城市通卡安全體系建設(shè)

文章出處：http://www.xianjuhong.com 作者： 人氣： 發(fā)表時(shí)間：2011年12月11日

    1、背景介紹

    隨著城市通卡業(yè)務(wù)在各個(gè)領(lǐng)域的拓展，為了加強(qiáng)城市通卡發(fā)展過(guò)程中的安全性，切實(shí)保障城市通卡和廣大持卡人的利益，住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心（以下簡(jiǎn)稱(chēng)：部IC卡中心）在目前現(xiàn)有的《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》安全體系基礎(chǔ)上規(guī)劃和建設(shè)了《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字認(rèn)證系統(tǒng)》，旨在滿足城市通卡基于互聯(lián)網(wǎng)絡(luò)的安全需求，指導(dǎo)城市通卡進(jìn)行城市一卡通系統(tǒng)安全體系建設(shè)。

    2、城市通卡安全體系

    城市通卡系統(tǒng)安全體系由《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》和《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字認(rèn)證系統(tǒng)》構(gòu)成。其中《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》保障城市通卡線下脫機(jī)交易的安全性，《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字認(rèn)證系統(tǒng)》保障城市通卡線上在線支付的安全性。

    整個(gè)安全體系的建設(shè)目的是為了保證城市通卡業(yè)務(wù)的整體安全性，保證城市通卡各種應(yīng)用密鑰的安全應(yīng)用，并且讓城市通卡有一定的安全控制權(quán)。

    3、城市通卡安全產(chǎn)品

    整個(gè)城市通卡安全體系中涉及的安全產(chǎn)品包括各種密碼機(jī)、SAM 卡/ 安全模塊和密管系統(tǒng)/CA系統(tǒng)。

    1）密碼機(jī)

    城市一卡通專(zhuān)用加密機(jī)是用于《建設(shè)事業(yè)IC卡應(yīng)密鑰管理系統(tǒng)》的硬件加密設(shè)備，目前由部IC卡中心統(tǒng)一管理，統(tǒng)一采購(gòu)。在硬件上具有一定的防物理攻擊能力，在軟件上對(duì)密鑰的生成、存放、備份和運(yùn)算進(jìn)行權(quán)限控制，并可采取一定策略進(jìn)行審計(jì)。

    隨著全國(guó)互聯(lián)互通數(shù)據(jù)處理中心的開(kāi)展和應(yīng)用，在滿足應(yīng)用需求的情況下，部IC卡中心又與密碼機(jī)供貨商合作研發(fā)了專(zhuān)門(mén)用于交易數(shù)據(jù)校驗(yàn)的TAC 校驗(yàn)密碼機(jī)，充分保障了數(shù)據(jù)清算過(guò)程中密鑰的安全性。

    2）SAM 卡/ 安全模塊

    城市一卡通專(zhuān)用SAM 卡/ 安全模塊屬于部IC卡中心的專(zhuān)控安全產(chǎn)品，部IC卡中心統(tǒng)一進(jìn)行設(shè)計(jì)和規(guī)劃，委托技術(shù)實(shí)力雄厚的廠家進(jìn)行開(kāi)發(fā)和測(cè)試，統(tǒng)一由部IC卡中心初始化，并加載消費(fèi)主密鑰/ 部級(jí)根證書(shū)。

    安全模塊是集成了RF 和SAM 功能，既能夠?qū)崿F(xiàn)SAM 卡的COS 功能，又能夠?qū)崿F(xiàn)RF 對(duì)符合ISO/IEC14443 A/B 的卡片通訊?？梢詽M足在線支付、門(mén)禁和各種增值業(yè)務(wù)應(yīng)用的需求。

    3）建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)

    《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》是根據(jù)住房和城鄉(xiāng)建設(shè)部建辦[1999]65 號(hào)文件要求而研制的。在研制過(guò)程中最初借鑒和參考了中國(guó)人民銀行的PBOC 標(biāo)準(zhǔn)和密鑰管理體系，結(jié)合自己行業(yè)特點(diǎn)于1999 年研發(fā)完成，并通過(guò)由住房和城鄉(xiāng)建設(shè)部組織的專(zhuān)家評(píng)審，獲得了國(guó)家金卡辦等主管部門(mén)的認(rèn)可。

    《關(guān)于建設(shè)事業(yè)IC卡應(yīng)用管理工作的通知》規(guī)定，為確保各地IC卡應(yīng)用系統(tǒng)，特別是發(fā)卡、充值、清算、資金劃撥等環(huán)節(jié)高度的安全性，建設(shè)事業(yè)IC卡系統(tǒng)應(yīng)采取必要的安全管理機(jī)制，一律采用統(tǒng)一的密鑰管理系統(tǒng)和機(jī)具安全模塊。截止目前，住房城鄉(xiāng)建設(shè)領(lǐng)域IC卡系統(tǒng)已經(jīng)涵蓋了所有直轄市和絕大多數(shù)的省會(huì)城市，廣泛應(yīng)用于公用事業(yè)繳費(fèi)、風(fēng)景園林、物業(yè)管理、停車(chē)場(chǎng)管理、公共交通等40 多個(gè)領(lǐng)域。

    根據(jù)工業(yè)和信息化部印發(fā)的《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》（工信密電[2009]2 號(hào)）和國(guó)家密碼管理局印發(fā)的《關(guān)于請(qǐng)協(xié)助做好IC卡系統(tǒng)密碼管理工作的函》（國(guó)密局函[2009]4 號(hào)），部IC卡中心在兼容《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》的基礎(chǔ)上，采用國(guó)密SM1 算法進(jìn)行了《城市一卡通密鑰管理系統(tǒng)》的密碼方案設(shè)計(jì)和論證，并通過(guò)國(guó)家密碼管理局的方案論證。目前已經(jīng)開(kāi)發(fā)完成，并已經(jīng)在城市進(jìn)行了初步試用。

    4）城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字證書(shū)認(rèn)證系統(tǒng)

    《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字證書(shū)認(rèn)證系統(tǒng)》是繼《建設(shè)事業(yè)IC卡密鑰管理系統(tǒng)》之后針對(duì)在線支付業(yè)務(wù)應(yīng)用進(jìn)行設(shè)計(jì)開(kāi)發(fā)，支持RSA1024 位和2048 位密鑰生成和證書(shū)簽發(fā)，并為城市建設(shè)及公共服務(wù)領(lǐng)域內(nèi)用戶提供數(shù)字證書(shū)驗(yàn)簽服務(wù)，目的是為了確保在線支付的身份認(rèn)證和密鑰傳輸過(guò)程中的安全性。

    目前，《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字證書(shū)認(rèn)證系統(tǒng)》已經(jīng)建設(shè)完成并在城市部署使用，在近期部IC卡中心還將對(duì)《城市建設(shè)及公共服務(wù)領(lǐng)域數(shù)字證書(shū)認(rèn)證系統(tǒng)》進(jìn)行申請(qǐng)《電子認(rèn)證服務(wù)密碼許可證》和《電子認(rèn)證服務(wù)許可證》，為城市通卡的可持續(xù)發(fā)展保駕護(hù)航。

    4、城市通卡安全標(biāo)準(zhǔn)

    圍繞整個(gè)城市通卡業(yè)務(wù)，部IC卡中心先后制定了《建設(shè)事業(yè)集成電路（IC）卡產(chǎn)品檢測(cè)》、《建設(shè)事業(yè)CPU 卡操作系統(tǒng)技術(shù)要求》、《建設(shè)事業(yè)非接觸式CPU 卡芯片技術(shù)要求》、《城市公用事業(yè)互聯(lián)互通卡通用技術(shù)要求》、《城市公用事業(yè)互聯(lián)互通卡清分清算技術(shù)要求》、《城市公用事業(yè)互聯(lián)互通卡密鑰及安全技術(shù)要求》等國(guó)家行業(yè)標(biāo)準(zhǔn)，用于指導(dǎo)城市通卡業(yè)務(wù)的建設(shè)和加強(qiáng)城市通卡業(yè)務(wù)的安全。

    為了更系統(tǒng)、更全面的指導(dǎo)行業(yè)用戶進(jìn)行各種IC卡系統(tǒng)建設(shè)，今年部IC卡中心又組織行業(yè)城市用戶、芯片廠商、COS 廠商、終端廠商、系統(tǒng)集成商編寫(xiě)制定了國(guó)家工程標(biāo)準(zhǔn)《城鎮(zhèn)建設(shè)智能卡系統(tǒng)工程技術(shù)規(guī)范》。同時(shí)也向國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)申請(qǐng)立項(xiàng)了國(guó)家標(biāo)準(zhǔn)《智能卡系統(tǒng)安全技術(shù)要求》。

    作者：楊輝
    單位：住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心
    電話：010-62109726 傳真：010-62109726
    地址：北京市海淀區(qū)中關(guān)村南大街甲12 號(hào)寰太大廈1602室 郵編：100081
    E-mail：yanghui@icfw.com.cn