密钥管理系统概述
密钥管理系统由部门级密钥系统和城市级密钥系统组成。 二级密钥系统根据不同的侧重点分别生成不同用途的APP应用密钥。 在部级密钥系统和城市级密钥系统之间通过密钥父卡或硬件密码机传递密钥。 密钥管理系统应当具备根密钥备份机制和密钥一旦泄露后密钥紧急更新机制,密钥发生后的转移、复制、分布式等环节一般通过密码机或智能IC卡进行,保证密钥安全。
密钥管理系统是各商业银行金融IC卡的联合试点,各级银行对密钥的安全控制和管理是应用系统安全的关键。 密钥管理系统采用3DES加密算法,运用中国人民银行总行、人民银行地区分行(商业银行总行)、成员银行三级管理体制,在安全共享公钥的情况下,实现卡的互通、机的共享。 在各商业银行金融IC卡联合测试中,各级银行对密钥的安全控制和管理是应用系统安全的关键。
密钥管理系统体系结构
密钥系统是社会保障(个人)卡的安全基础和保障,其架构是多层的,数据源也很复杂。 因此,该软件的一部分为用户提供透明的服务,用户即使不知道密钥的具体生成细节和物理地址,也能够使用软件简单地进行适当的操作,能够根据用户的需要完成适当的业务功能
由于系统必须使用专用硬件(加密器、读卡器等),因此软件还必须提供这些硬件的设置和通信操作。 的具体功能划分和功能要求见下图和说明。
1 .省级新密钥管理:管理省级密钥分布因子,生成省级种子密钥卡。
2 .部级密钥引进:读取国家劳动和社会保障部提供的密钥,引进省级密码机。
3 .地市密钥分散:将国家级、省级密钥分散到市级密钥系统。
4.PSAM卡管理: PSAM卡资料管理,PSAM卡制作。
5 .操作员管理:管理操作员资料和操作员权限。
6 .系统参数设置:设置接口参数(加密器地址、发卡机连接方式等)。
与密钥管理系统相关的专用必需硬件如下。 1台密码机(必须符合社会保障标准),用于保管钥匙; 一个读卡器(至少双层)用于读写用户卡或PSAM卡。
由于密钥管理的高安全要求,密钥管理软件必须安装在专用PC上,并与系统的其他部分分开运行。 为了备份密钥数据,密钥管理软件必须安装和使用OraclePersonal、SQLServerDesktop和ACCESS等数据库。
密钥管理设计原则
1 )除非密码位于足够安全的密码设备中,否则密码不会以明文存储。 手动分发的密钥必须以密钥成分的方式存储在不同的多个可信实体中,不能以明文形式直接由单个实体掌握,并且对密码设备的任何操作不能以明文形式将密钥移出密码设备。
2 )保证密钥分离性,在不同的通信实体之间使用不同的密钥,并且这些密钥不应存在相关性。 也就是说,即使一对通信实体之间的安全通信出现问题,也不应该引起另一个实体之间的安全通信,包括这四个实体中的两个实体相同。
3 )密钥必须具有一定的备份机制,如果系统出现故障而丢失密钥,则对密钥备份的回复应该能够确保系统是可修复的,但密钥备份不应该降低密钥管理的安全性。
4 )密钥必须有有效期。 旧密钥过期时,需要及时进行密钥交换。 同时,新密钥安全和老密钥安全应该分开。 即,即使旧密钥泄漏也不应该对新密钥的安全性产生问题。
5、密钥管理需要层次性。
网络要求用于计算每次交易的PIN秘密. MAC和加密其他信息的密钥互不相同,一次加密一次。 为了保证事务的连续性,这些密钥必须由一个实体生成,并安全地传输到其他通信实体。 因此,通信伙伴需要共享一个加密密钥(KEK )来加密上述各种工作密钥。 KEK不能通过网络传输。 可以通过在使用系统之前加载或两个实体分别生成相同的密钥作为KEK来解决会话密钥传输问题。
在网络中,商户、发行银行都需要与多个实体安全地通信,为此,系统需要大量密钥(会话密钥和KEK ),这些密钥无法全部存储在安全的加密装置中,因此将这些密钥保存在安全的加密装置中
一级)存储在MFK、主密钥、密钥伪装中,用于加密KEK和SK并存储在密码伪装之外。
2级)用于KEK、密钥加密密钥和SK的加密传输,每对通信实体都有相同的KEK。
3级)用于SK、会话密钥、PIN加密、生成MAC、验证MAC等。
6 .键和键属性
KEK和SK具有用于功能隔离和合法性检查的密钥属性,以提高系统的逻辑安全。 键的属性包含键的层次结构。 识别KEK或SK。 有效次数.使用MFK序列号。 密钥的用途和密钥检查值等内容、密钥属性与密钥一起使用,密码装置根据密钥属性检查密钥使用的合法性。 抑制钥匙的误用。 密钥检查值是通过相应的密钥值和属性在MFK加密下生成的。 密钥属性仅存储在相应密钥的明文和主机上,仅用于主机的安全密码设备,不进行传输。
智能卡密钥管理系统介绍
该体制完全支持《中国金融IC卡规范v1.0》,具体如下
1、IC卡电子钱包和电子存折消费。 取现。 余额检查功能全国通用,采用离线交易方式。
2、I
C卡的圈存。圈提功能全国通用,但采用联机交易方式,借助龙卡网络实现。3、IC卡PIN的改密。解锁等其他功能仅在发卡行受理。
智能卡密钥管理系统功能:
在充分保证密钥安全性的基础上,支持IC卡联合试点密钥的生成。导出。注入。备份。恢复。更新。服务等功能,实现密钥的安全管理。
智能卡密钥管理系统结构:
该体制分为两个部分:在总行建立“总行密钥管理系统(KMS/HQ)”,在各分行(发卡行)建立“分行密钥管理系统(KMS/IB)”和“分行发卡系统(PERSO/IB)”。见图一;
图一
为实现“集中-分布”式密钥管理制度,商业银行总行。各分行以及卡片制造商三者之间的工作流程为:见图二。
图二
TDE密钥管理架构
TDE密钥管理架构图
部署步骤
由于TDE对于现有的应用程序代码(数据库触发器和试图不需要)是透明的,相比传统的API加密解决方案而言,这种加密加密过程更加简单。以下是应用TDE的步骤:
1.初始化万能密钥
2.鉴定需要加密的敏感数据(PII数据和信用卡数据等)
3.明确TDE支持的数据类型并检查外键使用方法
4.使用TDE加密敏感数据
初始化万能密钥
每个数据库都有其特有的万能密钥,然而,任何万能密钥都可以被复制到一个次级数据库,只要该万能密钥以前没有建立在这个次级数据库上,并且要在任何应用表格可以被加密之前。初始化万能密钥的语句如下:SQL》altersystemsetkeyidenTIfiedby“password”。
这个命令能够创建一个wallet并使用密码加密该wallet,根据PKCS#5标准的建议。OracleWallet存储在过期万能加密密钥库中,当需要从备份磁盘读取使用旧密钥加密的数据时则取出这些过期密钥。
打开OracleWallet
包含万能加密密钥的wallet必须在数据库可以解密表密钥来加密或解密应用数据前被打开,因为数据库可以在不打开wallet的情况下启动和运行,然而,试图访问加密数据将会返回一个错误。在维护运行期间关闭wallet是很有用的,此时访问数据库必须是授权的人。
更改万能密钥
可以通过再次发出改变系统命令来更改万能密钥:
SQL》altersystemsetkeyidenTIfiedby“password”;
更改万能密钥将需要重新加密Oracle数据字典中所有的表密钥,PCI数据安全标准(DSS)1.1要求“经常更新加密密钥,至少一年一次”。更改万能密钥将需要使用新的万能加密密钥重新加密列密钥,不能触碰加密数据。
更改wallet密码
Wallet密码可以独立于万能加密密钥进行更改,它仅用于加密磁盘中的wallet文件,更改密码时可以使用OracleWalletManager或者“orapki”命令。
鉴别敏感数据
鉴别PII相关的数据(如社保号码和信用卡)不是易事,特别是在复杂的应用程序中,其中一个有效的技巧就是搜索Oracle数据字典中经常被用来存储这些信息的列名称或者数据类型。命令如下:
SQL》selectcolumn_name,table_name,data_typefrom
dba_tab_colswherecolumn_namelike‘%SOCIAL%’or
column_namelike‘%SSN%’orcolumn_namelike‘%SECNUM%’or
column_namelike“%SOC%‘andowner=’‘;