1 密钥管理系统设计原则
密钥管理系统的设计将遵循以下原则。
(1) 采用二级密钥管理体制, 即由一级密钥管理中心产生主密钥 (基本密钥) , 并将主密钥传递到二级密钥管理中心, 以实现主密钥的安全共享。
(2) 在充分保证密钥系统安全性的基础上, 支持密钥的生成、注入、导出、备份、恢复、更新、服务等功能, 实现密钥的安全管理。
(3) 在整个密钥系统中, 为保证系统的安全性, 密钥在密钥系统中的传递均要采用安全报文的传输方式, 即密文+MAC的方式。
(4) 密钥系统中, 密钥的操作要受到严格的权限控制。
任何密钥系统的安全性都不可能只靠系统本身实现, 而必须要有强有力的行政管理手段加以配合, 当然某些行政管理手段可以借助密钥管理系统来实现。
2 系统安全机制
安全机制是整个密钥管理系统的核心, 系统中所采用的安全策略要考虑系统整体性, 利用安全策略来制约密钥的使用权限, 在保证安全的基础上, 尽量不使系统过于复杂。以下将详述安全机制的内容。
2.1 一级密钥管理中心主密钥的安全产生
在一级密钥管理中心, 由几方的相关人员分别输入一组或N组种子数, 密钥管理系统通过一种加密算法得到主密钥。而密钥种子则以密钥卡 (A卡和B卡) 或密码信封的形式由各方安全保管。以备将来更新或恢复主密钥时使用。加密算法的选择由一级密钥管理中心决定。
2.2 以安全报文传输的方式进行密钥传递
在密钥管理系统中, 密钥的导入、导出要采用安全报文传输的方式, 密钥卡中用于主密钥导入、导出的密钥可以不同, 以提高密钥传递的安全性。
2.3 主密钥卡和主密钥卡控制卡配合使用
用主密钥卡控制卡对主密钥卡进行外部认证, 只有外部认证成功后, 主密钥卡才能被正常使用。因此主密钥卡和主密钥控制卡的分别严格保管, 也是保证密钥系统安全性十分重要的因素。
2.4 不同用途 (读和写) 的主密钥存放在主密钥卡中不同的专用文件下
主密钥卡中针对不同的用途, 将建立不同的专用文件 (DF) , 不同用途的主密钥将保存在相应的DF下, 每一个DF下都有自己的导入、导出密钥, 即不同应用的主密钥的导入、导出密钥也可以不相同。
2.5 通过限制主密钥的用途来控制主密钥的使用
主密钥导入到母卡时, 要设置密钥的用途, 即设置主密钥只能用于分散, 或只能用于导出, 或即可以分散也可以导出, 密钥系统以此来限制主密钥的使用, 进一步提高系统的安全性。
2.6 利用密钥卡提供的计数器功能限制主密钥的使用次数
主密钥在载入密钥卡时, 可以设定此密钥的最多使用次数, 当密钥被成功使用后, 密钥卡内部系统将会自动修改整个密钥的计数器信息。系统可以读取每一个主密钥的使用次数, 以此作为审计信息。
2.7 SAM卡洗卡和传递
一级密钥管理中心对所有待下发的SAM卡进行统一洗卡, 并将主密钥装载到SAM卡中, 然后和SAM外部认证卡一起传递给二级密钥管理中心。而二级密钥管理中心接收从一级密钥管理中心下传的SAM卡和SAM外部认证卡, 进行二次发卡或直接使用。
2.8 密钥存储和备份
密钥管理系统中密钥的采用密钥卡形式存储, 而采用密钥卡和密码信封的形式进行密钥备份。
3 密钥管理方式的实现
3.1 密钥系统的管理
管理对于一套安全系统的实施是至关重要的, 管理的问题往往是造成系统不安全的根源, 有着完善、严格的管理措施的安全系统会比完全依靠建立庞大、复杂计算机系统更加有效和安全。
密钥系统的管理方式可采用如下的一些方式。
(1) 密钥管理系统要有独立的部门进行管理, 负责安全管理策略的制定、实现, 监督管理办法的贯彻、执行, 并定期进行安全审计。
(2) 对于管理系统的操作, 应做到:专人负责、相互制约、定期轮换。密钥管理系统的管理员和操作员不能是一个人。
(3) 系统的管理要落实到文档, 对密钥系统的所有操作, 要有文字记录, 并存档备案, 便于监控和审计。
(4) 要制定应付突发事件的措施。
4 卡片的管理
卡片的管理, 在密钥管理系统中也是非常重要的环节, 会直接影响系统的安全性。密钥管理系统中有六大类卡片:主密钥卡、主密钥控制卡、SAM卡、管理卡、操作员卡和用户票卡。操作员卡属于管理卡中的一种。
4.1 主密钥卡和SA M卡的管理
(1) 各级主密钥卡和相匹配的控制卡由各级密钥管理中心管理。各级密钥管理中心对主密钥卡、SAM卡及控制卡, 要建立一套严格而完备的管理办法, 并交由上级管理单位审查。
(2) 主密钥卡和SAM卡的制作、使用等, 必须要有严格的备案, 记录操作的目的、时间、地点、有关人员等信息。
(3) 下一级的密钥管理中心需要发卡时, 要向上一级密钥管理中心申请, 上级密钥管理中心按要求制作。
(4) 主密钥卡/SAM卡及其控制卡分别保存在专用的保险库房或保险柜中, 而且必须分别由专人保管, 对于其使用要进行资格和权限的审查, 并登记备案。
(5) 主密钥卡/SAM卡向下传递时, 必须与其控制卡分开传递, 其运输过程应视同现金押运。
4.2 管理卡的管理
(1) 管理卡的发行和管理由相应的发卡方负责。
(2) 管理中心根据业务需要, 对工作人员分别设定相应的权限, 做好相关资料的备份管理, 人员和卡、设备、SAM卡对应, 由发卡中心进行备案。
(3) 不同权限的管理卡申领的办法不同, 管理中心对管理卡的申领也要有严格完整的记录。
(4) 几种类型的管理卡可以由卡号, 及卡片内的卡类型标识来区分, 这几种卡在使用上也不尽相同。
(5) 发卡系统的使用也要有进行备案, 必要时可以输出系统中的日志文件, 便于监控。
5 主密钥生成流程
如图1所示。
流程图说明
(1) 创建A、B卡、母卡认证卡、发卡母卡的文件结构。可以通过A、B码单恢复A卡和B卡。
(2) 输入A、B码, 并生成多组临时密钥分别写入A、B卡。
(3) 利用A、B卡, 将A、B码进行合成运算生成发卡母卡。
(4) 利用A、B卡, 将A、B码合成运算生成母卡认证。
6 结语
随着我国城市轨道交通工程建设处于大规模、高速度、超常规、跨越式大建设时期, AFC密钥管理系统在地铁上的应用越来越广泛, 要提高密钥管理的效率、增强密钥系统安全性、降低成本、减小系统维护难度, 密钥管理系统的建立势在必行。本文从AFC密钥管理系统的体系结构入手, 结合密钥管理功能的需求, 给出了具体的解决方案, 对AFC密钥管理系统的建立有着一定的现实意义。
摘要:密钥系统是AFC系统的安全控制核心, 其能够保证系统的安全和票卡的安全使用。密钥的安全控制和管理是整个地铁票卡系统安全的关键, 密钥管理系统的安全性将直接影响整个系统的安全。本方案采用二级密钥管理体制, 即由总中心做为一级密钥管理中心, 各条线路运营商作为二级密钥管理中心, 这样的二层次的密钥管理中心将统一进行密钥的生成、分发和管理, 通过密钥管理系统使得票卡应用达到统一、安全管理的目的。
关键词:安全,密钥系统,密钥管理
【AFC密钥管理系统方案】相关文章:
刀片加密服务器的密钥的管理09-10
基于XML的密钥管理规范研究01-02
河南省社会保障(个人)卡密钥管理办法05-27
轨道交通AFC论文题目05-05
城市轨道交通AFC论文题目05-08
密钥交换和认证协议04-24
win81含必应激活密钥06-17
云计算环境下密钥协商协议的应用与改进09-11
酒店管理系统方案05-14
银行管理系统方案05-20