密钥管理

《密钥管理》由会员分享，可在线阅读，更多相关《密钥管理（8页珍藏版）》请在装配图网上搜索。

1、1. 密钥管理系统技术方案1.1. 密钥管理系统的设计前提密钥管理是密码技术的重要环节。在现代密码学中,在密码编码学和密码分析学之外，又独立出一支密钥管理学。密钥管理涉及密钥的生成、分派、注入、保管、销毁等环节，而其中最重要的就是密钥的分派。IC卡的密钥管理机制直接关系到整个系统的安全性、灵活性、通用性。密钥的生成、发行、更新是系统的一种核心问题,占有非常重要的地位。为保证全省医疗保险系统的安全使用、保证信息不被侵犯,应在系统实行前建立起一套完整的密钥管理系统。密钥管理系统的设计目的是在安全、灵活的前提下,可以安全地产生各级主密钥和各类子密钥，并将子密钥安全地下发给子系统的发卡中心，用来产生A

2、M卡、顾客卡和操作员卡的多种密钥，保证以上所有环节中密钥的安全性和一致性,实现集中式的密钥管理。在全省内保证各个都市可以发行自己的顾客卡和密钥卡，并由省级管理中心进行监控。1.2. 密钥管理系统的设计措施1.2.1. 系统安全的设计本系统是一种面向省级医疗保险行业、在各个都市进行应用的系统,系统最后所发行的卡片涉及AM卡和顾客卡。S卡将放在多种脱机使用的设备上；顾客卡是由顾客自己保存与使用并存储顾客的基本信息和电子资金信息。系统设计的核心是保障系统既具有可用性、开放性，又具有足够的安全性。本系统密钥的存储、传播都是使用智能卡来实现的,由于智能卡具有高度的安全性。顾客卡（提供应最后顾客使用的卡片

3、）上的密钥主线无法读出，只是在达到一定的安全状态时才可以使用。SM卡(用来辨认顾客卡的认证密钥卡)中的密钥可以用来分散出顾客卡中部分脱机使用的密钥,但也无法读出。各级发行密钥母卡上的密钥在达到足够的安全状态时可以导出，但导出的密钥为密文，只有送到同类的卡片内才可以解密。本系统的安全机制重要有卡片的物理安全、智能卡操作系统的安全、安全的算法、安全的密钥生成与存储、密钥的安全传播与分散、保障安全的管理措施与审计制度。1.2.2. 密钥的分层管理密钥重要分层进行管理,即省级密钥管理中心只负责生成种子密钥，各个都市根据密钥种子负责生成自己的密钥系统和顾客卡,这样既可以在全省范畴内统一规划,又可以灵活使

4、用。1.2.3. 安全的密钥管理体制密钥受到严格的权限控制，特别是对密钥的使用权限进行分级管理和控制;密钥的生成、注入、导出等功能由发卡中心（省医疗保险基金管理中心）进行统一的控制和管理。1.3. 系统功能密钥管理系统的目的就是安全地产生各级主密钥和各类子密钥，并将子密钥安全地下发给子系统的发卡中心，用来产生SA卡、顾客卡和操作员卡中的多种密钥，保证以上所有环节中密钥的安全性和一致性,实现集中式的密钥管理。系统通过C卡硬件、I卡操作系统、合理的密钥管理系统设计、严格的安全管理规定来实现以上目的。密钥管理系统是I卡应用系统中最重要的环节,重要功能有密钥的产生、分派、使用、更新和销毁。l 密钥的生

5、成产生省级各类主密钥和市级各类子密钥;产生顾客卡和操作员卡的多种密钥。密钥生成重要由三种形式结合使用：使用安全可靠、迅速的软件生成措施;使用卡片存储密钥;使用加密机生成密钥。在密钥生成过程中，必须在安全、保密的环境下进行。l 密钥的分派密钥生成之后，再根据不同的业务种类进行密钥的分发。之后将密钥下发给都市，并保证密钥的安全性和一致性。密钥在IC卡中以密文的形式进行下装或分发到各个子系统,并且密钥受到相应的安全控管，只有达到安全条件才可以使用密钥进行分派或下装。IC卡作为传播密钥的载体,由于其自身的安全系数非常高,通过合理的设计完全可以有效进行密钥传播和分发。l 密钥的使用在各个分系统和IC卡中

6、,可以设计密钥使用的安全条件，只有达到密钥的安全使用条件,才可以使用密钥进行相应的操作。并且密钥在使用过程中,都是以非可见性的形式存储的,任何人都没有权限进行读取,涉及卡片制造商和系统商。密钥在受到非法袭击时，可以自行锁住,从而达到避免非法破译的目的。l 密钥的更新密钥的更新波及到的安全问题比较多,由于大多数密钥的更新是在安全强度较弱的环境进行的，且波及的范畴很大，因此应当谨慎地进行密钥更新。如果需要更新密钥，可以在安全保密的状态下,密钥以密文的形式,并且在一定的安全条件管理下，定期地进行更新。l 密钥的失效密钥在使用一段时间后,由于安全的需要，可以将其强制失效，但可以起用备份密钥进行管理。如

7、果密钥受到非法袭击,其也可以自动失效，以保护整个密钥系统的安全。密钥卡和存有核心数据的IC卡失效之后，必须回收秘密销毁。密钥管理系统重要分为两大模块:省级密钥管理模块，市级密钥管理模块。省级密钥管理模块的重要功能是产生省级主密钥，并为各都市产生都市主密钥，以密钥卡的形式传播到各都市，同步在密钥卡上记录发卡信息以便跟踪审计,密钥卡的文献构造和使用措施以书面形式记载。市级密钥管理模块的重要功能是生成AM卡、生成和安装顾客卡上的多种密钥并且初始化顾客卡。1.4. 密钥管理系统的运营与管理地点的设立考虑到全省发行统一的医疗保险IC卡的规定,密钥管理系统应在省医疗保险基金管理中心运营与管理。其中生成母密

8、钥的密码应在省劳动和社会保障厅封存。1.5. 密钥管理系统的总体功能构造云南省密钥管理系统母密钥的生成二级密钥的生成发卡密钥生成市级密钥的生成省级应用密钥生成1) 母密钥生成模块该模块负责生成医疗保险系统的根密钥（即母密钥），只能在省医疗保险基金管理中心使用与控制。在完毕二级密钥的生成后,应将母密钥卡进行封存。母密钥的生成必须在高度安全保密的状况下进行，并由少数人进行管理。生成母密钥的种子由有关各部门的重要负责人输入,然后再使用安全算法进行解决,最后身成医疗保险系统的母密钥。母密钥生成之后,提成多种载体进行保存和使用。寄存到IC卡中生成母密钥卡(密钥不可见）用于生成二级密钥卡,并且每张母密钥卡

9、都受到PIN和外部认证密钥卡的保护，也就是说在生成母密钥卡的同步也给每张母密钥卡生成一种PIN和外部认证密钥，且相相应生成外部认证密钥卡,在使用母密钥卡生成二级密钥时，一方面输入个人密码，然后母密钥卡和外部认证卡进行双向认证，达到使用母密钥的安全条件后才可以使用母密钥生成下级密钥。密钥种子必须以书面的形式严格保密存储且必须分开由几种人各掌管一部分。母密钥的作用是生成二级密钥。2) 二级密钥生成模块用母密钥根据医疗保险系统的规定，生成二级密钥。二级密钥涉及：发卡主密钥、市级主密钥（为16个地州/市各生成一种市级主密钥)、省级应用主密钥。该级别的密钥由省医疗保险基金管理中心使用与保管。发卡主密钥的

10、作用：用于生成与发卡有关的各级功能密钥，即发放密钥、挂失密钥、补办密钥、注销密钥、充值密钥、查询密钥。市级主密钥的作用:根据系统规定,生成与市级应用有关的应用密钥。省级应用主密钥的作用：根据系统功能规定,生成多种功能的省级应用密钥。3) 发卡密钥生成模块该模块将按规定生成各个市的发卡密钥。4) 市级密钥生成模块该模块将按规定,用我市的市级主密钥生成相应的多种应用密钥。5) 省级应用级密钥生成模块该模块将按规定,用省级应用主密钥生成省级多种应用密钥。6) 密钥管理该模块将按规定，对所有密钥的生成、发放进行记录与管理，并负责多种密钥卡的挂失、注销、黑名单、补办等管理。1.6. 密钥的安全特性1)

11、密钥的装载密钥的装载采用方式，其控制过程如下:l 卡片主控密钥在卡片主控密钥的控制下更新;l 应用主控密钥在卡片主控密钥的控制下装载；l 应用主控密钥在应用主控密钥的控制下更新；l 应用主工作密钥在应用主控密钥的控制下装载和更新。2) 密钥的访问l 密钥不容许直接读；l 密钥必须在主控密钥的控制下更新;l 各级密钥不能被外界直接访问，只能接受内部操作系统发来的指令进行计算;l 计算临时密钥产生的成果只保存在卡片内部,不能被外界直接访问。3) 密钥的属性 密钥的使用均有一定的限制，必须满足密钥属性的规定。1.7. 密钥的生成流程母密钥发卡主密钥省级应用主密钥医疗机构密钥市级系列应用密钥单位查询密

12、钥市级管理主密钥各市发卡密钥省级应用密钥1.8. 系统的发卡流程1) IC卡生产发行过程的安全机制当省或都市向卡厂订购卡片时，制造商使用传播密钥装入测试合格的I卡芯片内制成卡片,运送省级或都市C管理中心。传播密钥用来控制IC卡的安全传播,以避免卡片在生产商和省级或都市之间运送时被替代。当省级或市级C卡管理中心接到订购的C卡后，一方面使用传播密钥对卡片进行鉴别，以检查卡片的合法性,避免非法卡片。鉴别通过后,将省级或市级IC卡管理中心自己的主控密钥用厂商传播密钥加密，载入到IC卡中，再在C卡中用厂商传播密钥解密，得到主控密钥用来替代掉C卡中的传播密钥，之后才可以在本系统内使用主控密钥进行密钥的装载

13、。2) 发卡流程用来发行顾客卡的C卡由指定的顾客卡制造商提供。省级或市级给每个授权的顾客卡制造商发放一张顾客卡传播主密钥卡，卡厂将传播主密钥装入测试合格的IC卡芯片内制成卡片，再运送市级I卡应用管理中心。市级IC卡管理中心一方面使用顾客卡制造主密钥卡对这些卡片进行认证，保证卡片安全传播,认证通过后来,使用市级主密钥卡、都市主密钥卡授权卡、SM卡母卡、AM卡母卡授权将这些卡片初始化成顾客卡。保证卡片安全传播，认证通过后来,使用市级主密钥卡、 都市主密钥卡授权卡、SM卡母卡、AM卡母卡授权将这些卡片初始化成顾客卡。C卡 发 卡 流 程 图 厂商运来的空IC卡分派应用序列号ASN 验证IC卡厂商母卡加载本行的主控密钥kIctlM创立MF下EF文献加载应用主控密钥kActl创立ADF下的文献写入卡片子密钥 硬件加密机/发卡母卡交易主密钥对ASN加密，得到子密钥对子密钥加密，导出生产商密钥kMprdASN