3G企业一卡通安全体系介绍

《3G企业一卡通安全体系介绍》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

2中国移动一卡通业务安全体系介绍中国移动通信研究院2009.12重庆联系方式：任晓明（13910032082）renxiaoming@chinamobile.com中国移动一卡通业务（V1.0）技术培训教程 3一卡通系统安全体系介绍密钥体系介绍密钥体系的实施目录一卡通系统安全体系模型卡片安全端到端的交易安全终端机具安全一卡通系统安全体系的特点 4密钥安全：密钥在那里生成、保管，如何保证安全性？密钥如何安全传递给业务平台、企业？一卡通系统中如何安全的存储、使用密钥（业务系统、企业端管理系统）？卡片的安全：如何保证卡片自身的安全？为什么要洗卡？交易安全：如何保证交易流程的安全性，包括门禁、考勤、消费、充值等？企业使用中国移动的服务，如何能够保证企业自身信息的机密性？问题 5一卡通系统安全体系系统安全层网络安全层物理安全层业务安全层基础设施各种威胁/攻击访问控制通信安全可用性安全审计防攻击/病毒密码体系环境安全、媒体安全、设备安全一卡通系统安全体系模型针对一卡通系统纵向划分四个层次、各个层次上提供多种安全功能能够应对一卡通系统所面临的多层次、多维度的网络威胁，在设计上充分保证完整性和可扩展性 6卡片安全--2.4GRFID-SIM卡采用标准加密算法支持128Bit对称密钥支持双向认证采用高安全级别的芯片 7终端机具安全采用标准加密算法支持128Bit对称密钥支持双向认证采用安全芯片或SAM卡存储密钥 8门禁/考勤/POS终端RF-SIM用户卡业务流程安全--端到端安全一卡通业务系统企业端管理系统交易安全（门禁/考勤/脱机消费等）安全通信IDID应用管理安全（写卡器发卡等）应用管理安全（写卡器发卡等）应用管理安全（空中发卡等）移动管理密钥企业管理密钥脱机交易密钥联机交易密钥交易安全（空中充值等）移动管理密钥企业管理密钥联机交易密钥脱机交易密钥交易安全（联机交易等） 9一卡通系统安全体系介绍密钥体系介绍密钥体系的实施目录关于密钥密钥类型定义密钥层次结构密钥功能密钥分布一卡通系统安全体系的特点 10密钥简介输入输出算法128bit密钥 密钥独立性应用独立，如：门禁考勤消费权限独立：移动与企业企业与企业应用与应用功能独立：身份认证传输加密MAC验证统一管理由密钥管理中心对密钥进行统一管理，实现密钥管理规则的统一层次管理降低管理成本体现管理层次，并实现层级之间的权限分离与控制11密钥体系设计原则 12密钥类型定义密钥类型用途移动管理密钥应用管理密钥对一卡通应用做管理和控制空中传输密钥空中通道敏感数据加密空中报文MAC密钥空中通道数据完整性保证企业管理密钥企业主控密钥对本企业一卡通应用数据做管理和控制企业空中传输密钥用于加密企业通过空中传递的敏感信息企业空中报文MAC密钥用于生成企业通过空中传递敏感信息的MAC企业应用密钥身份识别密钥用于门禁、考勤等身份识别类应用刷卡过程的认证联机消费密钥联机交易鉴权密钥对联机交易的鉴权联机交易TAC密钥用于生成联机交易的TAC脱机消费密钥消费密钥用于POS刷卡过程的认证充值密钥用于充值脱机交易TAC密钥用于生成消费相关交易的TAC 13一卡通应用（用户卡）应用管理密钥密钥功能--卡片操作权限控制。。。企业1#管理密钥企业2#管理密钥权限控制权限控制企业1#空间企业2#空间企业1#应用密钥企业2#应用密钥移动空间企业2#管理密钥（新密钥）企业2#管理密钥（新密钥）企业洗卡：替换管理密钥权限控制权限控制企业1#应用密钥（新密钥）企业1#应用密钥（新密钥）企业洗卡：替换应用密钥 14RF-SIM用户卡一卡通业务平台密钥功能–空中报文传输（业务平台<->用户卡）移动报文指令数据 15RF-SIM用户卡一卡通业务平台密钥功能–空中报文传输（企业端管理系统<->业务平台<->用户卡）移动报文企业密文数据。。。企业端管理系统企业报文企业密文数据端到端安全通信。。。 16密钥功能–交易鉴权随机数加密（MAC）验证MAC 17门禁/考勤/POS终端企业端管理系统发卡终端RF-SIM用户卡移动管理密钥企业管理密钥企业应用密钥企业应用密钥初始化终端密钥企业应用密钥移动管理密钥企业管理密钥企业应用密钥企业管理密钥企业应用密钥门禁/考勤/消费刷卡联机交易发卡/充值发管理卡空中通道（发卡、个人化、充值等）一卡通系统的密钥分布一卡通业务系统加密机工作母卡SAM卡发SAM卡移动管理密钥企业管理密钥企业应用密钥其它密钥 18密钥层次结构移动管理省密钥卡片子密钥分散参数：应用序列号子密钥由密管中心写入卡片中移动管理密钥移动管理根密钥一卡通业务系统加密机分散参数：省编码+密钥版本号从密管中心接收移动管理根密钥应用管理 19密钥层次结构企业级密钥分散企业级密钥（企业）分散卡片子密钥通过发卡流程写入卡片子密钥企业管理密钥卡片子密钥分散参数：应用序列号母卡根->省密钥一卡通业务系统加密机分散参数：企业ID+密钥版本号企业级密钥写入母卡 20密钥层次结构企业级密钥（新）分散企业级密钥（企业）分散卡片子密钥通过发卡流程写入卡片子密钥企业管理密钥（二次洗卡）卡片子密钥（新）分散参数：应用序列号母卡根->省密钥一卡通业务系统加密机生成企业级密钥分散卡片子密钥 21密钥层次结构企业级密钥应用级密钥通过发卡流程写入卡片卡片子密钥分散参数：应用序列号母卡根->省密钥一卡通业务系统加密机分散参数：子应用索引号分散参数：企业ID+密钥版本号企业应用密钥（身份/消费等）门禁/考勤/消费终端企业级密钥写入母卡应用级密钥写入终端/SAM卡分散企业级密钥分散应用级密钥分散卡片子密钥 22密钥层次结构企业级密钥（新）应用级密钥（新）通过洗卡流程写入子密钥卡片子密钥（新）分散参数：应用序列号母卡根->省密钥一卡通业务系统加密机分散参数：子应用索引号企业应用密钥（身份/消费等—二次洗卡）门禁/考勤/消费终端应用级密钥写入终端/SAM卡分散企业级密钥分散应用级密钥分散卡片子密钥生成新的企业级密钥分散应用子密钥 23一卡通系统安全体系介绍密钥体系介绍密钥体系的实施目录密钥管理机构与职能密钥管理相关设备密钥传输要求各类卡片的洗卡要求企业端密钥管理操作一卡通系统安全体系的特点 24密钥管理机构与职能 25一卡通密钥管理相关设备介绍SAM卡母卡加密机母卡：用户卡洗卡（密钥替换）、SAM卡/终端密钥装载母卡认证卡：母卡使用的授权工作母卡：向终端中写入应用密钥（采用安全芯片方式存储密钥的终端）脱机交易鉴权（门禁、考勤、消费等应用的双向认证）母卡/SAM卡/用户卡的初始化以及交易过程的加解密服务 26密钥传输–根密钥 密钥传输--企业密钥（母卡本地发卡） 密钥传输--企业密钥（母卡远程发卡） 29洗卡--SIM卡洗卡（全国密钥管理中心） 30洗卡--SIM卡（省密钥管理中心） 31洗卡--IC卡（本地洗卡） 32洗卡--IC卡（省公司远程洗卡） 33洗卡--SAM卡洗卡（本地洗卡） 34洗卡--SAM卡（省公司远程洗卡） 35企业端密钥管理操作--SAM卡发卡应用密钥（如：门禁、考勤、消费等）母卡SAM卡说明：SAM卡发卡一定要由该企业的母卡控制下完成 移动管理密钥一卡通应用初始密钥36企业端密钥管理操作--二次洗卡母卡生成新密钥一卡通应用初始密钥问题1、移动是否可以获取企业的新密钥？移动管理密钥一卡通应用新密钥一卡通应用初始密钥一卡通应用新密钥问题2、卡片在洗卡后是否能够脱离移动的管理和控制？问题3、如果母卡丢失怎么办？ 37SAM卡母卡5、写入新密钥（通过工作母卡）2、写入新密钥洗卡1、获取新母卡/生成新密钥4、恢复初始密钥3、恢复初始密钥（ReloadKey）企业端密钥管理操作--母卡丢失的处理（已洗卡） 38一卡通系统安全体系的特点安全的卡片一卡多企业的安全性企业自管理的安全企业A企业B。。。端到端安全完整的密钥体系 39密钥在那里生成、保管？密钥如何安全传递给业务平台？密钥如何安全传递给企业？一卡通业务系统中如何安全的存储、使用密钥？一卡通企业端管理系统如何安全的存储和使用密钥？如何保证卡片自身的安全？为什么要洗卡？如何保证交易流程的安全性，包括门禁、考勤、消费、充值等？企业使用中国移动的服务，如何能够保证企业自身信息的机密性？同时又能保证移动的管控能力？关键点回顾 40