经典密钥管理系统解决方案

密钥管理系统解决方案

随着近来Mifare S50卡被攻破以及Mifare算法细节的公布，国内许多基于Mifare S50非接触卡的应用系统面临着严重的安全隐患，急需升级至安全性更高CPU卡。

CPU卡密钥的安全控制和管理，是应用系统安全的关键。为降低系统集成商开发CPU卡安全应用系统的门槛、加快各类CPU卡应用系统产品化市场化的进程、更大范围地普及CPU卡的应用，复旦微电子专门推出了可供开发设计参考借鉴的密钥管理系统解决方案（《密钥管理演示系统》）。

《密钥管理演示系统》设计遵循《中国金融集成电路（IC）卡规范（2.0）》和《银行IC卡联合试点密钥管理系统总体方案》，该方案遵循以下几条设计原则：

1、所有密钥的装载与导出都采用密文方式；

2、密钥管理系统采用3DES加密算法，采用主密钥生成模块、母卡生成模块和PSAM/ISAM卡生

成模块三级管理体制；

3、在充分保证密钥安全的基础上，支持IC卡密钥的生成、注入、导出、备份、更新、服务等

功能，实现密钥的安全管理；

4、密钥受到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有

不同权限；

5、为保证密钥使用的安全，并考虑实际使用的需要，系统可产生多套主密钥，如果其中一套

密钥被泄露或攻破，应用系统可立即停止该套密钥并启用其它备用密钥，这样可尽可能的避免现有投资和设备的浪费，减小系统使用风险；

6、用户可根据实际使用的需要，选择密钥管理子模块不同的组合与配置；

7、密钥服务、存储和备份采用密钥卡或加密机的形式。

如下图所示，系统解决方案包括发行程序、数据库服务器、读写器、FMCOS的CPU卡片。系统生成各种母卡及母卡认证卡、PSAM卡、ISAM卡，其中PSAM卡用于消费终端配合用户卡消费、ISAM 卡用于充值终端配合用户卡充值、用户卡母卡用于发行用户卡。

FMCOS的CPU卡：

♦支持一卡多应用，各应用之间相互独立（多应用、防火墙功能）。

♦支持多种文件类型包括二进制文件，定长记录文件，变长记录文件，循环文件。

♦在通讯过程中支持多种安全保护机制（信息的机密性和完整性保护）。

♦支持多种安全访问方式和权限。

♦支持中国人民银行认可的Single DES、Triple DES算法。

♦支持多种速率选择可支持9600bps、38400bps等不同的通讯速率。

FMCOS/KC 是复旦微电子开发的智能卡母卡操作系统，支持密钥导出功能，符合《中国金融集成电路（IC）卡规范（2.0）》和《银行IC卡联合试点密钥管理系统总体方案》。

FMCOS/KC母卡指装有FMCOS/KC智能卡母卡操作系统的卡片，用于导出密钥、发行PSAM卡、ISAM 卡和用户卡。

FMCOS/SAM 是复旦微电子开发的智能卡SAM操作系统，支持中国人民银行规定的密钥装载及各类金融交易流程，符合《中国金融集成电路（IC）卡规范（2.0）》和《银行IC卡联合试点密钥管理系统总体方案》。

FMCOS/PSAM卡、FMCOS/ISAM卡指装有FMCOS/SAM操作系统的卡片。PSAM卡、ISAM卡可用于商户POS、网点终端、直联终端等端末设备上，负责机具的安全控管。

主要性能指标如下：

支持ISO7816-1/2/3/4协议

内置8位CPU

支持DES/3DES高强度加密算法

数据储存器8Kbyte EEPROM

EEPROM满足10万次擦写，10年数据保存

系统安全机制：