文档介绍：3G企业一卡通安全体系介绍
*
***一卡通业务安全体系介绍
***通信研究院
重庆
联系方式：
任晓明（**********）
renxiaomingchinamobile
***一卡通业务（V1.（写卡器发卡等）
应用管理安全（写卡器发卡等）
应用管理安全（空中发卡等）
移动管理密钥
企业管理密钥
脱机交易密钥
联机交易密钥
交易安全（空中充值等）
移动管理密钥
企业管理密钥
联机交易密钥
脱机交易密钥
交易安全（联机交易等）
*
一卡通系统安全体系介绍
密钥体系介绍
密钥体系的实施
目录
关于密钥
密钥类型定义
密钥层次结构
密钥功能
密钥分布
一卡通系统安全体系的特点
*
RF-SIM用户卡
一卡通业务平台
密钥功能 – 空中报文传输（企业端管理系统<->业务平台<->用户卡）
移动报文
企业密文数据
。。。
企业端管理系统
企业报文
企业密文数据
端到端安全通信
。。。
*
密钥功能 – 交易鉴权
随机数
加密（MAC）
验证MAC
*
门禁/考勤/POS终端
企业端管理系统
发卡终端
RF-SIM用户卡
移动管理密钥
企业管理密钥
企业应用密钥
企业应用密钥
初始化终端密钥
企业应用密钥
移动管理密钥
企业管理密钥
企业应用密钥
企业管理密钥
企业应用密钥
门禁/考勤/消费刷卡
联机交易
发卡/充值
发管理卡
空中通道（发卡、个人化、充值等）
一卡通系统的密钥分布
一卡通业务系统
加密机
工作母卡
SAM卡
发SAM卡
移动管理密钥
企业管理密钥
企业应用密钥
其它密钥
*
密钥层次结构
移动管理省密钥
卡片子密钥
分散参数：应用序列号
子密钥由密管中心写入卡片中
移动管理密钥
移动管理根密钥
一卡通业务系统加密机
分散参数：省编码+密钥版本号
从密管中心接收移动管理根密钥
应用管理
*
密钥层次结构
企业级密钥
分散企业级密钥（企业）
分散卡片子密钥
通过发卡流程写入卡片子密钥
企业管理密钥
卡片子密钥
分散参数：应用序列号
母卡
根->省密钥
一卡通业务系统加密机
分散参数：企业ID+密钥版本号
企业级密钥写入母卡
*
密钥层次结构
企业级密钥（新）
分散企业级密钥（企业）
分散卡片子密钥
通过发卡流程写入卡片子密钥
企业管理密钥（二次洗卡）
卡片子密钥（新）
分散参数：应用序列号
母卡
根->省密钥
一卡通业务系统加密机
生成企业级密钥
分散卡片子密钥
*
密钥层次结构
企业级密钥
应用级密钥
通过发卡流程写入卡片
卡片子密钥
分散参数：应用序列号
母卡
根->省密钥
一卡通业务系统加密机
分散参数：子应用索引号
分散参数：企业ID+密钥版本号
企业应用密钥（身份/消费等）
门禁/考勤/消费终端
企业级密钥写入母卡
应用级密钥写入终端/SAM卡
分散企业级密钥
分散应用级密钥
分散卡片子密钥
*
密钥层次结构
企业级密钥（新）
应用级密钥（新）
通过洗卡流程写入子密钥
卡片子密钥（新）
分散参数：应用序列号
母卡
根->省密钥
一卡通业务系统加密机
分散参数：子应用索引号
企业应用密钥（身份/消费等—二次洗卡）
门禁/考勤/消费终端
应用级密钥写入终端/SAM卡
分散企业级密钥
分散应用级密钥
分散卡片子密钥
生成新的企业级密钥
分散应用子密钥
*
一卡通系统安全体系介绍
密钥体系介绍
密钥体系的实施
目录
密钥管理机构与职能
密钥管理相关设备
密钥传输要求
各类卡片的洗卡要求
企业端密钥管理操作
一卡通系统安全体系的特点
*
密钥管理机构与职能
*
一卡通密钥管理相关设备介绍
SAM卡
母卡
加密机
母卡：用户卡洗卡（密钥替换）、SAM卡/终端密钥装载
母卡认证卡：母卡使用的授权
工作母卡：向终端中写入应用密钥（采用安全芯片方式存储密钥的终端）
脱机交易鉴权（门禁、考勤、消费等应用的双向认证）
母卡/SAM卡/用户卡的初始化以及交易过程的加解密服务
*
密钥传输 – 根密钥
密钥传输 --企业密钥（母卡本地发卡）