解决方案

终端密钥管理解决方案

概述

        目前银行广泛使用各种类型的终端来完成金融交易,例如ATM、POS等,每台终端都存放了一定数量的终端密钥,终端密钥主要用于保护银行卡用户的PIN等敏感信息和保证数据传输的安全性。随着银行业务的逐渐扩展,银行卡用户的不断增多,银行的各种类型的终端随之急速增长,终端上的应用也逐渐增多,因此终端密钥的安全性需求日益突出。如何对银行拥有的大量终端上的密钥进行管理,实现一机一密的安全需求,成为目前银行急待解决的问题。
        终端密钥管理解决方案主要用于管理银行或其他机构拥有的各种类型终端上的密钥,支持对终端上不同应用、不同类型的密钥进行管理。

应用场景

        各类终端的密钥管理,包括ATM、POS、柜面键盘、自助设备、夜间金库等等。

解决方案

        终端密钥生成:业务无人员提出终端密钥申请,并将申请提交密钥管理人员;密钥管理人员通过终端密钥管理系统进行终端登记和终端密钥生成。
        终端密钥下载:密钥管理人员通过终端密钥管理系统将终端密钥消灾至密钥分发器。
        终端密钥的分发:分发至终端机具;分发至业务系统。

部署方案一

        1.密钥管理人员通过批量导出功能导出工作密钥密文文件,发给业务系统;
        2.密钥分发器从终端密钥管理系统下载终端密钥,通过分发器将终端主密钥导入到终端,终端主密钥导入到终端有两种方式:
        a、密钥分发器直连终端,导入密钥
        b、密钥分发器链接打印机打印终主密钥,手工录入到终端(终端不能分发器对接时选择该方案)
        3.一个密钥分发器可装载多个终端密钥,根据终端唯一标识区分

部署方案二

        1.终端密钥管理系统在生成工作 密钥的同时将工作密钥同步分发到密码服务平台
        2.业务系统调用密码服务平台进行交易验证
        3.密钥分发器从终端密钥管理系统下载终端主密钥,通过分发器将终端主密钥导入到终端,终端主密钥导入到终端有两种方式:
        a、密钥分发器直连终端,导入密钥
        b、密钥分发器链接打印机打印终端主密钥,手工录入到终端(终端不能写分发器对接时选择该方案)
        4.一个密钥分发器可以装载多个终端密钥,根据终端唯一标识区分

技术特点

节点管理
        a、支持不同厂商提供的介质:配置实现与每个个性化厂商约定不同密钥
        b、支持不同种类的终端:结合不同类型终端支持的不同应用,配置实现与不同类型的终端约定不同的密钥,例如ATM、POS、柜面、自助设备等
        c、支持同一类型终端的不同应用:配置实现管理同一类型终端上的不同应用的密钥
        b、控制终端密钥下载

密钥管理
        a、随机生成密钥:支持生成终端主密钥和工作密钥
        b、随机生成并打印密钥:支持生成并打印终端主密钥和工作密钥
        c、下载密钥到分发器:下载终端主密钥到分发器

密钥分发器管理
        a、初始化密钥分发器
        b、读取审计信息

密钥集中管理
        a、密钥存放点:密钥统一存放在总行的密钥库中
        b、密钥管理点:可以在总行或分行通过Windows界面进行管理

密钥集中管理
        a、操作人员级别划分,分级授权
        b、通过流水对所有操作进行审计

相关产品

        文件传输系统
        加密设备:
        SHJ0902加密机
        SJJ1214加密机
        SJJ1127加密机
        U-Key