第2部分:密钥的生成与存储20080126
- 格式:doc
- 大小:34.50 KB
- 文档页数:5
文档推荐
-
专题五 第2讲圆锥曲线页数:3
-
圆锥曲线技巧之圆锥曲线第二定义 习题页数:1
-
第2讲 圆锥曲线的方程与性质页数:3
-
第2讲 圆锥曲线的方程与性质页数:22
-
第2讲 圆锥曲线的定义、方程与性质页数:57
下载文档原格式
合集下载
2-2通信网络安全与防护
3. 密钥的有效性与使用控制 密钥的泄露与撤销 密钥的有效期 控制密钥使用 密钥的销毁
200位十进制的数,需要3.8×107年,类似地,可算出 要分解一个300位的十进制整数,则需要年4.86 × 1013。可见,增加位数,将大大地提高体制的安全性。 ➢ 分析可知,从直接分解大数来破译RSA是计算上不可能 的,那么是否存在一种破译方法不依赖于的分解呢? ➢ 现在还没有发现,但不能证明将来不会。
现代密码学的一个基本原则就是“一切秘密寓于密 钥之中”。密钥的安全十分重要,密钥的管理问题凸显。
密钥的管理综合了密钥的设置、产生、分配、存储、 进入、使用、备份、保护和销毁等一系列过程。所有的 工作都围绕一个宗旨,即确保使用中的密钥是安全的。
1. 密钥的生成与分配
2. 密钥的保护与存储 密钥的保护 密钥的存储 密钥的备份/恢复
公开密钥加密过程重要步骤如下: (1)网络中的每个端系统都产生一对用于它将接收的 报文进行加密和解密的密钥。 (2)每个系统都通过把自己的加密密钥放进一个登记 本或者文件来公布它,这就是公开密钥,另一个则是私 有的。 (3)如果A想给B发送一个报文,A就用B的公开密钥加 密这个报文。 (4)B收到这个报文后就用他的秘密密钥解密报文。其 它所有收到这个报文的人都无法进行解密,因为只有B 才有B的私有密钥。
除算法本身外,RSA算法中还需注意几个环节: (1)素数的产生与检测;(采用概率检测法) (2)明文的数字化处理; (3)素数长度的考虑(RSA算法的安全性)。
RSA建议p和q用100位十进制数,这样n为200位十 进制数。
➢ 大数分解目前已知的最好的算法需要进行ex次算术运算。 ➢ 假设我们用一台每秒运算一亿次的计算机来分解一个
MD5算法: ➢ MD5首先填充消息成512比特的整数倍,但最后64比
200位十进制的数,需要3.8×107年,类似地,可算出 要分解一个300位的十进制整数,则需要年4.86 × 1013。可见,增加位数,将大大地提高体制的安全性。 ➢ 分析可知,从直接分解大数来破译RSA是计算上不可能 的,那么是否存在一种破译方法不依赖于的分解呢? ➢ 现在还没有发现,但不能证明将来不会。
现代密码学的一个基本原则就是“一切秘密寓于密 钥之中”。密钥的安全十分重要,密钥的管理问题凸显。
密钥的管理综合了密钥的设置、产生、分配、存储、 进入、使用、备份、保护和销毁等一系列过程。所有的 工作都围绕一个宗旨,即确保使用中的密钥是安全的。
1. 密钥的生成与分配
2. 密钥的保护与存储 密钥的保护 密钥的存储 密钥的备份/恢复
公开密钥加密过程重要步骤如下: (1)网络中的每个端系统都产生一对用于它将接收的 报文进行加密和解密的密钥。 (2)每个系统都通过把自己的加密密钥放进一个登记 本或者文件来公布它,这就是公开密钥,另一个则是私 有的。 (3)如果A想给B发送一个报文,A就用B的公开密钥加 密这个报文。 (4)B收到这个报文后就用他的秘密密钥解密报文。其 它所有收到这个报文的人都无法进行解密,因为只有B 才有B的私有密钥。
除算法本身外,RSA算法中还需注意几个环节: (1)素数的产生与检测;(采用概率检测法) (2)明文的数字化处理; (3)素数长度的考虑(RSA算法的安全性)。
RSA建议p和q用100位十进制数,这样n为200位十 进制数。
➢ 大数分解目前已知的最好的算法需要进行ex次算术运算。 ➢ 假设我们用一台每秒运算一亿次的计算机来分解一个
MD5算法: ➢ MD5首先填充消息成512比特的整数倍,但最后64比
2008r2激活密钥 -回复
2008r2激活密钥-回复激活Windows Server 2008 R2需要一个有效的激活密钥。
在本文中,我们将逐步回答有关获取和使用Windows Server 2008 R2激活密钥的问题。
首先,让我们解释一下什么是Windows Server 2008 R2激活密钥。
激活密钥是一个唯一的25个字符的代码,用于验证操作系统的合法性,并确保您使用的是正版软件。
激活密钥可以从微软官方网站或授权分销商处获得。
为了获取Windows Server 2008 R2激活密钥,您可以按照以下步骤操作:步骤1:访问微软官方网站打开您的互联网浏览器,访问微软官方网站(Server 2008 R2激活密钥”并按下回车键。
步骤2:选择适用的版本在结果页面中,您将看到不同版本的Windows Server 2008 R2。
要获取与您拥有的版本相对应的激活密钥,请仔细阅读每个选项的描述和说明。
步骤3:获取激活密钥一旦您选择了适用于您版本的选项,您将被重定向到一个页面,其中包含了所需的激活密钥。
请注意,密钥通常以文本文件的形式提供,您可以将其保存到本地计算机以备将来使用。
获取激活密钥后,接下来的步骤是将其应用到Windows Server 2008R2操作系统中进行激活。
下面是一个简单的步骤:步骤1:打开“激活”界面在桌面上单击鼠标右键,并选择“计算机”选项。
在弹出的菜单中,选择“属性”选项。
步骤2:打开“激活”设置在“属性”窗口中,您将看到一个“Windows激活”部分。
单击“更改产品密钥”链接。
步骤3:输入激活密钥在“激活”设置界面中,您将看到一个文本框,您需要在其中输入您获得的激活密钥。
确保仔细检查并准确地输入密钥。
步骤4:点击“下一步”在您输入激活密钥后,单击“下一步”按钮继续进行激活过程。
步骤5:完成激活Windows Server 2008 R2将连接到微软激活服务器进行验证。
如果您输入的激活密钥是有效的,并且满足所述版本的要求,系统将自动激活。
2008r2激活密钥 -回复
2008r2激活密钥-回复2008 R2是微软推出的一款操作系统,作为其Windows Server产品系列的一员,它具备强大的功能和稳定的性能,深受用户的喜爱。
激活密钥是使用该操作系统的必备条件之一。
在本文中,我们将一步一步地回答关于2008 R2激活密钥的问题,为您提供详细的指导。
首先,需要明确的是,激活密钥是用来激活操作系统的一种授权凭证,只有在正确激活之后,才能正常使用该操作系统。
如果没有有效的激活密钥,您将无法享受到操作系统的全部功能和服务。
因此,获取和使用合法的激活密钥是非常重要的。
那么,如何获取2008 R2的激活密钥呢?目前有多种渠道可以获得有效的激活密钥。
下面将一一介绍这些渠道,并详细说明如何使用这些激活密钥进行操作系统的激活。
1. 微软官方渠道:您可以通过微软官方网站或其他微软认可的渠道,购买合法的2008 R2激活密钥。
微软官方网站提供了一种简便的方式来获取激活密钥。
您只需访问Windows Server产品页面,选择“购买”选项,然后根据指引,进行付款和购买操作。
一旦购买完成,您将收到电子邮件或其他形式的消息,其中包含了您的激活密钥。
2. 第三方授权合作商:除了微软官方渠道,您还可以通过微软认可的第三方授权合作商获得激活密钥。
这些合作商往往提供更多种类的激活密钥,以满足不同用户的需求。
您可以通过搜索引擎来找到这些授权合作商,并在其网站上进行购买。
无论您是通过微软官方渠道还是第三方授权合作商获得了激活密钥,接下来的步骤都是相同的。
下面我们将详细介绍如何使用激活密钥进行2008 R2操作系统的激活。
1. 在桌面上找到“计算机”图标,右键点击并选择“属性”。
2. 在打开的窗口中,您可以看到“Windows激活”部分,其中会显示当前的激活状态和过期时间。
点击“更改产品密钥”按钮。
3. 在弹出的窗口中,输入您获得的激活密钥,然后点击“下一步”。
4. 稍等片刻,系统会自动连接至微软服务器,验证您输入的激活密钥的有效性。
《密钥管理与PKI》PPT课件
PKI基本组成cont.
证书仓库(Repository) 一个电子信息发布点,存放证书和作废证书列表 (CRL),CA在用证书和作废证书。 用户 署名用户(Subscriber)是作为主体署名证书 并依据策略使用证书和相应密钥的实体。 依赖方(Relying party) 一个接收包括证书和签 名信息的人或机构,利用证书提供的公钥验证 其有效性,与持证人Subscriber建立保密通信, 接收方处于依赖的地位。 最终用户(End User)署名用户和依赖方的统 称,也称末端实体(End-entity),可以是人, 也可以是机器,如路由器,或计算机中运行的 进程,如防火墙。
31
信任模型的实现-桥CA
根CA
交叉认证 中介CA 中介CA
桥CA
交叉认证 交叉认证
根CA
中介CA 中介CA
子CA 子CA 子CA 子CA
根CA
子CA 子CA 子CA 子CA
用 户
用 户
用 户
用 户
中介CA
中介CA
用 户
用 户
用 户
用 户
子CA 子CA 子CA 子CA
用 户
用 户
用 户
用 户
32
PKI的实际应用
基于RSA CSP
Crypto Service
38
PKI与PMI的关系
PKI系统
CA
数字证书
PMI系统
属性证书
策略规则
权限控制
安全管理
策略管 理系统
CA
用户
业务系统
39
PMI中的属性证书
属性证书(Attribute Certificate) 属性证书是一种轻量级的数字证书
第1部分:密钥管理总规则20080126
密钥管理总规则第一章总则第一条为了加强对公路电子收费密钥的安全管理,根据《收费公路联网收费技术要求》中关于密钥的规定和国家密码管理局的相关规定,制订本规则。
第二条公路电子收费密钥管理采用二级密钥管理体制:全国密钥管理和省(直辖市)级密钥管理。
第三条全国密钥管理中心(一级密钥管理中心)由国务院交通主管部门设立;各二级密钥管理中心应在本省(直辖市、自治区)交通主管部门的许可下设立,并保证在本省(直辖市、自治区)内唯一。
第四条全国密钥管理系统(一级密钥管理系统)由全国密钥管理中心负责。
为确保密钥管理系统的整体性、兼容性和安全性,二级密钥管理系统由全国密钥管理中心统一提供。
第五条涉及全国应用的PSAM卡由一级密钥管理中心统一提供。
第六条用于车载设备安全性管理的ESAM由一级密钥管理中心统一提供。
第二章系统建设第七条一级密钥管理中心应遵循交通部和国家密码管理局的相应规范,建立一套符合公路电子收费应用需要的一级密钥管理系统。
第八条二级密管系统应经二级密管中心向一级密管中心申请后,由一级密管中心统一提供。
有关二级密管系统申请的详细规定请参见《二级密钥管理系统的申请》。
第九条密钥管理系统应确保密钥多级管理的可操作性,保证密钥的装载、存放和分散必须在安全的环境下完成,任何中间结果不可以被内部操作人员和外界获得。
第十条密钥管理系统必须与其它业务处理系统分开,所有开发调试必须采用测试密钥,不允许在已上正式密钥的业务系统上再做任何调试操作。
第十一条各级相关机构和部门应定期检查下级单位安装和使用密钥相关设备的安全保障措施的落实情况。
对安全检查中发现的问题,应当提出改进意见,做出详细记录,存档备查。
第三章工作职责第十二条一级密钥管理中心是全国联网电子收费系统密钥管理的具体承担机构。
它的主要职责是:●为各二级密钥管理中心提供二级密钥管理系统,并核查系统的运行条件是否符合要求;●产生全国联网电子收费系统的总控密钥;●分散产生各种业务主密钥和各二级总控密钥;●统一实施对PSAM卡、各类母卡和其它卡片的制作;●进行密钥管理系统的维护、升级;●制订、贯彻、检查密钥安全操作的实施细则;●对系统安全进行评估,发现问题,及时通知相关机构和有关部门;●交通部赋予的其它职责。
ch-08密钥管理
复习:共享密钥分配的基本办法复习:共享密钥分配的基本办法-3
方法3 如果A 方法3:如果A、B事先已有一密钥,则其中 事先已有一密钥, 一方选取新密钥后, 一方选取新密钥后,用已有的密钥加密新密 钥并发送给另一方。 钥并发送给另一方。 讨论: 讨论:
• 既可用于链路加密也可用于端对端加密 • 但是,攻击者一旦获得一个密钥就可很方便地 但是, 获取以后的所有密钥 。 • 并且,成千上万的初始密钥还是要想办法分发 并且, 下去。 下去。
KUa KUa KUb KUb
… …
… …
A
KUa KUa
B
KUb
KUb
公开发布的特点
特点: 特点: • 简单、方便 简单、 • 任何人都可伪造这种公开发布,即发布伪 任何人都可伪造这种公开发布,即发布伪 造的公钥。 造的公钥。假冒者既可以用伪造的公私钥 获得本该发给他人的消息, 获得本该发给他人的消息,也可以用其获 得认证。 得认证。
密钥管理综合了密钥的生成 密钥管理综合了密钥的生成、分 生成、 存储、销毁等各环节中的保密 配、存储、销毁等各环节中的保密 措施。所有的工作都围绕一个宗旨: 措施。所有的工作都围绕一个宗旨: 确保使用中的密钥是安全的。 确保使用中的密钥是安全的。
在密钥管理的各个环节中, 在密钥管理的各个环节中,密钥 分配是最棘手的问题。 分配是最棘手的问题。大中型网络 中多采用快速、安全地自动密钥分 中多采用快速、安全地自动密钥分 方法。 配方法。 一定程度的手工交换密钥仍然是 必需的, 必需的,只是应用的范围明显地减 小了。 小了。
其中的C通常是一个可信的负责为用户(主机、 其中的C通常是一个可信的负责为用户(主机、进 密钥分配中心(KDC)。 应用程序)分配密钥的密钥分配中心 程、应用程序)分配密钥的密钥分配中心(KDC)。 每一用户X KDC之间有一共享密钥 每一用户X和KDC之间有一共享密钥Kx,称为主密 之间有一共享密钥K 称为主密 此密钥专用于密钥分配。 钥,此密钥专用于密钥分配。 两个用户A 两个用户A和B需要进行通信时,KDC选取一个临 需要进行通信时,KDC选取一个临 时密钥称为会话密钥 会话密钥K 并分别在主密钥K 时密钥称为会话密钥Ks ,并分别在主密钥KA 、KB 的保护下,将会话密钥密钥分配给用户, 的保护下,将会话密钥密钥分配给用户,用于这一 对用户之间的保密通信。通信完成后, Ks即被销毁。 对用户之间的保密通信。通信完成后, 即被销毁。
毕业设计(论文)-DES加密算法分析
毕业设计(论文)-DES加密算法分析摘要DES数据加密算法是使用最广的分组加密算法,它作为最著名的保密密钥或对称密钥加密算法,在计算机密码学及计算机数据通信的发展过程中起了重要作用。
本次学年论文是主要是学习介绍DES对称密钥数据加密算法,并用c++实现。
DES 算法具有较高的安全性,为我们进行一般的计算机数据传输活动提供了安全保障。
关键词: 加密与解密,DES算法,S-盒目录摘要 ..................................................................... ........................................................................ ... I 目录 ..................................................................... ........................................................................ .. II 第一章引言 ..................................................................... ............................................................ 1 第二章概述 ..................................................................... (2)2.1 加密与解密 ..................................................................... (2)2.2 单钥密码系统 ..................................................................... .. (2)2.3分组密码的总体结构 ..................................................................... (4)2.4分组密码的安全性 ..................................................................... ..................................... 4 第三章 DES算法简介 ..................................................................... .. (5)3.1简介 ..................................................................... . (5)3.2 DES加密标准 ..................................................................... (6)3.2.1 初始置换IP ..................................................................... .. (7)3.2.2 IP-1是IP的逆置换 ..................................................................... (7)3.2.3 DES算法的迭代过程 ..................................................................... (8)3.2.4 子密钥的生成 ..................................................................... (12)3.3 DES算法的解密过程 ..................................................................... ............................... 13 第四章 DES算法用C++语言实现 ..................................................................... .. (14)4.1设置密钥函数des_setkey() ........................................................... . (14)4.2 f函数和S函数f_func()和s_func() ............................................................... . (14)4.3 DES算法的运行函数des_run( ) ............................................................. (16)4.4 DES算法的主函数voidmain() ................................................................. . (18)4.5 DES的加密过程和举例 ..................................................................... (19)4.6 DES算法的分析 ..................................................................... ....................................... 20 参考文献 ..................................................................... .................................................................. 22 结束语 ..................................................................... ......................................................................23 附录1 DES算法用C++实现的源代码 ..................................................................... . (24)II第一章引言密码学是伴随着战争发展起来的一门科学,其历史可以追溯到古代,并且还有过辉煌的经历。
现代密码学第九讲:密钥管理(一)
密钥变化
密钥 备份
密钥受到威胁 提前中止
密钥 正常使用
旧密钥 到期
解决 争议
密钥撤销
密钥 存档
密钥丢失/损坏
密钥恢复
恢复的密钥
密钥使用期结束
密钥注销与销毁
密钥状态 使 用 前
使 用 中
使 用 后
过 期6
密钥管理简介
密钥生成 密钥的大小与产生机制直接影响密码系统的安全,
所以,对于一个密码体制,如何产生好的密钥是 很关键的,密钥生成是密钥生命周期的基础阶段。 1) 密钥的生成一般首先通过密钥生成器借助于某种 噪声源产生具有较好统计分析特性的序列,以保 障生成密钥的随机性和不可预测性,然后再对这 些序列进行各种随机性检验以确保其具有较好的 密码特性。 2) 用户可以自己生成所需的密钥,也可以从可信中 心或密钥管理中心申请,密钥长度要适中。 3) 不同的密码体制,其密钥的具体生成方法一般是 不相同的,与相应的密码体制或标准相联系。
11
密钥管理简介
密钥更新:在密钥有效期快结束时,如果需要继续使用
该密钥,为保证密钥的安全性,该密钥需要由一个新的密 钥来取代,这就是密钥更新。密钥更新可以通过再生密钥 取代原有密钥的方式来实现。
密钥撤销:若密钥丢失或在密钥过期之前,需要将它从
正常使用的集合中删除。
密钥销毁:对于不再需要使用的密钥,要将其所有复本
去的应答。
消息中还有B希望得到的两项内容: 一次
性会话密钥KS;A的身份(例如A的网络地址)
IDA。
这两项由KB加密,将由A转发给B,以建立A、 B之间的连接并用于向B证明A的身份。
23
密钥分配
③ A存储会话密钥,并向B转发 EKB(KS‖IDA||N1).
密钥的生成和基本原理
密钥的生成和基本原理密钥生成是密码学中的重要概念,它涉及到保护信息的安全性和隐私。
在计算机科学和网络通信中,密钥生成是一种用于加密和解密数据的过程。
本文将介绍密钥生成的基本原理和相关概念。
一、密钥生成的定义和作用密钥生成是指生成用于加密和解密数据的密钥的过程。
密钥是一串特定的数据,它用于对数据进行加密,以确保只有授权的用户能够解密和访问这些数据。
密钥生成的目的是确保密钥的安全性和随机性,以防止未经授权的访问和破解。
二、对称密钥生成对称密钥生成是一种常见的密钥生成方法。
在对称密钥加密算法中,同一个密钥用于加密和解密数据。
对称密钥生成的基本原理是通过随机选择一组比特位来生成密钥。
生成的密钥长度越长,破解的难度就越大。
对称密钥生成算法通常使用伪随机数生成器来生成密钥。
三、非对称密钥生成非对称密钥生成是另一种常见的密钥生成方法。
在非对称密钥加密算法中,使用一对密钥,分别称为公钥和私钥。
公钥用于加密数据,私钥用于解密数据。
非对称密钥生成的基本原理是通过数学运算生成一对密钥。
公钥可以公开,而私钥必须保密。
非对称密钥生成算法通常使用大素数和数论运算来生成密钥。
四、密钥生成的安全性考虑密钥生成的安全性是保证加密算法的关键。
为了确保密钥的安全性,需要考虑以下几个方面:1. 密钥长度:密钥长度越长,破解的难度就越大。
通常,密钥长度应根据加密算法的安全性要求来选择。
2. 密钥生成算法的安全性:密钥生成算法应具有足够的安全性,以防止破解和攻击。
密钥生成算法应经过严格的测试和评估,确保其安全性和可靠性。
3. 密钥管理:密钥生成后,需要进行有效的密钥管理。
密钥应妥善保存和保管,确保只有授权的用户能够访问和使用密钥。
五、总结密钥生成是保护信息安全和隐私的重要步骤。
对称密钥生成和非对称密钥生成是常见的密钥生成方法。
密钥生成的安全性考虑包括密钥长度、密钥生成算法的安全性和密钥管理。
通过合理选择密钥生成方法和加密算法,可以确保数据的安全性和保密性。
密钥流生成器的组成
密钥流生成器的组成1.引言1.1 概述概述部分的内容可以介绍密钥流生成器的基本概念、背景和重要性。
以下是一个例子:在现代的信息技术时代,数据的安全性越来越受到人们的关注。
为了保护敏感信息,加密通信和数据存储已经成为必不可少的安全措施。
而密钥流生成器作为加密算法的关键组成部分,扮演着非常重要的角色。
密钥流生成器是一种能够产生伪随机密钥流的设备或算法。
这个密钥流可以与明文数据进行异或运算,得到加密后的密文数据。
密钥流生成器的主要作用是生成长周期、不可预测且密钥分布均匀的密钥流,以此来增加加密算法的安全性。
密钥流生成器的发展始于上世纪,最早起源于军事领域中对通信安全的需求。
随着计算机技术的不断发展,密钥流生成器也得到了广泛的应用,例如在无线通信、智能卡、云计算等领域。
一个优秀的密钥流生成器应该具备一些重要的特征。
首先,它应该能够产生不可预测的密钥流,即无法通过已生成的密钥流来预测下一个密钥流。
其次,密钥流应该具备统计特性,即密钥流的每个比特位都要满足均匀分布的要求。
此外,密钥流生成器还需要具备长周期特性,即密钥流长度应该足够长,以保证其不会在加密过程中出现明显的循环。
本文将详细介绍密钥流生成器的组成要素以及它们的工作原理。
通过深入理解这些组成要素,我们可以更好地了解密钥流生成器的原理和性能,并为数据的安全性提供更可靠的保障。
同时,本文还将展望密钥流生成器在未来的发展方向,以及其在信息安全领域中的重要作用。
1.2 文章结构文章结构部分的内容在本文中,将按照以下结构组织和阐述密钥流生成器的相关知识。
首先,在引言部分,对本文要讨论的内容进行了概述,明确了文章的目的和结构。
接下来,在正文部分,将介绍密钥流生成器的定义和作用。
将详细解释密钥流生成器是什么以及它在密码学中的作用,并举例说明密钥流生成器在实际应用中的重要性。
然后,在正文中的第二部分,将探讨密钥流生成器的组成要素。
将讨论密钥流生成器的基本组成和关键要素,包括随机数生成器、密码算法、初始向量等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密钥的生成和存储
第一章密钥的生成
第一条交通部密钥管理系统负责产生用于跨省交易的消费(扣款)密钥,为各省、直辖市二级密钥管理管理系统产生对应子密
钥,并以母卡形式传输到各个二级密钥管理系统,同时应在
卡上和主机上记录发卡的有关信息以便跟踪核查,发行流程
如下:
第一步:由交通部的四位领导分别输入自己的卡PIN 码和种子密钥(PIN码需自己记好)。
由操作员操作制作领导卡,产生4张领导卡。
第二步:分别导出领导卡上的密钥,经过一定方式的组合处理,在加密机中产生部级根密钥。
第三步:发出部级根密钥备份母卡及传输卡。
部级根密钥备份母卡的传输密钥与部级根密钥传输卡的加密密钥相同,由卡片随机产生。
第四步:根据之前配置的部级业务类别,由部级根密钥经加密机分散生成部级业务密钥。
第五步:通过业务总控卡,由指定的分散因子经过加密机分散出省级密钥下发母卡及其传输卡。
产生随机数作为省级密钥下发母卡的传输密钥,并且同时作为加密密钥导入传输卡。
第六步:发出部级业务密钥备份母卡及传输卡。
部级业务密钥备份母卡的传输密钥与部级业务密钥传输卡的加密密钥相同,由卡片随机产生。
第七步:发行PSAM卡洗卡母卡及传输卡,作用是为PSAM卡的发行提供主控密钥。
第八步:发行PSAM卡母卡及传输卡。
PSAM卡母卡的传输密钥与PSAM卡传输卡的加密密钥相同,由卡片随机产生。
第二条二级密钥管理中心导入一级密钥管理中心下发的二级总控密钥,并利用二级密钥管理系统生成各类应用密钥。
第三条密钥管理系统应确保密钥多级管理的可操作性,保证密钥的生成、分散、存放和装载必须在安全的环境下完成,任何中
间结果不可以被内部操作人员和外界获得。
第四条密钥管理系统必须与其它业务处理系统分开,所有开发调试必须采用测试密钥,不允许在已上正式密钥的业务系统上再
做任何调试操作。
第五条为防止直接操作相关密钥设备和系统的内部人员攻击密钥系统,所有涉及密钥安全的设备或卡(密钥一体机、加密机、
加密卡、密钥母卡)严格限定在安全监控的管辖范围之内安
装和使用。
第六条一个人只能接收某一类的密钥信息。
任何情况下,不允许一个人同时接收相配套的另外一类密钥信息的载体。
第七条在组织实施制卡操作时,必须保证在传输和使用过程中密钥载体受到24小时的密切监控,做到人不离制卡的现场,才能
保证密钥不会被截获。
第八条密钥管理部门应当掌握密钥申领和使用时间的备案情况,建立备案档案,进行备案统计,并同时上报上级业务机构。
第二章密钥的存储
第九条通过密钥管理系统产生的所有密钥,必须存放在安全的媒介中,如硬件加密机或具有安全保护的密钥母卡中。
第十条保存领导卡、主控母卡以及各类密钥备份母卡和母卡传输卡的场所,应尽量能够防御各种自然灾害的破坏和抵御各种人
为恶意攻击。
第十一条密钥管理一体机、加密机等使用与存放的环境,既要满足安全管理的特殊需求,也要满足机房环境的常规需求。
第十二条各级相关机构和部门应定期检查下级单位安装和使用密钥相关设备的安全保障措施的落实情况。
对安全检查中发现的
问题,应当提出改进意见,做出详细记录,存档备查。
第十三条领导卡必须存放在密管部门指定的保险柜内封存,除非主控母卡和母卡传输卡、或专有主控母卡和母卡传输卡出现意
外损坏的极特殊情况下,才允许再一次启用领导卡,并尽可
能安排原操作人重复领导卡的操作过程,其他任何组织或个
人都无权擅自打开查看。
第十四条总控密钥母卡和传输卡为配套使用的卡,需分开保存在密管部门指定的不同的保险柜内封存(并且要双备份),除非
在现有总控密钥损坏的情况下,才允许再次使用,严禁一个
人同时得到。
第十五条PSAM发卡母卡和洗卡母卡为配套使用的卡,需分开保管,并根据实际需要,备份若干套。
第十六条各二级密钥管理中心专有总控密钥母卡和传输卡为配套使用的卡,需分开保存在密管部门指定的不同的保险柜内,除
非在现有总控密钥损坏的情况下,才允许再次使用,严禁一
个人同时得到。
第十七条各种用户卡发卡母卡和洗卡母卡为配套使用的卡,需分开保管,并根据实际需要,备份若干套。
第十八条因业务需求,需要使用密钥母卡时,应向上级业务机构提出书面申请,申领使用相应的密钥母卡。
上级业务机构应切
实了解业务情况,做出书面批复,确认是否批准临时领取和
使用相应的密钥母卡。
在收到上级业务机构同意领取密钥母
卡的书面批复后,需指定2人分别领取密钥母卡和配套的认
证母卡。
第十九条在领取或退还密钥母卡时,应交付现场操作的详细记录,填写备案表,办理密钥申领或退还手续。
第三章操作管理
第二十条密钥管理所涉及的每一项具体业务都需要指定专人负责,出现问题时应能够明确责任人。
第二十一条对密钥管理系统的任何操作都需要指定2人以上进行,彼此通过各自掌握的卡片及其PIN进行操作。
第二十二条各级密钥管理中心的密钥母卡,需要指定专门的部门和专人保管,其中分别存放密钥母卡和母卡传输卡的保险柜应
至少需要2人才能同时打开。
第二十三条密钥管理业务的每一次密钥母卡操作都需填写工作日志,详细记录密钥生成、分发、更新、废除等现场操作的内
容及人员情况,记载密钥系统的配置情况,并安排专人定期
检查工作日志,发现问题,及时报告。
第二十四条所有关键业务的工作人员,应在上岗之前接受相关的安全及操作培训。
第二十五条在紧急情况下,操作人员应关闭核心系统对外的网络通道,隔绝可能的破坏,并报警及通知有关人员,清点设备,
妥善保管敏感信息和核心设备,保留审计信息。
事后,管理
人员应分析情况,追查原因,做出书面报告。