居民健康IC卡密钥管理系统方案
概述
居民健康卡采用IC卡技术,在居民健康卡及涉及的相关业务中,密码技术是保障业务数据的安全的基础手段。卡片的制作、管理及应用系统的业务流程都需要密码技术的支撑。
居民健康卡数据安全保障系统由密钥、加密算法、加密设备、密钥服务、管理系统软件组成。
密钥管理系统负责卡片级密钥、管理密钥、消费密钥、第三方合作机构密钥接入的管理,是居民健康卡的核心系统,和应用系统一起构成居民健康卡卡系统的安全保障体系。密钥管理系统需要为应用系统以及数量巨大卡片的制作、管理提供有效的支持,完善、可控的密钥管理体系是保障居民健康卡项目合规、安全、发展的重要组成部分。
建设方案
本方案采用江南科友“密钥管理系统”为基础的安全技术,提供各业务系统的密钥管理、安全计算支持,完善居民健康卡系统的安全保障体系。
密钥管理系统提供如下功能:
负责完成PBOC2.0 标准的发卡机构证书的申请、管理等;
负责IC卡应用相关的密钥(包括应用密钥、卡片个人化交换主密钥等)管理;
负责分发各类密钥到卡片制造商、卡片个人化中心及业务前置交易加密机等;
对于对称、非对称密钥体系的各种密钥管理;
其它与密钥管理相关的功能需求,如密钥操作审计,密钥操作权限限制的等功能。
密钥系统中密钥间的层次关系见如下图。
在居民健康卡业务系统中,江南科友“密钥管理系统”支持卫生部支持的CA系统,且可以实现居民健康卡中涉及的各种密钥的管理。
密钥管理系统逻辑架构
{$page$}
如图所示,密钥管理系统主要包括管理服务器软件、核心服务软件、管理界面软件、API四个软件模块。
密钥管理系统主要完成如下工作:
多版本的密钥管理功能,保证密钥版本在整个生命周期内产生、存储、更新、传输、使用、销毁的正确性和安全性;
审计密钥管理操作、配置管理操作等;
管理发卡机构的密钥、证书数据。包括IC卡根密钥的产生及存储、发卡机构RSA对生成及存储、发卡机构证书申请及存储、根CA公钥文件下载及存储等;
管理IC卡卡片密钥、证书数据。包括IC卡交易主密钥生成、IC卡RSA对生成、签发IC卡证书、签名IC卡静态应用数据等;
管理发卡机构IC卡交易主密钥分发。包括MDKs密钥向加密服务系统分发等;管理根CA公钥文件向终端的分发。包括根CA公钥文件的下载等。
产品及技术
密钥管理系统KMS
“密钥管理系统”,是广州江南科友科技股份有限公司基于银行、移动、电信、卫生等各种机构对密钥管理的安全需求,以及多年的数据安全设计经验,自主开发设计的安全密钥管理系统,满足各种机构密钥管理的安全需求,并支持各种安全介质管理、发行和业务处理。
“密钥管理系统”主要功能是为服务系统提供密钥管理与服务功能,可以广泛应用于卫生、银行、移动、电信、社保、交通等多个行业的电子计算机网络系统中。该产品借鉴了国内外同类产品设计的先进思想,采用配置化管理,满足用户多应用多业务密钥管理需求,并且具有良好的人机管理操作界面。在安全管理上,具有完善的人员认证、安全控制、运维监控及审计机制,并且支持双机热备工作模式,大大增强了系统的可靠性。
该系统是一套软件系统,以安全硬件密码设备为支撑,从密钥使用的角度对业务系统中的各种密钥进行管理,关键算法运算和操作通过安全硬件密码设备来实现,安全性得到保障。
应用该产品可以帮助客户快速构建一套安全、自动、高效的密钥管理体系,大大提高应用系统的安全性,这对于维护国家和客户利益,保守信息秘密,防止各种信息犯罪,具有十分重要的意义。
密钥管理中心是安全服务的基础平台,密码设备只是密码算法提供者,而应用只是平台的服务对象,密钥管理中心不与任何设备型号或应用类型绑定,具备设备无关性和应用无关性两大特点。
通过密钥集中管理与维护,设计、实施、管理操作的标准化等手段,可以有效降低安全管理成本。
通过密钥集中管理,可以将各业务系统如用户密钥、设备密钥、卡片米啊哟等关键密钥的产生、分发、处理、存储以及销毁等生命周期的各个环节进行集中安全管理,将密钥、设备、口令的安全管理流程化、制度化,提升整体安全性。
由于密钥管理系统在IC卡应用系统中至关重要的安全核心作用,对该系统的研发、生产和销售的全过程需要严格遵循《商用密码管理条例》,具体要求包括以下几点:
密钥管理系统(包括相关的软硬件平台)需要经过国家密码管理局的认证;
密钥管理系统使用经国家密码管理局审定通过的算法实现密钥的生成、分散、传输等密钥管理功能;
上述算法的实现使用经国家密码管理局审定通过的硬件加密设备(包括加密卡、加密机、IC卡等);
系统采用合理的安全性设计,确保密钥在生成、存储、传输、使用等环节的安全;
密钥管理加密机禁止提供通过网络导出密钥的功能;
加密机中的密钥任何时候都不以明文形式传输到加密机之外。
江南科友
广州江南科友科技股份有限公司(以下简称“江南科友”)成立于1991年,注册资本3100万元人民币,注册经营地为广州市天河高新技术产业开发区工业园。
江南科友专注于金融领域的信息安全,业务覆盖全国,四大国有银行以及几乎所有全国性股份制商业银行都采用了江南科友提供的安全产品或服务。公司司长期关注行业发展方向,不断开发新的产品和服务项目,特别是整合多年专业经验推出的“密码服务平台”、“运维审计服务”等产品,创造性地解决了客户所关心的问题,获得了客户的高度认同。