概述

    居民健康卡采用IC卡技術(shù)，在居民健康卡及涉及的相關(guān)業(yè)務(wù)中，密碼技術(shù)是保障業(yè)務(wù)數(shù)據(jù)的安全的基礎(chǔ)手段。卡片的制作、管理及應(yīng)用系統(tǒng)的業(yè)務(wù)流程都需要密碼技術(shù)的支撐。

    居民健康卡數(shù)據(jù)安全保障系統(tǒng)由密鑰、加密算法、加密設(shè)備、密鑰服務(wù)、管理系統(tǒng)軟件組成。

    密鑰管理系統(tǒng)負(fù)責(zé)卡片級(jí)密鑰、管理密鑰、消費(fèi)密鑰、第三方合作機(jī)構(gòu)密鑰接入的管理，是居民健康卡的核心系統(tǒng)，和應(yīng)用系統(tǒng)一起構(gòu)成居民健康卡卡系統(tǒng)的安全保障體系。密鑰管理系統(tǒng)需要為應(yīng)用系統(tǒng)以及數(shù)量巨大卡片的制作、管理提供有效的支持，完善、可控的密鑰管理體系是保障居民健康卡項(xiàng)目合規(guī)、安全、發(fā)展的重要組成部分。

    建設(shè)方案

    本方案采用江南科友“密鑰管理系統(tǒng)”為基礎(chǔ)的安全技術(shù)，提供各業(yè)務(wù)系統(tǒng)的密鑰管理、安全計(jì)算支持，完善居民健康卡系統(tǒng)的安全保障體系。

    密鑰管理系統(tǒng)提供如下功能：
    負(fù)責(zé)完成PBOC2.0 標(biāo)準(zhǔn)的發(fā)卡機(jī)構(gòu)證書(shū)的申請(qǐng)、管理等；
    負(fù)責(zé)IC卡應(yīng)用相關(guān)的密鑰（包括應(yīng)用密鑰、卡片個(gè)人化交換主密鑰等）管理；
    負(fù)責(zé)分發(fā)各類密鑰到卡片制造商、卡片個(gè)人化中心及業(yè)務(wù)前置交易加密機(jī)等；
    對(duì)于對(duì)稱、非對(duì)稱密鑰體系的各種密鑰管理；
    其它與密鑰管理相關(guān)的功能需求，如密鑰操作審計(jì)，密鑰操作權(quán)限限制的等功能。

    密鑰系統(tǒng)中密鑰間的層次關(guān)系見(jiàn)如下圖。

    在居民健康卡業(yè)務(wù)系統(tǒng)中，江南科友“密鑰管理系統(tǒng)”支持衛(wèi)生部支持的CA系統(tǒng)，且可以實(shí)現(xiàn)居民健康卡中涉及的各種密鑰的管理。

    密鑰管理系統(tǒng)邏輯架構(gòu)

{$page$}

    如圖所示，密鑰管理系統(tǒng)主要包括管理服務(wù)器軟件、核心服務(wù)軟件、管理界面軟件、API四個(gè)軟件模塊。

    密鑰管理系統(tǒng)主要完成如下工作：
    多版本的密鑰管理功能，保證密鑰版本在整個(gè)生命周期內(nèi)產(chǎn)生、存儲(chǔ)、更新、傳輸、使用、銷毀的正確性和安全性；
    審計(jì)密鑰管理操作、配置管理操作等；
    管理發(fā)卡機(jī)構(gòu)的密鑰、證書(shū)數(shù)據(jù)。包括IC卡根密鑰的產(chǎn)生及存儲(chǔ)、發(fā)卡機(jī)構(gòu)RSA對(duì)生成及存儲(chǔ)、發(fā)卡機(jī)構(gòu)證書(shū)申請(qǐng)及存儲(chǔ)、根CA公鑰文件下載及存儲(chǔ)等；
    管理IC卡卡片密鑰、證書(shū)數(shù)據(jù)。包括IC卡交易主密鑰生成、IC卡RSA對(duì)生成、簽發(fā)IC卡證書(shū)、簽名IC卡靜態(tài)應(yīng)用數(shù)據(jù)等；
    管理發(fā)卡機(jī)構(gòu)IC卡交易主密鑰分發(fā)。包括MDKs密鑰向加密服務(wù)系統(tǒng)分發(fā)等；管理根CA公鑰文件向終端的分發(fā)。包括根CA公鑰文件的下載等。

    產(chǎn)品及技術(shù)

    密鑰管理系統(tǒng)KMS

    “密鑰管理系統(tǒng)”，是廣州江南科友科技股份有限公司基于銀行、移動(dòng)、電信、衛(wèi)生等各種機(jī)構(gòu)對(duì)密鑰管理的安全需求，以及多年的數(shù)據(jù)安全設(shè)計(jì)經(jīng)驗(yàn)，自主開(kāi)發(fā)設(shè)計(jì)的安全密鑰管理系統(tǒng)，滿足各種機(jī)構(gòu)密鑰管理的安全需求，并支持各種安全介質(zhì)管理、發(fā)行和業(yè)務(wù)處理。

    “密鑰管理系統(tǒng)”主要功能是為服務(wù)系統(tǒng)提供密鑰管理與服務(wù)功能，可以廣泛應(yīng)用于衛(wèi)生、銀行、移動(dòng)、電信、社保、交通等多個(gè)行業(yè)的電子計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中。該產(chǎn)品借鑒了國(guó)內(nèi)外同類產(chǎn)品設(shè)計(jì)的先進(jìn)思想，采用配置化管理，滿足用戶多應(yīng)用多業(yè)務(wù)密鑰管理需求，并且具有良好的人機(jī)管理操作界面。在安全管理上，具有完善的人員認(rèn)證、安全控制、運(yùn)維監(jiān)控及審計(jì)機(jī)制，并且支持雙機(jī)熱備工作模式，大大增強(qiáng)了系統(tǒng)的可靠性。

    該系統(tǒng)是一套軟件系統(tǒng)，以安全硬件密碼設(shè)備為支撐，從密鑰使用的角度對(duì)業(yè)務(wù)系統(tǒng)中的各種密鑰進(jìn)行管理，關(guān)鍵算法運(yùn)算和操作通過(guò)安全硬件密碼設(shè)備來(lái)實(shí)現(xiàn)，安全性得到保障。

    應(yīng)用該產(chǎn)品可以幫助客戶快速構(gòu)建一套安全、自動(dòng)、高效的密鑰管理體系，大大提高應(yīng)用系統(tǒng)的安全性，這對(duì)于維護(hù)國(guó)家和客戶利益，保守信息秘密，防止各種信息犯罪，具有十分重要的意義。

    密鑰管理中心是安全服務(wù)的基礎(chǔ)平臺(tái)，密碼設(shè)備只是密碼算法提供者，而應(yīng)用只是平臺(tái)的服務(wù)對(duì)象，密鑰管理中心不與任何設(shè)備型號(hào)或應(yīng)用類型綁定，具備設(shè)備無(wú)關(guān)性和應(yīng)用無(wú)關(guān)性兩大特點(diǎn)。

    通過(guò)密鑰集中管理與維護(hù)，設(shè)計(jì)、實(shí)施、管理操作的標(biāo)準(zhǔn)化等手段，可以有效降低安全管理成本。

    通過(guò)密鑰集中管理，可以將各業(yè)務(wù)系統(tǒng)如用戶密鑰、設(shè)備密鑰、卡片米啊喲等關(guān)鍵密鑰的產(chǎn)生、分發(fā)、處理、存儲(chǔ)以及銷毀等生命周期的各個(gè)環(huán)節(jié)進(jìn)行集中安全管理，將密鑰、設(shè)備、口令的安全管理流程化、制度化，提升整體安全性。

    由于密鑰管理系統(tǒng)在IC卡應(yīng)用系統(tǒng)中至關(guān)重要的安全核心作用，對(duì)該系統(tǒng)的研發(fā)、生產(chǎn)和銷售的全過(guò)程需要嚴(yán)格遵循《商用密碼管理?xiàng)l例》，具體要求包括以下幾點(diǎn)：

    密鑰管理系統(tǒng)（包括相關(guān)的軟硬件平臺(tái)）需要經(jīng)過(guò)國(guó)家密碼管理局的認(rèn)證；
    密鑰管理系統(tǒng)使用經(jīng)國(guó)家密碼管理局審定通過(guò)的算法實(shí)現(xiàn)密鑰的生成、分散、傳輸?shù)让荑€管理功能；
    上述算法的實(shí)現(xiàn)使用經(jīng)國(guó)家密碼管理局審定通過(guò)的硬件加密設(shè)備（包括加密卡、加密機(jī)、IC卡等）；
    系統(tǒng)采用合理的安全性設(shè)計(jì)，確保密鑰在生成、存儲(chǔ)、傳輸、使用等環(huán)節(jié)的安全；
    密鑰管理加密機(jī)禁止提供通過(guò)網(wǎng)絡(luò)導(dǎo)出密鑰的功能；
    加密機(jī)中的密鑰任何時(shí)候都不以明文形式傳輸?shù)郊用軝C(jī)之外。

    江南科友

    廣州江南科友科技股份有限公司（以下簡(jiǎn)稱“江南科友”）成立于1991年，注冊(cè)資本3100萬(wàn)元人民幣，注冊(cè)經(jīng)營(yíng)地為廣州市天河高新技術(shù)產(chǎn)業(yè)開(kāi)發(fā)區(qū)工業(yè)園。

    江南科友專注于金融領(lǐng)域的信息安全，業(yè)務(wù)覆蓋全國(guó)，四大國(guó)有銀行以及幾乎所有全國(guó)性股份制商業(yè)銀行都采用了江南科友提供的安全產(chǎn)品或服務(wù)。公司司長(zhǎng)期關(guān)注行業(yè)發(fā)展方向，不斷開(kāi)發(fā)新的產(chǎn)品和服務(wù)項(xiàng)目，特別是整合多年專業(yè)經(jīng)驗(yàn)推出的“密碼服務(wù)平臺(tái)”、“運(yùn)維審計(jì)服務(wù)”等產(chǎn)品，創(chuàng)造性地解決了客戶所關(guān)心的問(wèn)題，獲得了客戶的高度認(rèn)同。