返回
密钥管理系统(KMS)技术白皮书.doc

密钥管理系统(KMS)技术白皮书.doc

ID:35748440

大小:3.35 MB

页数:29页

时间:2019-04-16

密钥管理系统(KMS)技术白皮书.doc_第1页
密钥管理系统(KMS)技术白皮书.doc_第2页
密钥管理系统(KMS)技术白皮书.doc_第3页
密钥管理系统(KMS)技术白皮书.doc_第4页
密钥管理系统(KMS)技术白皮书.doc_第5页
资源描述:

《密钥管理系统(KMS)技术白皮书.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、密钥管理系统(KMS)技术白皮书北京趋势恒信科技有限公司联系方式:010-821765822011年1月目录1前言12基本术语23系统概述及组成33.1系统概述33.2硬件组成43.3内部原理64系统部署84.1集中式部署示意图84.2分布式部署示意图85系统功能125.1授权管理125.2密钥安全方案135.3密钥管理145.4IC卡发卡管理165.5业务系统配置165.6密码机设备管理175.7密钥传输介质管理175.8系统管理186系统特点206.1业务密钥方案设计206.2密钥档案206.3密钥到期预警

2、管理206.4密钥方案的实施平台216.5操作安全控制机制216.6基于对象的设计226.7制卡的多样化226.8支持密码机分组和双机热备227系统符合规范248操作环境258.1硬件258.2软件259应用案例261前言随着金融业务的迅速发展,目前各大银行发行了大量的借记卡、贷记卡、准贷记卡等各类以磁条为载体的金融交易卡,然而随着发卡量的进一步增大、应用环境的复杂化,导致对于业务覆盖面的更多支持、安全性的高要求也逐渐成为银行建设考虑的重点。目前,建设部、交通部、社保等均在推广公交一卡通、跨区域/跨地区缴费、市

3、民一卡通等新的应用,而这些行业由于其应用环境等原因,均是采用IC智能卡为载体的金融交易卡。同时,IC智能卡本身的设计特点,无论在安全性上,还是在业务支持覆盖面上均优于目前的磁条卡,因此也是未来金融行业发卡的趋势,且是国际支付卡标准、安全组织等推荐的主要原因。作为基于IC智能卡为载体的借、贷记卡,其安全的核心是密钥管理,因此密钥管理系统是保障卡片安全、交易安全、管理安全的核心系统,是业务开展的的前提。1基本术语²密钥管理系统:密钥管理系统又称为密钥管理中心,简称KMS(KeyManageSystem)。KMS是我

4、们公司基于银行、移动、电信等各种机构对密钥管理的安全需求,以及多年的数据安全设计经验,自主开发设计的密钥管理系统,满足各类机构密钥管理的安全需求,同时支持IC卡的发卡。1系统概述及组成1.1系统概述密钥管理系统是一套软件系统,从密钥使用的角度对业务系统中的各种密钥进行管理,关键算法运算和操作通过硬件密码设备来实现。密钥管理系统主要功能是为业务系统提供密钥管理与服务功能,可以广泛应用于移动支付、电信、银行、社保、公交等相关电子支付计算机网络系统中。该产品借鉴了国内外同类产品设计的先进思想,采用配置化管理,满足用户

5、多应用多业务密钥管理需求,并且具有良好的人机管理操作界面。在安全管理上,具有完善的人员认证、安全控制、运维监控及审计机制,并且支持双机热备工作模式,大大增强了系统的可靠性。在应用功能上,支持EMV/PBOC2.0标准银行贷记卡/借记卡、电子钱包等在密钥产生、传输、发卡、密钥更新等方面的密钥管理与服务需求,可以作为独立的密钥管理中心使用,也可以与数据准备系统、发卡系统等业务系统连接支持相关密钥管理服务。1.1硬件组成图3-1硬件组成图密钥管理系统的产品组成如图3-1所示,客户端安装界面软件,通过读卡器或发卡设备发

6、IC卡,通过密钥传输介质分发密钥。服务器通过密码机进行安全密码算法运算,通过与密码机相连的打印机打印密码信封。终端通过交易报文从服务器申请终端密钥,数据准备系统通过交易向服务器申请IC卡密钥,密钥库存放在服务器中,通过交易报文自动将密钥同步到密码平台。其中硬件的意义说明如下。l必选硬件:Ø客户端:用户操作终端,安装界面软件,用户可通过客户端的界面进行各种系统管理和密钥管理操作。Ø服务器:安装核心软件,完成各种核心功能,可通过客户端界面软件访问,也可通过核心软件的API访问。Ø密码机:主要负责完成各种安全算法运算

7、,密码机内可保存部分密钥。Ø密码机管理终端:该终端通过串口与密码机相连,通过密码机管理终端完成密码机的管理,包括密码机配置和密钥管理功能。Ø密码机管理卡:对密码机进行管理时,必须同时插入密码机的管理卡,用于对管理人员的操作权限进行认证。Ø密码机密钥卡:主要用于备份密码机中存储的密钥,必要时可将密钥卡中备份的密钥恢复到密码机中。Ø认证卡:用于用户登录密钥管理系统时进行身份认证,其中存放用户认证密钥。Ø读卡器:读/写IC卡的硬件设备,客户端只有通过读卡器才能读/写IC卡。l可选硬件:Ø密函打印机:针式打印机,用于打

8、印密码信封或密钥信封。Ø用户卡:个人用户持有的IC卡,可通过支持IC卡的终端设备进行交易。发卡时客户端通过读卡器写入密钥,保存在用户卡中。Øpsam卡:保存交易中用到的各种密钥,在受理终端使用,在应用上可作为后台的代理。发卡时客户端通过读卡器写入密钥,保存在psam卡中。Ø终端安全模块:用于终端安全处理的硬件设备,包括客户端密钥的保存和安全算法运算。Ø密钥传输介质:主要用于在密钥传输过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。