【正文】 3） 業(yè)務(wù)培訓(xùn) 對(duì)安全管理部門(mén)的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。 同時(shí)，為了避免權(quán)力過(guò)分集中，特別是超級(jí)用戶權(quán)力太大，而出現(xiàn)的內(nèi)部人員作案的可能性，管理人員之間應(yīng)互相制約，做到權(quán)力的有效制衡。 2） 操作管理 對(duì)于整個(gè)系統(tǒng)的操作管理，應(yīng)做到：專(zhuān)人負(fù)責(zé)、相互制約、定期輪換。 1 安全管理策略 1） 管理機(jī)構(gòu) 使用密鑰管理系統(tǒng)的機(jī)構(gòu)必須有獨(dú)立的安全管理部門(mén)，負(fù)責(zé)整個(gè)安全概念及安全策略的制定、實(shí)現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進(jìn)行審計(jì)，有條件的可以請(qǐng)第三方獨(dú)立的管理人員負(fù)責(zé)。 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 51 六 密鑰管理辦法 在任何一個(gè)機(jī)構(gòu)中，如果要實(shí)施一套完整而有效的安全系統(tǒng)，沒(méi)有一系列的安全策略是不可想象的， 從某種角度來(lái)說(shuō)，管理是造成安全問(wèn)題的根源。 13） 驗(yàn)證 TAC 該命令用指定的次主密鑰對(duì)輸入數(shù)據(jù)分散產(chǎn)生 TAC 子密鑰，再對(duì) TAC 子密鑰的左右兩部分異或產(chǎn)生單長(zhǎng)度的過(guò)程密鑰，對(duì)輸入數(shù)據(jù)加密產(chǎn)生 TAC，并與輸入數(shù)據(jù)中的 TAC 進(jìn)行比較，返回驗(yàn)證結(jié)果。 11） 產(chǎn)生 MAC 該命令用指定的次主密鑰對(duì)輸入信息分散產(chǎn)生雙長(zhǎng)度的過(guò)程密鑰 SESK，再用這個(gè) SESK 產(chǎn)生一個(gè) MAC，返回給請(qǐng)求者。該命令主要是針對(duì)關(guān)系到跨行共享的密鑰，如 GMPK、 BMPK。 8） 取次主密鑰 該命令允許在超級(jí)用戶權(quán)限下，用主密鑰對(duì)指定索引的次主密鑰加密，返回加密的密文，在主機(jī)上通過(guò)約定的主密鑰解密后存放在主機(jī)上。 6） 產(chǎn)生次主密鑰 該命令要求硬件加密機(jī)通過(guò)碼單輸入或在內(nèi)部產(chǎn)生一個(gè)隨機(jī)數(shù)，進(jìn)行密鑰檢查后，存放在硬件加密機(jī)中，返回密鑰索引。 4） 列密鑰清單 該命令要求列出硬件加密機(jī)中所有工作密鑰的索引。 2） 傳輸密鑰初始化 該 命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為傳輸主密鑰。 根據(jù)加密機(jī)與應(yīng)用平臺(tái)之間通訊協(xié)議，采取不同的報(bào)文格式，消息用 HEX 方式傳送。 加密機(jī)在單一通信道上并不緩存命令，也就是說(shuō)，加密機(jī)并銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 48 不保證在處理一條命令時(shí)可以接受另一條（或多余）命令。 1 主要功能 硬件加密機(jī)的主要功能有以下幾種： ? 硬件防攻擊 ? 真隨機(jī)數(shù)產(chǎn)生 ? 密鑰生成 ? 密要備份與恢復(fù) ? 密鑰服務(wù) ? 訪問(wèn)控制和安全審計(jì) 2 外部接口 加密機(jī)與應(yīng)用平臺(tái)之間的交 互為命令 —— 響應(yīng)方式。 加密機(jī) 可以減輕密鑰管理員的責(zé)任，降低密鑰管理工作的成本，由于加密機(jī)本身提供了管理接口和監(jiān)控接口，密鑰可以在加密機(jī)中得到有效的管理，密鑰的生成、作廢、替換等等工作都可以通過(guò)加密接口提供，從而使密鑰管理工作大為簡(jiǎn)銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 47 化。由于硬件加密機(jī)具備了攻擊防范能力，所以密鑰可以在硬件加密機(jī)中以相對(duì)較低的成本安全的保存，而且所有密鑰運(yùn)算可在安全物理環(huán)境中完成。 五 密鑰管理加密機(jī) 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 46 密鑰管理加密機(jī)是用于密鑰管理的硬件加密設(shè)備。 ? 如果在寫(xiě)卡或打卡號(hào)的過(guò)程，出現(xiàn)錯(cuò)誤，則將卡作廢，重新制作一張同樣卡號(hào)的卡片。 ? 在 kActI 的控制下，創(chuàng)建 ADF 下的文件，寫(xiě)入卡片子密鑰。 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 45 ? 如果驗(yàn)證通過(guò)，加載發(fā)卡銀行的主控密鑰 kIctIM,用 kMprd將 kIctIM 加密，將密文 3DES（ kMprd, kIctIM）載入 IC卡，在卡中使用 kMprd 解密得到 3DES1（ kMprd, 3DES (kMprd, kIctIM)） ,即 kIctIM。 ? PC 機(jī)向密鑰服務(wù)器發(fā)出一批密鑰運(yùn)算請(qǐng)求，而硬件加密機(jī)（或發(fā)卡母卡）用存放的交易主密鑰對(duì)每張卡片的 SAN加密，得到卡片子密鑰。 ? 發(fā)卡銀行接到這一批 IC 卡后，首先按統(tǒng)一編號(hào)給每一張IC卡分配應(yīng)用序列號(hào)（ ASN）。 3 用戶卡發(fā)卡流程 ? 在 IC 卡生產(chǎn)過(guò)程中， IC 卡生產(chǎn)廠商在卡中設(shè)置生產(chǎn)商密鑰（ kMprd）。 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 44 ? 商業(yè)銀行在接收到這批卡后，首先用 PSAM 外部認(rèn)證卡來(lái)驗(yàn)證每一張 PSAM 卡的有效性。 ? 如果在寫(xiě)卡或卡號(hào)的過(guò)程，出現(xiàn)錯(cuò)誤，則將卡作廢，重新制作一張同樣卡號(hào)的卡片。 ? 在 RPTK 的控制下，加密載入全國(guó)消費(fèi) /取現(xiàn)主密鑰GMPK，用 RPTK 將 GMPK 加密，將密文 3DES（ RPTK，GMPK）載入 IC 卡，在卡中使用 PRTK 解密得到 3DES1（ RPTK， 3DES（ RPTK， GMPK）），即 GMPK。 ? 在 kIctIR 的控制下，創(chuàng)建 MF 下的 EF 文件和 ADF 文件。 ? PC 機(jī)向高速發(fā)卡機(jī)發(fā)指令，送入一批卡片，利用生產(chǎn)商母卡上的 kMprd 來(lái)驗(yàn)證 IC 卡 。 ? 全國(guó)密鑰管理總中心接到這一批 IC 卡后，首先按統(tǒng)一編號(hào)給每一張 IC 卡分配 PSAM 序列號(hào)（ PSN）。 ? 在卡上打印母卡序列號(hào)。 ? 如果驗(yàn)證通過(guò)，加載母卡發(fā)卡機(jī)構(gòu)的主控密鑰 kIctI 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 42 (kIctIR 或 kIctIM), 用 kMprd 將 kIctI 加密，將密文 3DES（ kMprd,kIctI）載入 IC 卡，在卡中使用 kMprd 解密得到3DES1（ kMprd,3DES(kMprd,kIctI )） , 即 kIctI。 ? 發(fā)卡銀行接到這一批 IC 卡后，首先按統(tǒng)一編號(hào)給 每一張IC卡分配母卡序列號(hào)（ KSN），每張 IC卡具有唯一的 KSN，不同的 IC 卡具有不同的 KSN。在一些場(chǎng)合，也可通過(guò)磁盤(pán)跑盤(pán)的形式，將一批密鑰請(qǐng)求匯集起來(lái)，以磁盤(pán)文件的形式傳給密鑰管理系統(tǒng)，并將應(yīng)答結(jié)果以磁盤(pán)文件的形式回傳。 4）密鑰服務(wù) 成員行所需的各種密鑰，除了 GMPK 以外，其他專(zhuān)用密鑰都存放在密鑰管理系統(tǒng)中，在發(fā)行用戶卡、交易清算、 MAC運(yùn)算等場(chǎng)合，銀行需要進(jìn)行快速的密鑰運(yùn)算。 商業(yè)銀行將 PSAM 卡用于何種場(chǎng)合，卡以何種方式加載何種密鑰，由各商業(yè)自行決 定。 這種方法操作起 來(lái)比較簡(jiǎn)便，而且可以適用于目前已發(fā)行過(guò)卡片的銀行，系統(tǒng)改造的任務(wù)較小，但這種方法技術(shù)上很難防止銀行內(nèi)部人員相互勾結(jié)，聯(lián)手作案，攻擊本行的 MPK，可能會(huì)給銀行帶來(lái)較為嚴(yán)重的損失，這就對(duì)管理提出了非常嚴(yán)格的要求，銀行必須采取相應(yīng)的管理策略來(lái)預(yù)防和及時(shí)發(fā)現(xiàn)問(wèn)題，降低風(fēng)險(xiǎn)，減少可能造成的損失。 Ⅲ、將成員行消費(fèi)密鑰導(dǎo)入密鑰管理系統(tǒng) 在成員行將 MKC 中的消費(fèi) /取現(xiàn)主密鑰導(dǎo)入銀行密鑰管理系統(tǒng)時(shí)，成員行必須首先使用 MAKC 中的外部認(rèn)證密鑰 MAK，供成員行發(fā)卡母卡進(jìn)行外部認(rèn)證，驗(yàn)證使用者的合法身份，如果驗(yàn)證通過(guò)，成員行可導(dǎo)入自己的傳輸密鑰 MMTK，卡片可以在 MMTK 的控制下，將 MPK 加密導(dǎo)出。 成員銀行在拿到硬件加密機(jī)和 MAKC 后，在認(rèn)證通過(guò)后，向硬件加密機(jī)中注入自己的傳輸密鑰 MMTK，在 MMTK 的控制下，將銀行的專(zhuān)用密 鑰導(dǎo)入到硬件加密機(jī)中。 成員行可以直接利用 MKC 來(lái)提供密鑰服務(wù)，如發(fā)放用戶卡、向 PSAM 卡導(dǎo)入專(zhuān)用密鑰、清算等。 2） 密鑰管理方式 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 38 對(duì)于成員行來(lái)說(shuō)，根據(jù)不同的應(yīng)用系統(tǒng)和管理要求，存在著三種不同的密鑰管理方式。 4 成員銀行 成員行接收到二級(jí)密鑰管理中心發(fā)來(lái)的成員行發(fā)卡母卡（ MKC）和成員行外部認(rèn)證卡（ MAKC）后，將消費(fèi) /取現(xiàn)主密鑰 MPK 導(dǎo)入到自己的硬件加密機(jī)（或發(fā)卡系統(tǒng)母卡）中。 成員行發(fā)卡母卡要正常工作，需有存放 MAK 的成員行外部銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 34 認(rèn)證密鑰卡（ MAKC）相配合，成員行發(fā)卡母卡是被密鑰保護(hù)的，只有通過(guò)外部認(rèn)證以后，才能使用它。 MKC 中有： 密鑰種類(lèi) 組數(shù) 備注 BTK 一組 導(dǎo)入 MPK 的傳輸密鑰 銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 33 MAK 一組 成員行發(fā)卡母卡外部認(rèn)證密鑰 MPK 五組 成員行消費(fèi) /取現(xiàn)主密鑰，可供成員行發(fā)卡 成員行發(fā)卡中應(yīng)有一文件，記錄卡片初始化的有關(guān)信息，以便今后跟蹤審計(jì)和安全管理： ? 卡片和人化標(biāo)識(shí)，必須，位于 CDF（ Common Data File）區(qū)域，操作條件不可變，長(zhǎng)度為一個(gè)字節(jié)，內(nèi)容是全國(guó)密鑰管理總中心定義的個(gè)人化標(biāo)識(shí)； ? CDF 激活標(biāo)識(shí)，可選，位于 CDF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)，前 6 個(gè)字節(jié)是 ISO7812 中定義的發(fā)行者標(biāo)識(shí)，后四個(gè)字節(jié)是全國(guó)密鑰管理總中心定義的附加標(biāo)識(shí)符； ? CDF 激活序 列號(hào)，可選，位于 CDF 區(qū)域，操作條件不可變；格式為 10 個(gè)字節(jié)，由二級(jí)機(jī)構(gòu)定義。 BKC 中有： 密鑰種類(lèi) 組數(shù) 備注 BMPK 五組 二級(jí)消費(fèi) /取現(xiàn)主密鑰，可用來(lái)分散產(chǎn)生各成員行的消費(fèi) /取現(xiàn)主密鑰 RTK 一組 全 國(guó)密鑰管 理總中 心導(dǎo) 入BMPK 的傳輸密鑰 BAK 一組 二級(jí)機(jī)構(gòu)發(fā)卡母卡外部認(rèn)證密銀行 IC卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案（試行稿） 密鑰管理體系 32 鑰 BTK 一組 二級(jí) 機(jī)構(gòu)導(dǎo)出 BMPK 分散結(jié)果的傳輸密鑰 在二級(jí)機(jī)構(gòu)發(fā)卡母卡的安全審計(jì)信息中應(yīng)增加： ? ADF 激活標(biāo)識(shí)，必須，位于 ADF 區(qū)域，操作條件不可變，格式為 10 個(gè)字節(jié)，前 6 個(gè)字節(jié)是 ISO7812 中定義的發(fā)卡者標(biāo)識(shí)，后四個(gè)字節(jié)是卡片發(fā)行者定義的附加標(biāo)識(shí)符； ? ADF 激活日期，可選，位于 ADF 區(qū)域，操作條件不可變，格式為 8 個(gè)字節(jié)， YYYYMMDD。 二級(jí)機(jī)構(gòu)可以用城市消費(fèi) /取現(xiàn)主密鑰 BMPK 對(duì)各成員銀行的標(biāo)識(shí)（ BandID）進(jìn)行分散，得到各成員行的消費(fèi) /取現(xiàn)主密鑰