密钥安全管理办法

密钥安全管理办法

目录

第一章概述错误!未定义书签。

第一节内容简介错误!未定义书签。

第二节运用概述错误!未定义书签。

1.密钥体系与安全级别错误!未定义书签。

2.密钥生命周期的安全管理错误!未定义书签。

第二章密钥生命周期安全管理错误!未定义书签。

第一节密钥的生成错误!未定义书签。

1加密机主密钥（根密钥）的生成错误!未定义书签。

2区域主密钥的生成错误!未定义书签。

3银行成员机构主密钥的生成错误!未定义书签。

4终端主密钥的生成错误!未定义书签。

5工作密钥的生成错误!未定义书签。

6终端MAC密钥的生成错误!未定义书签。

7工作表格错误!未定义书签。

第二节密钥的分发与传输错误!未定义书签。

1密钥分发过程错误!未定义书签。

2密钥传输过程错误!未定义书签。

3密钥接收错误!未定义书签。

第三节密钥的装载和启用错误!未定义书签。

1基本规定错误!未定义书签。

2注入过程错误!未定义书签。

第四节密钥的保管错误!未定义书签。

1.基本规定错误!未定义书签。

2.与密钥安全有关的机密设备及密码的保管错误!未定义书签。

3.密钥组件的保管错误!未定义书签。

4. 密钥档案资料的保管错误!未定义书签。

第五节密钥的删除与销毁错误!未定义书签。

1. 失效密钥的认定错误!未定义书签。

2. 密钥删除和销毁的方法错误!未定义书签。

第六节密钥的泄漏与重置错误!未定义书签。

1.可能被泄漏的密钥错误!未定义书签。

2.密钥泄漏的核查错误!未定义书签。

3.密钥泄漏和被攻破情况的界定错误!未定义书签。

第三章设备安全管理错误!未定义书签。

1.硬件加密机（HSM）安全及管理错误!未定义书签。

2.终端设备安全管理错误!未定义书签。

3.设备的物理安全错误!未定义书签。

第四章管理规定与监督检查错误!未定义书签。

1.组建密钥安全管理工作组错误!未定义书签。

2.密钥安全管理工作人员错误!未定义书签。

3.审批制度错误!未定义书签。

4.应急措施错误!未定义书签。

5.监督错误!未定义书签。

第一章概述

内容简介

“一切秘密寓于密钥之中”，密钥管理是设计安全的密码系统所必须考虑的重要问题，数据加密、验证和签名等需要管理大量的密钥，这些密钥经加密后以密文形式发送给合法用户。本办法参考国际组织有关密钥管理的知识、经验和相关标准编写。在结构上分为概述、密钥生命周期安全管理、设备安全管理、管理规定和辅导检查等章节,提出密钥生命周期中各环节的详细操作流程和具体做法。

本办法基于现有技术规范，尽可能地兼顾应用与维护的方便性，在最大程度上确保安全，体现适当的规定、适当的投入保证相对安全，但不可能完全避，力求整体提升密钥安全管理水平。

运用概述

密钥体系与安全级别

按照使用范围和实际应用的不同，密钥划分为不同体系或类别，每个体系或类别都具有相应的功能与特点，须遵循不同的标准与要求。

的密钥根据实际使用情况划分成三层，三层密钥体系根据密钥的使用对象而形成，上层对下层提供保护和一定的维护功能，不同层的密钥不相同，且不能相互共享。加密机主密钥（MK），即本地主密钥是最重要的密钥，施行最高级别或最严格的管理。成员机构主密钥（MMK）[或终端主密钥（TMK）]在硬件加密机以外的系统中存放和使用，处于本地MK的保护之下。由于成员机构主密钥是参与交易双方机构共同生成且各自保存（或因地域原因交易机构完整持有成员主密钥组件），因此安全性存在互动、相互影响，同时更新频率较低，因此是最有可能被泄漏和攻击的密钥，需要相关方的共同维护与重视。工作密钥为最底层的密钥，因其数量庞大，需要用一定的管理设备（如终端密钥注入设备）加以辅助（详见第三章有关叙述）来确保安全。

密钥生命周期的安全管理

包括密钥的生成、传输、注入、保管、泄漏与重置、删除与销毁等内容。其任务就是在整个生命周期内严格控制密钥的使用，直到它们被销毁为止，并确保密钥在各个阶段或环节都不会出现任何纰漏。

密钥生成

密钥采用人工产生或加密机产生密钥的方式，人工生成密钥成分时，将密钥分成不同的成分，每个密钥成分由不同的人员生成，采用数字和字母随机组合，并

于密钥注入前规定时间内完成；加密机产生密钥时，由加密机生成导出。

密钥生成后，在硬件加密设备外部的明文形式由三段密钥组件构成。

密钥传输

密钥在传输时采用双重控制和分裂学，分为三段组件，传输的方式采用多种传输渠道和不同传输时间的方法。

传输时存放密钥组件的介质为IC卡，每张IC卡只存放一段密钥组件。不存在传输完整密钥的情况。

密钥注入

加密机主密钥、区域主密钥、成员机构主密钥，采用人工键入方式注入密钥组件的明文，且每段密钥组件由指定不同的密钥注入员注入。

终端密钥注入，是由加密机生成密钥导出后，灌入母终端，再从母终端导入到其他终端。

工作密钥、终端MAC密钥是在终端进行签到时，已密文的方式进行传输，保存在终端里。

密钥保管

对于密钥组件的存储，坚持三个原则：最小化、认可化和高安全性。

最小化：由指定专人负责保管密钥组件，且不同成分的密钥组件由不同人员保管；认可化：密钥组件存放在封条封装的信封内，只有指定的密钥管理员可以拆分信封；

高安全性：封装密钥的信封存放在不同的保险箱内，指定的密钥保管员才有保险箱的密码和钥匙。

对于密钥注入设备，设有专人进行配置和维护，密钥保管员无权限开启和操作硬件加密机。

密钥泄漏与重置

除密钥泄漏或可能泄漏外，加密机主密钥（MK）一般不更新。成员主密钥（MMK）2－3年更新一次或一般不跟新。若出现泄漏，则立即更换被怀疑或确认泄密的密钥，确定被涉及到的功能领域，并且向管理部门报告。若主密钥和成员主密钥出现泄漏，采用与初次生成相同的控制方式产生新的主密钥和成员主密钥；若加密机主密钥（MK）泄漏，则替换主密钥并替换所有由该主密钥保护的密钥。若成员主密钥（MMK）泄漏，则替换成员主密钥并更换使用该成员主密钥加密的所有密钥。终端主密钥由加密机生成导出后，灌入母终端，再由母终端导入到其他终端里，如怀疑泄露，可通过母终端重新导入新密钥覆盖原先的密钥。工作密钥（WK）、终端MAC密钥采用联机签取的方式，每次签到都进行更新，若怀疑泄漏，则采用人工触发方式重置密钥。

密钥删除与销毁

密钥生成后或在系统更新、密钥组件存储方式改变等情况时，不再使用的密钥组件（包括以纸质和IC卡方式存储的介质）或相关信息的资料均及时销毁。

作废或被损坏的密钥在双人控制下安全销毁，保证无法被恢复，销毁过程由专人监控和记录。

第二章密钥生命周期安全管理

第一节密钥的生成

密钥及其组件遵循随机生成的原则，生成工具使用硬件加密机。本节描述密钥及其组件生成的做法。

加密机主密钥（根密钥）的生成

加密机主密钥（根密钥）由三段组件组成，每段组件分成三个成分，且采用人