远程密钥下载方案
1.简介
本方案介绍了应用SJL05加密机组建的TK与KMS实现智能终端远程下载的方案。
1.1基本流程
(1)TK生成一对公私钥,公钥通过CA根证书签发生成X.509证书放入智能终端中。
(2)由终端生成Tek传输密钥和Auk传输认证密钥上传到TK服务器
(3)TK将终端上传的Tek和Auk转成加密机本地密钥加密的LTek和LAuk
(4)再由加密机把LTek和LAuk转换Kms的Zmk下保护产生UnionTek和UnionAuk,从而产生TK文件
(5)Kms将TK文件导入加密机中将UnionTek和UnionAuk,从Zmk下保护转换为加密机本地主密钥保护,生成LTek和LAuk
(6)Kms用LTek保护LTmk生成下发终端的TTmk,终端请求下载主密钥时生成16位随机数,用LAuk对报文进行计算MAC,并下送TTmk给终端,用LAuk对随机数进行加密
(7)终端请求更新密钥时用LTmk保护生成LTpk,LTak,LTdk,分别为pin密钥,mac密钥,磁道密钥,并下发TTpk,TTak,TTdk给终端。
2.2 实现图
远程密钥下载方案.png
2.3 密钥层级图
远程密钥下载方案_密钥层级结构.png
2.步骤解析
2.1 TK生成公私钥
(1)调用加密机TC指令,生成证书
(2)用CA生成公钥的X.509证书
(3)调用35指令删除对应加密机索引
(4)调用30将私钥录入对应加密机索引
远程密钥下载方案_2.1.png
2.2终端生成Tek和Auk
无kms参与
2.3TK转换Tek和Auk
(1)调用3A指令将Tek由公钥保护转为加密机本地主密钥保护, 生成LTek
(2)调用3A指令将Auk由公钥保护转为加密机本地主密钥保护,生成LAuk
远程密钥下载方案_2.3.png
2.4将LTek和LAuk转为KMS的Zmk保护
(1)调用A8指令转换LTek与LAuk为UnionTek和UnionAuk
(2)导出TK文件
远程密钥下载方案_2.4.png
2.5 将UnionTek与UnionAuk转换成KMS本地主密钥加密
(1)将TK文件同步到KMS系统中
(2)调用FC指令将UnionTek转换成本地主密钥保护的LTek
(3)调用MI指令将UnionAuk转换为本地主密钥保护的LAuk
远程密钥下载方案_2.5.png
2.6用LTek生成Tmk并下发终端主密钥给终端
(1)调用HC指令在LTek下生成Tmk
(2)调用E0指令用LAuk加密随机数
(3)调用E0指令LAuk计算MAC
(4)将Tmk下送给终端
远程密钥下载方案_2.6.png
2.7 生成工作密钥
(1)调用HA指令生成LTak,LTdk,TTak,TTdk,在LTmk下保护
(2)调用HC指令生成LTpk,TTpk,在LTmk下保护
(3)终端调用签到指令下发TTpk,TTak,TTdk
远程密钥下载方案_2.7.png
