密钥管理系统技术方案

1. 密钥管理系统技术方案
1.1. 密钥管理系统得设计前提
密钥管理就是密码技术得重要环节。

在现代密码学中,在密码编码学与密码分析学之外,又独立出一支密钥管理学。

密钥管理包括密钥得生成、分配、注入、保管、销毁等环节,而其中最重要得就就是密钥得分配。

IC卡得密钥管理机
制直接关系到整个系统得安全性、灵活性、通用性。

密钥得生成、发行、更新就是系统得一个核心问题,占有非常重要得地位。

为保证全省医疗保险系统得安全使用、保证信息不被侵犯,应在系统实施前建立起一套完整得密钥管理系统。

密钥管理系统得设计目标就是在安全、灵活得前提下,可以安全地产生各级主密钥与各类子密钥,并将子密钥安全地下发给子系统得发卡中心,用来产生
SAM卡、用户卡与操作员卡得各种密钥,确保以上所有环节中密钥得安全性
与一致性,实现集中式得密钥管理。

在全省内保证各个城市能够发行自己得用户卡与密钥卡,并由省级管理中心进行监控。

1.2. 密钥管理系统得设计方法
1.2.1. 系统安全得设计
本系统就是一个面向省级医疗保险行业、在各个城市进行应用得系统,系统最终所发行得卡片包括SAM卡与用户卡。

SAM卡将放在多种脱机使用得设备上;用户卡就是由用户自己保存与使用并存储用户得基本信息与电子资金信
息。

系统设计得关键就是保障系统既具有可用性、开放性,又具有足够得安全性。

本系统密钥得存储、传输都就是使用智能卡来实现得,因为智能卡具有高度得安全性。

用户卡(提供给最终用户使用得卡片)上得密钥根本无法读出,只就是在达到一定得安全状态时才可以使用。

SAM卡(用来识别用户卡得认证密钥
卡)中得密钥可以用来分散出用户卡中部分脱机使用得密钥,但也无法读出。

各级发行密钥母卡上得密钥在达到足够得安全状态时可以导出,但导出得密
钥为密文,只有送到同类得卡片内才可以解密。

本系统得安全机制主要有卡片得物理安全、智能卡操作系统得安全、安全得算法、安全得密钥生成与存储、密钥得安全传输与分散、保障安全得管理措施与审计制度。

1.2.2. 密钥得分层管理
密钥主要分层进行管理,即省级密钥管理中心只负责生成种子密钥,各个城
市根据密钥种子负责生成自己得密钥系统与用户卡,这样既可以在全省范围
内统一规划,又可以灵活使用。

1.2.3. 安全得密钥管理体制
密钥受到严格得权限控制,特别就是对密钥得使用权限进行分级管理与控制;
密钥得生成、注入、导出等功能由发卡中心(省医疗保险基金管理中心)进行
统一得控制与管理。

1.3. 系统功能
密钥管理系统得目标就就是安全地产生各级主密钥与各类子密钥,并将子密
钥安全地下发给子系统得发卡中心,用来产生SAM卡、用户卡与操作员卡中得各种密钥,确保以上所有环节中密钥得安全性与一致性,实现集中式得密钥
管理。

系统通过IC卡硬件、IC卡操作系统、合理得密钥管理系统设计、严
格得安全管理规定来实现以上目标。

密钥管理系统就是IC卡应用系统中最重要得环节,主要功能有密钥得产生、分配、使用、更新与销毁。

密钥得生成
产生省级各类主密钥与市级各类子密钥;产生用户卡与操作员卡得各种密
钥。

密钥生成主要由三种形式结合使用:使用安全可靠、快速得软件生成
方法;使用卡片存储密钥;使用加密机生成密钥。

在密钥生成过程中,必
须在安全、保密得环境下进行。

●密钥得分配
密钥生成之后,再根据不同得业务种类进行密钥得分发。

之后将密钥下发给
城市,并保证密钥得安全性与一致性。

密钥在IC卡中以密文得形式进行下装或分发到各个子系统,并且密钥受到相应得安全控管,只有达到安全条件才
可以使用密钥进行分配或下装。

IC卡作为传输密钥得载体,由于其自身得安
全系数非常高,通过合理得设计完全可以有效进行密钥传输与分发。

●密钥得使用
在各个分系统与IC卡中,可以设计密钥使用得安全条件,只有达到密钥得安
全使用条件,才可以使用密钥进行相应得操作。

而且密钥在使用过程中,都就是以非可见性得形式存储得,任何人都没有权限进行读取,包括卡片制造商
与系统商。

密钥在受到非法攻击时,能够自行锁住,从而达到防止非法破译得目得。

●密钥得更新
密钥得更新涉及到得安全问题比较多,由于大多数密钥得更新就是在安全强
度较弱得环境进行得,且涉及得范围很大,所以应当谨慎地进行密钥更新。

如果需要更新密钥,可以在安全保密得状态下,密钥以密文得形式,并且在一定
得安全条件管理下,定期地进行更新。

●密钥得失效
密钥在使用一段时间后,由于安全得需要,可以将其强制失效,但可以起用备
份密钥进行管理。

如果密钥受到非法攻击,其也可以自动失效,以保护整个密钥系统得安全。

密钥卡与存有关键数据得IC卡失效之后,必须回收秘密销毁。

密钥管理系统主要分为两大模块:省级密钥管理模块,市级密钥管理模
块。

省级密钥管理模块得主要功能就是产生省级主密钥,并为各城市产生城市主密钥,以密钥卡得形式传输到各城市,同时在密钥卡上记录发卡信息以便跟踪审计,密钥卡得文件结构与使用方法以书面形式记载。

市级密钥管理模块得主要功能就是生成SAM 卡、生成与安装用户卡上得各种密钥并且初始化用户卡。

1.4. 密钥管理系统得运行与管理地点得设置
考虑到全省发行统一得医疗保险IC 卡得要求,密钥管理系统应在省医疗保险基金管理中心运行与管理。

其中生成母密钥得密码应在省劳动与社会保障厅封存。

1.5. 密钥管理系统得总体功能结构
1) 母密钥生成模块
该模块负责生成医疗保险系统得根密钥(即母密钥),只能在省医疗保险基金管理中心使用与控制。

在完成二级密钥得生成后,应将母密钥卡进行封存。

母密钥得生成必须在高度安全保密得情况下进行,并由少数人进行管理。

生成母密钥得种子由相关各部门得主要负责人输入,然后再使用安全算法进行处理,最终生成医疗保险系统得母密钥。

母密钥生成之后,分成多个载体进行保存与使用。

存放到IC 卡中生成母密钥卡(密钥不可见)用于生成二级密钥卡,并且每张母密钥卡都受到PIN 与外部认证密钥卡得保护,也就就是说在生成母密钥卡得同时也给每张母密钥卡生成一个PIN 与外部认证密钥,且相对应生成外部认证密钥卡,在使用母密钥卡生成二级密钥时,首先输入个人密码,然后母密钥卡与外部认证卡进行双向认证,达到使用母密钥得安全条件后才可以使用母密钥生成下级密钥。

云南省密钥管理系统
母密钥得生成 二级密钥得生成 发卡密钥生成 市级密钥得生成 省级应用密钥生成
密钥种子必须以书面得形式严格保密存储且必须分开由几个人各掌管一部分。

母密钥得作用就是生成二级密钥。

2)二级密钥生成模块
用母密钥根据医疗保险系统得要求,生成二级密钥。

二级密钥包括:发卡主密
钥、市级主密钥(为16个地/州/市各生成一个市级主密钥)、省级应用主密钥。

该级别得密钥由省医疗保险基金管理中心使用与保管。

发卡主密钥得作用:用于生成与发卡相关得各级功能密钥,即发放密钥、挂失
密钥、补办密钥、注销密钥、充值密钥、查询密钥。

市级主密钥得作用:根据系统要求,生成与市级应用相关得应用密钥。

省级应用主密钥得作用:根据系统功能要求,生成各种功能得省级应用密钥。

3)发卡密钥生成模块
该模块将按要求生成各个市得发卡密钥。

4)市级密钥生成模块
该模块将按要求,用本市得市级主密钥生成相应得各种应用密钥。

5)省级应用级密钥生成模块
该模块将按要求,用省级应用主密钥生成省级各种应用密钥。

6)密钥管理
该模块将按要求,对所有密钥得生成、发放进行记录与管理,并负责各种密钥
卡得挂失、注销、黑名单、补办等管理。

1.6. 密钥得安全特性
1)密钥得装载
密钥得装载采用方式,其控制过程如下:
●卡片主控密钥在卡片主控密钥得控制下更新;
●应用主控密钥在卡片主控密钥得控制下装载;
●应用主控密钥在应用主控密钥得控制下更新;
●应用主工作密钥在应用主控密钥得控制下装载与更新。

2)密钥得访问
●密钥不允许直接读;
●密钥必须在主控密钥得控制下更新;
●各级密钥不能被外界直接访问,只能接受内部操作系统发来得指令进行计算;
●计算临时密钥产生得结果只保留在卡片内部,不能被外界直接访问。

3)密钥得属性
密钥得使用都有一定得限制,必须满足密钥属性得要求。

1.7. 密钥得生成流程
1.8.
1)IC
卡芯行鉴别,以检验卡片得合法性,防止非法卡片。

鉴别通过后,将省级或市级IC卡管理中心自己得主控密钥用厂商传输密钥加
密,载入到IC卡中,再在IC卡中用厂商传输密钥解密,得到主控密钥用来替
换掉IC卡中得传输密钥,之后才可以在本系统内使用主控密钥进行密钥得装
载。

2)发卡流程
用来发行用户卡得IC卡由指定得用户卡制造商提供。

省级或市级给每个授
权得用户卡制造商发放一张用户卡传输主密钥卡,卡厂将传输主密钥装入测
试合格得IC卡芯片内制成卡片,再运送市级IC卡应用管理中心。

市级IC卡管理中心首先使用用户卡制造主密钥卡对这些卡片进行认证,确保
卡片安全传输,认证通过以后,使用市级主密钥卡、城市主密钥卡授权卡、
SAM卡母卡、SAM卡母卡授权将这些卡片初始化成用户卡。

确保卡片安全传输,认证通过以后,使用市级主密钥卡、城市主密钥卡授权卡、SAM卡母卡、SAM卡母卡授权将这些卡片初始化成用户卡。

IC 卡发卡流程图。