PBOC2.0密码机密钥装载说明

1 PBOC2.0密码机类型 ? 密钥管理密码机 ? 发卡密码机 ? 交易密码机

2 密钥类型 ? 本地主密钥（LMK） ? 应用密钥（WK） ? 交换密钥（KEK1） ? 交换密钥（KEK2） ? 交换密钥（TK）

1

3 各类密码机存放密钥列表 所属系统 KMC系统 密码机类型 密钥管理密码机 密钥类型 工作主密钥WK（4个） 交换密钥KEK1（KMC-DP） DP系统 CP系统 银行业务系统 发卡密码机 传输密钥TK（BANK-DP） 交换密钥KEK1（KMC-DP） 交换密钥KEK2（DP-CP） 银行业务系统 交易密码机 工作主密钥WK（4个） 4 各类密钥在各密码机中的作用 1. WK:工作主密钥四个(MDK/MDKENC/MDKMAC/KMU)，此密钥装载到密管密

码机及交易密码机

? MDK：用于卡片和发卡行进行联机验证

? MDKENC：用于对发卡后更新机密数据（脱机PIN）进行加密的对话密钥 ? MDKMAC：用于进行发卡后的数据更新所需要的消息认证对话密钥 ? KMU：卡片控制密钥，用于卡片个人化时的卡片认证

2. KEK1:卡证书及卡数据从KMC系统出来时的加密密钥，卡证书及卡数据导入

DP系统时的解密密钥，密钥值和KMC系统密管密码机的KEK1值一致 3. KEK2: 制卡数据文件出DP系统时的加密密钥及导入CP系统的解密密钥，

密钥值和CP系统发卡密码机的KEK2值一致

4. TK：发卡行业务系统与DP系统之间数据文件的加解密密钥

2

5 各类密码机密钥装载 5.1 密钥管理密码机

用密钥管理密码机“密钥管理员”登陆卡登陆密管密码机 选择“密钥管理”菜单下的“xx省密钥管理” 1. 选择“生成本地主密钥”

1) 输入码单A；例如：0123456789ABCDEF（16个16进制字符） 2) 输入码单B；例如：0123456789ABCDEF（16个16进制字符） 3) 本地主密钥生成完成 2. 选择“装载应用密钥”

1) 输入应用密钥索引；例如：00（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用02分量为例）

3) 输入控制密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

4) 输入控制密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 5) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

6) 输入加密密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

7) 输入加密密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符） 8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

9) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

10) 输入校验密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符） 11) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

12) 输入发卡方主密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个

16进制字符）

13) 输入发卡方主密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF（32个

16进制字符） 14) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 15) 应用密钥装载完成

3. 选择“装载交换密钥”用于数据传出KMC系统的加密密钥KEK1

1) 输入应用密钥索引；例如：08（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用02分量为例）

3) 输入加密密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

4) 输入加密密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 5) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

6) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

7) 输入校验密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符）

3

8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 9) 交换密钥装载完成

5.2 发卡密码机

用发卡密码机“密钥管理员”登陆卡登陆发卡密码机 选择“密钥管理”菜单下的“xx省密钥管理” 选择“生成本地主密钥”

1) 输入码单A；例如：0123456789ABCDEF（16个16进制字符） 2) 输入码单B；例如：0123456789ABCDEF（16个16进制字符） 3) 本地主密钥生成完成

选择“装载传输密钥”用于银行卡数据传入DP系统脱密密钥TK 1) 输入应用密钥索引；例如：05（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用02分量为例）

3) 输入控制密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

4) 输入控制密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 5) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

6) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

7) 输入校验密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 9) 传输密钥装载完成

选择“装载交换密钥”用于KMC数据传入DP系统脱密密钥KEK1 1) 输入应用密钥索引；例如：08（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用02分量为例）

3) 输入控制密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

4) 输入控制密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 5) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

6) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

7) 输入校验密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 9) 交换密钥装载完成

选择“装载交换密钥”用于DP系统产生的制卡数据加密密钥KEK2 1) 输入应用密钥索引；例如：08（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用02分量为例）

3) 输入控制密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

4) 输入控制密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 5) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

4

1.

2.

3.

4.

6) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符）

7) 输入校验密钥分量2；例如：0123456789ABCDEF0123456789ABCDEF （32个16进

制字符） 8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 9) 交换密钥装载完成

5

5.3 交易密码机

用交易密码机“密钥管理员”登陆卡登陆发卡密码机 选择“密钥管理”菜单下的“xx省密钥管理”

1. 选择“生成本地主密钥”

1) 输入码单A；例如：0123456789ABCDEF（16个16进制字符） 2) 输入码单B；例如：0123456789ABCDEF（16个16进制字符） 3) 本地主密钥生成完成

2. 选择“装载应用密钥” 此密钥必须和KMC密管密码机中一致

1) 输入应用密钥索引；例如：00（2个16进制字符）

2) 输入密钥分量数；例如：01或02（ 2个16进制字符，根据具体情况银行自定，

以下用01分量为例）

3) 输入控制密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符） 4) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

5) 输入加密密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符） 6) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

7) 输入校验密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个16进

制字符） 8) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录）

9) 输入发卡方主密钥分量1；例如：0123456789ABCDEF0123456789ABCDEF（32个

16进制字符） 10) 点击“完成”，产生校验值；例如：0123456789ABCDE（此值请及时记录） 11) 应用密钥装载完成

6

6 PBOC2.0发卡时各种文件数据流程图

7

本文来源：https://www.bwwdw.com/article/qnv2.html