密鑰密鑰建設(shè)案例

時(shí)間：2022-02-15 11:57:01 | 來源：信息時(shí)代

時(shí)間：2022-02-15 11:57:01 來源：信息時(shí)代

密鑰管理安全體系

RFUIM卡的密鑰管理由電信密鑰管理中心統(tǒng)一管理。密鑰管理系統(tǒng)中各類密鑰的管理應(yīng)根據(jù)分類應(yīng)用標(biāo)識、密鑰標(biāo)識、密鑰版本號和密鑰類型唯一確定相應(yīng)密鑰進(jìn)行處理。

密鑰的傳輸必須使用安全報(bào)文的方式。

密鑰管理機(jī)制采用兩級密鑰離散模式，具有以下優(yōu)點(diǎn)：

1）由于卡片交易集中化處理，因而密鑰的多級離散不會影響卡片的跨區(qū)域交易，實(shí)現(xiàn)了在密鑰統(tǒng)一管理的前提下交易跨區(qū)域互通。

2）具有更高的安全性，即使某個(gè)區(qū)域的密鑰出現(xiàn)失控，也不會影響其它區(qū)域的卡片安全；

3）便于密鑰管理中心內(nèi)部的安全管理。

密鑰管理中心主要承擔(dān)根密鑰及卡片密鑰和應(yīng)用密鑰的生成和管理服務(wù)，以及PSAM卡制卡；同時(shí)制作下發(fā)卡片密鑰下裝系統(tǒng)的密鑰安全報(bào)文和傳輸控制卡。

卡片密鑰下裝系統(tǒng)主要完成RFUIM卡密鑰的生成及安裝。

密鑰管理安全功能

密鑰管理的各項(xiàng)功能要通過相應(yīng)的安全機(jī)制來實(shí)現(xiàn)，密鑰的安全管理機(jī)制是整個(gè)密鑰管理系統(tǒng)的核心，在安全實(shí)用的原則下來控制密鑰的使用權(quán)限，保證系統(tǒng)的安全。

密鑰產(chǎn)生

利用物理噪聲源（如Wnpg4）產(chǎn)生硬件隨機(jī)數(shù)，通過5項(xiàng)檢驗(yàn)（頻數(shù)檢驗(yàn)、序列檢驗(yàn)、自相關(guān)檢驗(yàn)、撲克檢驗(yàn)和游程檢驗(yàn)）后的隨機(jī)數(shù)作為密鑰素材。密鑰是在密鑰素材庫中選取的一段數(shù)據(jù)。密鑰由加密機(jī)產(chǎn)生。

密鑰存儲

密鑰必須進(jìn)行安全存儲。除加密機(jī)等安全設(shè)備中可以存儲密鑰明文外，密鑰明文必須以密文的狀態(tài)存在。密鑰的傳輸過程、密鑰管理系統(tǒng)數(shù)據(jù)庫等環(huán)境，密鑰以密文狀態(tài)存在。密鑰的存儲載體可以是移動存儲設(shè)備、硬盤、軟盤、光盤等等。

密鑰分發(fā)

密鑰分發(fā)是指將上級密鑰管理系統(tǒng)加密機(jī)中密鑰分發(fā)到下級密鑰管理系統(tǒng)中并存儲在下級密鑰管理系統(tǒng)的加密機(jī)中。密鑰分發(fā)與密鑰導(dǎo)入構(gòu)成密鑰傳遞過程操作。

密鑰分發(fā)的原則：不將密鑰以明文的方式下發(fā)，密鑰密文和傳輸密鑰（加密密鑰的密鑰，用于密鑰的安全傳遞）必須分離存儲。

密鑰傳遞過程中傳輸密鑰安全性比密鑰密文要高，所以傳輸密鑰必須由加密機(jī)提供給密鑰管理系統(tǒng)，且以密文狀態(tài)存在于存儲設(shè)備中。傳輸密鑰使用智能IC卡作為存儲載體，這樣可以對傳輸密鑰密文增加一層口令保護(hù)，使密鑰的傳遞過程更加安全。

密鑰導(dǎo)入

密鑰導(dǎo)入是指將上級密鑰管理系統(tǒng)加密機(jī)中密鑰導(dǎo)入到下級密鑰管理系統(tǒng)中，并存儲在下級密鑰管理系統(tǒng)的加密機(jī)中。密鑰分發(fā)與密鑰導(dǎo)入構(gòu)成密鑰傳遞過程操作。

密鑰更新

所有應(yīng)用密鑰均具有一定的屬性，包括類型、版本、索引、有效期等。在生成用戶卡和PSAM卡的時(shí)候，裝載若干個(gè)索引和版本的密鑰，賦予每個(gè)版本的密鑰一定的有效期，當(dāng)密鑰有效期結(jié)束后，可方便啟用下一個(gè)版本的密鑰。

密鑰備份/恢復(fù)

密鑰的備份和恢復(fù)在密鑰生命周期中具有重要意義。對各種密鑰進(jìn)行備份是必須要做的密鑰管理工作。密鑰管理系統(tǒng)必須提供密鑰的備份/恢復(fù)操作手段。在系統(tǒng)密鑰丟失或者系統(tǒng)收到損壞時(shí)才能使系統(tǒng)恢復(fù)原狀，重新回到可以正常運(yùn)轉(zhuǎn)的狀態(tài)。在密鑰發(fā)生變化或者增加密鑰時(shí)必須對密鑰進(jìn)行備份操作。

備份密鑰的方式可以存儲密鑰的密文、存儲密鑰關(guān)系碼單（記錄了上級密鑰版本、索引、類型，以及該密鑰的分散因子等）等等，操作方法由密鑰管理系統(tǒng)提供。

密鑰存儲載體可以是紙質(zhì)文件、智能IC卡、硬盤、軟盤、關(guān)盤等。密鑰存儲必須以一定格式存儲。密鑰存儲管理可以利用關(guān)系型數(shù)據(jù)庫。