总中心得到一批IC卡，用作下发给二级密钥管理中心的母卡和PSAM卡。

每卡上都有IC卡生产商设置的密钥kMprd，用来控制IC卡的安全传输，以防止IC卡在生产上和全国密钥管理总中心之间被替换。

在这一批IC卡交给全国密钥管理总中心的同时，存放生产上密钥kMprd的生产商母卡也要交给全国密钥管理总中心。

在接到这批卡之后，用生产商母卡中的生产商密钥kMprd来鉴别每一IC卡。

鉴别通过后，全国密钥管理总中心将用自己产生的密钥kIctlR，来替换卡上的生产商密钥kMprd，称为卡上的主控密钥，具体的过程是：全国密钥管理总中心首先使用生产商母卡中密钥kMprd 将kIctlR加密，得到3DES（kMprd，kIctlR），然后将加密过的密文载入IC卡中；在IC卡部使用kMprd解密密文，3DES-1（kMprd，3DES（kMprd，kIctlR）），还原得到kIctlR，然后立即作废kMprd。

kIctlR是全国密钥管理总中心随机产生或采用其他方法产生的，被加密导入后作为这一批IC卡的主控密钥，控制文件结构的创建和报文的传送。

考虑到安全的需要，密钥卡中密钥的装载和导出都必须是密文，所有的IC卡中须装载传输密钥，在所有的母卡中要统一装载全国密钥管理总中心母卡传输密钥PTK，用来解密恢复传入卡中的加密数据,同时, 全国密钥管理总中心也必须在所有的PSAM卡中统一装载全国
密钥管理总中心PSAM传输密钥RPTK,保证PASM卡的安全传输,并在此密钥的控制下,进行密钥替换和密钥装载.
2) 全国密钥管理总中心主控母卡
全国密钥管理总中心产生多组全国消费/取现主密钥GMPK的各个密钥分量(A、B码单),并由各个密钥分量生成GMPK,在主控密钥kIctlR 的控制下,将多组GMPK传入卡片中,并加密载入外部认证密钥RAK 后, 产生全国密钥管理总中心主控密钥卡(RMKC).
具体的过程是: 全国密钥管理总中心使用密钥kIctlR将GMPK加密,得到3DES(kIctlR、GMPK)，然后将加密过的密文载入IC卡中；IC 卡部使用kIctlR解密密文，3DES-1（kIctlR、3DES（KLETIR、GMPK）），得到GMPK。

RMKC 中有：
主控母卡要正常工作，需有存放RAK的全国密钥管理总中心主控母卡外部认证密钥卡（RAKC）相配合，主控母卡是被密钥保护的，只有通过外部认证以后，才能使用它。

外部认证密钥卡是被PIN保护的，只有输入正确的PIN以后，才能使用外部认证卡。

1）二级机构母卡
在发放二级机构母卡时，全国密钥管理总中心首先进行主控母卡
（RMKC）和主控母卡外部认证卡（RAKC）的双向认证。

在输入正确的PIN以后，利用RAKC中的外部认证密钥RAK加密RMKC中输出的随机数，返回的密文送RMKC，供RMKC来验证使用者的合法身份。

如果验证通过，则可利用GMPK对各二级机构标识（BrandID）进行分散，得到各二级机构的消费/取现主密钥BMPK。

BMPK = Diversify (GMPK, BrandID)
在传输密钥PTK的控制下，全国密钥管理总中心密钥管理系统利用RMKC加密装载BMPK。

具体的过程是：全国密钥管理总中心使用RMKC中的GMPK对各二级机构标识进行分散,得到BMPK：然后用传输密钥PTK对BMPK进行加密，得到密文3DES（RTK，BMPK）。

导出全国密钥管理总中心主控母卡，载入代发行的IC卡中；在这IC 卡部，是用传输密要PTK对密文解密，3DES-1（RTK，3DES（RTK，BMPK）），得到BMPK，同时，在这卡上还要装载外部认证密钥RAK，用于各二级密钥管理中心认证这卡，这样，就产生了二级机构发卡母卡（BKC）。

BKC中有：
二级机构发卡母卡中应有一文件，记录卡片初始化的有关信息，以便今后跟踪审计和安全管理：
卡片个人化标识，必须，位于CDF（Common Data File）区域，
操作条件不可变，长度为一个字节；
*CDF激活标识，可选，位于CDF区域，操作条件不可变，格式为10个字节，前6个字节是ISO7812中定义的发行者标识，后四个字节是附加标识符；
*CDF激活序列号，可选，位于CDF区域，操作条件不可变，格式为10个字节；
*CDF激活日期，可选，位于CDF区域，操作条件不可变，格式为4个字节。

YYYYMMDD。

二级机构发卡母卡要正常工作，需有存放RAK的二级机构外部认证密钥卡（BACK）相配合。

二级机构发卡母卡是被密钥保护的，只有通过外部认证后，才能使用它。

外部认证密钥卡是被PIN保护的，只有输入正确的PIN以后，才能使用外部认证卡。

2）P SAM洗卡
GMPK使整个系统的根密钥，如果一旦被盗取或被非法使用，从而带来政治、经济上的重大损失，所以，从安全的角度来说，全国所有的PSAM卡必须在全国密钥管理总中心统一安全装载GMPK。

出了全国密钥管理总中心外，任何其他个人和组织无法得到GMPK的明文，也无法通过PSAM卡来利用GMPK进行非法的密钥运算，各个成员行可以向通过二级密钥管理中心申报所需PSAM卡的数量，由全国密钥管理总中心按需求量统一洗卡。

在RAKC的配合下，全国密钥管理总中心利用主控母卡可以对PSAM
卡进行统一洗卡，全国密钥管理总中心首先进行主控母卡（RMKC）和主控母卡外部认证卡（PAKC）的双向认证，在输入正确的PIN以后，利用RAKC中的外部认证密钥RAK加密RMKC中输出的随机数，返回的密文送RMKC，供RMKC来验证使用者的合法身份。

全国密钥管理总中心得到一批PSAM卡，卡片已经过预个人化处理，卡片CDF区域和通用ADK区域下的文件已由厂商建好，生产商密钥（卡片主控密钥）也已装载。

在这一批IC卡送交全国密钥管理总中心的同时，存放生产商密钥的生产商母卡也要交给全国密钥管理总中心。

全国密钥管理总中心在接到这批卡之后，用生产商母卡中的生产商密钥kMprd来鉴别每一IC卡。

鉴别通过后，全国密钥管理总中心将用自己产生的密钥kIctlR，来替换卡上的生产商密钥kMprd，成为卡上的卡片主控密钥。

kIctlR 是全国密钥管理总中心随机产生或采用其他方法产生的，被加密导入后作为这一批PSAM卡的主控密钥，控制CDF区域下文件创建和密钥更新。

全国密钥管理总中心必须在卡片主控密钥的控制下装载和更新密钥。

具体的过程如下所示：
——在生产上密钥（卡片主控密钥）的控制下，更新卡片主控密钥。

——在卡片主控密钥的控制下，装载卡片维护密钥。

——在卡片维护密钥的控制下，安全更新卡片MF区域的文件
——在卡片主控密钥的控制下，装载应用主控密钥
——在应用主控密钥的控制下，装载应用维护密钥
——在应用主控密钥的控制下，装载应用主工作密钥
——在应用维护密钥的控制下，安全更新卡片ADF区域的文件
如验证通过，全国密钥管理总中心利用RMKC加密装载GMPK。

具体的过程是：在RMKC中，PSAM传输密钥PRTK对GMPK进行加密，得到密文3DES（PRTK，GMPK），将密文载入到发行的IC卡中；IC卡部是用传输密钥PRTK对密文解密，3DES-1（PRTK，3DES（PRTK，GMPK））。

得到GMPK，放在MF下的密钥文件中。

PSAM卡中有：
成员行PSAM卡中应有一文件，记录卡片初始化的有关信息，以便今后跟踪审计和安全管理：
*卡片个人化标识，必须，位于CDF（Common Data File）区域，操作条件不可变，长度为一个字节；
*CDF激活标识，可选，位于CDF区域，操作条件不可变，格式为10个字节，前6个字节是ISO7812中定义的发行者标识，后四个字节是附加标识符；
*CDF激活序列号，可选，位于CDF区域，操作条件不可变，格式为10个字节；
*CDF激活日期，可选，位于CDF区域，操作条件不可变，格式为
4个字节，YYYYMMDD。

在GMPK装载到PSAM卡中之后，对PSAM卡的使用受到了严格的控制，GMPK存放在一个固定的密钥文件中，它不能被外界直接访问，在通过相应的认证过程后，GMPK只能接受部操作系统发来的进行MAC计算的指令，按照指定的流程计算出MAC。

全国密钥管理总中心还须为成员行产生相应的PSAM外部认证卡（PAKC），通过二级密钥管理中心发给各成员行，用来控制装载各成员银行的专用密钥。

3二级密钥管理中心
在从全国密钥管理总中心接收到二级机构发卡母卡（BKC）和二级机构外部认证密钥卡（BACK），并验证了母卡的真实身份后，二级密钥管理中心利用BKC生成各成员行的消费/取现主密钥，产生各成员银行的发卡母卡和相应的成员行外部认证卡。

2．成员行外部认证卡MAKC（MAK）
图2—4 二级机构密钥管理流程图
1）密钥替换
二级密钥管理中心得到一批IC卡，用作二级机构下发给各成员银行的母卡，在利用生产商母卡鉴别这批IC卡后，二级机构产生密钥kIctlB，替换卡上的生产商密钥kMprd，成为卡上的主控密钥，然后立即作废kMprd。

具体的过程与全国密钥管理总中心的密钥替换过程相同，这批IC卡上都以kIctlB作为主控密钥。

考虑到安全的需要，密钥卡中的密钥的装载和导出都必须是密文所有的IC卡中先要统一装载传输密钥RTK，将传入卡中加密数据解密恢复。

2）成员行发卡母卡
在发放成员行发卡母卡时，二级机构必须首先使用BACK中的外部认证密钥RAK，供二级机构发卡母卡进行外部认证，验证使用者的合法身份，如果卡片验证通过，二级机构可载入传输密钥BTK。

之后，成员行发卡母卡报文的传送必须在BTK的保护之下。

在二级密钥管理中心密钥管理系统中，利用装载BTK的二级机构发卡母卡报文的传送必须在BTK的保护之下。

在二级密钥管理中心密钥管理系统中，利用装载BTK的二级机构发卡母卡，二级机构可以发放成员行发卡母卡，加密装载MPK。

二级机构可以用城市消费/取现主密钥BMPK对各成员银行的标识（BandID）进行分散，得到各成员行的消费/取现主密钥MPK。

MPK = Diversify (BMPK, BankID)
然后用传输密钥BTK对MPK进行加密，得到密文3DES（BTK，MPK），导出二级机构发卡母卡，载入代发行的IC卡部使用传输密钥BTK对密文解密，3DES-1（BTK，3DES（BTK，MPK）），得到MPK，这样，就得到了成员行发卡母卡（MKC）。

BKC中有：
在二级机构发卡母卡的安全审计信息中应增加：
*ADF激活标识，必须，位于ADF区域，操作条件不可变，格式为10个字节，前6个字节是ISO7812中定义的发卡者标识，后四个字节是卡片发行者定义的附加标识符；
*ADF激活日期，可选，位于ADF区域，操作条件不可变，格式为8个字节，YYYYMMDD。

BKC中密钥的使用受到严格的控制，在BKC进行外部认证，并装在
BTK后，BMPK才允许被分散后加密导出。

MKC中有：
成员行发卡中应有一文件，记录卡片初始化的有关信息，以便今后跟踪审计和安全管理：
*卡片和人化标识，必须，位于CDF（Common Data File）区域，操作条件不可变，长度为一个字节，容是全国密钥管理总中心定义的个人化标识；
*CDF激活标识，可选，位于CDF区域，操作条件不可变，格式为10个字节，前6个字节是ISO7812中定义的发行者标识，后四个字节是全国密钥管理总中心定义的附加标识符；
*CDF激活序列号，可选，位于CDF区域，操作条件不可变；格式为10个字节，由二级机构定义。

*CDF激活日期，可选，位于CDF区域，操作条件不可变，格式为4和字节，YYYYMMDD。

成员行发卡母卡要正常工作，需有存放MAK的成员行外部认证密钥卡（MAKC）相配合，成员行发卡母卡是被密钥保护的，只有通过外部认证以后，才能使用它。

外部认证密钥卡是被PIN保护的，只有输入正确的PIN以后，才能使用外部认证卡。

4成员银行
成员行接收到二级密钥管理中心发来的成员行发卡母卡（MKC）和成员行外部认证卡（MAKC）后，将消费/取现主密钥MPK导入到自己的硬件加密机（或发卡系统母卡）中。

（BTK-MAK-MPK-专用密钥）MKC（MMTK-MPK-MAK-专用密钥）认证、装载、注入
1、PSAM卡
2、顾客卡（子密钥）2、顾客卡（子密钥）
图2---5 成员银行密钥管理流程图
1）专用密钥的产生
成员行可以根据需要在自己的密钥管理系统中产生其他的交易主密钥，具体容及方式由各个银行自己确定，成员行密钥管理系统中的密
钥可能包括：
在银行密钥管理系统中也可存放有关的日志，记录密钥产生的时间、地点、管理员、密钥启动日期等信息。

2）密钥管理方式
对于成员行来说，根据不同的应用系统和管理要求，存在着三种不同的密钥管理方式。

Ⅰ、直接利用成员行发卡母卡进行密钥管理
成员行可以直接利用下发的成员行发卡母卡（MKC）来进行密钥管理，成员行必须首先使用MAKC中的外部认证密钥MAK，供成员行发卡母卡进行外部认证，验证使用者的合法身份，如果验证通过，成员行可导入自己的传输密钥MMTK，在MMTK的控制下，将银行的
专用密钥加密导入到卡片中。

成员行可以直接利用MKC来提供密钥服务，如发放用户卡、向PSAM 卡导入专用密钥、清算等。

Ⅱ、统一初始化硬件加密机，将MPK导入硬件加密机
在二级密钥管理中心对硬件加密机进行统一初始化，装载传输密钥BTK，消费密钥MPK和认证密钥后，再将硬件加密机和相配套的成员行外部认证卡（MAKC）交给各个成员银行。

成员银行在拿到硬件加密机和MAKC后，在认证通过后，向硬件加密机中注入自己的传输密钥MMTK，在MMTK的控制下，将银行的专用密钥导入到硬件加密机中。

Ⅲ、将成员行消费密钥导入密钥管理系统
在成员行将MKC中的消费/取现主密钥导入银行密钥管理系统时，成员行必须首先使用MAKC中的外部认证密钥MAK，供成员行发卡母卡进行外部认证，验证使用者的合法身份，如果验证通过，成员行可导入自己的传输密钥MMTK，卡片可以在MMTK的控制下，将MPK 加密导出。

这种方法操作起来比较简便，而且可以适用于目前已发行过卡片的银行，系统改造的任务较小，但这种方法技术上很难防止银行部人员相
互勾结，联手作案，攻击本行的MPK，可能会给银行带来较为严重的损失，这就对管理提出了非常严格的要求，银行必须采取相应的管理策略来预防和及时发现问题，降低风险，减少可能造成的损失。

3）PSAM二次发卡
商业银行可以利用PSAM外部认证卡和PSAM卡，加载应用主控密钥KACTIM，然后在应用主控密钥的控制系统，加载其他主密钥。

商业银行将PSAM卡用于何种场合，卡以何种方式加载何种密钥，由各商业自行决定。

在银行PSAM卡的安全审计信息中应增加：
*ADF激活标识，必须，位于ADF区域，操作条件不可变，格式为10个字节，前6个字节是ISO7812中定义的发卡者标识，后四个字节是卡片发行者定义的附加标识符；
*ADF激活日期，可选，位于ADF区域、操作条件不可变，格式为4和字节，YYYYMMDD。

4）密钥服务
成员行所需的各种密钥，除了GMPK以外，其他专用密钥都存放在密钥管理系统中，在发行用户卡、交易清算、MAC运算等场合，银行需要进行快速的密钥运算。

密钥管理系统可以通过TCP/IP协议与银行IC卡系统进行通讯，作为密钥服务器，实时响应银行主机系统的密钥请求，快速运算得到密钥运算结果，回传给请求者。

在一些场合，也可通过磁盘跑盘的形式，将一批密钥请求汇集起来，以磁盘文
件的形式传给密钥管理系统，并将应答结果以磁盘文件的形式回传。

三发卡流程
1母卡发卡流程
*在IC卡生产过程中，IC卡生产厂商在卡中设置生产商密钥（kMprd），控制IC卡的安全运输，以防止在IC卡生产商和卡发行机构间被人替换，在将IC卡交给发卡银行的同时，也将装有生产商密钥的母卡交给发卡银行。

*发卡银行接到这一批IC卡后，首先按统一编号给每一IC卡分配母卡序列号（KSN），每IC卡具有唯一的KSN，不同的IC卡具有不同的KSN。

*PC机向高速发卡机发指令，，送入一批卡片，利用生产商母卡上的kMprd来验证IC卡。

*如果验证通过，加载母卡发卡机构的主控密钥kIctI (kIctIR或kIctIM), 用kMprd 将kIctI加密，将密文3DES（kMprd,kIctI）载入IC卡，在卡中使用kMprd解密得到3DES-1（kMprd,3DES(kMprd,kIctI )）, 即kIctI。

*在kIctI的控制下，创建MF下的EF文件，并把相关的审计信息写入卡中。

*在卡上打印母卡序列号。

2PSAM卡发流程
*在IC卡生产过程中，IC卡生产商在卡中设置生产商密钥（kMprd），控制IC卡的安全运输，以防止在IC卡生产商和卡发行机构间被人替换，在将IC卡交给发卡银行的同时，也将装有生产商密钥的母卡交给发卡银行。

*全国密钥管理总中心接到这一批IC卡后，首先按统一编号给每一IC卡分配PSAM序列号（PSN）。

每IC卡具有唯一的PSN，不同的IC卡具有不同的PSN。

*PC机向高速发卡机发指令，送入一批卡片，利用生产商母卡上的kMprd来验证IC卡。

*如果验证通过，加载全国密钥管理总中心的主控密钥kIctIR，用kMprd将kIctIR加密，将密文3DES（kMprd,kIctIR）载入IC卡，在卡中使用kMprd解密得到3DES-1（kMprd,3DES(kMprd,kIctI )）, 即kIctIR。

*在kIctIR的控制下，创建MF下的EF文件和ADF文件。

*在kIctIR的控制下，加密载入PSAM传输密要RPTK，具体的过程是：用kIctIR将RPTK加密，将密文3DES (kMprd,RPTK )载入IC卡，在卡中使用kIctIR解密得到3DES-1（kIctIR,DES(kIctIR,RPTK)）,即RPTK。

*在RPTK的控制下，加密载入全国消费/取现主密钥GMPK，用RPTK将GMPK加密，将密文3DES（RPTK，GMPK）载入IC
卡，在卡中使用PRTK解密得到3DES-1（RPTK，3DES（RPTK，GMPK）），即GMPK。

*在卡上打印PSAM序列号。

*如果在写卡或卡号的过程，出现错误，则将卡作废，重新制作一同样卡号的卡片。

*全国密钥管理系统总中心根据各成员行的申报要求，产生不同数量和卡号的PSAM卡，与存放RPTKC一起，通过各分行传送到成员行的手中。

*商业银行在接收到这批卡后，首先用PSAM外部认证卡来验证每一PSAM卡的有效性。

*认证通过后，商业银行加载应用主控密钥kActIM,进行二次洗卡。

3用户卡发卡流程
*在IC卡生产过程中，IC卡生产厂商在卡中设置生产商密钥（kMprd）。

控制IC卡的安全运输，以防止在IC卡生产商和卡发行机构间被人替换，在将IC卡交给发卡银行的同时，也将装有生产商密钥的母卡交给发卡银行。

*发卡银行接到这一批IC卡后，首先按统一编号给每一IC卡分配应用序列号（ASN）。

每IC卡具有唯一的ASN，不同的IC卡具有不同的ASN。

*PC机向密钥服务器发出一批密钥运算请求，而硬件加密机（或发卡母卡）用存放的交易主密钥对每卡片的ASN加密，得到卡片子。