【導讀】鑰的安全控制和管理，是整個應用系統(tǒng)安全的關(guān)鍵。本設(shè)計方案實現(xiàn)以下幾條設(shè)計目標：。備份、恢復、更新、服務(wù)等功能，實現(xiàn)密鑰的安全管理；4．用戶可根據(jù)實際使用的需要，選擇密鑰管理系統(tǒng)不同的配置和不同功能；5．密鑰服務(wù)一般以硬件加密機的形式提供，也可采用密鑰卡的形式；在金融IC卡聯(lián)合試點中，各級密鑰管理中心利用密鑰管理系統(tǒng)來實現(xiàn)密鑰的安全管理。應用案例，顯示了密鑰管理系統(tǒng)為卡務(wù)系統(tǒng)、主機系統(tǒng)、終端系統(tǒng)提供統(tǒng)一的密鑰服務(wù)?？ㄖ械腄PK進行相互認證，完成消費過程，實現(xiàn)卡片互通、機具共享。3．除傳輸密鑰的約定外，所有的密鑰的變換和轉(zhuǎn)移都以密文進行；當圖中所示的版本3索引4的消費密鑰泄露時，可以將所有索引為4的PSAM卡銷毀，一方面，在卡片生命周期內(nèi)多組密鑰全被破解的可能性不大，并。有密鑰的組數(shù)由成員行自行決定，建議一般不少于兩組。3．進行PSAM卡的一次發(fā)卡，往PSAM卡中裝載GMPK。

　　

【正文】 發(fā)卡時限可延長至三個月。 第三十一條 每個接收人員只能接收一部分密鑰信息。任何情況下，不允許某一個 接收人員接收所有密鑰信息的載體。 第三十二條 接收人員應分別趕回下 級密鑰管理中心，保證在傳輸過程中密鑰不會 被截獲。 第三十三條 上級密鑰管理中心應當掌握下級密鑰管理中心密鑰申領(lǐng)的備案情況； 建立備案檔案，進行備案統(tǒng)計，并按照有關(guān)規(guī)定逐級上報。 第三十四條 密鑰管理中心未遵守本章程規(guī)定的管理措施的，主管機關(guān)應當責令改 正，并給予通報批評。 第三十五條 密鑰管理中心內(nèi)部管理混亂，造成銀行專用密鑰泄漏的，主管機關(guān)應 責令改正，并對成員銀行和有關(guān)責任人進行處罰。 第三十六條 密鑰管理中心內(nèi)部管理混亂 ，造成消費密鑰泄漏的，主管機關(guān)應當對 有關(guān)責任人進行嚴重處罰，必要時停止其參力。銀行 IC 卡聯(lián)合試點的資 格；并承擔其他單位的所有損失。 第七章 附則 第三十七條 本辦法由中國人民銀行負責解釋。 第三十八條 本辦法從發(fā)布之日起開始生效。 附錄 B 名詞解釋 3DES 加密算法 是指使用雙長度（ 16 字節(jié)）密鑰 K=（ K）將 8 字節(jié)明文數(shù)據(jù)塊加密成密文數(shù)據(jù)塊，如下所示： Y=DES()【皿 S‘汛） D％（ K。＊） 11 │ 解 密 的 方 式 如 下 ： X=DES’（ KL）［ DES（ K。）［ DES－‘（ K。［ Y］）］］ │ 雙長度密鑰分散算法 簡稱 Diversify，是指將一個雙長度的密鑰 MK，對 分散數(shù)據(jù)進行處理，推導出一個雙長度的密鑰 DK。 推導 DK 左 半 部 分 的 方 法 是 ： 將分散數(shù) 據(jù)的最 右 16 個數(shù)字作為輸入 數(shù)據(jù) 將 MK 作 為 加 密 密 鑰 用 MK 對 輸 入 數(shù) 據(jù) 進 行 3DES 運算 推導 DK 右半部分的方法是： 將輸數(shù)據(jù)的最右 16 個數(shù)字求反，作為輸入數(shù)據(jù) 將 MK 作 為 加 密 密 鑰 用 MK 對輸入數(shù)據(jù)進行 3DES 運算 廠商傳輸密鑰 生產(chǎn)商在 IC 卡出廠時設(shè)置的 IC 卡主控密鑰，用來 保證卡片在生產(chǎn)商和發(fā)行者之間傳輸?shù)陌踩? 人總行主控母卡 簡稱 RMKC，存放全國密鑰管理總中心多組消費／取 現(xiàn)主密鑰的母卡，用來發(fā)放二級機構(gòu)發(fā)卡母卡和對 PSAM 卡進行一次發(fā)卡。 人總行母卡認證卡 簡稱 RAKC,存放全國密鑰管理總中心主控母卡的主 控密鑰，用來配合主控 母卡的使用。 人總行洗卡母卡 簡稱 RIKC，母卡主控密鑰和 PSAM 卡洗卡密鑰；用 于母卡的洗卡和 PSAM 卡的洗卡 PSAM 卡 POS 機使用的安全存取模塊 二級機構(gòu)主控母卡 簡稱 BMKC 由全國密鑰管理總中心發(fā)放，存放二級 密鑰管理中心的 BMPK，可以用來產(chǎn)生成員行發(fā)卡母卡。 二級機構(gòu)認證十 簡稱 BAKC，存放二級機構(gòu)母卡主控密鑰，用來配合 試點二級機構(gòu)主控母卡的使用。 二級機構(gòu)洗卡母卡 簡 稱 BIKC，存放二級機構(gòu)母卡洗卡密鑰，用來進行 二級結(jié)構(gòu)母卡的洗卡。 成員行主控母卡 簡稱 MMKC，由二級密鑰管理中心發(fā)放，存放 MPK， 可供成員行進行用戶卡和 PSAM 卡的發(fā)卡。 成員行認證卡 簡稱 MAKC，存放成員行母卡主控密鑰，用來配合成 員行主控母卡和洗卡母卡的使用。 成員行洗卡母卡 簡稱 MIKC；存放成員行用戶卡、 PSAM 卡洗卡密鑰， 用于成員行用戶卡和 PSAM 卡的洗卡。 顧客十 又稱用戶卡，是真正用來脫機交易的電子錢包和電 │ 子存折，裝載交易所需的 各個子密鑰。 附錄 C 縮略語表 PSAM POS 機安全存取模塊 ASN 用戶卡應用序列號 PIN 個人身份碼 RMKC 人總行主控母卡 RIKC 人總行洗卡母卡 RAKC 人總行母卡認證卡 RTKC 人總行傳輸密鑰卡 BMKC 二級機構(gòu)主控母卡 BIKC 二級機構(gòu)洗卡母卡 BAKC 二級機構(gòu)母卡認證卡 MMKC 成員行主控母卡 MIKC 成員行洗卡母卡 MAKC 成員行母卡認證卡 MTKC 成員行傳輸密鑰卡 BTKC 二級結(jié)構(gòu)傳輸密鑰卡 TID PSAM 卡終端號 PSN PSAM 卡序列號 MAC 消息認證碼 TAC 交易認證碼 COS 卡片操作系統(tǒng) PSE 支付系統(tǒng)環(huán)境 AID 應用標識符 SFI 短文件標識符 FCI 文件控制信息 附錄 D 參考文獻 1．《中國人民銀行金融集成電路（ IC）卡規(guī)范》 2．《金融 IC 卡聯(lián)合試點工程化設(shè)施方案》 《 PSAM 卡需求說明》 4．《硬件加密機需求說明》 5．《斯倫貝謝 KMC 卡技術(shù)手冊》 補充一：密鑰管理中心軟硬件配置 聯(lián)合試點采用三級密銅管理的體系結(jié)構(gòu)，每級機構(gòu)設(shè)立密鑰管理中心，進行 金融 IC 卡密鑰的安全管理，以下是各 級機構(gòu)密鑰管理中心的軟硬件配置： 1．人總行密鑰管理總中心 硬件配置： 1． KOAL 金融 IC 卡密鑰管理安全機柜 2． KOAL 金融 IC 卡密鑰管理工控機 3． KOAL 一體化 IC 卡讀寫卡器 4．密碼鍵盤（用于碼單的安全輸入） 5．中型 IC 卡發(fā)卡設(shè)備（進行 PSAM 十一次發(fā)卡） 6．不間斷電源 UPS 7．以太網(wǎng)集線器 HUB 軟件配置： 1． WINDOWS NT 4． 0 SP5 以上 2． MICROSOFT PC／ SC 智能卡組件和讀卡器驅(qū)動程序 3． KOAL 金融 IC 卡密銅管理系統(tǒng) —— 一級系統(tǒng) 4． SQL SERVER 7． 0 數(shù)據(jù)庫；用于記錄發(fā)卡日志 5．中型發(fā)卡設(shè)備配置 PSAM 卡一次發(fā)卡程序 2．二級密鑰管理中心（人行地區(qū)分行） 硬件配置： 1． KOAL 金融 IC 卡密鑰管理安全機柜 2． KOAL 金融 IC 卡密鑰管理工控機 3． KOAL 一體化 IC 卡讀寫卡器 4．不間斷電源 UPS 5．以太網(wǎng)集線器 HUB 軟件配置 ： 1． WINDOWS NT 4． 0 SP5 以上 2． MICROSOFT PC／ SC 智能卡組件和讀卡器驅(qū)動程序 3． KOAL 金融 IC 卡密鑰管理系統(tǒng) — 一二級系統(tǒng) 4． SOL SERVER 7． 0 數(shù)據(jù)庫，用于記錄發(fā)卡日志 3．成員行密鑰管理中心 硬件配置 ： 1． KOAL 金融 IC 卡密鑰管理安全機柜 2． KOAL 金融 IC 卡密鑰管理工控機 3． 56 所 SJL06T 或 30 所 SJL05T 硬件加密機 4． KOAL 一體化 IC 卡讀寫卡器 5．密碼鍵盤（用于碼單的安全輸入） 6．小型 IC 卡發(fā)卡設(shè)備（進行 PSAM 十二次發(fā)卡） 7．大型 IC 卡發(fā)卡設(shè)備（進行用戶卡的大規(guī)模發(fā)卡） 8．不間斷電源 UPS 9．以大網(wǎng)集線器 HUB 軟件配置 ： 1． WINDOWS NT 4． 0 SP5 以上 2． MICROSOFT PC／ SC 智能卡組件和讀卡器驅(qū)動程序 3． KOAL 金融 IC 卡密鑰管理系統(tǒng) — 一三級系統(tǒng) 4． SQL SERVER 數(shù)據(jù)庫，用于記錄發(fā)卡日志 5．小型發(fā)卡設(shè)備配置 PSAM 卡二次發(fā)卡程序 6．大型發(fā)卡設(shè)備配置用戶卡發(fā)卡程序 補 充 二：密鑰管理中心安全管理建議 密 鑰管理系統(tǒng)是金融 IC 卡應用的安全核心，聯(lián)合試點采用三級密鑰管理的 體系結(jié)構(gòu)，每級機構(gòu)設(shè)立密鑰管理中心，進行金融 IC 卡密鑰的安全管理。金融 IC 卡密鑰管理系統(tǒng)的設(shè)計最大限度地從技術(shù)上保證密鑰生成、注入、導出、備份、 恢復、更新、服務(wù)等功能的安全性。與此同時；對密鑰管理中心的安全管理制定 嚴格的制度也是至關(guān)重要的。以下是我們對密鑰管理中心安全管理制度的一些建 議： 1．物理環(huán)境的安全管理 1．建議密鑰管理中心設(shè)置在專門的房間中，房間周邊避免閑雜人員的出入， 最好有錄 像監(jiān)控設(shè)備； 2. 房間安裝防盜門窗，門鎖的鑰匙由專人保管，對鑰匙的使用情況進行記錄。 避免單人進入中心的房間； 3．房間需有基本的電磁屏蔽設(shè)施，不通過任何線路與外界網(wǎng)絡(luò)連接； 4．中心配置專門的保險箱，用于存放密鑰母卡和原始碼單。 2．人員的安全管理 1．密鑰管理中心設(shè)置專門的管理（操作）員； 2．對管理（操作）員進行必要的保密教育并進行細致的系統(tǒng)使用培訓，使 了解系統(tǒng)的安全特性，理解如何從管理上配合系統(tǒng)安全特性的設(shè)施； 3．密鑰母卡的 安全管理 1．每張母卡都會有與其對應的安全控制卡，這兩張母卡要分別由不同的人員 保管，對于損壞的母卡必須馬上物理銷毀，防止外泄； 2．母卡和該母卡的 PIN 要分開存放，寫有 PIN 的紙張和信封要嚴格保管，不 將 PIN 寫在其他的介質(zhì)上； 3．定期更換母卡的＊ m ， PIN 不使用簡單、易 i己的序列； 4．上級中心向下級中心傳遞母卡時，首先必須使用安全的傳輸渠道，另外母 卡要分別傳遞，避免所有母卡同時被截獲； 5．成員行專有密鑰卡不會經(jīng)常使用，通?？梢苑獯?；用戶卡發(fā)卡母卡中的密 鑰只能分散導 出，相對較安全； PSAM 卡發(fā)卡母卡中的密鑰可以直接加密導 出，要避免將不需要的密鑰放入該卡（如論 K、 WK 等聯(lián)機密鑰）； 6．對管理（操作）員進行必要的保密教育，并進行細致的系統(tǒng)使用培訓，使 了解系統(tǒng)的安全特性，理解如何從管理上配合系統(tǒng)安全特性的設(shè)施； 4．系統(tǒng)操作的安全管理 1．每次進行密鑰管理操作時只領(lǐng)取相關(guān)的母卡；使用完畢后立即交還； 2．對每次密鑰管理操作進行詳細的記錄（如操作員、時間、所進行的操作、 操作時的輸入和系統(tǒng)顯示的信息等）； 3．關(guān)鍵的密鑰信息；如密鑰 種子碼單，建議由機構(gòu)的領(lǐng)導掌握和使用；