密钥管理系统实施方案神州数码思特奇IC卡密钥管理系统实施方案1.关键缩略语 ....................................................................................................... 52.引用标准 ........................................................................................................... 63.开发思路 ........................................................................................................... 73.1. 系统设计目标 ................................................ 73.1.1.系统设计起点高 ........................................ 73.1.2.高度的安全体系 ........................................ 83.1.3.借鉴其他行业经验 .................................... 83.2. 系统开发原则 ................................................ 93.2.1.卡片选择原则 ............................................ 93.2.2.加密机选择原则 ........................................ 93.2.3.读卡机具选择原则 ................................ 103.2.B KEY选择原则 ................................. 113.2.5.开发工具选择原则 ................................ 113.2.6.系统整体构造图 .................................... 123.3. 系统安全设计 ............................................ 123.3.1.安全机制 ................................................ 123.3.2.密钥类型 ................................................ 133.3.3.加密算法 ................................................ 134.卡片设计方案 ............................................................................................... 234.1. PSAM卡设计方案.................................... 234.2. 省级发卡母卡设计方案 ............................ 234.2.1.省级主密钥卡中的消费主密钥未经离散234.3. 卡片发行流程 ............................................ 244.3.1.密钥管理卡的生产发行过程 ................ 244.3.2.用户卡的生产发行过程 ........................ 244.3.3.IC卡生产发行过程的安全机制 ........... 254.3.4.A/B/C/D码的生成 ................................. 254.3.5.A/B/C/D码的保存 ................................. 254.3.6.主密钥的生成 ........................................ 254.3.7.密钥的使用、保管和备份 .................... 264.3.8.密钥发行管理模式图 ............................ 294.4.系统卡片种类和功能 ................................ 304.4.1.密钥生成算法 ........................................ 304.5.密钥管理系统主要卡片的生成 ................ 324.5.1.领导卡的发行 ........................................ 334.5.2.省级主密钥卡的发行 ............................ 354.5.3.城市主密钥卡的发行 ............................ 374.5.4.PSAM卡母卡的发行 ............................... 394.5.5.传输密钥卡的发行 ................................ 394.5.6.城市发卡母卡,发卡控制卡,和洗卡控制卡404.5.7.PSAM卡,PSAM卡洗卡控制卡 .............. 404.5.8.用户卡,用户卡母卡,母卡控制卡(用户卡空间租赁方案)............................................. 411.关键缩略语ADF 应用数据文件(Application Definition File)CA 认证授权(Certificate Authority)COS 芯片操作系统(Chip Operation System)DEA 数据加密算法(Data Encryption Algorithm)DES 数据加密标准(Data Encryption Standard)DF 专用文件(Dedicated File)KMC 密钥管理卡(Key Manage Card)KMS 密钥管理系统(Key Manage System)MAC 报文鉴别代码(Message Authentication Code)PC/SC 个人电脑/智能卡(Personal Computer/Smart Card)PIN 个人密码(Personal Identification Number)PSAM 消费安全存取模块(Purchase Secure Access Module)RSA 一种非对称加密算法(Rivest, Shamir, Adleman)SAM 安全存取模块(Secure Access Module)TAC 交易验证码(Transaction Authorization Cryptogram)2.引用标准B/T 2260-1995 中华人民共和国行政区划代码GB/T 14916-1994 识别卡物理特性GB/T 16649.1:1996 识别卡带触点的集成电路卡第1部分:物理特性(ISO/IEC7816-1:1987)GB/T 16649.2:1996 识别卡带触点的集成电路卡第2部分:触点的尺寸和位置(ISO/IEC 7816-2:1988)GB/T 16649.3:1996 识别卡带触点的集成电路卡第3部分:电信号和传输协议(ISO/IEC 7816-3:1989)ISO 639:1988 名称及语言表示代码GB 2659:1994 世界各国和地区名称代码(ISO 3166:1993)GB/T 12406:1996 表示货币和资金的代码(ISO 4217:1995)GB/T 15120.1 识别卡记录技术第1部分:凸印 (ISO/IEC 7811-1:1992) GB/T 15120.3 识别卡记录技术第3部分:ID-1型卡上凸印字符的位置(ISO/IEC 7811-3:1992)GB/T 17553.1:1998 识别卡无触点的集成电路卡第1部分:物理特性GB/T 17553.2:1998 识别卡无触点的集成电路卡第2部分:耦合区域的尺寸和位置GB/T 17553.3:1998 识别卡无触点的集成电路卡第3部分:电信号和复位规程ISO/IEC 7816-3:1992 识别卡带触点的集成电路卡第3部分:电信号和传输协议修订稿1:T=1,异步半双工块传输协议ISO/IEC 7816-3:1994 识别卡带触点的集成电路卡第3部分:电信号和传输协议修订稿2:协议类型选择(国际标准草案) ISO/IEC 7816-4:1995 识别卡带触点的集成电路卡第4部分:行业间交换用命令ISO/IEC 7816-5:1994 识别卡带触点的集成电路卡第5部分:应用标识符的编号系统和注册程序ISO/IEC 7816-6:1995 识别卡带触点的集成电路卡第6部分:行业间数据元(国际标准草案)ISO 8372:1987 信息处理 64位块加密算法的运算方法GB/T 16263:1996 信息技术开放系统互联抽象语法表示1(ASN.1)的基本编码规则(ISO/IEC 8825:1990)GB/T 15273 信息处理八位单字节代码型图型字符集 (ISO 8859:1987) ISO/IEC 9796-2 信息技术安全技术报文恢复的数字签名方法第2部分:使用哈什函数的机制ISO/IEC 9797:1993 信息技术安全技术使用块加密算法进行加密检查的数据完整性机制ISO/IEC 10116:1993 信息技术 n位块加密算法的运算方法ISO/IEC 10118-3:1996 信息技术安全技术哈什函数第3部分:专用哈什函数ISO/IEC 10373:1993 识别卡测试方法3.开发思路现代计算机技术的发展是日新月异的,所以当今IC卡密钥管理系统的设计开发必须做到起点高、技术新、易扩展、高安全的要求。
包括能够提供简单易用的操作界面;接口模块化设计;兼容多种卡片、机具和硬件设备;支持“一卡多用”,实现跨行业、跨城市的应用;建立健全能抗网络和安全攻击的安全体系;简化业务流程等等。
遵循《建设事业IC卡应用技术》标准和用户需求及国家和行业的相应规范,采用开放性设计,密钥进行统一管理,并且预留添加新应用的专用密钥的功能,加强密钥应用管理系统的通用性和灵活性;在充分保证密钥系统安全性的基础上,支持电力事业应用密钥的生成、注入、导出、备份、恢复、更新、服务、销毁等功能,实现密钥的安全管理。