转自博客：金融行业密钥详解

以下是自己对上面的博客的小结：

• 无需对银行卡的所有信息加密，只需对“账号”和“密码”加密（也有只对“密码”加密的），其它信息直接明文。对账号和密码加密有个术语，叫“PinBlock”,即“Pin块”。
• 用DES算法对PinBlock加密，需要一个key来加密，这个专门用来加密账号和密码的key就被称作 PinKey（Pin秘钥）
• DES算法加解密时要求数据必须为8个字节（64bit）。
• 使用一个key，对报文进行DES加密，得到加密后的64bit数据，拼在报文后面，前置机收到报文后，同样用该key对报文（不包括拼接的64bit数据）进行加密得到 64bit 的数据，如果 两个64bit数据相等，就表示报文没有中途被更改过 , 该key 就被 MacKey(Mac密钥)。
• 报文使用PinKey和MacKey加密，报文基本上就安全了。但是PinKey和MacKey不能暴露，此时就需要再增加一个key来对PinKey和MacKey加密。该 key就称为 MasterKey（主密钥）。
• MasterKey也是不能暴露的，黑客程序只能窃取我软件上的东西，如果我把MasterKey放到硬件里面怎么样，黑客是没能力跑到我硬件里面把MasterKey取出来。所以，只要把MasterKey放到硬件里面（一般是键盘的加密模块里面）就好了。
• 之前，明文的密码是通过 键盘按键，等6位密码按完以后，再由PinKey加密，黑客程序如果直接获取 按键信息，就能知道密码了。现在，把获取按键的程序 直接一步进入 硬件处理，再把 硬加密后的按键信息 传给上层软件，这样黑客就没法破解按键信息了。这叫做 硬加密。

不禁产生疑惑：既然 有 MasterKey来加密PinKey和MacKey, 那还需要 传输密钥 做什么？

原来 主密钥 又划分为了两层：银行卡网络安全系统的三级密钥体系
这篇解释的更详细: 金融行业密钥基础知识

• 第一层(本地主密钥) Local Master Key 又称作 主机主密钥 Master Key，用来保护它的下一级 区域主密钥 Zone Master Key , 其中 ZMK 包括 银行主密钥BMK (Bank Master Key) 和 终端主密钥TMK (Terminal Master Key)
• 区域主密钥ZMK主要有两种：一种是 金卡中心 与 成员行 之间的传输密钥（称为银行主密钥）， 另一种是 成员行 与 ATM或POS之间的传输密钥(称为 终端主密钥)
• 第二层(区域主密钥)又可以称为 密钥加密密钥 KEK (key-encrypting key) 或者 "密钥交换密钥" KEK (key-exchange key) ，也 即 传输密钥！！
• 第三层(工作密钥 WK) (working key)，也叫 数据加密密钥(Date Encrypt Key) , 分为 PinKey 和 MacKey
• PIK即 PinKey
• ZPK zone pin key 区域Pin密钥，专指主机 与主机间的PIK
• TPK terminal pin key 终端Pin密钥，专指主机与终端间的PIK
• MAK 即 MacKey
• ZAK zone authenticate key 区域认证密钥，专指主机与主机间的MAK
• TAK termianl authenticate key 终端认证密钥，专指 主机与终端之间的MAK
• CVK card verification key 卡校验密钥，专用于校验卡真伪的工作密钥
• TAC transaction authentication code，交易认证码，在IC卡中用于验证交易正确性。

如有错误，请指正！！谢谢！！