企业一卡通安全体系介绍.ppt

上传人：小飞机

文档编号：5217501

上传时间：2023-06-14

格式：PPT

页数：40

大小：6.42MB

《企业一卡通安全体系介绍.ppt》由会员分享，可在线阅读，更多相关《企业一卡通安全体系介绍.ppt（40页珍藏版）》请在三一办公上搜索。

1、2,中国移动一卡通业务安全体系介绍,中国移动通信研究院2009.12 重庆,联系方式：任晓明（）,中国移动一卡通业务（V1.0）技术培训教程,3,一卡通系统安全体系介绍,目录,一卡通系统安全体系模型,卡片安全,端到端的交易安全,终端机具安全,4,密钥安全：密钥在那里生成、保管，如何保证安全性？密钥如何安全传递给业务平台、企业？一卡通系统中如何安全的存储、使用密钥（业务系统、企业端管理系统）？卡片的安全：如何保证卡片自身的安全？为什么要洗卡？交易安全：如何保证交易流程的安全性，包括门禁、考勤、消费、充值等？企业使用中国移动的服务，如何能够保证企业自身信息的机密性？,问题,5,一卡通系统安全体系,

2、系统安全层网络安全层物理安全层,业务安全层,基础设施,各种威胁/攻击,访问控制,通信安全,可用性,安全审计,防攻击/病毒,密码体系,环境安全、媒体安全、设备安全,一卡通系统安全体系模型,针对一卡通系统纵向划分四个层次、各个层次上提供多种安全功能能够应对一卡通系统所面临的多层次、多维度的网络威胁，在设计上充分保证完整性和可扩展性,6,卡片安全-2.4G RFID-SIM卡,采用标准加密算法,支持128Bit对称密钥,支持双向认证,采用高安全级别的芯片,7,终端机具安全,采用标准加密算法,支持128Bit对称密钥,支持双向认证,采用安全芯片或SAM卡存储密钥,8,门禁/考勤/POS终端

3、,RF-SIM用户卡,业务流程安全-端到端安全,移动管理密钥,企业管理密钥,脱机交易密钥,联机交易密钥,移动管理密钥,企业管理密钥,联机交易密钥,脱机交易密钥,9,一卡通系统安全体系介绍,目录,关于密钥,密钥类型定义,密钥层次结构,密钥功能,密钥分布,10,密钥简介,输入,输出,算法,128bit密钥,11,密钥体系设计原则,12,密钥类型定义,13,一卡通应用（用户卡）,应用管理密钥,密钥功能-卡片操作权限控制,。,移动空间,14,RF-SIM用户卡,一卡通业务平台,密钥功能空中报文传输（业务平台用户卡）,15,RF-SIM用户卡,一卡通业务平台,密钥功能空中报文传输（企业端管理系统业务

4、平台用户卡）,企业端管理系统,端到端安全通信,。,16,密钥功能交易鉴权,随机数,加密（MAC）,验证MAC,17,门禁/考勤/POS终端,企业端管理系统,发卡终端,RF-SIM用户卡,移动管理密钥企业管理密钥企业应用密钥,企业应用密钥,初始化终端密钥,企业应用密钥,移动管理密钥企业管理密钥企业应用密钥,企业管理密钥企业应用密钥,门禁/考勤/消费刷卡,联机交易,发卡/充值,发管理卡,空中通道（发卡、个人化、充值等）,一卡通系统的密钥分布,一卡通业务系统,加密机,工作母卡,SAM卡,发SAM卡,移动管理密钥企业管理密钥企业应用密钥其它密钥,18,密钥层次结构,移动管理省密钥,卡片子密钥,分散参

5、数：应用序列号,子密钥由密管中心写入卡片中,移动管理密钥,移动管理根密钥,一卡通业务系统加密机,分散参数：省编码+密钥版本号,从密管中心接收移动管理根密钥,应用管理,19,密钥层次结构,企业级密钥,分散企业级密钥（企业）分散卡片子密钥,通过发卡流程写入卡片子密钥,企业管理密钥,卡片子密钥,分散参数：应用序列号,母卡,根-省密钥,一卡通业务系统加密机,分散参数：企业ID+密钥版本号,企业级密钥写入母卡,20,密钥层次结构,企业级密钥（新）,分散企业级密钥（企业）分散卡片子密钥,通过发卡流程写入卡片子密钥,企业管理密钥（二次洗卡）,卡片子密钥（新）,分散参数：应用序列号,母卡,根-省密钥,一卡通业

6、务系统加密机,生成企业级密钥分散卡片子密钥,21,密钥层次结构,企业级密钥,应用级密钥,通过发卡流程写入卡片,卡片子密钥,分散参数：应用序列号,母卡,根-省密钥,一卡通业务系统加密机,分散参数：子应用索引号,分散参数：企业ID+密钥版本号,企业应用密钥（身份/消费等）,门禁/考勤/消费终端,企业级密钥写入母卡,应用级密钥写入终端/SAM卡,分散企业级密钥分散应用级密钥分散卡片子密钥,22,密钥层次结构,企业级密钥（新）,应用级密钥（新）,通过洗卡流程写入子密钥,卡片子密钥（新）,分散参数：应用序列号,母卡,根-省密钥,一卡通业务系统加密机,分散参数：子应用索引号,企业应用密钥（身份/消费等二次

7、洗卡）,门禁/考勤/消费终端,应用级密钥写入终端/SAM卡,分散企业级密钥分散应用级密钥分散卡片子密钥,生成新的企业级密钥分散应用子密钥,23,一卡通系统安全体系介绍,目录,密钥管理机构与职能,密钥管理相关设备,密钥传输要求,各类卡片的洗卡要求,企业端密钥管理操作,24,密钥管理机构与职能,25,一卡通密钥管理相关设备介绍,SAM卡,母卡,加密机,母卡：用户卡洗卡（密钥替换）、SAM卡/终端密钥装载母卡认证卡：母卡使用的授权工作母卡：向终端中写入应用密钥（采用安全芯片方式存储密钥的终端）,脱机交易鉴权（门禁、考勤、消费等应用的双向认证）,母卡/SAM卡/用户卡的初始化以及交易过程的加解密服务,

8、26,密钥传输根密钥,密钥传输-企业密钥（母卡本地发卡）,密钥传输-企业密钥（母卡远程发卡）,29,洗卡-SIM卡洗卡（全国密钥管理中心）,30,洗卡-SIM卡（省密钥管理中心）,31,洗卡-IC卡（本地洗卡）,32,洗卡-IC卡（省公司远程洗卡）,33,洗卡-SAM卡洗卡（本地洗卡）,34,洗卡-SAM卡（省公司远程洗卡）,35,企业端密钥管理操作-SAM卡发卡,应用密钥（如：门禁、考勤、消费等）,母卡,SAM卡,说明：SAM卡发卡一定要由该企业的母卡控制下完成,移动管理密钥一卡通应用初始密钥,36,企业端密钥管理操作-二次洗卡,母卡,生成新密钥,一卡通应用初始密钥,问题1、移动是否可以获

9、取企业的新密钥？,移动管理密钥一卡通应用新密钥,一卡通应用初始密钥一卡通应用新密钥,问题2、卡片在洗卡后是否能够脱离移动的管理和控制？,问题3、如果母卡丢失怎么办？,37,SAM卡,母卡,5、写入新密钥（通过工作母卡）,2、写入新密钥,洗卡,1、获取新母卡/生成新密钥,4、恢复初始密钥,3、恢复初始密钥（Reload Key）,企业端密钥管理操作-母卡丢失的处理（已洗卡）,38,一卡通系统安全体系的特点,安全的卡片,一卡多企业的安全性,企业自管理的安全,企业A企业B。,端到端安全,完整的密钥体系,39,密钥在那里生成、保管？密钥如何安全传递给业务平台？密钥如何安全传递给企业？一卡通业务系统中如何安全的存储、使用密钥？一卡通企业端管理系统如何安全的存储和使用密钥？如何保证卡片自身的安全？为什么要洗卡？如何保证交易流程的安全性，包括门禁、考勤、消费、充值等？企业使用中国移动的服务，如何能够保证企业自身信息的机密性？同时又能保证移动的管控能力？,关键点回顾,40,