居民健康卡采用IC卡技术,在居民健康卡及涉及的相关业务中,密码技术是保障业务数据的安全的基础手段。卡片的制作、管理及应用系统的业务流程都需要密码技术的支撑。
居民健康卡数据安全保障系统由密钥、加密算法、加密设备、密钥服务、管理系统软件组成。密钥管理系统负责卡片级密钥、管理密钥、消费密钥、第三方合作机构密钥接入的管理,是居民健康卡的核心系统,和应用系统一起构成居民健康卡卡系统的安全保障体系。密钥管理系统需要为应用系统以及数量巨大卡片的制作、管理提供有效的支持,完善、可控的密钥管理体系是保障居民健康卡项目合规、安全、发展的重要组成部分。
本方案采用江南科友“密钥管理系统”为基础的安全技术,提供各业务系统的密钥管理、安全计算支持,完善居民健康卡系统的安全保障体系。
密钥管理系统提供如下功能:
负责完成PBOC2.0 标准的发卡机构证书的申请、管理等;负责IC卡应用相关的密钥(包括应用密钥、卡片个人化交换主密钥等)管理;负责分发各类密钥到卡片制造商、卡片个人化中心及业务前置交易加密机等;对于对称、非对称密钥体系的各种密钥管理;其它与密钥管理相关的功能需求,如密钥操作审计,密钥操作权限限制的等功能。
密钥管理系统主要完成如下工作:
多版本的密钥管理功能,保证密钥版本在整个生命周期内产生、存储、更新、传输、使用、销毁的正确性和安全性;审计密钥管理操作、配置管理操作等;管理发卡机构的密钥、证书数据。包括IC卡根密钥的产生及存储、发卡机构RSA对生成及存储、发卡机构证书申请及存储、根CA公钥文件下载及存储等;管理IC卡卡片密钥、证书数据。包括IC卡交易主密钥生成、IC卡RSA对生成、签发IC卡证书、签名IC卡静态应用数据等;管理发卡机构IC卡交易主密钥分发。包括MDKs密钥向加密服务系统分发等;管理根CA公钥文件向终端的分发。包括根CA公钥文件的下载等。