资源预览内容
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
第9页 / 共40页
第10页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
配色参考方案:以下为三组配色方案。(仅供参考)2中国移动一卡通业务安全体系介绍中国移动通信研究院中国移动通信研究院2009.12 重庆重庆联系方式:联系方式:任晓明(任晓明(13910032082)renxiaomingchinamobile.com中国移动一卡通业务(中国移动一卡通业务(V1.0)技术培训教程)技术培训教程3一卡通系统安全体系介绍一卡通系统安全体系介绍密钥体系介绍密钥体系介绍密钥体系的实施密钥体系的实施目录目录一卡通系统安全体系模型一卡通系统安全体系模型卡片安全卡片安全端到端的交易安全端到端的交易安全终端机具安全终端机具安全一卡通系统安全体系的特点一卡通系统安全体系的特点4密钥安全:密钥在那里生成、保管,如何保证安全性?密钥如何安全传递给业务平台、企业?一卡通系统中如何安全的存储、使用密钥(业务系统、企业端管理系统)?卡片的安全:如何保证卡片自身的安全?为什么要洗卡?交易安全:如何保证交易流程的安全性,包括门禁、考勤、消费、充值等?企业使用中国移动的服务,如何能够保证企业自身信息的机密性?问题问题5一卡通系统一卡通系统安全体系安全体系 系统安全层系统安全层 网络安全层网络安全层 物理安全层物理安全层业务业务安全层安全层基基 础础 设设 施施各各种种威威胁胁/攻攻击击访访问问控控制制通通信信安安全全可可用用性性安安全全审审计计防防攻攻击击/病病毒毒密密码码体体系系环境安全、媒体安全、设备安全环境安全、媒体安全、设备安全一卡通系统安全体系模型一卡通系统安全体系模型 针对一卡通系统纵向划分四个层次、各个层次上提供多种安全功能针对一卡通系统纵向划分四个层次、各个层次上提供多种安全功能 能够应对一卡通系统所面临的多层次、多维度的网络威胁,在设计上充分保能够应对一卡通系统所面临的多层次、多维度的网络威胁,在设计上充分保证完整性和可扩展性证完整性和可扩展性6卡片安全卡片安全 - 2.4G RFID-SIM卡卡采用标准加密算法采用标准加密算法支持支持128Bit对称密钥对称密钥支持双向认证支持双向认证采用高安全级别的芯片采用高安全级别的芯片7终端机具安全终端机具安全 采用标准加密算法采用标准加密算法支持支持128Bit对称密钥对称密钥支持双向认证支持双向认证采用安全芯片或采用安全芯片或SAM卡存储密钥卡存储密钥8门禁门禁/考勤考勤/POS终端终端RF-SIM用户卡用户卡业务流程安全业务流程安全 - 端到端安全端到端安全一卡通业务系统一卡通业务系统企业端管理系统企业端管理系统交易安全(门禁交易安全(门禁/考勤考勤/脱机消费等)脱机消费等)安全通信安全通信IDID应用管理安全(写卡应用管理安全(写卡器发卡等)器发卡等)应用管理安全(写应用管理安全(写卡器发卡等)卡器发卡等)应用管理安全应用管理安全(空中发卡等)(空中发卡等)移动管理密钥移动管理密钥企业管理密钥企业管理密钥脱机交易密钥脱机交易密钥联机交易密钥联机交易密钥交易安全(空交易安全(空中充值等)中充值等)移动管移动管理密钥理密钥企业管理密钥企业管理密钥联机交易密钥联机交易密钥脱机交易密钥脱机交易密钥交易安全(联交易安全(联机交易等)机交易等)9一卡通系统安全体系介绍一卡通系统安全体系介绍密钥体系介绍密钥体系介绍密钥体系的实施密钥体系的实施目录目录关于密钥关于密钥密钥类型定义密钥类型定义密钥层次结构密钥层次结构密钥功能密钥功能密钥分布密钥分布一卡通系统安全体系的特点一卡通系统安全体系的特点10密钥简介密钥简介输入输入输出输出算法算法128bit密钥密钥密密钥独立性独立性应用独立,如:用独立,如:门禁禁考勤考勤消消费权限独立:限独立:移移动与企与企业企企业与企与企业应用与用与应用用功能独立:功能独立:身份身份认证传输加密加密MAC验证统一管理一管理由密由密钥管理中管理中心心对密密钥进行行统一管理,一管理,实现密密钥管理管理规则的的统一一层次管理次管理降低管理成本降低管理成本体体现管理管理层次,次,并并实现层级之之间的的权限分离限分离与控制与控制11密钥体系设计原则密钥体系设计原则12密钥类型定义密钥类型定义密钥类型密钥类型用途用途移动管理密移动管理密钥钥应用管理密钥对一卡通应用做管理和控制空中传输密钥空中通道敏感数据加密空中报文MAC密钥空中通道数据完整性保证企企业业管管理理密密钥钥企业主控密钥对本企业一卡通应用数据做管理和控制企业空中传输密钥用于加密企业通过空中传递的敏感信息企业空中报文MAC密钥用于生成企业通过空中传递敏感信息的MAC企企业业应应用用密密钥钥身份识别密钥用于门禁、考勤等身份识别类应用刷卡过程的认证联机消费密钥联机交易鉴权密钥对联机交易的鉴权联机交易TAC密钥用于生成联机交易的TAC脱机消费密钥消费密钥用于POS刷卡过程的认证充值密钥用于充值脱机交易TAC密钥用于生成消费相关交易的TAC13一卡通应用(用户卡)一卡通应用(用户卡)应用管理密钥应用管理密钥密钥功能密钥功能 - 卡片操作权限控制卡片操作权限控制。企业企业1#管理密钥管理密钥企业企业2#管理密钥管理密钥权限控制权限控制权限控制权限控制企业企业1#空间空间企业企业2#空间空间企业企业1#应用密钥应用密钥企业企业2#应用密钥应用密钥移动空间移动空间企业企业2#管理密钥(新密钥)管理密钥(新密钥)企业企业2#管理密钥(新密钥)管理密钥(新密钥)企业洗卡:企业洗卡:替换管理密钥替换管理密钥权限控制权限控制权限控制权限控制企业企业1#应用密钥(新密钥)应用密钥(新密钥)企业企业1#应用密钥(新密钥)应用密钥(新密钥)企业洗卡:企业洗卡:替换应用密钥替换应用密钥14RF-SIM用户卡用户卡一卡通业务一卡通业务平台平台密钥功能密钥功能 空中报文传输(业务平台空中报文传输(业务平台用户卡)用户卡)移动报文移动报文指令数据指令数据15RF-SIM用户卡用户卡一卡通业一卡通业务平台务平台密钥功能密钥功能 空中报文传输(企业端管理系统空中报文传输(企业端管理系统业业务平台务平台用户卡)用户卡)移动报文移动报文企业密文数据企业密文数据。企业端管企业端管理系统理系统企业报文企业报文企业密文数据企业密文数据端到端安端到端安全通信全通信。16密钥功能密钥功能 交易鉴权交易鉴权随机数随机数加密(加密(MAC)验证验证MAC17门禁门禁/考勤考勤/POS终端终端企业端管理企业端管理系统系统发卡终端发卡终端RF-SIM用户卡用户卡移动管理密钥移动管理密钥企业管理密钥企业管理密钥企业应用密钥企业应用密钥企业应用密钥企业应用密钥 初始化终初始化终端密钥端密钥企业应用密钥企业应用密钥移动管理密钥移动管理密钥企业管理密钥企业管理密钥企业应用密钥企业应用密钥企业管理密钥企业管理密钥企业应用密钥企业应用密钥门禁门禁/考勤考勤/消费刷卡消费刷卡联机交易联机交易发卡发卡/充值充值发管理卡发管理卡空中通道空中通道(发卡、个(发卡、个人化、充值人化、充值等)等)一卡通系统的密钥分布一卡通系统的密钥分布一卡通业一卡通业务系统务系统加密机加密机工作工作母卡母卡SAM卡卡发发SAM卡卡移动管理密钥移动管理密钥企业管理密钥企业管理密钥企业应用密钥企业应用密钥其它密钥其它密钥18密钥层次结构密钥层次结构移动管理省密钥移动管理省密钥卡片子密钥卡片子密钥分散参数:应用序列号分散参数:应用序列号子密钥由密管中心写子密钥由密管中心写入卡片中入卡片中移动管理密钥移动管理密钥移动管理根密钥移动管理根密钥一卡通业务一卡通业务系统加密机系统加密机分散参数:省编码分散参数:省编码+密密钥版本号钥版本号从密管中心接收移动管理从密管中心接收移动管理根密钥根密钥应用管理应用管理19密钥层次结构密钥层次结构企业级密钥企业级密钥分散企业级密钥(企业)分散企业级密钥(企业)分散卡片子密钥分散卡片子密钥通过发卡流程写通过发卡流程写入卡片子密钥入卡片子密钥企业管理密钥企业管理密钥卡片子密钥卡片子密钥分散参数:应用序列号分散参数:应用序列号母卡母卡根根-省密钥省密钥一卡通业务系一卡通业务系统加密机统加密机分散参数:企业分散参数:企业ID+密密钥版本号钥版本号企业级密钥写入企业级密钥写入母卡母卡20密钥层次结构密钥层次结构企业级密钥(新)企业级密钥(新)分散企业级密钥(企业)分散企业级密钥(企业)分散卡片子密钥分散卡片子密钥通过发卡流程写通过发卡流程写入卡片子密钥入卡片子密钥企业管理密钥(二次洗卡)企业管理密钥(二次洗卡)卡片子密钥(新)卡片子密钥(新)分散参数:应用序列号分散参数:应用序列号母卡母卡根根-省密钥省密钥一卡通业务系一卡通业务系统加密机统加密机生成企业级密钥生成企业级密钥分散卡片子密钥分散卡片子密钥21密钥层次结构密钥层次结构企业级密钥企业级密钥应用级密钥应用级密钥通过发卡流程通过发卡流程写入卡片写入卡片卡片子密钥卡片子密钥分散参数:应用序列号分散参数:应用序列号母卡母卡根根-省密钥省密钥一卡通业务系一卡通业务系统加密机统加密机分散参数:子应用索分散参数:子应用索引号引号分散参数:企业分散参数:企业ID+密密钥版本号钥版本号企业应用密钥(身份企业应用密钥(身份/消费等)消费等)门禁门禁/考勤考勤/消费终端消费终端企业级密钥写入母企业级密钥写入母卡卡应用级密钥写应用级密钥写入终端入终端/SAM卡卡分散企业级密钥分散企业级密钥分散应用级密钥分散应用级密钥分散卡片子密钥分散卡片子密钥22密钥层次结构密钥层次结构企业级密钥(新)企业级密钥(新)应用级密钥(新)应用级密钥(新)通过洗卡流程通过洗卡流程写入子密钥写入子密钥卡片子密钥(新)卡片子密钥(新)分散参数:应用序列号分散参数:应用序列号母卡母卡根根-省密钥省密钥一卡通业务系一卡通业务系统加密机统加密机分散参数:子应用索分散参数:子应用索引号引号企业应用密钥(身份企业应用密钥(身份/消费等消费等二次洗卡)二次洗卡)门禁门禁/考勤考勤/消费终端消费终端应用级密钥写应用级密钥写入终端入终端/SAM卡卡分散企业级密钥分散企业级密钥分散应用级密钥分散应用级密钥分散卡片子密钥分散卡片子密钥生成新的企业级密钥生成新的企业级密钥分散应用子密钥分散应用子密钥23一卡通系统安全体系介绍一卡通系统安全体系介绍密钥体系介绍密钥体系介绍密钥体系的实施密钥体系的实施目录目录密钥管理机构与职能密钥管理机构与职能密钥管理相关设备密钥管理相关设备密钥传输要求密钥传输要求各类卡片的洗卡要求各类卡片的洗卡要求企业端密钥管理操作企业端密钥管理操作一卡通系统安全体系的特点一卡通系统安全体系的特点24密钥管理机构与职能密钥管理机构与职能25一卡通密钥管理相关设备介绍一卡通密钥管理相关设备介绍SAM卡卡母卡母卡加密机加密机母卡:用户卡洗卡(密钥替换)、母卡:用户卡洗卡(密钥替换)、SAM卡卡/终端密钥装载终端密钥装载母卡认证卡:母卡使用的授权母卡认证卡:母卡使用的授权工作母卡:向终端中写入应用密钥(采用安全芯片方式存储工作母卡:向终端中写入应用密钥(采用安全芯片方式存储密钥的终端)密钥的终端) 脱机交易鉴权(门禁、考勤、消费等应脱机交易鉴权(门禁、考勤、消费等应用的双向认证)用的双向认证)母卡母卡/SAM卡卡/用户卡的初始化以及交易过用户卡的初始化以及交易过程的加解密服务程的加解密服务26密钥传输密钥传输 根密钥根密钥密钥传输密钥传输 -企业密钥(母卡本地发卡)企业密钥(母卡本地发卡)密钥传输密钥传输 -企业密钥(母卡远程发卡)企业密钥(母卡远程发卡)29洗卡洗卡 - SIM卡洗卡(全国密钥管理中心)卡洗卡(全国密钥管理中心)30洗卡洗卡 - SIM卡(省密钥管理中心)卡(省密钥管理中心)31洗卡洗卡 - IC卡(本地洗卡)卡(本地洗卡)32洗卡洗卡 - IC卡(省公司远程洗卡)卡(省公司远程洗卡)33洗卡洗卡 - SAM卡洗卡(本地洗卡)卡洗卡(本地洗卡)34洗卡洗卡 - SAM卡(省公司远程洗卡)卡(省公司远程洗卡)35企业端密钥管理操作企业端密钥管理操作 - SAM卡发卡卡发卡应用密钥(如:门禁、考应用密钥(如:门禁、考勤、消费等)勤、消费等)母卡母卡SAM卡卡说明:说明:SAM卡发卡一定要由该企业的母卡控制下完成卡发卡一定要由该企业的母卡控制下完成移动管理密钥移动管理密钥一卡通应用初始密钥一卡通应用初始密钥36企业端密钥管理操作企业端密钥管理操作 - 二次洗卡二次洗卡母卡母卡生成新密钥生成新密钥一卡通应用初始密钥一卡通应用初始密钥问题问题1、移动是否可以获取企业的新密钥?、移动是否可以获取企业的新密钥?移动管理密钥移动管理密钥一卡通应用新密钥一卡通应用新密钥一卡通应用初始密钥一卡通应用初始密钥一卡通应用新密钥一卡通应用新密钥问题问题2、卡片在洗卡后是否能够脱离移动的管理和控制?、卡片在洗卡后是否能够脱离移动的管理和控制?问题问题3、如果母卡丢失怎么办?、如果母卡丢失怎么办?37SAM卡卡母卡母卡5、写入新密钥、写入新密钥(通过工作母卡)(通过工作母卡)2、写入新密钥、写入新密钥洗卡洗卡1、获取新母卡、获取新母卡/生成新密钥生成新密钥4、恢复初始密钥、恢复初始密钥3、恢复初始密钥、恢复初始密钥(Reload Key)企业端密钥管理操作企业端密钥管理操作 - 母卡丢失的处理(已洗卡)母卡丢失的处理(已洗卡)38一卡通系统安全体系的特点一卡通系统安全体系的特点安全的卡片安全的卡片一卡多企业的安全性一卡多企业的安全性企业自管理的安全企业自管理的安全企业企业A企业企业B。端到端安全端到端安全完整的密钥体系完整的密钥体系39密钥在那里生成、保管?密钥如何安全传递给业务平台?密钥如何安全传递给企业?一卡通业务系统中如何安全的存储、使用密钥?一卡通企业端管理系统如何安全的存储和使用密钥?如何保证卡片自身的安全?为什么要洗卡?如何保证交易流程的安全性,包括门禁、考勤、消费、充值等?企业使用中国移动的服务,如何能够保证企业自身信息的机密性?同时又能保证移动的管控能力?关键点回顾关键点回顾配色参考方案:以下为三组配色方案。(仅供参考)40
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号