建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)的安全機(jī)制
文章出處:http://m.dipdnbxp.cn 作者:中國(guó)一卡通網(wǎng) 收編 人氣: 發(fā)表時(shí)間:2011年10月10日
1.地方級(jí)密鑰管理中心應(yīng)用密鑰的安全產(chǎn)生
在地方級(jí)密鑰管理中心,由四位主管人員分別輸入4位數(shù)字組成密鑰種子,通過(guò)3DES加密算法得到地方級(jí)密鑰管理中心的應(yīng)用主密鑰。而密鑰種子則以密鑰卡和密碼信封的形式由由地方發(fā)卡機(jī)構(gòu)安全保管。以備將來(lái)更新或恢復(fù)主密鑰時(shí)使用。
2.以安全報(bào)文傳輸?shù)姆绞竭M(jìn)行密鑰傳遞
在密鑰管理系統(tǒng)中,密鑰的導(dǎo)入、導(dǎo)出要采用安全報(bào)文傳輸?shù)姆绞?,密鑰卡中用于密鑰導(dǎo)入、導(dǎo)出的密鑰,以提高密鑰傳遞的安全性。
3.密鑰母卡和密鑰母卡傳輸卡配合使用
密鑰母卡由密鑰母卡傳輸卡保護(hù),在使用密鑰母卡前,必須用傳輸卡對(duì)密鑰母卡進(jìn)行認(rèn)證,只有認(rèn)證成功后,密鑰母卡才能被正常使用,這也是保證密鑰系統(tǒng)安全性十分重要的因素。
4.不同應(yīng)用的密鑰存放在密鑰母卡不同的專用文件目錄下
密鑰母卡中針對(duì)不同的應(yīng)用,將建立不同的專用文件目錄(DF),不同應(yīng)用的密鑰以安全報(bào)文的形式保存在相應(yīng)的文件目錄下,每一個(gè)文件目錄下都有自己的導(dǎo)入、導(dǎo)出密鑰,即不同應(yīng)用的主密鑰的導(dǎo)入、導(dǎo)出密鑰也可以不相同。
5.通過(guò)限制密鑰的用途來(lái)控制密鑰的使用
密鑰導(dǎo)入到母卡時(shí),要設(shè)置密鑰的用途,即設(shè)置主密鑰只能用于分散,或只能用于導(dǎo)出,或即可以分散也可以導(dǎo)出,密鑰系統(tǒng)以此來(lái)限制密鑰的使用,進(jìn)一步提高系統(tǒng)的安全性。
6.PSAM卡發(fā)卡
住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心對(duì)所有的PSAM卡進(jìn)行統(tǒng)一洗卡和發(fā)卡,并將消費(fèi)主密鑰裝載到PSAM卡中。
7.密鑰存儲(chǔ)和備份
密鑰管理系統(tǒng)中密鑰的采用密鑰卡或硬件加密機(jī)的形式存儲(chǔ),而采用密鑰卡和密碼信封的形式進(jìn)行密鑰備份。