密钥管理系统设计方案 草案呕心沥血整理版.docx
《密钥管理系统设计方案 草案呕心沥血整理版.docx》由会员分享,可在线阅读,更多相关《密钥管理系统设计方案 草案呕心沥血整理版.docx(24页珍藏版)》请在冰点文库上搜索。
密钥管理系统设计方案草案呕心沥血整理版
上海电信密钥系统
建设方案
(草案)
2009—11-11
前言
本方案详细介绍了上海电信手机支付业务密钥管理系统的特点、设计原则、安全机制和实现原理,确保密钥管理中心的密钥安全生成、传输和销毁;保障新应用的方便扩展。
针对上海电信手机支付业务项目的具体特点,该方案设计的密钥管理中心为“两级密钥管理体系”的多应用管理平台:
密钥管理中心和卡片密钥下装系统。
1RFUIM卡总体功能需求
中国电信发行具有电子钱包功能的RFUIM卡,其中将包括电信自有的电子钱包,同时根据各地不同的需求,在RFUIM卡中还将开展的特色业务。
密钥管理系统基本可以分为两层,全国卡密钥管理中心管理卡的主控密钥,以及电信自有电子钱包的所用应用密钥。
根据应用的具体需要,在一定范围内开展其他业务,当地运营商根据业务内容要对RFUIM卡进行二次写卡,开通新业务内容,比如:
应用一:
内置第三方支付卡的电子钱包,由第三方支付自行管理,在应用过程中,根据第三方支付卡的应用范围;
应用二:
内置城市公交卡电子钱包,密钥管理由公交公司承担。
应用三:
内置校园一卡通,提供消费,身份认证等功能,密钥管理由校方承担;
应用四:
公司企业内部一卡通,用做门禁、考勤、餐卡等,一般由公司负责管理
应用五:
商场等机构发放的会员卡积分卡
2密钥管理体系
2.1密钥管理
2.1.1密钥种类
本系统中涉及的密钥种类如表5—1所示。
密钥种类
密钥类型
作用
卡片密钥
●卡片主控密钥
●卡片维护密钥
确保手机支付业务用户卡片信息的安全性
现场支付应用密钥
●应用主控密钥
●应用维护密钥
●消费密钥
●圈存密钥
●TAC密钥
●PIN
●PIN解锁密钥
●PIN重载密钥
●短信充值密钥
确保手机支付业务现场支付应用的安全性
PSAM卡密钥
●卡片主控密钥
●卡片维护密钥
●应用主控密钥
●应用维护密钥
●工作主密钥
确保手机支付业务现场支付应用的安全性
表5-1:
密钥种类
2.1.2密钥管理安全体系
RFUIM卡的密钥管理由电信密钥管理中心统一管理。
密钥管理系统中各类密钥的管理应根据分类应用标识、密钥标识、密钥版本号和密钥类型唯一确定相应密钥进行处理。
密钥的传输必须使用安全报文的方式.
密钥管理机制采用两级密钥离散模式,具有以下优点:
1)由于卡片交易集中化处理,因而密钥的多级离散不会影响卡片的跨区域交易,实现了在密钥统一管理的前提下交易跨区域互通.
2)具有更高的安全性,即使某个区域的密钥出现失控,也不会影响其它区域的卡片安全;
3)便于密钥管理中心内部的安全管理。
密钥管理中心主要承担根密钥及卡片密钥和应用密钥的生成和管理服务,以及PSAM卡制卡;同时制作下发卡片密钥下装系统的密钥安全报文和传输控制卡。
卡片密钥下装系统主要完成RFUIM卡密钥的生成及安装。
2.1.3密钥管理安全功能
密钥管理的各项功能要通过相应的安全机制来实现,密钥的安全管理机制是整个密钥管理系统的核心,在安全实用的原则下来控制密钥的使用权限,保证系统的安全。
2.1.3.1密钥产生
利用物理噪声源(如Wnpg4)产生硬件随机数,通过5项检验(频数检验、序列检验、自相关检验、扑克检验和游程检验)后的随机数作为密钥素材。
密钥是在密钥素材库中选取的一段数据。
密钥由加密机产生。
2.1.3.2密钥存储
密钥必须进行安全存储.除加密机等安全设备中可以存储密钥明文外,密钥明文必须以密文的状态存在。
密钥的传输过程、密钥管理系统数据库等环境,密钥以密文状态存在.密钥的存储载体可以是移动存储设备、硬盘、软盘、光盘等等.
2.1.3.3密钥分发
密钥分发是指将上级密钥管理系统加密机中密钥分发到下级密钥管理系统中并存储在下级密钥管理系统的加密机中.密钥分发与密钥导入构成密钥传递过程操作.
密钥分发的原则:
不将密钥以明文的方式下发,密钥密文和传输密钥(加密密钥的密钥,用于密钥的安全传递)必须分离存储.
密钥传递过程中传输密钥安全性比密钥密文要高,所以传输密钥必须由加密机提供给密钥管理系统,且以密文状态存在于存储设备中.传输密钥使用智能IC卡作为存储载体,这样可以对传输密钥密文增加一层口令保护,使密钥的传递过程更加安全。
2.1.3.4密钥导入
密钥导入是指将上级密钥管理系统加密机中密钥导入到下级密钥管理系统中,并存储在下级密钥管理系统的加密机中。
密钥分发与密钥导入构成密钥传递过程操作.
2.1.3.5密钥更新
所有应用密钥均具有一定的属性,包括类型、版本、索引、有效期等。
在生成用户卡和PSAM卡的时候,装载若干个索引和版本的密钥,赋予每个版本的密钥一定的有效期,当密钥有效期结束后,可方便启用下一个版本的密钥。
2.1.3.6密钥备份/恢复
密钥的备份和恢复在密钥生命周期中具有重要意义。
对各种密钥进行备份是必须要做的密钥管理工作。
密钥管理系统必须提供密钥的备份/恢复操作手段。
在系统密钥丢失或者系统收到损坏时才能使系统恢复原状,重新回到可以正常运转的状态.在密钥发生变化或者增加密钥时必须对密钥进行备份操作。
备份密钥的方式可以存储密钥的密文、存储密钥关系码单(记录了上级密钥版本、索引、类型,以及该密钥的分散因子等)等等,操作方法由密钥管理系统提供。
密钥存储载体可以是纸质文件、智能IC卡、硬盘、软盘、关盘等.密钥存储必须以一定格式存储。
密钥存储管理可以利用关系型数据库。
2.2密钥体系结构
2.2.1密钥体系描述
上海电信手机支付业务密钥体系结构中,应用密钥体系分为根密钥和RFUIM卡密钥,RFUIM卡密钥体系分为RFUIM卡卡片根密钥、RFUIM卡和PSAM卡卡片密钥,所有卡片相关密钥均由RFUIM卡卡片根密钥分散产生。
采用该体系可以保证密钥的追述性,有利于加强密钥的有效管理,备份恢复密钥方式也更加多样和方便快捷.
2.2.2密钥分散方法
密钥分散的计算方法:
密钥分散通过分散因子产生子密钥.分散因子为8字节,用指定的分散因子加上分散因子求反值作为输入数据,执行3DES(e)计算,产生的16字节结果作为子密钥.
2.2.3密钥分散层次
图5-1:
密钥分散层次
2.3卡片密钥体系结构
RFUIM卡和PSAM卡的卡片密钥的产生、分发、备份恢复由上海电信密钥管理系统统一管理.上海电信密钥管理中心产生RFUIM卡卡片根密钥,卡片密钥根据卡片分散标识对卡片根密钥进行分散得到,RFUIM卡和PSAM卡卡片密钥根据RFUIM卡和PSAM卡卡片序列号对卡片密钥进行分散得到.
所有卡片密钥有一个共同的根,我们称之为卡片根密钥.
卡片主控密钥、卡片维护主密钥由卡片根密钥分散产生.
PSAM卡中的卡片主控密钥根据PSAM卡ATR码分散卡片主控密钥产生,RFUIM卡中的卡片主控密钥根据RFUIM卡ATR码分散卡片主控密钥产生。
PSAM卡中的卡片维护密钥直接将卡片维护主密钥注入,用户卡中的卡片维护密钥根据用户卡ATR码分散卡片维护主密钥产生。
2.3.1卡片密钥体系描述
首先,由上海电信密钥管理中心产生卡片根密钥。
其次,由卡片根密钥分散产生洗卡密钥、卡片主控密钥、卡片维护主密钥等.
最后,由洗卡密钥替换卡中(PSAM卡、RFUIM卡)的卡商传输密钥;根据卡片的ATR码分散卡片主控密钥,在洗卡密钥的保护下向卡片导入该卡片主控密钥;如果是PSAM卡,由该PSAM卡的卡片主控密钥保护下导入卡片维护主密钥,如果是RFUIM卡,由该RFUIM卡的卡片主控密钥保护下导入根据RFUIM卡ATR码分散的卡片维护密钥。
卡片中的应用主控密钥由该卡片的卡片主控密钥保护下导入,其他应用相关密钥,如应用工作密钥在应用主控密钥保护下导入卡中。
2.3.2卡片根密钥
卡片根密钥是RFUIM卡卡片顶级密钥,重要性不言而喻。
卡片主控密钥、卡片维护主密钥、洗卡密钥根据不同的分散因子,对卡片根密钥分散生成。
卡片根密钥的管理由上海电信密钥管理系统负责。
卡片根密钥的管理分为卡片根密钥的产生、备份/恢复、更新。
●产生卡片根密钥:
由上海电信密钥管理中心的加密机根据输入的AB码运算产生一个随机数作为种子码单,加密机根据种子码单进行加密运算,生成卡片根密钥。
种子码单由密钥管理中心系统进行打印,保存在安全的地方。
●备份/恢复根密钥:
密钥管理系统加密机密钥除加密机中安全保存外,还以密钥卡的形式进行备份,备份密钥卡由机要安全部门代为保管。
如果,通过备份密钥卡不能完成恢复卡片根密钥的操作,可以通过种子码单进行卡片根密钥的恢复.
●更新根密钥:
重新执行产生、备份过程。
原有卡片根密钥的处理根据管理中心管理条例进行。
重新产生卡片根密钥后,必须重新执行所有的流程。
2.3.3卡片密钥分散
卡片主控密钥由卡片根密钥分散产生,PSAM卡、RFUIM卡中的卡片主控密钥由卡片主控密钥经PSAM卡或RFUIM卡的ATR码分散产生。
卡片维护主密钥由卡片根密钥分散产生;卡片维护主密钥直接写入PSAM卡,不进行分散;卡片维护主密钥根据RFUIM卡的ATR码分散成为RFUIM卡的卡片维护密钥写入;卡片维护密钥的写入都在卡片主控密钥的保护下进行。
2.3.4
卡片密钥层次
图5—2:
卡片密钥层次
3密钥管理系统功能
上海电信密钥管理中心包括下列管理功能:
●通用密钥的管理
●RFUIM密钥卡的管理
●自有业务PSAM卡的管理
●日志管理
●用户管理
●加密机管理
3.1通用密钥的管理
通用密钥是指从上海密钥密钥管理中心通过根密钥分发出的密钥,包括:
卡片主控密钥、卡片维护密钥、应用主控密钥、应用维护密钥、消费主密钥、圈存主密钥、TAC主密钥、PIN、PIN解锁密钥、PIN重载密钥、短信充值密钥.
3.1.1种子密钥产生
卡片主控密钥、卡片维护密钥、应用主控密钥、应用维护密钥更新时,首先必须产生各自的种子密钥。
通过加密机可以产生出所需的种子密钥,并可把产生的密钥按分量打印成密钥种子码单或存贮到IC卡上。
产生的种子密钥需要注入到加密机中。
卡片主控密钥用卡片主控密钥种子值根据数据数据分散计算得到,卡片维护密钥用卡片维护密钥种子值根据数据数据分散计算得到,应用主控密钥用应用主控密钥种子值根据数据数据分散计算得到,应用维护密钥用应用维护密钥种子值根据数据数据分散计算得到,
3.1.2密钥更新
卡片主控密钥、卡片维护密钥、应用主控密钥都需要在卡片主控密钥的保护下,采用安全报文的形式更新。
应用维护密钥需要在应用主控密钥的保护下,采用安全报文的形式更新。
3.2RFUIM卡密钥卡管理
3.2.1洗卡
RFUIM卡密钥卡在装载密钥之前,需要完成洗卡工作.洗卡主要是建立密钥卡的文件系统,写入初始卡片主控密钥,控制密钥头,加密密钥头和卡片基本信息.根据上海电信密钥管理中心策略,在洗卡时,可以为所有RFUIM卡密钥卡设置相同的初始卡片主控密钥,也可以按不同批次设置不同的初始卡片主密钥卡。
3.2.2密钥装载
完成RFUIM卡密钥卡洗卡后,可以将各密钥装载到RFUIM卡密钥卡上,所有的密钥都通过上级密钥分散得到。
密钥装载采用安全报文的方式进行,密钥装载的控制过程如下:
●卡片主控密钥在卡片主控密钥的控制下装载;
●卡片维护密钥在卡片主控密钥的控制下装载;
●应用主控密钥在卡片主控密钥的控制下装载;
●应用维护密钥在应用主控密钥的控制下装载;
●应用主工作密钥在应用主控密钥的控制下装载.
●自有应用主工作密钥在应用主控密钥的控制下装载。
3.2.3密钥根新
在上海电信密钥管理系统中,只能更新卡片主控密钥、卡片维护密钥、应用主控密钥、应用维护密钥和自有业务工作密钥。
密钥更新采用安全报文的方式进行,密钥更新的控制过程如下:
●卡片主控密钥在卡片主控密钥的控制下更新;
●卡片维护密钥在卡片主控密钥的控制下更新;
●应用主控密钥在卡片主控密钥的控制下更新;
●应用维护密钥在应用主控密钥的控制下更新;
●自有业务工作密钥在应用主控密钥的控制下更新;
3.2.4密钥激活
密钥管理中心具有密钥激活功能,在激活密钥的同时会使同种类型的已激活密钥失效。
3.2.5密钥销毁
销毁后的密钥不能恢复,也不再可用,销毁后的密钥会存贮在一个单独的数据库中,以备今后查询。
3.2.6密钥恢复
密钥恢复功能可以恢复已经失效的密钥。
3.2.7口令管理
RFUIM卡密钥的口令管理分为修改口令和解锁口令.
3.2.8RFUIM卡密钥卡的查询
RFUIM卡密钥卡查询能根据不同的查询条件查询RFUIM卡密钥卡的相关信息。
3.2.9RFUIM卡密钥卡属性管理
RFUIM卡密钥卡属性管理可管理RFUIM卡上密钥的各种属性,还能设定RFUIM卡密钥卡能分发的RFUIM卡卡的数量.
3.3PSAM卡的管理
3.3.1洗卡
按照上海电信定义的PSAM密钥卡结构完成洗卡工作.
3.3.2种子密钥产生
由加密机产生卡片主控密钥种子值、卡片维护密钥种子值、应用主控密钥种子值和应用维护密钥种子值,并可把产生的密钥按分量打印成密钥种子码单或存贮到IC卡上。
产生的种子密钥需要注入到加密机中。
卡片主控密钥用卡片主控密钥种子值根据数据数据分散计算得到,卡片维护密钥用卡片维护密钥种子值根据数据数据分散计算得到,应用主控密钥用应用主控密钥种子值根据数据数据分散计算得到,应用维护密钥用应用维护密钥种子值根据数据数据分散计算得到,
3.3.3密钥装载
完成用户密钥卡洗卡后,可以将各密钥装载到用户密钥卡上.
密钥装载采用安全报文的方式进行,密钥装载的控制过程如下:
●卡片主控密钥在卡片主控密钥的控制下装载;
●卡片维护密钥在卡片主控密钥的控制下装载;
●应用主控密钥在卡片主控密钥的控制下装载;
●应用维护密钥在应用主控密钥的控制下装载;
●自有业务应用主工作密钥在应用主控密钥的控制下装载.
3.3.4密钥根新
可根据需要,更新卡片主控密钥、卡片维护密钥、应用主控密钥、应用维护密钥和省自有业务工作密钥.
密钥更新采用安全报文的方式进行,密钥更新的控制过程如下:
●卡片主控密钥在卡片主控密钥的控制下更新;
●卡片维护密钥在卡片主控密钥的控制下更新;
●应用主控密钥在卡片主控密钥的控制下更新;
●应用维护密钥在应用主控密钥的控制下更新;
●自有业务工作密钥在应用主控密钥的控制下更新;
3.3.5密钥激活
密钥管理中心具有密钥激活功能,在激活密钥的同时会使同种类型的已激活密钥失效。
3.3.6密钥销毁
销毁后的密钥不能恢复,也不再可用,销毁后的密钥会存贮在一个单独的数据库中,以备今后查询.
3.3.7密钥恢复
密钥恢复功能可以恢复已经失效的密钥.
3.3.8口令管理
PSAM卡的口令管理分为修改口令和解锁口令。
3.3.9PSAM卡的查询
PSAM卡查询能根据不同的查询条件查询PSAM卡的相关信息.
3.4日志管理
能根据不同的查询条件查询不同的日志.
3.5用户管理
密钥管理系统中,根据用户权限的不同,设置三类管理人员,分别是系统管理员、操作员和审计人员。
各人员分共合作,完成不同的操作.
系统管理员只负责操作人员和审计人员的管理。
操作人员负责密钥管理的具体操作,但不能查询日志。
审计人员只能查询日志。
3.5.1增加用户
由系统管理员完成。
3.5.2删除用户
由系统管理员完成.
3.5.3修改口令
各管理员都可以修改自己的口令。
系统管理员可以修改所有人的口令.
3.6加密机管理
3.6.1加密机密钥管理
加密机密钥管理可以查看加密机中的所有密钥,并能为加密机中不同的密钥添加密钥用途信息.
加密机密钥管理还能检查主备加密机密钥是否同步。
3.6.2加密机密钥状态查询
加密机状态管理可以检查加密机是否正常,
3.6.3加密机信息查询
加密机信息查询可以查看加密机版本号等加密机信息。
3.6.4加密机管理
加密机管理能完成加密机在主备之间的切换。
4上海电信密钥管理系统体系结构
上海电信密钥管理系统含密钥管理中心和卡片密钥下装系统。
4.1基本设计思路
密钥管理系统的基本设计思路是:
1)采用分层次结构进行设计:
由于手机用户数量庞大,手机支付涉及的行业较多,总的密钥量较大,因此,初步考虑,将上海电信密钥管理系统分成两级:
密钥管理中心和卡片密钥下装系统(二级密钥管理中心).
2)采用集中与分布相结合的方式:
将采用集中与分布相结合的方式,来实现整个系统的密钥管理。
密钥管理的控制权集中在密钥管理中心,而RFUIM卡具体的制作由卡片密钥下装系统实施。
3)采用对称技术进行密钥管理:
全系统密钥管理将采用对称技术(即对称加密算法)实现.这样将可达到保密和高效,同时也便于与已建密钥管理系统的金融系统等的连接。
4)采用“种子”和衍生(分散)技术生成系统的各级密钥:
譬如,由多个“种子"(可以由物理噪音源WNG4生成的随机数提供)生成一级密钥管理中心的根密钥,再由根密钥根据分散原则,衍生生成各种类型的通用主密钥,而后再由这些通用主密钥衍生生成各种类型的应用主密钥等等.
4.2系统组成及配置清单
上海电信密钥管理系统由密钥管理中心及卡片密钥下装系统组成。
每个卡片密钥下装系统下设若干个受理点,如图6—1所示。
图4—1:
上海电信密钥管理系统拓扑图
整个系统的配置清单如表4-1,本系统配置清单为密钥管理中心一套、卡片密钥下装系统一套的设备清单。
设 备 名 称
备 注
金融数据加密机
密钥管理中心、卡片密钥下装系统、在线交易系统,在线交易系统依交易量需多配加密机。
密钥管理中心系统软件
卡片密钥下装系统软件
服务器
密钥管理中心、卡片密钥下装系统、在线交易系统使用,在线交易系统依交易量服务器需多配.
PC机
WindowsPC
IC卡读写器
UPS不间断电源
密钥IC卡
密钥管理中心使用
PSAM卡
样卡
管理员卡、操作员卡
根据用户需求
制卡设备
由发卡中心提供
WINDOWSServer或Linux操作系统
管理服务器
数据库软件
由发卡中心提供
表4—1:
密钥管理中心系统配置清单
4.3密钥管理中心
4.3.1主要功能
密钥管理中心的主要功能:
1)实现密钥管理全过程的安全,包括密钥的产生、存放、分发、下装、使用、备份、更新、销毁等;
2)对于不同级别或种类的密钥,由不同级别的操作员分别管理;
3)生成并保管卡片根密钥,根密钥的生成应做到多人控制、相互制约;
4)按上海电信手机支付业务系统中所涉及的各种应用标识代码生成各种密钥;
5)实现与卡片密钥下装系统之间的密钥安全传递;
6)制作PSAM卡;
7)对系统中密钥的生成、分散、使用、更新和销毁进行安全审计。
4.3.2软件模块框架
密钥管理软件框架如图6—2所示:
图4-2:
密钥管理软件框架示意图
●安全管理模块
1)用户管理;
2)系统管理、设备管理;
3)安全策略制定及控制。
●日志审查模块
1)提供灵活的数据库查询和统计;
2)设置严格的日志权限,不允许修改日志;
3)友好的用户界面。
●数据库模块
1)对密钥管理中心中的敏感信息进行安全存储;
2)设置数据库的防伪权限划分.
●密钥管理模块
1)产生真随机数;
2)产生密钥种子码单;
3)生成应用根密钥;
4)进行密钥分散;
5)提供密钥导入接口,导入已由其他密钥平台生成的密钥;
6)部分密钥加密导出接口;
7)密钥分组功能,将同类应用和同级别密钥进行分组;
8)密钥更新与销毁;
9)密钥信息统计与管理.
●制卡模块
1)根据种子码制作种子密钥卡,并确保种子密钥卡中密钥的分割;
2)制作PSAM卡;
3)制作卡片根密钥备份卡;
4)制作卡片下装系统管理员卡。
4.3.3系统环境及配置(建议)
硬件环境:
1.金融数据加密机:
密钥管理中心所有密钥的产生和管理设备.
2.服务器和PC机:
金融数据加密机的管理终端和系统管理服务器
3.IC卡读写器。
4.UPS:
不间断电源设备。
5.小型制卡设备:
专用的制卡设备,用于PSAM卡的制作。
软件环境:
1.WINDOWS2000操作系统:
安装在金融数据加密机的管理终端和系统管理服务器中。
2.数据库软件:
安装在系统管理服务器中.
3.密钥管理中心软件系统:
安装在系统管理服务器中。
密钥管理中心的配置示意如图4—3所示。
图4-3:
密钥管理中心的配置示意图
4.3.4密钥管理
1。
密钥生成
1)应用密钥生成
密钥管理中心生成根密钥,将密钥根据应用标识分别离散为应用工作主密钥、应用主控密钥、应用维护主密钥等应用密钥.
2)卡片密钥生成
RFUIM卡卡片密钥用于创建和维护用户卡中的文件、信息。
由密钥管理中心金融数据加密机产生一个随机数作为卡片密钥种子码单,金融数据加密机对种子码单进行特定运算,生成用户卡的卡片主控密钥、卡片维护密钥、PIN重装密钥、PIN解锁密钥等卡片密钥。
3)交易密钥生成
密钥管理中心用金融数据加密机分别产生硬件随机数,作为圈存、圈提密钥等交易密钥。
2。
密钥流程图:
密钥管理中心密钥流程如图4-4所示:
图4—4:
密钥管理中心密钥流程图
3.卡片制作:
PSAM卡制作:
利用密码机产生PSAM卡主控密钥、PSAM卡维护密钥,以及洗卡密钥等相关密钥。
PSAM卡的发卡在密码机的控制下进行,具体描述如下:
1.用密钥管理中心PSAM洗卡密钥的PIK替换PSAM卡的厂商传输密钥;
2.用密钥管理中心PSAM发卡主控密钥替换PSAM卡的厂商传输密钥;
3.在主控密钥的控制下,写入维护密钥;
4.在维护密钥的控制下,写PSAM卡MF下的信息文件;
5.在主控密钥的控制下,写入应用主控密钥;
6.在应用主控密钥的控制下,写入应用维护密钥;
7.在应用维护密钥的控制下,写PSAM卡ADF下的信息文件;
8.在主控密钥的控制下,写入其他相关密钥。
注:
上述步骤中的主控密钥、维护密钥、应用密钥均为密钥管理中心PSAM发卡相应密钥对PSAM卡序列号(SN)的分散。
4.4卡片密钥下装系统
4.4.1主要功能
卡片密钥下装系统的主要功能:
1)主要完成RFUIM卡密钥的生成及安装,并实现与制卡设备的安全连接;
2)具备卡片密钥下装全过程的安全审计的功能;
3)制定RFUIM卡密钥下装的安全管理策略和管理方式。
4.4.2软件模块框架
卡片密钥下装系统软件框架如图6—5所示:
图6—5:
卡片密钥下装系统软件模块框架示意图
●安全管理模块
1)制定RFUIM卡卡片下装的安全管理策略和管理方式;
2)用户权限划分和管理;
3)系统设备管理。
●日志审查模块
1)对卡片密钥下装过程进行日志记录;
2)提供严格的权限划分,不允许对日志进行修改;
3)提供良好的用户界面。
●密钥管理模块
1)通过发卡母卡和洗卡母卡安全生成RFUIM卡密钥;
2)RFUIM卡密钥的安全导入;
3)新应用密钥的准备;
4)特殊应用的用户卡密钥的安全下装。
●通信模块
1)实现与制卡设备的通信连接;
2)用户卡密钥的安全传递。
4.4.3密钥管理
1)密钥来源
RFUIM卡卡片密钥来源于密钥管理中心下发的RFUIM卡发卡密钥,RFUIM卡发卡密钥包括如表4—1所示的密钥。
2)密钥生成
RFUIM卡密钥由密码机应用密钥和卡片密钥经用户卡标识分散生成。
3)密钥下装
RFUIM卡卡片密钥在密码机中分散生成后加密导出,然后通过通信模块下传到制卡设备或新应用增加受理网点,将密钥初始化至RFUIM卡中。
4.4.4导入RFUI
升级会员 