1密钥安全管理办法Word文档下载推荐.docx

1密钥安全管理办法Word文档下载推荐.docx

《1密钥安全管理办法Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《1密钥安全管理办法Word文档下载推荐.docx（19页珍藏版）》请在冰豆网上搜索。

4）密钥保管

对于密钥组件的存储，坚持三个原则：

最小化、认可化和高安全性。

最小化：

由指定专人负责保管密钥组件，且不同成分的密钥组件由不同人员保管；

认可化：

密钥组件存放在封条封装的信封内，只有指定的密钥管理员可以拆分信封；

高安全性：

封装密钥的信封存放在不同的保险箱内，指定的密钥保管员才有保险箱的密码和钥匙。

对于密钥注入设备，设有专人进行配置和维护，密钥保管员无权限开启和操作硬件加密机。

5）密钥泄漏与重置

除密钥泄漏或可能泄漏外，加密机主密钥（MK）一般不更新。

成员主密钥（MMK）2－3年更新一次或一般不跟新。

若出现泄漏，则立即更换被怀疑或确认泄密的密钥，确定被涉及到的功能领域，并且向管理部门报告。

若主密钥和成员主密钥出现泄漏，采用与初次生成相同的控制方式产生新的主密钥和成员主密钥；

若加密机主密钥（MK）泄漏，则替换主密钥并替换所有由该主密钥保护的密钥。

若成员主密钥（MMK）泄漏，则替换成员主密钥并更换使用该成员主密钥加密的所有密钥。

终端主密钥由加密机生成导出后，灌入母终端，再由母终端导入到其他终端里，如怀疑泄露，可通过母终端重新导入新密钥覆盖原先的密钥。

工作密钥（WK）、终端MAC密钥采用联机签取的方式，每次签到都进行更新，若怀疑泄漏，则采用人工触发方式重置密钥。

6）密钥删除与销毁

密钥生成后或在系统更新、密钥组件存储方式改变等情况时，不再使用的密钥组件（包括以纸质和IC卡方式存储的介质）或相关信息的资料均及时销毁。

作废或被损坏的密钥在双人控制下安全销毁，保证无法被恢复，销毁过程由专人监控和记录。

第二章密钥生命周期安全管理

第一节密钥的生成

密钥及其组件遵循随机生成的原则，生成工具使用硬件加密机。

本节描述密钥及其组件生成的做法。

1加密机主密钥（根密钥）的生成

加密机主密钥（根密钥）由三段组件组成，每段组件分成三个成分，且采用人工方式生成。

1）生成时的人员组成及各自的职责

密钥监督员一名、主密钥生成员六名。

密钥监督员负责监督整个密钥生成过程的规范性。

主密钥生成人员负责按照指定的人工生成方法，在规定的时间内各自生成被分配到的密钥组件成分，并交由指定的密钥保管员保管。

密钥保管员负责其保管的密钥组件的注入，不同的密钥保管员负责保管不同的密钥组件。

2）人工生成的过程

由密钥监督员召集六名密钥生成员并讲解人工生成密钥的方法规则，在规定的时间内按规定的方法生成三段密钥组件。

每个密钥生成员生成由其被分配到的密钥组件的成分后，将该成分交由指定的密钥保管员装入专用的信封内封装，由密钥监督员和密钥保管员加盖签名章后，交由密钥保管员放入保险箱保管。

3）操作要点

密钥监督员在确信密钥生成员已掌握了人工密钥的生成方法后，才让密钥生成员正式进行生成操作。

密钥生成员在生成密钥期间，不允许其他人员进入操作现场。

密钥生成员生成完密钥后，密钥监督员提醒密钥生成员已生成的密钥的长度、密钥数字的取值范围等要素是否符合规定。

2区域主密钥的生成

区域主密钥由两段密钥组件组成，由两名密钥生成人员各生成一段，具体生成方式同根密钥的生成。

3银行成员机构主密钥的生成

1）使用的工具

银行成员机构主密钥使用加密机、人工或符合银联规定的其他方法生成，具体根据密钥生成过程及成员机构的情况而定，采用人工生成密钥的方式。

2）生成密钥组件的分工

成员主密钥由两段密钥组件组成，可由与对应的成员机构各自生成其中的一段密钥组件，也可由成员机构生成全部两段密钥组件。

3）银行成员机构主密钥生成的过程

Ø

和对应的成员机构各自生成一段密钥组件的操作过程

生成的密钥组件称第一段（A段），对应的成员机构生成的称第二段（B段）。

首先由按照本节1中根密钥的生成方法和过程生成其中的一段密钥组件。

成员机构可以根据其机构本身已规定采用的方法，生成B段密钥。

在传送给接收方（对应的成员机构）A段密钥时，采取往成员机构加密机人工键入密钥明文的方式进行。

成员机构在传送给B段密钥时，同样采取往加密机人工键入密钥明文的方式进行。

两段密钥组件都由成员机构负责生成的操作过程

这种方式与根密钥的生成过程基本类似，具体生成方法根据成员机构本身规定的方法生成。

4终端主密钥的生成

终端主密钥由加密机生成导出后，再灌入母POS机，由母POS机再导入到其他POS机里。

5工作密钥的生成

工作密钥一律用联机的方式，由加密机生成。

终端签到时，应用系统向加密机发起生成工作密钥的请求，由加密机返回工作密钥，应用系统再将该值传给终端。

6终端MAC密钥的生成

终端MAC密钥的生成方式同工作密钥。

7工作表格

在生成密钥组件的过程中，填制有关工作表格。

加密机主密钥（MK）或成员机构主密钥（MMK）生成完后，由指定密钥生成人员按规定填写密钥生成表格，签章封存，封存后的表格作为密钥档案资料妥善保管，留底备查。

密钥生命周期的其他工作环节填制的相关工作表格，操作步骤比照上述叙述进行。

第二节密钥的分发与传输

1密钥分发过程

分发密钥时，应要求接收机构需派专人接收：

可以由接收机构负责保管和注入该密钥组件的人员，也可以由其委派的人员领取。

对每一段密钥组件接收机构必须分别派专人领取，规定不允许由一人领取多段密钥。

当对方领取多段密钥时，领取人员不得乘坐同一个交通工具。

对方机构领取密钥时，该密钥组件的保管员和密钥监督员必须同时在场，由密钥保管员取出需分发的密钥信封，密钥监督员负责检查信封的密封签名是否完整，并填写分发密钥的表格。

密钥由对方机构领取后，密钥监督员与对方机构的领取人员需在分发密钥的表格上签名确认。

2密钥传输过程

1）加密机主密钥（根密钥）的传输

同城传输

加密机主密钥从保管处取出时，该密钥组件的保管员和密钥监督员同时在场，并按规定填写分发密钥的表格。

输送人员在表格上签名确认后，方可向对方传送。

接收机构收到密钥后，应返回签收单，签收单由密钥保管人员负责保管。

加密机主密钥如在同城进行传输，由三人分别持三件经密封的密钥信封，在不同的时间送达对方或由对方三名专人分别领取，传送或领取人员不允许乘坐同一辆交通工具。

异地邮寄的要求

在需要采用邮寄方式传送密钥时，使用邮政部门的机要邮政系统邮寄。

密钥在邮寄前按规定填写分发密钥的表格，并派可靠人员到邮局邮寄，邮寄时的手续凭证作为附件妥善保管。

邮寄时将每一段密钥单独作为一份邮件邮寄，不同的密钥组件在不同的日期分别寄出。

2）成员机构主密钥的传送

成员机构主密钥的传送要求按照本节对加密机主密钥的传送要求执行。

3）终端主密钥的传输

终端主密钥通过母POS进行分发传输。

4）工作密钥、终端MAC密钥的传输

工作密钥、终端MAC密钥通过终端签到时，已密文方式进行传输。

5）禁止方式

密钥明文及其组件不允许采用电子邮件（E-mail）、传真、电传、电话等方式直接传递。

3密钥接收

由其他机构分发给的密钥，在接收密钥时遵守上述相关规定。

接收密钥时，保管、监督等相关人员首先填写密钥接收表格。

密钥接收人在表格上签名确认。

密钥启用前由密钥监督员签字封缄，并交由保管人员严密保管。

保管员应在接收表格上签字确认。

第三节密钥的装载和启用

1基本规定

注入过程中密钥监督员、注入人员、设备操作员等明确各自的工作内容和责任；

密钥分段分人并在隔离状态下注入密钥使用设备；

密钥注入现场的摄像监控设备不得拍摄到密钥注入设备的操作面板部位；

密钥注入完成后，按规定进行封存，并填写相关的密钥启用封存记录表格。

2注入过程

1）加密机主密钥的注入

注入人员组成及各自的职责

密钥监督员一名、设备操作员一名、主密钥注入人员三名；

密钥监督员负责监督整个密钥注入过程的合法性和规范性；

设备操作员负责在密钥注入过程中对加密机及密钥注入设备环境的准备；

主密钥注入人员负责将各自的密钥组件注入到加密机中，注入人员由该密钥组件的密钥保管人员担任。

密钥组件的取用

经主管负责人审批同意，密钥保管员在密钥监督员在场时，打开保险箱，并在与密钥一起保管的《启用/封存登记表》上做好启用记录（这里的密钥保管员不得是该密钥其他组件的保管员），签名后，由密钥监督员确认并签字，确认签字完毕，方可取用密钥组件。

注入前的审核

密钥监督员通知三位密钥组件保管人员从保险箱取出密钥组件密封信封，并检查信封的密封签名章是否完好。

如信封的密封签名章完好，则进行下一步的注入操作。

如发现破损或有被干预迹象等问题应报告主管领导，根据具体情况处理，必要时应重新生成新的主密钥组件。

注入过程

由设备操作员将加密机的操作面板切换到注入第一段主密钥的界面后，与此无关的人员均须离开，确保看不到设备显示面板。

第一位密钥注入员根据注入密钥的方法（IC卡或纸质）注入第一段密钥组件，并核对注入后该段密钥组件的检验值（CheckValue）。

如检验值不正确，需重新注入，直到正确为止。

第一位密钥注入员注入完密钥组件后，暂时离开现场，由其他密钥注入员按第一段密钥组件注入的方法，再注入第二段和第三段密钥组件，这一过程由密钥监督员在场监督。

注入后的工作

主密钥所有组件注入完成后，由密钥监督员检验注入是否成功，用三段密钥组件注入后的总检验值与生成时的总检验值进行核对，如核对不成功则需重新注入。

密钥注入完成后，原已开封的密钥保管信封需重新封装，并加盖密钥保管员和密钥监督员签名章，交由原来的保管人员保管，并按要求填写密钥《启用/封存登记表》登记封存记录，完成后放入保险箱保管。

2）银行成员机构主密钥的注入过程

成员机构主密钥的注入过程与加密机主密钥的注入过程基本一致。

因成员机构主密钥由两段组件组成，注入过程需两位注入员参加。

3）终端主密钥的使用

终端密钥存放在终端里，当终端启用时，该密钥随之启用。

4）工作密钥的启用

工作密钥是当终端签到时，加密机生成工作密钥后，开始启用。

5）终端MAC密钥的启用

同工作密钥的启用。

第四节密钥的保管

1.基本规定

密钥组件保存在保险箱内。

密钥存储介质采用纸张，并用信封密封，由密钥保管人员与密钥监督员签名确认，加盖密封签名章；

密钥组件或档案维护人员调离，办理交接手续时由密钥监督员认可并由主管负责人审批。

只有密钥组件的保管员才有权使用该密钥组件。

密钥组件存取、使用情况由保管人员作好记录，密钥监督员负责监督，该记录也应存放在保险箱内，视同密钥组件进行保管。

2.与密钥安全有关的机密设备及密码的保管

1）存放密钥的保险容器

的密钥分段分人保管，每一密钥组件的保管人员都分别配备专用的保险箱，该保险箱的钥匙和密码由该保管人员负责掌管。

2）硬件加密机钥匙的保管

硬件加密机钥匙由密钥保管员负责保管，存放在保险箱中。

3）与密钥有关的密码的保管

加密机的安全密码、操作密码由密钥保管员掌管。

上述密码保存在保险箱内，存入之前用信封密封、由密钥监督员确认，并加盖密封签名章。

3.密钥组件的保管

1）主密钥组件的保管

存储主密钥各段组件的IC卡或密封信封应在密钥监督员监督下，直接存入保险箱，且只有指定的密钥保管员才有权取用。

密钥保管员调离或离职时，需办理主密钥组件的IC卡和密封信封的交接手续，交接手续在密钥监督员监督下进行，且当场存入保险箱。

2）银行成员机构主密钥组件的保管

不保存成员机构主密钥的明文，除主机加密留存外，机外不保留密钥明文；

不保管非本机构生成的成员主密钥的IC卡或密封信封。

3）终端主密钥、工作密钥、终端MAC密钥的保管

终端主密钥、工作密钥、终端MAC密钥保存在加密机、数据库或系统文件中。

4.密钥档案资料的保管

由指定的密钥保管员负责保管，存放于安全区域的保险箱内，保存期限不低于密钥的生命周期。

保管人员调离岗位前，需妥善办理交接手续。

第五节密钥的删除与销毁

为避免泄漏风险，对失效密钥进行及时安全删除或销毁。

1.失效密钥的认定

失效密钥包括过期密钥、废除密钥、泄漏（含被攻破）密钥。

1.1过期密钥

对于不同密钥类型，有着一定的密钥生存期，超过这个期限，即可标志为过期密钥，对于过期密钥，及时的进行删除和销毁。

1.2废除密钥

指在测试环境中不再使用的密钥、生产环境中因应用程序的修改不再使用的密钥、存放介质发生损坏的密钥、设备报废或废弃在设备中不再使用的密钥等。

1.3泄漏密钥

指密钥在其生命周期内被泄漏或怀疑可能泄漏以及密钥被攻破等情况。

2.密钥删除和销毁的方法

对失效密钥，采用执行和检验相结合的方法删除和销毁，确保密钥被完全销毁。

2.1主机系统中密钥的删除

找出在主机系统中存放待删除密钥的数据库表、密钥文件等，在删除操作时安排设备管理员、密钥销毁员、密钥监督员同时在场，由密钥销毁员执行，密钥监督员验证，确保密钥的真正删除。

2.2硬件加密机中密钥的删除

找出所有待删除密钥以及硬件加密机中相应的密钥索引值，对该密钥进行重写，冲销旧密钥。

在删除操作时安排设备操作员、密钥销毁员、密钥监督员同时在场，密钥销毁员执行，密钥监督员验证，确保该密钥被覆盖。

硬件加密机具有密钥销毁功能，规定当加密机送检、维修或运输时启动毁钥功能，保证硬件加密机中的所有密钥被彻底删除。

在删除操作时安排设备管理员、密钥销毁员、密钥监督员同时在场，密钥销毁员执行，密钥监督员验证，确保密钥被销毁。

2.3终端设备中密钥的删除

终端设备中的密钥是指POS、ATM、收银一体机等的PINPAD、金融多媒体终端等设备中使用的密钥。

对报废且不再使用设备的密钥采用物理销毁的方法来删除密钥。

对仍将继续使用的设备采用覆盖的方法删除密钥。

在执行删除操作时安排设备管理员、密钥销毁员、密钥监督员同时在场，密钥销毁员执行，密钥监督员验证，确保密钥被销毁。

2.4存放密钥的组件介质的销毁

所有待销毁密钥的组件，由密钥监督员和密钥保管员同时在场执行销毁操作。

有关于销毁的规定如下：

纸介质：

采用焚毁、溶化的方式，保证不可恢复；

IC卡：

对于重复利用的介质，交密钥销毁员重新写卡，确保有写卡操作，覆盖旧密钥而不可恢复，销毁过程由密钥监督员验证。

对于不再利用的介质，交密钥销毁员物理毁卡，采用芯片毁损的方式，保证不可恢复，销毁过程由密钥监督员验证。

密钥枪类：

设备管理员启动密钥枪毁钥功能，由密钥销毁员执行，密钥监督员验证。

母POS：

设备管理员启动母POS毁钥功能，由密钥销毁员执行，密钥监督员验证。

2.5成员主密钥的删除和销毁

删除成员主密钥时，书面通知对应的成员机构执行相应删除和销毁，成员机构执行密钥删除和销毁后需要书面回执并由相关人员签字确认。

2.6密钥删除和销毁登记

密钥删除和销毁登记由密钥监督员负责。

密钥资料销毁的情况应记录在案，包括销毁时间、操作员、密钥监督员等要素。

销毁记录由销毁人和密钥监督员签字后与相关资料一同保存。

第六节密钥的泄漏与重置

1.可能被泄漏的密钥

1）可能被泄漏的密钥类型

在银行卡交易中经常涉及的密钥类型有三类：

MK（加密机主密钥）、MMK（成员主密钥）、PIK／MAK／TPK／TAK（工作密钥）。

由于工作密钥用于交易报文中的相关数据加密且更新频繁，因此非法攻击者企图截获工作密钥的机率较低。

由于成员主密钥是参与交易双方机构共同生成且各自保存（或因地域原因交易机构完整持有成员主密钥组件），因此参与方之间密钥的安全性存在互动因素影响，同时成员主密钥更新频率也较低，如果一方密钥泄漏将影响交易对方的密钥安全，从而影响对方系统的整体安全，因此成员主密钥是最有可能被泄漏和攻击的密钥。

主密钥的更新频率是最低的。

主密钥的重要性和更新频率低是造成密钥可能被泄漏和攻击的主要因素。

2）密钥泄漏或被攻击的方式

密钥泄漏的方式大致分：

非法获取、推测规律、直接穷举三种。

内部人员通常侧重攻击主密钥来破解数据库中保存的其他密钥，外部人员则通过攻击成员主密钥破解工作密钥。

非法获取

由于硬件和软件资源的限制，一般非法攻击者采用直接穷举的方式并不多见，密钥的泄漏大部分是通过非法途径或利用管理疏忽获取的，如下列情形：

●存放密钥的保险柜被盗；

●设置木马程序窃取密钥；

●买通密钥保管员或密钥涉及者监守自盗；

●测试系统中出现生产系统密钥；

●密钥明文抄写后被当作废纸随手丢弃，废旧密钥未及时销毁；

●密钥明文出现在文档资料、程序源码、通信联络中；

●硬件加密设备无专人管理，无权限设置，未授权情况下开启加密设备时密钥未自毁等。

●废弃的设备中密钥未销毁等。

推测规律

从根本上说，推测规律也是穷举法中的一种，通过推测规律减少穷举的次数。

对于一种规律性强的密钥，推测是有效的。

推测规律主要是找出密钥的相关性，因此提高密钥的非相关性是在密钥设置时需要考虑到的方面。

推测规律的方式有：

●找出密钥的相似处，进行比对，总结规律以试图解析密钥；

●通过对废旧密钥的联想，猜测规律以试图解析密钥；

●通过对密钥输入者的习惯进行分析，猜测密钥规律；

●通过对测试系统密钥进行分析，猜测生产机密钥规律；

直接穷举

直接穷举需要硬件和软件资源支持，非法攻击者利用合法交易，通过穷举密钥明文，比对密钥密文来破译密钥明文，这种方法耗用一定时间，但隐蔽性较高。

3）密钥泄漏的补救措施

加密机主密钥泄漏后，立即停止所有交易，重新生成新密钥并马上启用，需生成的密钥包括加密机主密钥，成员主密钥和终端主密钥，以及各类工作密钥。

成员机构主密钥泄漏后，重新生成相应成员主密钥并立即启用，并更新对应的工作密钥。

终端主密钥、工作密钥、终端MAC密钥泄漏后，重新生成相应终端主密钥并立即启用，并对终端的工作密钥进行更新。

4）记录相关操作

密钥泄漏的补救措施完成后，记录相关操作填写相应表格，表格要素包括：

密钥使用单位、设备名称和编号、泄漏密钥的类型、发生密钥泄漏的时间和方式、密钥泄漏造成的损失和补救的措施等。

2.密钥泄漏的核查

1）加强系统跟踪，在日常工作中定期核查系统状态。

检查内容包括：

●在某时间域内，大额交易的频度是否异常；

●在某时间域内，交易频率是否异常（如突发同类交易是否增多）；

●在某时间域内，密钥类错误交易是否增多；

●是否非法访问增多；

●是否合法访问异常操作增多；

●是否有大量的伪卡出现；

●异常情况是否具有一定相似性和规律性。

2）禁止发生的情形

对执行密钥生成、保管、启用、更新、销毁操作等过程进行检查，杜绝违规或超权限操作，禁止发生以下情形：

●未使用加密设备，密钥的明文出现在系统或程序中；

●加密机主密钥、成员主密钥以单个完整的密钥形式出现在硬件加密机外部，或密钥组件在权限范围外可以被合成；

●工作密钥未按规定动态更新，长时段呈静态状况，导致被穷举攻破；

●废旧设备中仍在使用的密钥未及时销毁，随意丢弃或放置；

●在测试系统和生产系统使用同一密钥，或在测试系统出现生产系统密钥的明文；

●同一密钥在多个地方使用。

3）专人负责加密设备

对硬件加密设备的使用、维护设有专人负责，每次操作都进行登记记录，且多人在场，对违规超权限的操作及时查处。

4）系统用户权限和密码加强管理

对系统管理员密码、各用户密码及用户权限应严格管理，一旦上述密码发生泄漏、权限失控或人员离职，及时对系统各密钥进行核查跟踪，根据需要及时更新密钥。

3.密钥泄漏和被攻破情况的界定

在生产中使用的各类密钥都有可能发生泄漏或被攻破，在发现下列情况时，可以考虑认定密钥已泄漏或被攻破，并及时采取措施更新密钥。

1）加密机主密钥泄漏和被攻破的情况

●密钥未按生成、分发、保管、注入所规定的条款执行；

●有两段或两段以上密钥明文被盗或同时丢失；

●有两段或两段以上密钥明文同时存放在同一台可被人读取的设备上；

●系统内大部分成员主密钥、工作密钥泄漏或被攻破；

●其他经密钥安全管理工作组认定的情况。

2）成员机构主密钥泄漏和被攻破的情况

●密钥未按本指南生成、分发、保管、注入所规定的条款执行；

●两段密钥明文被盗或同时丢失；

●两段或两段以上密钥明文同时存放在同一台可被人读取的设备上；

●系统内工作密钥泄漏或被攻破；

3）终端密钥、工作密钥、终端MAC密钥泄漏和被攻破的情况

●密钥未按本指南生成、分发、传输规定的条款执行；

●报文中加密的数据被攻破；

4）密钥被认定泄漏和被攻破的审核程序

经密钥安全管理工作组共同认定，报本单位主管领导批准后，认定密钥已泄漏和被攻破。

对于工作组无法认定的情况，聘请有关专家和管理人员进行审核。

必要时报公安部门协助追查。

对于密钥被认定已泄漏和被攻破的情况，填写相应的表格，表格要素包括：

泄漏或被攻破密钥的类型，发生泄漏或被攻破的时间、地点和方式，密钥使用单位，设备名称和编号等。