密钥安全管理办法.docx

1、密钥安全管理办法密钥安全管理办法第一章 概述第一节 内容简介“一切秘密寓于密钥之中”，密钥管理是设计安全的密码系统所必须考虑的重要问题，数据加密、验证和签名等需要管理大量的密钥，这些密钥经加密后以密文形式发送给合法用户。本办法参考国际组织有关密钥管理的知识、经验和相关标准编写。在结构上分为概述、密钥生命周期安全管理、设备安全管理、管理规定和辅导检查等章节,提出密钥生命周期中各环节的详细操作流程和具体做法。本办法基于现有技术规范，尽可能地兼顾应用与维护的方便性，在最大程度上确保安全，体现适当的规定、适当的投入保证相对安全，但不可能完全避，力求整体提升密钥安全管理水平。第二节 运用概述1. 密钥体

2、系与安全级别按照使用范围和实际应用的不同，密钥划分为不同体系或类别，每个体系或类别都具有相应的功能与特点，须遵循不同的标准与要求。 的密钥根据实际使用情况划分成三层，三层密钥体系根据密钥的使用对象而形成，上层对下层提供保护和一定的维护功能，不同层的密钥不相同，且不能相互共享。加密机主密钥（MK），即本地主密钥是最重要的密钥，施行最高级别或最严格的管理。成员机构主密钥（MMK）或终端主密钥（TMK）在硬件加密机以外的系统中存放和使用，处于本地MK的保护之下。由于成员机构主密钥是参与交易双方机构共同生成且各自保存（或因地域原因交易机构完整持有成员主密钥组件），因此安全性存在互动、相互影响，同时更新

3、频率较低，因此是最有可能被泄漏和攻击的密钥，需要相关方的共同维护与重视。工作密钥为最底层的密钥，因其数量庞大，需要用一定的管理设备（如终端密钥注入设备）加以辅助（详见第三章有关叙述）来确保安全。2. 密钥生命周期的安全管理包括密钥的生成、传输、注入、保管、泄漏与重置、删除与销毁等内容。其任务就是在整个生命周期内严格控制密钥的使用，直到它们被销毁为止，并确保密钥在各个阶段或环节都不会出现任何纰漏。1) 密钥生成 密钥采用人工产生或加密机产生密钥的方式，人工生成密钥成分时，将密钥分成不同的成分，每个密钥成分由不同的人员生成，采用数字和字母随机组合，并于密钥注入前规定时间内完成；加密机产生密钥时，由

4、加密机生成导出。密钥生成后，在硬件加密设备外部的明文形式由三段密钥组件构成。2) 密钥传输密钥在传输时采用双重控制和分裂学，分为三段组件，传输的方式采用多种传输渠道和不同传输时间的方法。传输时存放密钥组件的介质为IC卡，每张IC卡只存放一段密钥组件。不存在传输完整密钥的情况。3) 密钥注入加密机主密钥、区域主密钥、成员机构主密钥，采用人工键入方式注入密钥组件的明文，且每段密钥组件由指定不同的密钥注入员注入。终端密钥注入，是由加密机生成密钥导出后，灌入母终端，再从母终端导入到其他终端。工作密钥、终端MAC密钥是在终端进行签到时，已密文的方式进行传输，保存在终端里。4) 密钥保管对于密钥组件的存储

5、，坚持三个原则：最小化、认可化和高安全性。最小化：由指定专人负责保管密钥组件，且不同成分的密钥组件由不同人员保管；认可化：密钥组件存放在封条封装的信封内，只有指定的密钥管理员可以拆分信封；高安全性：封装密钥的信封存放在不同的保险箱内，指定的密钥保管员才有保险箱的密码和钥匙。对于密钥注入设备，设有专人进行配置和维护，密钥保管员无权限开启和操作硬件加密机。5) 密钥泄漏与重置除密钥泄漏或可能泄漏外，加密机主密钥（MK）一般不更新。成员主密钥（MMK）23年更新一次或一般不跟新。若出现泄漏，则立即更换被怀疑或确认泄密的密钥，确定被涉及到的功能领域，并且向管理部门报告。若主密钥和成员主密钥出现泄漏，采

6、用与初次生成相同的控制方式产生新的主密钥和成员主密钥；若加密机主密钥（MK）泄漏，则替换主密钥并替换所有由该主密钥保护的密钥。若成员主密钥（MMK）泄漏，则替换成员主密钥并更换使用该成员主密钥加密的所有密钥。终端主密钥由加密机生成导出后，灌入母终端，再由母终端导入到其他终端里，如怀疑泄露，可通过母终端重新导入新密钥覆盖原先的密钥。工作密钥（WK）、终端MAC密钥采用联机签取的方式，每次签到都进行更新，若怀疑泄漏，则采用人工触发方式重置密钥。6) 密钥删除与销毁密钥生成后或在系统更新、密钥组件存储方式改变等情况时，不再使用的密钥组件（包括以纸质和IC卡方式存储的介质）或相关信息的资料均及时销毁。

7、作废或被损坏的密钥在双人控制下安全销毁，保证无法被恢复，销毁过程由专人监控和记录。第二章 密钥生命周期安全管理第一节 密钥的生成密钥及其组件遵循随机生成的原则，生成工具使用硬件加密机。本节描述 密钥及其组件生成的做法。1 加密机主密钥（根密钥）的生成 加密机主密钥（根密钥）由三段组件组成，每段组件分成三个成分，且采用人工方式生成。1) 生成时的人员组成及各自的职责密钥监督员一名、主密钥生成员六名。密钥监督员负责监督整个密钥生成过程的规范性。主密钥生成人员负责按照指定的人工生成方法，在规定的时间内各自生成被分配到的密钥组件成分 ，并交由指定的密钥保管员保管。密钥保管员负责其保管的密钥组件的注入，

8、不同的密钥保管员负责保管不同的密钥组件。2) 人工生成的过程由密钥监督员召集六名密钥生成员并讲解人工生成密钥的方法规则，在规定的时间内按规定的方法生成三段密钥组件。每个密钥生成员生成由其被分配到的密钥组件的成分后，将该成分交由指定的密钥保管员装入专用的信封内封装，由密钥监督员和密钥保管员加盖签名章后，交由密钥保管员放入保险箱保管。3) 操作要点密钥监督员在确信密钥生成员已掌握了人工密钥的生成方法后，才让密钥生成员正式进行生成操作。密钥生成员在生成密钥期间，不允许其他人员进入操作现场。密钥生成员生成完密钥后，密钥监督员提醒密钥生成员已生成的密钥的长度、密钥数字的取值范围等要素是否符合规定。2 区

9、域主密钥的生成区域主密钥由两段密钥组件组成，由两名密钥生成人员各生成一段，具体生成方式同根密钥的生成。3 银行成员机构主密钥的生成 1) 使用的工具银行成员机构主密钥使用加密机、人工或符合银联规定的其他方法生成，具体根据密钥生成过程及成员机构的情况而定， 采用人工生成密钥的方式。2) 生成密钥组件的分工成员主密钥由两段密钥组件组成，可由 与对应的成员机构各自生成其中的一段密钥组件，也可由成员机构生成全部两段密钥组件。3) 银行成员机构主密钥生成的过程 和对应的成员机构各自生成一段密钥组件的操作过程 生成的密钥组件称第一段（A段），对应的成员机构生成的称第二段（B段）。首先由 按照本节1中根密钥

10、的生成方法和过程生成其中的一段密钥组件。成员机构可以根据其机构本身已规定采用的方法，生成B段密钥。 在传送给接收方（对应的成员机构）A段密钥时，采取往成员机构加密机人工键入密钥明文的方式进行。成员机构在传送给 B段密钥时，同样采取往 加密机人工键入密钥明文的方式进行。 两段密钥组件都由成员机构负责生成的操作过程这种方式与根密钥的生成过程基本类似，具体生成方法根据成员机构本身规定的方法生成。4 终端主密钥的生成 终端主密钥由加密机生成导出后，再灌入母POS机，由母POS机再导入到其他POS机里。5 工作密钥的生成工作密钥一律用联机的方式，由加密机生成。终端签到时，应用系统向加密机发起生成工作密钥

11、的请求，由加密机返回工作密钥，应用系统再将该值传给终端。6 终端MAC密钥的生成终端MAC密钥的生成方式同工作密钥。7 工作表格 在生成密钥组件的过程中，填制有关工作表格。加密机主密钥（MK）或成员机构主密钥（MMK）生成完后，由指定密钥生成人员按规定填写密钥生成表格，签章封存，封存后的表格作为密钥档案资料妥善保管，留底备查。密钥生命周期的其他工作环节填制的相关工作表格，操作步骤比照上述叙述进行。第二节 密钥的分发与传输1 密钥分发过程 分发密钥时，应要求接收机构需派专人接收：可以由接收机构负责保管和注入该密钥组件的人员，也可以由其委派的人员领取。对每一段密钥组件接收机构必须分别派专人领取，

12、规定不允许由一人领取多段密钥。当对方领取多段密钥时，领取人员不得乘坐同一个交通工具。对方机构领取密钥时，该密钥组件的保管员和密钥监督员必须同时在场，由密钥保管员取出需分发的密钥信封，密钥监督员负责检查信封的密封签名是否完整，并填写分发密钥的表格。密钥由对方机构领取后，密钥监督员与对方机构的领取人员需在分发密钥的表格上签名确认。2 密钥传输过程1) 加密机主密钥（根密钥）的传输 同城传输加密机主密钥从保管处取出时，该密钥组件的保管员和密钥监督员同时在场，并按规定填写分发密钥的表格。输送人员在表格上签名确认后，方可向对方传送。接收机构收到密钥后，应返回签收单，签收单由密钥保管人员负责保管。加密机主

13、密钥如在同城进行传输，由三人分别持三件经密封的密钥信封，在不同的时间送达对方或由对方三名专人分别领取，传送或领取人员不允许乘坐同一辆交通工具。 异地邮寄的要求在需要采用邮寄方式传送密钥时，使用邮政部门的机要邮政系统邮寄。密钥在邮寄前按规定填写分发密钥的表格，并派可靠人员到邮局邮寄，邮寄时的手续凭证作为附件妥善保管。邮寄时将每一段密钥单独作为一份邮件邮寄，不同的密钥组件在不同的日期分别寄出。2) 成员机构主密钥的传送成员机构主密钥的传送要求按照本节对加密机主密钥的传送要求执行。3) 终端主密钥的传输终端主密钥通过母POS进行分发传输。4) 工作密钥、终端MAC密钥的传输工作密钥、终端MAC密钥通

14、过终端签到时，已密文方式进行传输。5) 禁止方式密钥明文及其组件不允许采用电子邮件（E-mail）、传真、电传、电话等方式直接传递。3 密钥接收由其他机构分发给 的密钥， 在接收密钥时遵守上述相关规定。接收密钥时，保管、监督等相关人员首先填写密钥接收表格。密钥接收人在表格上签名确认。密钥启用前由密钥监督员签字封缄，并交由保管人员严密保管。保管员应在接收表格上签字确认。第三节 密钥的装载和启用1 基本规定注入过程中密钥监督员、注入人员、设备操作员等明确各自的工作内容和责任；密钥分段分人并在隔离状态下注入密钥使用设备；密钥注入现场的摄像监控设备不得拍摄到密钥注入设备的操作面板部位；密钥注入完成后，

15、按规定进行封存，并填写相关的密钥启用封存记录表格。2 注入过程1) 加密机主密钥的注入 注入人员组成及各自的职责密钥监督员一名、设备操作员一名、主密钥注入人员三名；密钥监督员负责监督整个密钥注入过程的合法性和规范性；设备操作员负责在密钥注入过程中对加密机及密钥注入设备环境的准备；主密钥注入人员负责将各自的密钥组件注入到加密机中，注入人员由该密钥组件的密钥保管人员担任。 密钥组件的取用经 主管负责人审批同意，密钥保管员在密钥监督员在场时，打开保险箱，并在与密钥一起保管的启用/封存登记表上做好启用记录（这里的密钥保管员不得是该密钥其他组件的保管员），签名后，由密钥监督员确认并签字，确认签字完毕，方可取用密钥组件。 注入前的审核密钥监督员通知三位密钥组件保管人员从保险箱取出密钥组件密封信封，并检查信封的密封签名章是否完好。如信封的密封签名章完好，则进行下一步的注入操作。如发现破损或有被干预迹象等问题应报告主管领导，根据具体情况处理，必要时应重新生成新的主密钥组件。 注入过程由设备操作员将加密机的操作面板切换到注入第一段主密钥的界面后，与此无关的人员均须离开，确保看不到设备显示面板。第一位密钥注入员根据注入密钥的方法（IC卡或纸质）注入第一段密钥组件，并核对注入后该段密钥组件的检