建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)的安全機(jī)制

文章出處：http://xianjuhong.com 作者：中國(guó)一卡通網(wǎng) 收編   人氣： 發(fā)表時(shí)間：2011年10月10日

    1.地方級(jí)密鑰管理中心應(yīng)用密鑰的安全產(chǎn)生

    在地方級(jí)密鑰管理中心，由四位主管人員分別輸入4位數(shù)字組成密鑰種子，通過(guò)3DES加密算法得到地方級(jí)密鑰管理中心的應(yīng)用主密鑰。而密鑰種子則以密鑰卡和密碼信封的形式由由地方發(fā)卡機(jī)構(gòu)安全保管。以備將來(lái)更新或恢復(fù)主密鑰時(shí)使用。

    2.以安全報(bào)文傳輸?shù)姆绞竭M(jìn)行密鑰傳遞

    在密鑰管理系統(tǒng)中，密鑰的導(dǎo)入、導(dǎo)出要采用安全報(bào)文傳輸?shù)姆绞?，密鑰卡中用于密鑰導(dǎo)入、導(dǎo)出的密鑰，以提高密鑰傳遞的安全性。

    3.密鑰母卡和密鑰母卡傳輸卡配合使用

    密鑰母卡由密鑰母卡傳輸卡保護(hù)，在使用密鑰母卡前，必須用傳輸卡對(duì)密鑰母卡進(jìn)行認(rèn)證，只有認(rèn)證成功后，密鑰母卡才能被正常使用，這也是保證密鑰系統(tǒng)安全性十分重要的因素。

    4.不同應(yīng)用的密鑰存放在密鑰母卡不同的專用文件目錄下

    密鑰母卡中針對(duì)不同的應(yīng)用，將建立不同的專用文件目錄(DF)，不同應(yīng)用的密鑰以安全報(bào)文的形式保存在相應(yīng)的文件目錄下，每一個(gè)文件目錄下都有自己的導(dǎo)入、導(dǎo)出密鑰，即不同應(yīng)用的主密鑰的導(dǎo)入、導(dǎo)出密鑰也可以不相同。

    5.通過(guò)限制密鑰的用途來(lái)控制密鑰的使用

    密鑰導(dǎo)入到母卡時(shí)，要設(shè)置密鑰的用途，即設(shè)置主密鑰只能用于分散，或只能用于導(dǎo)出，或即可以分散也可以導(dǎo)出，密鑰系統(tǒng)以此來(lái)限制密鑰的使用，進(jìn)一步提高系統(tǒng)的安全性。

    6.PSAM卡發(fā)卡

    住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心對(duì)所有的PSAM卡進(jìn)行統(tǒng)一洗卡和發(fā)卡，并將消費(fèi)主密鑰裝載到PSAM卡中。

    7.密鑰存儲(chǔ)和備份

    密鑰管理系統(tǒng)中密鑰的采用密鑰卡或硬件加密機(jī)的形式存儲(chǔ)，而采用密鑰卡和密碼信封的形式進(jìn)行密鑰備份。