公交IC卡非对称密钥管理系统的研究与实现

摘要

由于网络技术的飞速发展，我国信息化建设得到了有力支撑。《中国金融集成电路(IC)卡规范》为电子政务与商务过程中的电子现金数据认证提供了行业标准，各行业开展数字认证的需求愈加强烈，数字证书数量与网络规模也随之日益增长。但随之而来，各行业应用信息系统，网络与信息安全同样面对着严峻考验。密钥管理是电子认证服务过程中的核心内容。为了减少关键信息被篡改或窃取的安全风险，需对操作用户的身份进行合法验证，结合以加密设备作为载体的数据加密技术保障。
　　本文面向公交IC卡跨区域化建设，通过对公钥基础设施及金融IC卡公钥体系理论与技术研究，结合交通部部级与城市级密钥管理需求，总结出服务于具体业务的数字证书签发模式。依据具体业务需求，对非对称密钥管理系统架构和其运行逻辑进行总体规划。针对不同的密钥服务，为系统划分子系统并分别设计。最终实现了一个安全高效的非对称密钥管理系统。
　　本论文主要讲述了该非对称密钥管理系统的设计开发流程。系统采用B/S架构，Spring MVC开发模式。根据交通部门应用需求，支持国内与国外加密签名算法，如RSA，SM2，可兼容不同型号密码设备。在用例分析后，系统总体设计以金融IC卡与城市公交IC卡安全技术规范为准则，分为系统平台层、数据平台层、环境平台层三级体系架构，可对非对称密钥自产生到最后销毁的整个过程进行支持服务管理。主要内容包含密钥生成，派发等密钥管理服务以及非对称密钥的数字证书签发认证的密钥应用服务。数字认证功能针对不同的签名算法设计不同的认证方案与证书格式，其中RSA算法采用基于消息恢复的方案。系统在实现时以密码设备通用的通信报文与系统进行交互，按功能分模块实现。在对各模块进行功能与非功能性测试，整体垂直业务测试等充分系统测试后投入使用。
　　本文结构化设计了符合《中国金融集成电路(IC)卡规范》，满足部门业务需求，具有安全审计功能，人员访问控制的非对称密钥管理系统。测试结果表明，系统在应用时，既可以部署在部级内网中以单独的密钥管理中心身份提供密钥服务，也可以在城市级使用，与数据准备系统和IC卡发卡系统对接，满足其密钥需求，提供应用服务。

目录

声明

致谢

摘要

1 绪论

1．1 课题背景

1．2 金融IC卡应用现状

1．3 非对称密钥管理系统的发展趋势

1．4 研究目标与工作内容

1．5 论文组织结构

2 相关理论与技术背景

2．1 公钥基础设施

2．2 中国金融集成电路(IC)卡规范

2．3 金融IC卡借记贷记公钥认证应用

2．4 Velocity

3 系统需求分析

3．1 总体要求

3．2 非功能性需求分析

3．2．1 性能需求

3．2．2 安全性需求

3．2．3 可靠性需求

3．2．4 可扩展性需求

3．3 功能性需求分析

3．3．1 密钥生成

3．3．2 密钥备份恢复

3．3．3 密钥导入导出

3．3．4 公钥证书

3．3．5 安全审计

3．3．6 人员管理

3．4 系统环境

3．5 小结

4 系统设计

4．1 系统设计原则

4．2 系统总体设计

4．2．1 系统部署

4．2．2 总体结构

4．2．3 系统逻辑

4．2．4 系统用户结构

4．3 主要功能子系统设计与划分

4．3．1 系统初始化

4．3．2 人员管理认证

4．3．2 密钥生成

4．3．3 密钥备份恢复

4．3．4 密钥导入导出

4．3．5 公钥证书

4．3．6 安全审计

4．4 系统开发体系架构

4．5 数据库设计

4．6 密码设备报文通信设计

4．7 小结

5 系统主要模块的实现

5．1 系统初始化

5．2 人员管理

5．3 密钥生成

5．4 密钥备份恢复

5．5 密钥导入导出

5．6 公钥证书

5．7 安全审计

5．8 小结

6 系统测试

6．1 测试目的与意义

6．2 测试步骤

6．3 测试内容

6．3．1 功能性测试

6．3．2 性能测试

6．3．3 安全测试

6．3．4 压力测试

6．4 测试结果分析

6．5 小结

7 结束语

7．1 论文及项目工作总结

7．2 工作展望

参考文献

作者简历及攻读硕士／博士学位期间取得的研究成果

学位论文数据集