文档介绍：中国移动手机支付业务密钥管理
中国移动通信集团公司
2009年5月

目录
概述
加密机介绍
密钥管理中心–二级管理架构
密钥管理相关流程举例
2
概述
范围:
《中国移动手机支付业务密钥安全管理总体技术要求》对密钥管理原则、密钥管理中心建设提出了总体要求
《设备规范》系列对密钥管理系统、PSAM卡发卡系统、用户卡发卡系统提出了功能、安全等要求;
《接口规范》系列则对各个加密机的相关接口提出了具体的要求。
读者:
本系列规范可供运营管理人员、技术人员、工程实施人员参考。
相关规范简介
规范名称
企标号
说明
《中国移动手机支付业务-密钥安全管理总体技术要求》
QB-F-009-2009
提出手机支付业务密钥管理的总体要求,同时也提出了密钥管理方案的实施指南。
《中国移动手机支付业务-密钥管理系统设备规范》
QB-F-011-2009
提出了密钥管理系统的设备规范,其中针对系统的构成、功能要求、安全要求以及接口等方面提出了要求。
《中国移动手机支付业务-PSAM卡发卡系统设备规范》
QB-F-014-2009
提出了PSAM卡发卡系统的设备规范,其中针对系统的构成、功能要求、安全要求以及接口等方面提出了要求。
《中国移动手机支付业务-用户卡发卡系统设备规范》
QB-F-013-2009
提出了用户卡发卡系统的设备规范,其中针对系统的构成、功能要求、安全要求以及接口等方面提出了要求。
《中国移动手机支付业务-密钥管理加密机接口规范》
QB-F-010-2009
规定了手机支付全国密钥管理中心和手机支付省密钥管理中心的密钥管理加密机的接口要求,包括密钥生成、密钥导出/导入(传输)接口。
《中国移动手机支付业务-PSAM卡发卡加密机接口规范》
QB-F-014-2009
规定了手机支付全国密钥管理中心和手机支付省密钥管理中心的PSAM卡发卡加密机的接口要求,包括密钥导出/导入(传输)、卡片厂商密钥装载以及发卡接口。
《中国移动手机支付业务-用户卡发卡加密机接口规范》
QB-F-012-2009
规定了手机支付全国密钥管理中心和手机支付省密钥管理中心的密钥管理加密机的接口要求,包括密钥导出/导入(传输)和卡片子密钥生成接口。
4
手机支付业务中的密钥分布
5
客户端/SIM卡
POS/PSAM卡
现场消费
(消费密钥、TAC密钥)
客户端/SIM卡
批上送等(WK)
WK更新(KEK)
业务子密钥(现场支付)
业务子密钥(远程支付)
POS密钥(密码键盘)
POS服务平台
业务根密钥(现场支付)
业务根密钥(远程支付)
POS服务系统密钥
远程支付、充值等交易
(充值、应用维护、应用主控、MAC、ENC等业务密钥)
密钥存放的位置
6
密码键盘
文件系统中
外部磁盘上
???
PSAM卡
SIM卡
主机系统适合存储密钥吗?
7
键盘/鼠标
显示器
USB接口
网络接口
串口
光/软驱
光驱
专用接口
如何改造系统以存储密钥?
8
显示器
键盘
读卡器
串口
硬件改造
OS改造
加密机的雏形
9
加密机
123
456
…
液晶显示屏
键盘
IC卡读卡器
管理终端
加密机是一个安全管理密钥的平台
加密机类型
10
加密机
123
456
…
密钥管理加密机
123
456
…
PSAM卡发卡加密机
123
456
…
用户卡发卡加密机
123
456
…