AFC密钥管理系统方案

1 密钥管理系统设计原则

密钥管理系统的设计将遵循以下原则。

(1) 采用二级密钥管理体制, 即由一级密钥管理中心产生主密钥 (基本密钥) , 并将主密钥传递到二级密钥管理中心, 以实现主密钥的安全共享。

(2) 在充分保证密钥系统安全性的基础上, 支持密钥的生成、注入、导出、备份、恢复、更新、服务等功能, 实现密钥的安全管理。

(3) 在整个密钥系统中, 为保证系统的安全性, 密钥在密钥系统中的传递均要采用安全报文的传输方式, 即密文+MAC的方式。

(4) 密钥系统中, 密钥的操作要受到严格的权限控制。

任何密钥系统的安全性都不可能只靠系统本身实现, 而必须要有强有力的行政管理手段加以配合, 当然某些行政管理手段可以借助密钥管理系统来实现。

2 系统安全机制

安全机制是整个密钥管理系统的核心, 系统中所采用的安全策略要考虑系统整体性, 利用安全策略来制约密钥的使用权限, 在保证安全的基础上, 尽量不使系统过于复杂。以下将详述安全机制的内容。

2.1 一级密钥管理中心主密钥的安全产生

在一级密钥管理中心, 由几方的相关人员分别输入一组或N组种子数, 密钥管理系统通过一种加密算法得到主密钥。而密钥种子则以密钥卡 (A卡和B卡) 或密码信封的形式由各方安全保管。以备将来更新或恢复主密钥时使用。加密算法的选择由一级密钥管理中心决定。

2.2 以安全报文传输的方式进行密钥传递

在密钥管理系统中, 密钥的导入、导出要采用安全报文传输的方式, 密钥卡中用于主密钥导入、导出的密钥可以不同, 以提高密钥传递的安全性。

2.3 主密钥卡和主密钥卡控制卡配合使用

用主密钥卡控制卡对主密钥卡进行外部认证, 只有外部认证成功后, 主密钥卡才能被正常使用。因此主密钥卡和主密钥控制卡的分别严格保管, 也是保证密钥系统安全性十分重要的因素。

2.4 不同用途 (读和写) 的主密钥存放在主密钥卡中不同的专用文件下

主密钥卡中针对不同的用途, 将建立不同的专用文件 (DF) , 不同用途的主密钥将保存在相应的DF下, 每一个DF下都有自己的导入、导出密钥, 即不同应用的主密钥的导入、导出密钥也可以不相同。

2.5 通过限制主密钥的用途来控制主密钥的使用

主密钥导入到母卡时, 要设置密钥的用途, 即设置主密钥只能用于分散, 或只能用于导出, 或即可以分散也可以导出, 密钥系统以此来限制主密钥的使用, 进一步提高系统的安全性。

2.6 利用密钥卡提供的计数器功能限制主密钥的使用次数

主密钥在载入密钥卡时, 可以设定此密钥的最多使用次数, 当密钥被成功使用后, 密钥卡内部系统将会自动修改整个密钥的计数器信息。系统可以读取每一个主密钥的使用次数, 以此作为审计信息。

2.7 SAM卡洗卡和传递

一级密钥管理中心对所有待下发的SAM卡进行统一洗卡, 并将主密钥装载到SAM卡中, 然后和SAM外部认证卡一起传递给二级密钥管理中心。而二级密钥管理中心接收从一级密钥管理中心下传的SAM卡和SAM外部认证卡, 进行二次发卡或直接使用。

2.8 密钥存储和备份

密钥管理系统中密钥的采用密钥卡形式存储, 而采用密钥卡和密码信封的形式进行密钥备份。

3 密钥管理方式的实现

3.1 密钥系统的管理

管理对于一套安全系统的实施是至关重要的, 管理的问题往往是造成系统不安全的根源, 有着完善、严格的管理措施的安全系统会比完全依靠建立庞大、复杂计算机系统更加有效和安全。

密钥系统的管理方式可采用如下的一些方式。

(1) 密钥管理系统要有独立的部门进行管理, 负责安全管理策略的制定、实现, 监督管理办法的贯彻、执行, 并定期进行安全审计。

(2) 对于管理系统的操作, 应做到:专人负责、相互制约、定期轮换。密钥管理系统的管理员和操作员不能是一个人。

(3) 系统的管理要落实到文档, 对密钥系统的所有操作, 要有文字记录, 并存档备案, 便于监控和审计。

(4) 要制定应付突发事件的措施。

4 卡片的管理

卡片的管理, 在密钥管理系统中也是非常重要的环节, 会直接影响系统的安全性。密钥管理系统中有六大类卡片:主密钥卡、主密钥控制卡、SAM卡、管理卡、操作员卡和用户票卡。操作员卡属于管理卡中的一种。

4.1 主密钥卡和SA M卡的管理

(1) 各级主密钥卡和相匹配的控制卡由各级密钥管理中心管理。各级密钥管理中心对主密钥卡、SAM卡及控制卡, 要建立一套严格而完备的管理办法, 并交由上级管理单位审查。

(2) 主密钥卡和SAM卡的制作、使用等, 必须要有严格的备案, 记录操作的目的、时间、地点、有关人员等信息。

(3) 下一级的密钥管理中心需要发卡时, 要向上一级密钥管理中心申请, 上级密钥管理中心按要求制作。

(4) 主密钥卡/SAM卡及其控制卡分别保存在专用的保险库房或保险柜中, 而且必须分别由专人保管, 对于其使用要进行资格和权限的审查, 并登记备案。

(5) 主密钥卡/SAM卡向下传递时, 必须与其控制卡分开传递, 其运输过程应视同现金押运。

4.2 管理卡的管理

(1) 管理卡的发行和管理由相应的发卡方负责。

(2) 管理中心根据业务需要, 对工作人员分别设定相应的权限, 做好相关资料的备份管理, 人员和卡、设备、SAM卡对应, 由发卡中心进行备案。

(3) 不同权限的管理卡申领的办法不同, 管理中心对管理卡的申领也要有严格完整的记录。

(4) 几种类型的管理卡可以由卡号, 及卡片内的卡类型标识来区分, 这几种卡在使用上也不尽相同。

(5) 发卡系统的使用也要有进行备案, 必要时可以输出系统中的日志文件, 便于监控。

5 主密钥生成流程

如图1所示。

流程图说明

(1) 创建A、B卡、母卡认证卡、发卡母卡的文件结构。可以通过A、B码单恢复A卡和B卡。

(2) 输入A、B码, 并生成多组临时密钥分别写入A、B卡。

(3) 利用A、B卡, 将A、B码进行合成运算生成发卡母卡。

(4) 利用A、B卡, 将A、B码合成运算生成母卡认证。

6 结语

随着我国城市轨道交通工程建设处于大规模、高速度、超常规、跨越式大建设时期, AFC密钥管理系统在地铁上的应用越来越广泛, 要提高密钥管理的效率、增强密钥系统安全性、降低成本、减小系统维护难度, 密钥管理系统的建立势在必行。本文从AFC密钥管理系统的体系结构入手, 结合密钥管理功能的需求, 给出了具体的解决方案, 对AFC密钥管理系统的建立有着一定的现实意义。

摘要：密钥系统是AFC系统的安全控制核心, 其能够保证系统的安全和票卡的安全使用。密钥的安全控制和管理是整个地铁票卡系统安全的关键, 密钥管理系统的安全性将直接影响整个系统的安全。本方案采用二级密钥管理体制, 即由总中心做为一级密钥管理中心, 各条线路运营商作为二级密钥管理中心, 这样的二层次的密钥管理中心将统一进行密钥的生成、分发和管理, 通过密钥管理系统使得票卡应用达到统一、安全管理的目的。

关键词：安全,密钥系统,密钥管理