居民健康IC卡密钥管理系统计划

    居民健康卡采用IC卡技术，在居民健康卡及涉及的相关业务中，密码技术是保障业务数据的安全的基础手段。卡片的制作、管理及应用系统的业务流程都需要密码技术的支撑。

 

    居民健康卡数据安全保障系统由密钥、加密算法、加密设备、密钥服务、管理系统软件组成。密钥管理系统负责卡片级密钥、管理密钥、消费密钥、第三方合作机构密钥接入的管理，是居民健康卡的核心系统，和应用系统一起构成居民健康卡卡系统的安全保障体系。密钥管理系统需要为应用系统以及数量巨大卡片的制作、管理提供有效的支持，完善、可控的密钥管理体系是保障居民健康卡项目合规、安全、发展的重要组成部分。

 

    本方案采用江南科友“密钥管理系统”为基础的安全技术，提供各业务系统的密钥管理、安全计算支持，完善居民健康卡系统的安全保障体系。

 

密钥管理系统提供如下功能：

    负责完成PBOC2.0 标准的发卡机构证书的申请、管理等；负责IC卡应用相关的密钥(包括应用密钥、卡片个人化交换主密钥等)管理；负责分发各类密钥到卡片制造商、卡片个人化中心及业务前置交易加密机等；对于对称、非对称密钥体系的各种密钥管理;其它与密钥管理相关的功能需求，如密钥操作审计，密钥操作权限限制的等功能。

 

密钥管理系统主要完成如下工作：

    多版本的密钥管理功能，保证密钥版本在整个生命周期内产生、存储、更新、传输、使用、销毁的正确性和安全性；审计密钥管理操作、配置管理操作等；管理发卡机构的密钥、证书数据。包括IC卡根密钥的产生及存储、发卡机构RSA对生成及存储、发卡机构证书申请及存储、根CA公钥文件下载及存储等；管理IC卡卡片密钥、证书数据。包括IC卡交易主密钥生成、IC卡RSA对生成、签发IC卡证书、签名IC卡静态应用数据等；管理发卡机构IC卡交易主密钥分发。包括MDKs密钥向加密服务系统分发等;管理根CA公钥文件向终端的分发。包括根CA公钥文件的下载等。