终端密钥自动化管理系统

　　为了给持卡人创造一个安全的用卡环境，银行部署的终端都会采取加密算法，实现对持卡人敏感信息的保护从而实现交易安全。目前金融行业的终端所采用的主流算法都是基于对称算法：DES或SM4算法，其之所以被广泛推广和使用的一大优点是它的运算效率极高。

　　目前一台终端设备中至少有三把密钥，分别是终端主密钥TMK、对交易报文计算MAC的TAK、对用户PIN加密的TPK。在终端进行交易处理中真正参与运算的密钥是TAK和TPK，它们分别对交易报文计算MAC以及对用户PIN进行加密工作，而这两把密钥在借助终端主密钥TMK的保护下，实现在线自动分发和更新工作。

由于对称算法的特性决定了其密钥的分发和更新非常困难，目前为了解决了TAK和TPK的分发和更新问题，引入了终端主密钥TMK，但是密钥是存在生命周期的，其TMK也需要定期（一般为1.5年~2年）更换，然而遇到的诸多问题：

l  行内终端长时间不更新或一直保持不变。

l  现有解决办法不足,包括：终端数量急剧增长的情况下，对终端主密钥TMK的管理，人员投入成本较高。

l  现有的终端主密钥初始化和更新流程复杂，过多的依赖于人员的管理，泄密风险也较高。

l  不符合人行、银监局、公安部等安全监管要求。

终端密钥自动化管理系统部署示意图：

部署说明：

l  终端密钥管理系统（KMS）：它负责对终端主密钥进行安全在线分发和更新，同时还要负责同步新的终端主密钥到现有的交易系统中。

l  终端密钥管理系统调用的密码机：由于涉及到非对称运算，可以复用加密平台的加密设备。

l  初始化程序API：此模块集成在ATMC或POSC中，完成终端主密钥的初始化自动发起操作，并且负责接收并与现有终端加密模块对接完成终端主密钥的更新工作。

产品功能及特点：

l  密钥自动更新

支持终端（ATM、POS、手机终端、移动柜面终端等）密钥自动安全更新、自动安全下发及存储等。

l  灵活的配置机制

终端密钥管理系统通过配置机制支持多种业务渠道的密钥初始工作，可以为各种业务渠道系统配置对应的模板、数据等。对于新增一台终端系统，只需要按照模板配置增加终端实例即支持新的终端设备。

l  模块化设计，扩展灵活

系统采用模块化设计技术，通过功能和模块独立，使整个系统具有良好的可扩展性。

l  安全控制

ü  操作的多级授权。

ü  操作人员级别划分，分级授权。

ü  对管理终端授权。

ü  操作人员与管理终端绑定。

ü  操作员登录控制。

ü  对操作员的证书进行认证。

ü  控制操作员只能从指定的终端登录。

ü  操作员登录后，如果连续一段时间没有操作，则系统自动退出。

ü  操作员登录时，如果连续3次认证失败，则锁定该操作员，需要特定级别的操作员解锁后才能登录。

ü  定期强制操作员修改密码。

ü  同一个操作员在同一时刻只能登录一次。

ü  某个操作员登录后，登录的结果被接管。

ü  通过流水对所有操作进行审计。

ü  对业务数据进行可视控制和修改控制。

ü  控制不同级别的操作员能看到不同的数据。

ü  控制不同级别的操作员能修改不同的数据。

l  日志审计管理

对系统运行过程中的所有错误信息和其它重要信息，系统都会记录丰富的日志，以便于系统的维护。在交易失败或系统异常时，维护人员通过查看日志可以迅速定位问题的原因并解决问题。通过Windows管理界面可以对系统中的日志文件进行管理。同时对所有的操作多记录备案，能够提供事后审计功能。

l  支持所有密码机型号监控

       系统支持金融行业使用的所有型号密码机。

l  架构合理清晰

       系统架构模块划分清晰、功能明确，每个模块之间相互协作合理，使得系统既能高效处理所有监控请求，也能保证整个系统的稳定性。

l  多用户的支持

系统采用B/S结构设计，多个用户可以同时登陆，方便了用户对系统的操作。

l  提供丰富的报表

系统提供丰富的监控报表，并提供事后审计功能，可以根据用户的需要打印报表。