DB11∕T 159.4-2015 市政交通一卡通技術規(guī)范 第4部分：安全

備案號:45073-2015DB11北京市質(zhì)量技術監(jiān)督局發(fā)布I 本部分主要起草單位：北京市交通信息中心、北京市政交通一卡通市政交通一卡通技術規(guī)范第4部分：安全本部分規(guī)定了市政交通一卡通系統(tǒng)安全的通用技術要求，包括系統(tǒng)安全、卡片安全、終下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注JR/T0025中國金融集成電路ISO/IEC9798信息技術-2a)應提供專用的登錄控制模塊對登錄用戶b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理a)應提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及其d)應授予不同帳戶為完成各自承擔任務所需的最小權限，并在其之a(chǎn))應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要b)應保證無法單獨中斷審計進程，無法刪除、修改或覆c)審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息d)應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢a)應保證原始交易記錄完整、正確發(fā)送到f)中心計算機處理系統(tǒng)之間傳輸?shù)慕粨Q數(shù)據(jù)包應有校驗碼，接收方對發(fā)送方數(shù)據(jù)包的校驗碼應進a)應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)c)應在業(yè)務終端與業(yè)務服務器之間進行路e)應根據(jù)系統(tǒng)和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制f)應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其它網(wǎng)段之間采取g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵時優(yōu)先保護重要b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，d)應在會話處于非活躍狀態(tài)持續(xù)一定時間或g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒b)應保護系統(tǒng)的完整性和可用性。如資源和局域網(wǎng)管理、補丁管理、a)總中心計算機核心系統(tǒng)及核心網(wǎng)絡系統(tǒng)b)系統(tǒng)發(fā)生故障時，應保證系統(tǒng)數(shù)據(jù)及時恢復以及c)應建立同城異地備份系統(tǒng)，災難發(fā)生時，實現(xiàn)系統(tǒng)數(shù)據(jù)層、應用a)一卡通卡應采用一卡一密的密鑰管理體系，卡的密鑰利用卡b)卡片應用驗證應通過內(nèi)置在終端的SAM卡、API模塊或一卡通總中心系統(tǒng)金融加密機完成；4a)卡片消費交易流程應滿足交通行業(yè)的應用，電子錢b)卡片充值交易流程應滿足交通行業(yè)的應用，電子錢包應用應應能夠抵御通過卡片CPU運算的時間差異分析卡片機密信息的攻擊?？ㄆS機數(shù)的產(chǎn)生應符合相關國家標準的隨機性測a)通用數(shù)據(jù)：如終端交易記錄等。外界可以對這些數(shù)據(jù)進行訪問，但不允b)敏感數(shù)據(jù)：包括卡片應用密鑰、公私鑰、及終端內(nèi)部參數(shù)。在未授權的情況下，外界不允許對c)在任何情況下，終端的應用數(shù)據(jù)都不會隨意a)安全模塊提供必要的安全機制以防止外界對終端所儲存或處理的數(shù)據(jù)進行非法攻擊的硬件加密b)安全模塊的硬件設計應能保證在物理上限制對其內(nèi)部存貯的敏感數(shù)據(jù)的存取，以及對安全模塊的非授權使用和修改。一旦安全模塊受到非法的攻擊，其自身應能夠立即完成對內(nèi)部敏感數(shù)據(jù)c)安全模塊的邏輯設計應保證，調(diào)用任何單一功能或組合功能，都不會導致敏感數(shù)據(jù)的泄露。對設備應具有防入侵功能，保證在正常的運行環(huán)境中，設終端應限制對內(nèi)部存儲的敏感數(shù)據(jù)的物理訪問，并且阻止竊取數(shù)據(jù)，未經(jīng)授權的使a)不應允許入侵設備并對設備的軟硬件進b)不應允許測定或修改任何敏感數(shù)據(jù)后重c)當設備的任何部件發(fā)生故障時，不d)如果設備的設計需要部分部件在物理上分離，并且處理的數(shù)據(jù)或持卡人的指令在這些分離的部消費類交易處理應保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)公共交通領域消費終端應使用SAM或API模塊完成卡片的脫機交易驗證；b)非公共交通領域消費終端應使用API模塊c)消費交易時，應先驗證卡的合法性，如是否為本d)消費交易時，應驗證卡的可用性，如是否為黑名單卡、是否為可e)消費交易應符合中心計算機系統(tǒng)下發(fā)的消費類參f)消費成功后應正確生成和完整保存消費交易數(shù)據(jù)，g)消費交易數(shù)據(jù)應包含TAC；h)系統(tǒng)應及時將黑名單下發(fā)到每一臺終充值類交易處理應保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)充值類交易應采用聯(lián)機方式進行，即交易過程中，終端與總中心計算機系統(tǒng)實時通信，通過終b)聯(lián)機交易終端與總中心計算機系統(tǒng)c)對于互聯(lián)網(wǎng)交易，應采用向用戶頒發(fā)數(shù)字證書、交互報文附帶數(shù)字簽名的方式，加強交易的安授權驗證的權限應在斷電、復位、關機或超6如：累計充值額度、當日最大充值額度限制等，對超出充值額度的終端、商戶和單位，系統(tǒng)應f)充值交易時，應驗證卡的合法性和可用性，包括是否為本系統(tǒng)卡、卡片狀態(tài)是否正常、是否為g)充值成功后，終端應正確生成和完整保存充值交易數(shù)據(jù)，并將交易數(shù)據(jù)實時上傳至總中心計算退卡類交易處理應保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)退卡類交易應采用聯(lián)機方式進行，即交易過程中，終端與總中心計算機系統(tǒng)實時通信，通過終b)聯(lián)機交易終端與一卡通總中心系統(tǒng)c)退卡類終端應成功簽到取得授權，并在權限有效時間范圍內(nèi)進行一卡通卡的退卡退資交易，授權驗證的權限應在斷電、復位、關機或超時e)退卡交易時，應先驗證卡的合法性和可用性，包括是否為好卡、是否為本系統(tǒng)卡、卡片狀態(tài)是f)卡片合法性、可用性、參數(shù)符合性驗證，由終端和一卡通總中心系統(tǒng)共同完成，通過驗證的卡g)退卡退資成功后，終端應正確生成和完整保存交易數(shù)據(jù)，并將交易數(shù)據(jù)實時上傳至總中心計算a)對稱密鑰應采用集中方式生成，即由管理機構生成相應的主密鑰組，其它密鑰由該組主密鑰分2)可重復的密鑰生成：密鑰變換、密鑰衍生；密鑰的生成是可重復的，在需要的情況下，能b)非對稱密鑰應采用在加密機或卡片內(nèi)部產(chǎn)生公私鑰密鑰對，私鑰保留，公鑰輸出外部的方式產(chǎn)可重復生成的密鑰采用密鑰變換或密鑰衍生的方式生成，為了保證密鑰的安全，防止密鑰的泄露，在密鑰生成時，應b)密鑰生成應有獨立的物理空間，環(huán)境應符合安全密鑰發(fā)行應采用梯級生成、下發(fā)方式。即由上一級生成下一級所需的各種子密鑰，并以非對稱加密技術用來進行靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的驗證數(shù)字簽名算法中公開密鑰算法的標志碼為十六進制數(shù)字’01’。8──所有在市政交通卡應用規(guī)范中定義的數(shù)據(jù)初始值O1初始值O1