您的位置:360文档中心› 密钥管理

密钥管理

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1. 密钥管理系统技术方案

1.1. 密钥管理系统的设计前提

密钥管理是密码技术的重要环节。在现代密码学中,在密码编码学和密码分析学之外,又独立出一支密钥管理学。密钥管理包括密钥的生成、分配、注入、保管、销毁等环节,而其中最重要的就是密钥的分配。IC卡的密钥管理机制直接关系到整个系统的安全性、灵活性、通用性。密钥的生成、发行、更新是系统的一个核心问题,占有非常重要的地位。

为保证全省医疗保险系统的安全使用、保证信息不被侵犯,应在系统实施前建立起一套完整的密钥管理系统。

密钥管理系统的设计目标是在安全、灵活的前提下,可以安全地产生各级主密钥和各类子密钥,并将子密钥安全地下发给子系统的发卡中心,用来产生SAM卡、用户卡和操作员卡的各种密钥,确保以上所有环节中密钥的安全性和一致性,实现集中式的密钥管理。在全省内保证各个城市能够发行自己的用户卡和密钥卡,并由省级管理中心进行监控。

1.2. 密钥管理系统的设计方法

1.2.1. 系统安全的设计

本系统是一个面向省级医疗保险行业、在各个城市进行应用的系统,系统最终所发行的卡片包括SAM卡和用户卡。SAM卡将放在多种脱机使用的设备上;用户卡是由用户自己保存与使用并存储用户的基本信息和电子资金信

息。系统设计的关键是保障系统既具有可用性、开放性,又具有足够的安全性。

本系统密钥的存储、传输都是使用智能卡来实现的,因为智能卡具有高度的安全性。用户卡(提供给最终用户使用的卡片)上的密钥根本无法读出,只是在达到一定的安全状态时才可以使用。SAM卡(用来识别用户卡的认证密

钥卡)中的密钥可以用来分散出用户卡中部分脱机使用的密钥,但也无法读出。各级发行密钥母卡上的密钥在达到足够的安全状态时可以导出,但导出的密钥为密文,只有送到同类的卡片内才可以解密。本系统的安全机制主要有卡片的物理安全、智能卡操作系统的安全、安全的算法、安全的密钥生成与存储、密钥的安全传输与分散、保障安全的管理措施与审计制度。

1.2.2. 密钥的分层管理

密钥主要分层进行管理,即省级密钥管理中心只负责生成种子密钥,各个城市根据密钥种子负责生成自己的密钥系统和用户卡,这样既可以在全省范围内统一规划,又可以灵活使用。

1.2.3. 安全的密钥管理体制

密钥受到严格的权限控制,特别是对密钥的使用权限进行分级管理和控制;

密钥的生成、注入、导出等功能由发卡中心(省医疗保险基金管理中心)进行统一的控制和管理。

1.3. 系统功能

密钥管理系统的目标就是安全地产生各级主密钥和各类子密钥,并将子密钥安全地下发给子系统的发卡中心,用来产生SAM卡、用户卡和操作员卡中的各种密钥,确保以上所有环节中密钥的安全性和一致性,实现集中式的密钥管理。系统通过IC卡硬件、IC卡操作系统、合理的密钥管理系统设计、严格的安全管理规定来实现以上目标。

密钥管理系统是IC卡应用系统中最重要的环节,主要功能有密钥的产生、分配、使用、更新和销毁。

密钥的生成

产生省级各类主密钥和市级各类子密钥;产生用户卡和操作员卡的各种密

钥。密钥生成主要由三种形式结合使用: 使用安全可靠、快速的软件生成

方法; 使用卡片存储密钥; 使用加密机生成密钥。在密钥生成过程中,必须在安全、保密的环境下进行。

●密钥的分配

密钥生成之后,再根据不同的业务种类进行密钥的分发。之后将密钥下发给城市,并保证密钥的安全性和一致性。密钥在IC卡中以密文的形式进行下

装或分发到各个子系统,并且密钥受到相应的安全控管,只有达到安全条件才可以使用密钥进行分配或下装。IC卡作为传输密钥的载体,由于其自身的安全系数非常高,通过合理的设计完全可以有效进行密钥传输和分发。

●密钥的使用

在各个分系统和IC卡中,可以设计密钥使用的安全条件,只有达到密钥的

安全使用条件,才可以使用密钥进行相应的操作。而且密钥在使用过程中,都是以非可见性的形式存储的,任何人都没有权限进行读取,包括卡片制造商和系统商。密钥在受到非法攻击时,能够自行锁住,从而达到防止非法破译的目的。

●密钥的更新

密钥的更新涉及到的安全问题比较多,由于大多数密钥的更新是在安全强度较弱的环境进行的,且涉及的范围很大,所以应当谨慎地进行密钥更新。如果需要更新密钥,可以在安全保密的状态下,密钥以密文的形式,并且在一定的安全条件管理下,定期地进行更新。

●密钥的失效

密钥在使用一段时间后,由于安全的需要,可以将其强制失效,但可以起用备份密钥进行管理。如果密钥受到非法攻击,其也可以自动失效,以保护整个密钥系统的安全。密钥卡和存有关键数据的IC卡失效之后,必须回收秘

密销毁。

密钥管理系统主要分为两大模块: 省级密钥管理模块, 市级密钥管理模块。

省级密钥管理模块的主要功能是产生省级主密钥,并为各城市产生城市主密钥,以密钥卡的形式传输到各城市,同时在密钥卡上记录发卡信息以便跟踪审计,密钥卡的文件结构和使用方法以书面形式记载。

市级密钥管理模块的主要功能是生成SAM卡、生成和安装用户卡上的各种密钥并且初始化用户卡。

1.4. 密钥管理系统的运行与管理地点的设置

考虑到全省发行统一的医疗保险IC卡的要求,密钥管理系统应在省医疗保

险基金管理中心运行与管理。其中生成母密钥的密码应在省劳动和社会保障厅封存。

1.5. 密钥管理系统的总体功能结构

1)母密钥生成模块

该模块负责生成医疗保险系统的根密钥(即母密钥),只能在省医疗保险基金管理中心使用与控制。在完成二级密钥的生成后,应将母密钥卡进行封存。

母密钥的生成必须在高度安全保密的情况下进行,并由少数人进行管理。生成母密钥的种子由相关各部门的主要负责人输入,然后再使用安全算法进行处理,最终生成医疗保险系统的母密钥。母密钥生成之后,分成多个载体进行保存和使用。

存放到IC卡中生成母密钥卡(密钥不可见)用于生成二级密钥卡,并且每张母密钥卡都受到PIN和外部认证密钥卡的保护,也就是说在生成母密钥卡

相关文档
最新文档