密钥安全管理办法

1、关键安全管理措施内容第一章概述3第一节导言3第二节应用概述31.关键系统和安全级别32.密钥生命周期的安全管理4第二章关键生命周期安全管理5第1节密钥5的生成1代加密机主密钥(根密钥)52区域主密钥的生成63为银行成员机构生成主密钥64终端主密钥7的生成5工作密钥的生成76为终端7生成媒体访问控制密钥7工作表单8第二节密钥8的分发和传输1密钥分发过程82键传输过程83键接收9第3节钥匙9的装载和启用1基本条款92注射过程10第四节钥匙11的保管1.基本规定112.与密钥安全相关的机密设备和密码的保管113.关键部件的保管124.关键文件的保管12第5节密钥删除和销毁121.无效密钥的识别122

2、.密钥删除和销毁方法13第6节钥匙泄漏和复位141.可能被泄露的密钥142.密钥泄漏的验证163.钥匙泄漏和缺口的定义17第三章设备安全管理181.硬件加密机(HSM)安全和管理182.终端设备安全管理203.设备的物理安全21第四章管理规定和监督检查211.成立密钥安全管理工作组212.主要安全管理人员223.批准系统244.紧急措施245.监督24第一章概述第一部分是简要介绍“所有秘密都存在于秘密密钥中”。密钥管理是设计安全密码系统时必须考虑的一个重要问题。数据加密、验证和签名需要管理大量的密钥，这些密钥被加密并以密文的形式发送给合法用户。本办法参照国际组织关于关键管理的知识、经验和相关标

3、准编制。在结构上，分为概述、关键生命周期安全管理、设备安全管理、管理规定、咨询和检查等章节。提出了关键生命周期各环节的具体操作流程和具体方法。该方法以现有技术规范为基础，尽可能考虑应用和维护的便利性，最大限度地保证安全性，体现适当的法规和投资以保证相对的安全性，但不可能完全避免，力求提高密钥安全管理的整体水平。第二节应用概述1.关键系统和安全级别根据使用范围和实际应用，按键分为不同的系统或类别。每个系统或类别都有相应的功能和特点，必须遵循不同的标准和要求。的密钥根据实际用途分为三层。三层密钥系统是根据密钥的用户而形成的。上层为下层提供保护和某些维护功能。不同层的密钥不同，不能相互共享。加密机主

4、密钥(MK)，即本地主密钥，是最重要的密钥，执行最高级别或最严格的管理。成员机构主密钥(MMK)或终端主密钥(TMK)存储并用于除硬件加密器之外的系统，并受本地MK的保护。由于成员机构主密钥由交易双方的机构共同生成并单独存储(或交易机构因地理原因完全持有成员主密钥组件)，因此安全性是交互式的、相互影响的，并且更新频率相对较低。因此，它是最容易被泄露和攻击的关键，需要相关方的共同维护和关注。工作键是最低的键。由于其数量庞大，需要某些管理设备(如终端钥匙注射设备)的协助(详见第3章)，以确保安全。2.密钥生命周期的安全管理包括密钥生成、传输、注入、存储、泄漏和重置、删除和销毁等。它的任务是在整个生

5、命周期中严格控制密钥的使用，直到它们被销毁，并确保密钥在所有阶段或环节都没有缺陷。1)密钥生成密钥是手动生成的或由加密机生成的。当手工生成密钥组件时，密钥被分成不同的组件，每个密钥组件由不同的人员生成，编号密钥生成后，硬件加密设备外的明文形式由三个密钥组件组成。2)密钥传输密钥使用双重控制和分割理论传输，并分为三个部分。该传输方法采用多条传输信道和不同的传输时间。传输过程中用于存储关键部件的介质是集成电路卡，每个集成电路卡仅存储一部分关键部件。没有传输完整密钥的情况。3)键注入通过手动键入将加密机主密钥、区域主密钥和成员组织主密钥注入到密钥组件的明文中，并且通过指定的不同密钥注入器注入每个密钥

6、组件。终端密钥注入是将加密机生成的密钥导出，注入到母终端，然后从母终端导入到其他终端。当终端登录时，工作密钥和终端媒体访问控制密钥以密文方式传输，并存储在终端中。4)钥匙保管对于关键组件的存储，遵循三个原则：最小化、授权和高安全性。最小化：指定人员负责保管关键部件，不同部件的关键部件由不同人员保管；认证：关键部件保存在密封的信封中，只有指定的关键经理才能拆开信封；高安全性：装有钥匙的信封存放在不同的保险柜里，只有指定的钥匙保管人有保险柜的密码和钥匙。对于关键的注射设备，会指派专门人员对其进行配置和维护。密钥管理员无权打开和操作硬件加密机。5)钥匙泄漏和复位除了密钥泄漏或可能的泄漏之外，加密机主

7、密钥(MK)通常不会更新。成员主密钥(MMK)每2-3年更新一次，或者通常不更新。如有泄漏，立即更换怀疑或确认泄漏的钥匙，确定涉及的功能区域，并向管理部门报告。如果主密钥和成员主密钥被泄露，则采用与初始生成相同的控制方式生成新的主密钥和成员主密钥；如果加密机主密钥(MK)泄漏，主密钥将被替换，所有受主密钥保护的密钥都将被替换。如果成员主密钥(MMK)被泄露，请替换成员主密钥，并替换用成员主密钥加密的所有密钥。加密机生成并导出终端主密钥后，将其注入母终端，然后由母终端导入其他终端。如果怀疑有泄漏，可以通过母终端导入新密钥来覆盖原始密钥。工作密钥(WK)和终端媒体访问控制密钥在线签名，并在每次登录

8、时更新。如果怀疑泄漏，通过手动触发重置钥匙。6)密钥删除和销毁密钥生成后或系统更新或密钥组件存储方式改变时，密钥组件(包括纸质和IC卡存储的介质)或相关信息会及时销毁。作废或损坏的钥匙在两个人的控制下被安全销毁，以确保无法找回。销毁过程由专门人员监控和记录。第二章关键生命周期安全管理第1节密钥的生成密钥及其组件遵循随机生成的原则，生成工具使用硬件加密器。本节描述如何生成密钥及其组件。1加密机主密钥(根密钥)的生成加密机主密钥(根密钥)由三个部分组成，每个部分分为三个部分，由人工生成。1)人员组成及其各自在生成时的职责一名骨干导师和六名骨干学生。密钥监督者负责监督整个密钥生成过程的标准化。主密钥

9、生成器负责按照指定的手动生成方法在指定的时间内生成指定的密钥组件，并将其交付给指定的密钥保管人进行保管。钥匙保管员负责注入他保管的钥匙部件，不同的钥匙保管员负责保管不同的钥匙部件。2)人工生成过程密钥监督者调用了六个密钥生成成员，解释了手动生成密钥的规则，并在指定的时间内按照指定的方法生成了三个密钥组件。在每个密钥生成成员生成密钥组件的组件之后3)操作要点在密钥管理器确定密钥生成成员已经掌握了生成手动密钥的方法之后，他将让密钥生成成员正式执行生成操作。密钥生成成员不允许其他人员在密钥生成过程中进入操作现场。密钥生成成员生成密钥后，密钥管理器提醒密钥生成成员生成密钥的长度和密钥编号的取值范围是否

10、符合规定。2区域主密钥的生成区域主密钥由两个关键组件组成，两个密钥生成人员各一个，具体生成方法与根密钥相同。3银行成员机构主密钥的生成1)使用的工具银行成员机构的主密钥通过加密机、手工或其他符合银联规定的方法生成。根据密钥生成过程和成员机构的条件，密钥是手动生成的。2)生成关键组件的工作分工成员主密钥由两个密钥组件组成，其中一个可以由相应的成员机构生成，或者全部可以由成员机构生成。3)生成银行成员机构主密钥的过程和相应的成员组织分别生成一段关键组件生成的关键组件被称为第一部分(部分A)，相应的成员组织被称为第二部分(部分B)。首先，根据第1节中根密钥的生成方法和过程生成一个密钥组件。成员机构可

11、以根据其机构已经指定的方法生成段B密钥。当向接收者(相应的成员组织)发送段A密钥时，它被手动键入成员组织的加密机器中。当成员组织将密钥传输到B段时，也采用手动将密钥明文键入加密机的方式。这两个关键组件都是由成员组织生成的这种方法与根密钥生成过程基本相似，具体的生成方法是根据成员组织自己指定的方法生成的。4终端主密钥的生成加密机生成并导出终端主密钥后，将其注入到母POS机，然后由母POS机导入到其他POS机。5工作密钥的生成工作密钥总是由加密机在线生成。当终端登录时，应用系统向加密机发起生成工作密钥的请求，加密机返回工作密钥，应用系统将该值发送给终端。6终端媒体访问控制密钥的生成终端媒体访问控制

12、密钥以与工作密钥相同的方式生成。7工作表单在生成关键组件的过程中，填写相关的工作表单。加密机主密钥(MK)或成员组织主密钥(MMK)生成后，指定的密钥生成者应按规定填写密钥生成表，并对该表进行封存，妥善保存封存后的表作为密钥文件数据，以备日后参考。关键生命周期其他工作环节填写的相关工作表单，操作步骤按上述说明执行。第二节密钥的分发和传输1密钥分发过程在分发钥匙时，应要求接收机构指定专人接收：负责保管和注入接收机构钥匙部件的人员也可从接收机构指定的人员处接收钥匙。对于每一段关键部件，接收单位必须指定专人收集，并规定一人不得收集多段钥匙。当另一方收到多把钥匙时，接收者不允许乘坐同一辆交通工具。当其

13、他组织收到钥匙时，钥匙组件的保管人和钥匙主管必须同时在场。钥匙保管员取出钥匙信封进行分发。钥匙主管负责检查信封的密封签名是否完整，并填写分发钥匙的表格。对应机构收到密钥后，密钥监管人和对应机构接收人应签署并确认密钥分发形式。2关键传输过程1)加密机主密钥(根密钥)传输城市内部传播当加密ma如果加密机的主密钥在同一个城市传输，三个人将持有三个密封的密钥信封，并在不同的时间将它们交给另一方，或者另一方的三名专门人员将分别收集它们。传输或收集人员不允许乘坐同一辆车。异地邮寄的要求需要邮寄密钥时，应当使用邮政部门的保密邮政系统进行邮寄。邮寄钥匙前，按规定填写钥匙发放表，并派可靠人员到邮局邮寄。邮寄程序

14、证书应作为附件妥善保存。邮寄时，每个关键部分将作为邮件单独邮寄，不同的关键部分将在不同的日期单独邮寄。2)成员组织主密钥传输成员组织主密钥的传输要求应按照本节中加密机主密钥的传输要求执行。3)终端主密钥的传输终端主密钥通过父位置分发和传输。4)工作密钥和终端媒体访问控制密钥的传输当终端登录工作密钥和终端媒体访问控制密钥时，它们以密文方式传输。5)禁止密钥明文及其组成部分不允许通过电子邮件、传真、电传、电话等方式直接传输。3键接收其他机构分发的密钥在接收时应符合上述相关规定。接收钥匙时，保管和监督等相关人员应首先填写钥匙接收表。密钥的接收者在确认表格上签名。钥匙启动前，应由钥匙主管签字盖章，交由

15、保管人员妥善保管。保管员应在收货单上签字确认。第3节钥匙的装载和激活1基本规定在注射过程中，主要监管人员、注射人员、设备操作人员等。应明确各自的工作内容和职责；密钥被分割成段，并在隔离状态下使用设备注入密钥；关键注入点的摄像机监控设备不得捕捉关键注入设备的操作面板；钥匙注入完成后，按要求将其密封，并填写相关钥匙激活密封记录表。2注射过程1)注入加密机主密钥注射人员的组成及其各自的职责一名关键主管、一名设备操作员和三名主要关键注入人员；关键监督人负责监督整个关键注射过程的合法性和标准化。设备操作员负责在密钥注入过程中为密钥注入准备加密器和设备环境。主密钥注入器负责将相应的密钥组件注入加密器，注入器是密钥组件的密钥保持器。关键组件的访问经负责人批准，钥匙保管员在钥匙管理员在场的情况下打开保险箱，并在启用/封存登记表上做一个与钥匙一起保存的激活记录(此处的钥匙保管员不应是钥匙其他部件的保管员)。签字后，由钥匙主管确认并签字，钥匙组件必须确认签字后才能使用。注射前审查钥匙主管通知三个钥匙部件保管人员从保险箱中取出钥匙部件的密封信封，并检查信封的密封签名密封是否完好。如果信封的密封签名密封完好无损，继续下一次注射操作。如发现破损或干扰迹象等问题，应向主管领导汇报，并根据具体情况进行处理。如有必要，应重新生成新的主密钥组件。灌浆法设备操作员将加密机操作面板切换到第一个主密钥注入的界面