《石家庄商行IC卡密钥管理系统方案(KOAL)》由会员分享,可在线阅读,更多相关《石家庄商行IC卡密钥管理系统方案(KOAL)(30页珍藏版)》请在金锄头文库上搜索。
1、石家庄商行密钥管理中心整体建设方案书v1.0上海格尔软件股份有限公司2003年7月修 改 记 录时间版本修改内容2003.7.111.0创建此文档保密事宜:本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任:1 ) 接受方在接收该文档前,已经掌握的信息。2 ) 可以通过与接受方无关的其它渠道公开获得的信息。3 ) 可以从第三方,以无附加保密要求方式获得的信息。目 录1概述71.1系统概述71.2设计原则71.3参考资料82密钥管理系
2、统整体介绍92.1系统安全机制92.2三级密钥管理体系92.3石家庄商行密钥管理中心职能102.4石家庄商行密钥管理中心硬件配置112.5交易验证过程112.6系统功能模块122.6.1用户管理122.6.2密钥管理132.6.3系统设置142.6.4系统维护153多应用扩展164发卡系统174.1用户卡发卡174.2PSAM卡二次发卡174.2.1多应用联合发卡185密钥安全管理策略205.1管理机构205.2操作管理205.3业务培训205.4管理文档化215.5应急措施216项目组织实施与管理226.1项目进度控制236.2项目质量控制236.3项目涉密管理237格尔公司的售后服务257
3、.1服务体系结构257.2服务职责257.3系统的技术保障和维护257.3.1维护保障服务267.3.2专项服务268附录278.1附录A:公司介绍278.1.1公司概述278.1.2IC卡事业部业务介绍及案例278.2附录B:格尔全国金融IC密钥系统建设案例298.3附录C:密钥管理中心安全管理建议318.3.1物理环境的安全管理318.3.2人员的安全管理318.3.3卡片的安全管理318.3.4系统操作的安全管理32图 表 目 录图表 21 PBOC三级密钥管理体系图10图表 22 石家庄商行密钥管理中心系统硬件结构图11图表 41 联合发卡系统结构18图表 61 项目管理结构图221
4、概述1.1 系统概述在IC卡应用系统中,密钥管理是整个系统的安全核心,本方案为IC卡应用提供安全的密钥生成、备份、传递、使用和服务的整体解决办法,为IC卡应用的用户卡和PSAM卡的批量发卡以及应用扩展提供密钥服务。本方案在进行密钥管理系统设计时不仅要考虑系统的安全性和可靠性,还要考虑到系统的开放性和灵活性,建设一个安全的、支持多应用以及应用扩展的密钥管理平台。全国金融IC卡密钥管理采用三级管理,一级密钥管理中心负责通用消费根密钥的管理;二级密钥管理中心是一个支持多应用的开放的密钥管理平台,负责IC卡应用密钥的管理和应用扩展;三级密钥管理中心负责卡片密钥的安全下装并为用户卡应用动态扩展提供密钥加
5、密服务。1.2 设计原则我公司长期进行IC卡密钥管理系统的开发和设计经验,在保证系统安全性的前提下,充分考虑到系统的可扩充性,密钥管理系统以开放的安全管理平台的形式提供,提供用户在此平台上进行密钥规划和密钥设计功能,本方案整体设计遵循如下设计原则:1. 采用三级密钥管理体系,实现IC卡密钥的安全生成、备份、传递、使用和服务等功能;2. 密钥管理系统以开放并可扩展的方式实现对IC卡整个生命周期内密钥的安全管理;3. 在进行各密钥管理中心系统设计时即考虑到系统的整体和连贯性又兼顾各密钥管理中心的具体特点,如一级密钥中心主要侧重于系统的安全性,二级密钥中心兼顾安全性和可扩展性,三级密钥中心则还要考虑
6、系统性能;4. 采用统一的方式(安全管理平台)实现对密钥、卡片、设备和操作员的管理;5. 采用国产算法作为密钥管理系统的加密算法,算法实现采用硬件方式;1.3 参考资料 中国人民银行金融集成电路(IC)卡规范 金融IC卡试点系统工程化实施方案 金融IC卡密钥管理系统设计方案 EMV2000规范2 密钥管理系统整体介绍2.1 系统安全机制 SJY49-IC卡密钥管理系统由上海格尔软件公司开发研制,系统的研发、生产和销售的全过程均按照商用密码管理条例进行严格的规范、审核和鉴定。SJY49密钥管理系统总体安全性可以归结为以下几点:1. 使用经国家主管部门审定通过的算法实现密钥的生成、分散、传输等密钥
7、管理功能,不同的功能使用不同的加密算法。2. 上述算法的实现使用经国家主管部门审定通过的硬件加密设备(加密卡、加密机、IC卡等)。3. 采用合理的安全性设计,确保密钥在存储、传输、使用等环节的安全。4. 采用PK卡实现用户登录的双向身份认证机制,保证了登录用户的合法性。5. 密钥管理系统中密钥存储在密钥机中,同时在异常情况下,如密钥机受到攻击等情况,具有自毁密钥的功能。密钥存储的安全性要求从技术上确保在非授权的情况下,任何人无法非法获取密钥明文。6. 当异常情况出现将所有密钥销毁后,可以将密钥从备份设备中取出导人密钥机中,能够保证整个系统不受影响。2.2 三级密钥管理体系 在全国银行IC卡联合
8、试点中,各级密钥管理中心利用密钥管理系统来实现密钥的安全管理。密钥管理中心采用全国密钥管理总中心、二级密钥管理中心(如虚拟商业银行总行,目前建立在全国密钥总中心)、成员行密钥管理中心三级管理体制。整个安全体系结构主要包括三类密钥:全国通用的消费/取现主密钥GMPK、发卡银行的消费/取现主密钥MPK和发卡银行的其他主密钥。根据密钥的用途,系统采用不同的处理策略。如图:图表 21 PBOC三级密钥管理体系图GMPK是整个系统的根密钥,只能由全国密钥管理总中心产生和控制,并装载到下发的PSAM卡中;MPK由二级密钥管理中心(如商业银行总行)利用全国密钥管理总中心下发的二级机构发卡母卡产生,并通过母卡
9、传输到成员银行;其他主密钥由成员行自行产生。2.3 石家庄商行密钥管理中心职能石家庄商行密钥管理中心是整个三级密钥管理体系的三级机构,其上级机构为商总行。石家庄商行密钥管理中心的主要职能有:1 从商总行领取成员行的消费/取现主密钥MPK。2 产生石家庄商行的专有密钥(包括应用主控密钥、圈存密钥、PIN重装密钥、PIN解锁密钥、应用维护密钥、专有消费密钥等)。3 装载交易密钥至交易加密机中,实现交易验证。4 装载用户卡和PSAM卡发卡密钥到发卡加密机中,为用户卡和PSAM卡的发卡提供密钥服务。2.4 石家庄商行密钥管理中心硬件配置石家庄商行密钥管理中心系统硬件结构图为:图表 22 石家庄商行密钥
10、管理中心系统硬件结构图 密钥管理加密机一台 PSAM卡、用户卡发卡加密机一台 交易管理主加密机一台 交易管理备份加密机一台 管理中心客户端2.5 交易验证过程交易验证加密机用于对多种联机交易,包括PBOC应用和石家庄商行专有的应用(如校园卡应用、公交应用等),进行验证。交易验证加密机内存储了从密钥管理加密机中导入的多种相关密钥,当联机交易进行时,它从银行的前置系统获得实时的交易数据,用对应的密钥对其进行验证,然后通过前置系统将结果发给银行的业务主机。由于交易验证系统处理的是联机交易,因此采用了双机热备的形式,以保证联机的安全稳定。密钥管理系统的交易验证加密机为银行前置系统安全验证提供密钥服务。
11、 2.6 系统功能模块2.6.1 用户管理系统根据用户使用权限,构造出不同的系统界面,同时对用户能够使用的密钥管理机指令也都是通过权限来控制的。系统将所有用户分为四类用户组: 系统管理员 密钥管理员 密钥操作员 发卡操作员系统用户各组之间不能交互操作,各个组用户具有一定的权限,只能进行权限范围内的事情。这样就完全避免了用户之间越权操作的发生。下面分别论述这四种用户组: 系统管理员系统管理员必须持有加密机的系统管理员卡,其主要职能是:1. 用户管理。查询、添加或删除密钥管理机的用户(密钥管理员、密钥操作员卡和发卡操作员),制作各用户的登录卡。2. 卡片管理。制作密钥传输卡和密钥备份卡3. 设置密
12、钥管理机系统属性,如IP地址、机构标识等。4. 启动系统维护服务功能。通过客户端程序进行系统的维护工作,如日志管理等。 密钥管理员密钥管理员必须持有密钥管理员卡,其主要职能是:1. 密钥产生。2. 密钥传入传出。3. 密钥删除。4. 密钥备份恢复。5. 装载卡片厂商密钥。 发卡管理员发卡管理员必须持有发卡管理员卡,该用户组只有在发卡加密机系统中存在,主要职能为启动发卡管理机发卡服务,进行发卡操作。 交易管理员交易管理员必须持有交易管理员卡,该用户组只有在交易加密机系统中存在,主要职能为启动交易管理机交易服务,进行交易验证操作。2.6.2 密钥管理 密钥产生密钥产生的操作者权限必须为密钥管理员组
13、。用户输入AB种子码单,密钥管理加密机按照用户输入的种子码单生成密钥。 密钥传入密钥传入的操作者权限必须为密钥管理员组,此操作主要是是用于本级系统接受上级密钥管理系统下传的密钥,通过本级的两张密钥传输卡经过一系列的加解密操作,将传输卡中的密钥导入密钥管理机中。此命令的执行需要系统管理员制作两张密钥传输卡(A卡、B卡),并将两张传输卡传递给上级机构,把上级机构要传递给下级的密钥导入传输卡中; 密钥传出此操作是将本级的需要传递给下级的密钥导入两张密钥传输卡中,通过密钥传输卡传递给下级。执行前提是由系统管理员制作两张密钥传输卡。 密钥备份在密钥管理系统中密钥的安全是整个系统的核心,密钥备份是防止出现
14、密钥被销毁后系统瘫痪的问题,所以备份密钥是每一级密钥系统都要必须进行的操作。此命令的执行前提是由系统管理员制作两张密钥备份卡。 密钥恢复密钥恢复操作一般情况下是很少执行的,只有加密机遇到异常密钥销毁或执行了密钥销毁操作后执行。操作者权限必须为密钥管理员组。执行前提为:由系统管理员制作的两张密钥备份卡(A卡、B卡),将系统的密钥备份到备份AB卡中。 密钥删除用户如果更新本级密钥系统,需要清除所有的密钥,可以通过密钥删除菜单删除密钥,此操作是删除所有本应用下的对称密钥。此操作者权限必须为密钥管理员。 装载卡片厂商密钥对于三级机构而言,需要进行用户卡发卡操作,所以必须装载卡片的厂商密钥,然后通过此密钥更新卡片的控制密钥,然后将工作密钥导入卡片中。2.6.3 系统设置系统使用的操作系统是linux系统,密钥管理加密机启动后会自动运行密钥管理系统程序,不需要安装和设置任何东西,极大的方便了用户。加密机系统管理员登录加密机后,加密机提供提供用户进行系统设置,包括: 设置加密机机构标识。系统管理员可以对加密机所属机构的标识进行设置,加密机初始标识为“1111”,可以将其设置为石家庄商行机构代码。 查看和设置加密机地址 查看和设置加密机时间 加密机客户端管理 加密机系统严格控制客户端和加密机的连接,只有在加密机客户端列表中的客户端才能和加密机建立连接。客户端地址由加密
