POS的安装及使用说明.doc

POS的安装及使用说明 新增功能 IC卡功能 本次改造为配合IC卡的发行使用，创建良好的邮政储蓄IC卡的受理环境，特在POS上进行了改造，增加了接触式IC卡和非接触IC卡相关的功能，如：快速支付、指定账户圈存、非指定账户圈存、脱机消费退货、余额查询、明细查询等功能。在POS终端上也要进行相应的改造，这些改造分为两部分，一部分是硬件的改造，内存需要从2M扩充到4M，增加支持非接触IC卡的射频读卡模块，另一部分是对于POS终端的软件改造。对于上述两部分改造的内容其中硬件改造各省可以和厂家商量，软件的改造已由全国中心完成。 一机一密 总体介绍 二级密钥体系 POS终端密钥分为二级：密钥加密密钥(CDK)和工作密钥(WK)。其中工作密钥（WK）中又包含MAK、PIK 密钥加密密钥(CDK) 用于对工作密钥(WK)进行加密保护，每台POS终端与POS业务系统共享唯一的CDK。CDK有安全保护措施，只能写入并参与运算，不能被读取。 工作密钥（WK） 分为用于对个人标识码(PIN)加密的PIK以及进行报文鉴别(MAC)的MAK。 PIK和MAK由POS收单系统的加密机产生，在POS终端每次签到时从POS系统利用CDK加密后下载，并由CDK加密存储。 POS终端工作密钥在下载时必须以密文传送，严禁明文传送。 MAK保护报文完整性，最终结果计算为64位。 PIK保护个人主账号和密码等数据，支持单倍长和双倍长密钥。 公钥（初始CDK）的获取 POS机中所使用的公钥是由POS业务系统的加密机所产生，通过全国中心密钥小组灌入到密钥母POS中，各省密钥人员再将密钥母POS中的公钥灌入到POS机中。灌入公钥的新POS在第一次使用时，需要在POS终端上进行密钥重置交易申请CDK。POS在每次签到时都会发送密钥重置报文到POS业务系统，POS业务系统会使用源CDK（上次CDK）对新CDK进行加密并下发到POS中，POS机会使用源CDK进行解密并保存到密码键盘。 密钥母POS中的公钥共10组包括五组DES公钥和五组3DES公钥，十组公钥是通过密钥索引号区分，POS中只使用一组公钥。 密钥索引号说明 密钥索引号由10位字符组成，第一位至第四位为PSBC固定值组成，第五位至第六位为加密算法区分位，第七位至第十位为密钥序列号。如：PSBC32XXXX 密钥工作流程图 密钥母POS 总体介绍 密钥母POS是作为POS密钥管理中的重要设备，此设备是为子POS机注入公钥所使用，密钥母POS公钥由全国中心统一灌入，通过各POS厂商分发到各省省中心。省中心可根据自省情况进行密钥母POS公钥对拷，分发到省地市。 功能说明 密钥母POS有手工输入密钥索引号、AKey、BKey分量功能。 密钥母POS可以使用密钥文件导入方式进行密钥组的导入。 维护人员通过密钥母POS可以将一组公钥灌入到子POS的加密设备中。 密钥母POS可以向同品牌密钥POS进行密钥对拷。 密钥母POS中的每组公钥所对应索引号为唯一索引值。当密钥母POS向子POS进行公钥下发时，先后录入索引号不一致，以最后一次录入为准，并使用最后一次录入索引值所对应的公钥。 人员管理 人员分级：密钥母POS分为两级人员管理，分别为超级管理员与操作员。超级管理员为全国中心密钥管理员所使用，操作员为省、地市密钥管理员进行使用。 超级管理员：拥有批量下载公钥、手工录入公钥、程序管理以及添加操作员的功能。 管理员代码：** 密码：******** 注：此用户只对全国中心密钥管理人员开放不对省密钥管理人员开放。 操作员：拥有下发公钥和公钥对拷功能。 管理员代码：11 密码：111111 操作流程 维护人员可以通过密钥母POS将一组公钥灌入到子POS中。当需要导入密钥时，先进行密钥母POS机与子POS机物理连接。母POS操作为：进入密钥母POS登录画面-选择操作员-输入操作员代码“11”-输入密码“111111”-密钥分发-输入密钥索引号“PSBCXXXXXX”。密钥索引号由总行统一提供。 子POS操作为：进入子POS登录画面-输入用户名“99”-输入密码-密钥管理-下载公钥。密钥导入后要进行子POS密钥算法与密钥索引号是否正确。 密钥母POS可向同品牌密钥POS进行密钥对拷，先将存有公钥的密钥母POS与未存有公钥的密钥POS进行物理连接。存有公钥的密钥母POS的操作为：进入密钥母POS登录画面-选择操作员-输入操作员代码“11”-输入密码“111111”-母POS密钥对拷-发送密钥。 未存有公钥的密钥POS的操作为：进入密钥母POS登录画面-选择操作员-输入操作员代码“11”-输入密码“111111”-母POS密钥对拷-接受密钥。 画面规定 密钥母POS登录画面 1．超级管理员 2．操作员 操作员画面