广东省全国交通一卡通密钥管理技术规范.docx

附件广东省全国交通一卡通密钥管理技术规范目录2术语定义3第一章密钥管理技术规范7第一节密钥体系7第二节密钥管理9第二章操作指引17第一节加密机操作指引17第二节密钥数据备份指引27附录1：广东省全国交通一卡通入网发卡机构信息28附录2：广东省全国交通一卡通票卡密钥列表29附录3：地市业务密钥加密机指令白名单31附录4：广东省全国交通一卡通加密机维保申请表32编写说明为规范我省全国交通一卡通互联互通工作，解决实施过程中密钥生成、使用和管理等相关问题，根据城市公共交通IC卡技术规范(JT/T978-2015)等规定和标准，制定广东省全国交通一卡通密钥管理技术规范(以下简称技)O本技术规范在编写过程中，采纳了广东省内地级以上市交通运输主管部门及各地市交通一卡通运营机构提出的合理建议，借鉴了各系统集成商、设备供应商的成功经验。术语定义密钥特指由阿拉伯数字“0-9”和英文字母“A-F”组成，存储于卡片或硬件设备中，用于保护敏感数据的字串。密钥母卡一张用于存储密钥数据的卡片。加密以某种特殊的策略机制将原有的信息内容改变成特定的数据，使得未授权的用户即使获得了数据，仍然无法了解信息内容的一种方法。解密以某种特殊的策略机制还原加密数据，使得授权的用户了解信息内容的一种方法。加密机(HOStSecurityModule)由国家密码管理局鉴定并批准，具有安全硬件模块，用于密钥存储、数据加密和解密以及数据验证的服务器，英文缩写“HSM”。地市机构特指广东省内经由地级以上市交通运输主管部门委托的地市交通一卡通运营机构。地市机构代码由交通运输部统一分配给地市机构的数字识别码。密钥分散使用上一级密钥和本级特征，按特定算法进行计算，形成本级密钥的过程。根密钥人工或自动生成，用于后续密钥分散的原始密钥。省级根密钥一组由省级交通运输主管部门生成和管理的，用于开展广东省全国交通一卡通统一充值、消费优惠和客服等业务的根密钥。省级业务密钥一组由省级根密钥分散，用于统一充值、消费优惠和客服等业务的密钥。密钥管理系统一套部署在服务器上，用于对多台加密机进行密钥管理的软件。对称密钥加密和解密过程都使用相同密钥的一种密钥数据。密钥须以安全的形式进行约定和传递。非对称密钥对加密和解密过程使用不同密钥的一种密钥数据，它由公开密钥（简称“公钥”）和私有密钥（简称“私钥”）组成，加密和解密过程中分别使用公钥与私钥。加密机维保对加密机中的密钥数据进行配置和管理，使其保持正常状态的一组操作。加密机维保密钥对一组用于加密机维保的非对称密钥对。加密机维保客户端一套通过网络端口与加密机进行连接，用于加密机维保的软件。密钥分量特指由阿拉伯数字“0-9”和英文字母“A-F”组成，存储于保密信封，用于合成密钥的字串。口令特指由阿拉伯数字“0-9”组成，由操作人员设定并保管，用于身份验证的数字串。加密机管理员角色具有特定加密机管理权限的人物身份。加密机管理员被赋予加密机管理员角色的个人，可对加密机进行参数配置、密钥导入导出和设备管理。加密机管理员卡一张配发给加密机管理员，用于加密机对管理员进行身份识别的卡片。加密机管理员口令一组由加密机管理员设定并存储于加密机中，用于对管理员进行身份识别的口令。加密机设备密钥一条用于保护加密机中密钥数据的密钥。加密机设备密钥分量一组用于加密机设备密钥合成的密钥分量。加密机设备密钥分量口令一组用于替代加密机设备管理员卡进行身份识别的口令。加密机传输密钥一条用于保护密钥传输或交互的密钥。加密机传输密钥分量一组用于加密机传输密钥合成的密钥分量。加密机管理软件一套通过网络端口与加密机进行连接，用于管理单台加密机的软件。明文信息内容未被加密的数据。密文信息内容经过加密的数据。指令特指让设备执行某一特定操作的代码。算法加密和解密过程中使用的一种策略机制。白名单一组具有合法许可权限的名单数据。椭圆曲线公钥密码算法国家密码管理局发布的椭圆曲线非对称密码算法，简称“SM2”。分组对称密钥算法国家密码管理局发布的分组密码对称加密算法，简称“SM4”。数据加密标准(DataEncryptionStandard)国标化标准组织发布的一种对称数据加密标准，英文缩写“DES”。RSA算法(Rivest-Shamir-Adlemanalgorithm)国标化标准组织发布的一种非对称密钥对算法，由罗纳德李维斯特(RonRivest)、阿迪萨莫尔(AdiShamir)和伦纳德阿德曼(LeonardAdleman)提出,英文缩写uRSA"o公钥基础设施(PUbliCKeyInfrastructure)一种利用非对称密钥对技术为基础的安全体系，英文缩写“PKI”。专用安全存取模块(PUrChaSeSecureAccessModule)一种用于储存消费业务根密钥的安全存取设备，英文缩写“PSAM”。报文鉴别码(MessageAuthenticationCode)一种对信息按照特定算法进行计算得到的信息数据，英文缩写“MAC”。第一章密钥管理技术规范第一节密钥体系1 .体系说明本技术规范中的一卡通密钥按功能分为两类，一类是消费类密钥，另一类是充值类密钥。省级交通运输主管部门负责发行省内统一的充值类密钥和向交通运输部巾领消费类密钥，发放给各地级以上市交通运输主管部门使用并实施监管，如下图所示：*注：机构代码详见附录1：广东省全国交通一卡通入网发卡机构信息2 .省级平台省级平台由省级交通运输主管部门指导建设，省级交通一卡通运营机构负责运营，用于对接交通运输部全国交通一卡通数据交换中心和地市交通一卡通运营机构，具有密钥管理、集中票卡发行、PSAM/PKI发行、统一充值、统一清分结算等功能。省级平台配置四种类型加密机：省级根密钥加密机、省级业务密钥加密机、省级清算密钥加密机和备用加密机。3 .地市平台地市平台由地级以上市交通运输主管部门或委托交通一卡通运营机构按照实际情况建设，用于对接省级平台，具有密钥管理、票卡发行、地市交易数据收集和地市结算等功能。地市平台配置两种类型加密机：地市业务密钥加密机和备用加密机。4 .密钥载体广东省全国交通一卡通密钥以省级交通运输主管部门指定的加密机和专用安全存取模块为载体。加密机保存所有省级密钥，是实现密钥生成、导入、备份、发放的唯一设备，存放在专用机房，仅提供给特定的系统和用户使用。加密机必须符合01GCjrEH_003-交通运输部城市公共交通卡系统加密机通用接口指令（v2.3.1版本）以及广东省全国交通一卡通加密机管理定制规范（vl.5版本）。专用安全存取模块仅存储消费业务根密钥，安装在交易终端上，用于交易鉴权和认证。专用安全存取模块的使用和保管严格按城市公共交通IC卡技术规范（JT/T978-2015）执行。4.1 密钥载体类型根据所装载密钥的用途和提供的服务对密钥载体进行如下分类：4.1.1 省级根密钥加密机省级根密钥加密机是省级平台中存储与管理广东省全国交通一卡通省级根密钥、加密机维保密钥对的加密机。4.1.2 省级业务密钥加密机省级业务密钥加密机是省级平台中存储对应地市广东省全国交通一卡通业务密钥的加密机，提供票卡发行、充值、在线交易所需的密钥服务。4.1.3 省级清算密钥加密机省级清算密钥加密机是省级平台中存储全省所有地市广东省全国交通一卡通清算密钥的加密机，为全省统一的清算业务提供交易验证服务。4.1.4 地市业务密钥加密机地市业务密钥加密机是地市平台中存储本地市广东省全国交通一k通业务密钥的加密机，为地市交通一卡通运营机构自建的业务系统提供所需的密钥服务。4.1.5 专用安全存取模块专用安全存取模块是保存消费业务根密钥，安装在交易终端上，用于交易鉴权和认证。第二节密钥管理1 .密钥管理员密钥管理员是负责管理密钥载体和系统的相关人员，其权限设置及岗位分配应严格遵守本技术规范。1.1 密钥管理员角色密钥管理员主要有密钥监督员、加密机管理员和省级平台密钥管理系统管理员等角色。1.1.1 密钥监督员密钥监督员负责监督密钥安全管理的各项工作，即在整个密钥生命期内监督所有操作的合法性和规范性，制止不正确操作，杜绝违规操作或超越权限操作的行为。1.1.2 加密机管理员本技术规范定义以下四种加密机管理员角色：设备管理员设备管理员由3名加密机管理员组成，分别持有1张加密机管理员卡（以下分别称为“A1卡”、“A2卡”、“A3卡”）o主要负责管理加密机其他管理员和设备密钥；系统管理员系统管理员由1名加密机管理员担任，持有1张加密机管理员卡（以下称为“B卡”）o主要负责加密机网络通信端口的管理和维护工作；安全管理员安全管理员由1名加密机管理员担任，持有1张加密机管理员卡（以下称为“C卡”）O主要负责加密机密钥数据的管理和维护工作；审计管理员审计管理员由1名加密机管理员担任，持有1张加密机管理员卡（以下称为“D卡”）o主要负责加密机使用情况的审计工作。1.1.3 省级平台密钥管理系统管理员省级平台密钥管理系统定义两种管理角色，分别是系统配置员和系统密钥管理员。系统配置员系统配置员负责管理地市交通一卡通运营机构的基础信息、加密机部署信息及密钥管理员信息。系统密钥管理员系统密钥管理员负责广东省全国交通一卡通密钥的发放和管理工作。为保障安全，省级平台密钥管理系统管理员角色的操作均要求双人执行，其中一人修改，另一人审核。1. 2密钥管理员角色分配1.1.1 密钥监督员角色分配密钥监督员角色由省级交通运输主管部门指定。1.1.2 省级根密钥加密机角色分配设备管理员（Al卡、A2卡、A3卡）由3名省级交通运输主管部门或者省级交通一卡通运营机构密钥管理员共同组成，独立掌管加密机设备密钥分量、加密机设备密钥分量口令、加密机设备管理员的管理员卡及管理员口令。系统管理员（B卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管系统管理员的管理员卡及管理员口令。安全管理员（C卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管安全管理员的管理员卡及管理员口令。审计管理员（D卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管审计管理员的管理员卡及管理员口令。1.1.3 省级业务密钥加密机角色分配设备管理员（Al卡、A2卡、A3卡）由3名省级交通一卡通运营机构密钥管理员组成，独立掌管设备密钥分量、设备密钥分量口令、设备管理员的管理员卡及管理员口令。系统管理员（B卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管系统管理员的管理员卡及管理员口令。安全管理员（C卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管安全管理员的管理员卡及管理员口令。审计管理员（D卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管审计管理员的管理员卡及管理员口令。1.1.4 省级清算密钥加密机角色分配设备管理员（Al卡、A2卡、A3卡）由3名省级交通一卡通运营机构密钥管理员组成，独立掌管设备密钥分量、设备密钥分量口令、设备管理员的管理员卡及管理员口令。系统管理员（B卡）由1名省级交通一卡通运营机构密钥管理员担任，掌管系统管理员的管理员卡及管理员口令。安全管理员（C卡）