DB11T 159.4-2015 市政交通一卡通技術(shù)規(guī)范 第4部分：安全

1DB11北京市質(zhì)量技術(shù)監(jiān)督局發(fā)布I 本部分主要起草單位：北京市交通信息中心、北京市政交通一卡通市政交通一卡通技術(shù)規(guī)范第4部分：安全本部分規(guī)定了市政交通一卡通系統(tǒng)安全的通用技術(shù)要求，包括系統(tǒng)安全、卡片安全、終下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注JR/T0025中國金融集成電路ISO/IEC9798信息技術(shù)-2a)應(yīng)提供專用的登錄控制模塊對登錄用戶b)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用c)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)e)應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理a)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)b)訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及其d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在其之a(chǎn))應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要b)應(yīng)保證無法單獨(dú)中斷審計進(jìn)程，無法刪除、修改或覆c)審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息d)應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢a)應(yīng)保證原始交易記錄完整、正確發(fā)送到f)中心計算機(jī)處理系統(tǒng)之間傳輸?shù)慕粨Q數(shù)據(jù)包應(yīng)有校驗碼，接收方對發(fā)送方數(shù)據(jù)包的校驗碼應(yīng)進(jìn)a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路e)應(yīng)根據(jù)系統(tǒng)和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其它網(wǎng)段之間采取g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保護(hù)重要b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，d)應(yīng)在會話處于非活躍狀態(tài)持續(xù)一定時間或g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒b)應(yīng)保護(hù)系統(tǒng)的完整性和可用性。如資源和局域網(wǎng)管理、補(bǔ)丁管理、a)總中心計算機(jī)核心系統(tǒng)及核心網(wǎng)絡(luò)系統(tǒng)b)系統(tǒng)發(fā)生故障時，應(yīng)保證系統(tǒng)數(shù)據(jù)及時恢復(fù)以及c)應(yīng)建立同城異地備份系統(tǒng)，災(zāi)難發(fā)生時，實現(xiàn)系統(tǒng)數(shù)據(jù)層、應(yīng)用a)一卡通卡應(yīng)采用一卡一密的密鑰管理體系，卡的密鑰利用卡b)卡片應(yīng)用驗證應(yīng)通過內(nèi)置在終端的SAM卡、API模塊或一卡通總中心系統(tǒng)金融加密機(jī)完成；4a)卡片消費(fèi)交易流程應(yīng)滿足交通行業(yè)的應(yīng)用，電子錢b)卡片充值交易流程應(yīng)滿足交通行業(yè)的應(yīng)用，電子錢包應(yīng)用應(yīng)應(yīng)能夠抵御通過卡片CPU運(yùn)算的時間差異分析卡片機(jī)密信息的攻擊?？ㄆS機(jī)數(shù)的產(chǎn)生應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)的隨機(jī)性測a)通用數(shù)據(jù)：如終端交易記錄等。外界可以對這些數(shù)據(jù)進(jìn)行訪問，但不允b)敏感數(shù)據(jù)：包括卡片應(yīng)用密鑰、公私鑰、及終端內(nèi)部參數(shù)。在未授權(quán)的情況下，外界不允許對c)在任何情況下，終端的應(yīng)用數(shù)據(jù)都不會隨意a)安全模塊提供必要的安全機(jī)制以防止外界對終端所儲存或處理的數(shù)據(jù)進(jìn)行非法攻擊的硬件加密b)安全模塊的硬件設(shè)計應(yīng)能保證在物理上限制對其內(nèi)部存貯的敏感數(shù)據(jù)的存取，以及對安全模塊的非授權(quán)使用和修改。一旦安全模塊受到非法的攻擊，其自身應(yīng)能夠立即完成對內(nèi)部敏感數(shù)據(jù)c)安全模塊的邏輯設(shè)計應(yīng)保證，調(diào)用任何單一功能或組合功能，都不會導(dǎo)致敏感數(shù)據(jù)的泄露。對設(shè)備應(yīng)具有防入侵功能，保證在正常的運(yùn)行環(huán)境中，設(shè)終端應(yīng)限制對內(nèi)部存儲的敏感數(shù)據(jù)的物理訪問，并且阻止竊取數(shù)據(jù)，未經(jīng)授權(quán)的使a)不應(yīng)允許入侵設(shè)備并對設(shè)備的軟硬件進(jìn)b)不應(yīng)允許測定或修改任何敏感數(shù)據(jù)后重c)當(dāng)設(shè)備的任何部件發(fā)生故障時，不d)如果設(shè)備的設(shè)計需要部分部件在物理上分離，并且處理的數(shù)據(jù)或持卡人的指令在這些分離的部消費(fèi)類交易處理應(yīng)保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)公共交通領(lǐng)域消費(fèi)終端應(yīng)使用SAM或API模塊完成卡片的脫機(jī)交易驗證；b)非公共交通領(lǐng)域消費(fèi)終端應(yīng)使用API模塊c)消費(fèi)交易時，應(yīng)先驗證卡的合法性，如是否為本d)消費(fèi)交易時，應(yīng)驗證卡的可用性，如是否為黑名單卡、是否為可e)消費(fèi)交易應(yīng)符合中心計算機(jī)系統(tǒng)下發(fā)的消費(fèi)類參f)消費(fèi)成功后應(yīng)正確生成和完整保存消費(fèi)交易數(shù)據(jù)，g)消費(fèi)交易數(shù)據(jù)應(yīng)包含TAC；h)系統(tǒng)應(yīng)及時將黑名單下發(fā)到每一臺終充值類交易處理應(yīng)保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)充值類交易應(yīng)采用聯(lián)機(jī)方式進(jìn)行，即交易過程中，終端與總中心計算機(jī)系統(tǒng)實時通信，通過終b)聯(lián)機(jī)交易終端與總中心計算機(jī)系統(tǒng)c)對于互聯(lián)網(wǎng)交易，應(yīng)采用向用戶頒發(fā)數(shù)字證書、交互報文附帶數(shù)字簽名的方式，加強(qiáng)交易的安授權(quán)驗證的權(quán)限應(yīng)在斷電、復(fù)位、關(guān)機(jī)或超6如：累計充值額度、當(dāng)日最大充值額度限制等，對超出充值額度的終端、商戶和單位，系統(tǒng)應(yīng)f)充值交易時，應(yīng)驗證卡的合法性和可用性，包括是否為本系統(tǒng)卡、卡片狀態(tài)是否正常、是否為g)充值成功后，終端應(yīng)正確生成和完整保存充值交易數(shù)據(jù)，并將交易數(shù)據(jù)實時上傳至總中心計算退卡類交易處理應(yīng)保證卡與終端之間、終端與系統(tǒng)之間的數(shù)據(jù)正確傳輸，防止數(shù)據(jù)被非法竊取或篡a)退卡類交易應(yīng)采用聯(lián)機(jī)方式進(jìn)行，即交易過程中，終端與總中心計算機(jī)系統(tǒng)實時通信，通過終b)聯(lián)機(jī)交易終端與一卡通總中心系統(tǒng)c)退卡類終端應(yīng)成功簽到取得授權(quán)，并在權(quán)限有效時間范圍內(nèi)進(jìn)行一卡通卡的退卡退資交易，授權(quán)驗證的權(quán)限應(yīng)在斷電、復(fù)位、關(guān)機(jī)或超時e)退卡交易時，應(yīng)先驗證卡的合法性和可用性，包括是否為好卡、是否為本系統(tǒng)卡、卡片狀態(tài)是f)卡片合法性、可用性、參數(shù)符合性驗證，由終端和一卡通總中心系統(tǒng)共同完成，通過驗證的卡g)退卡退資成功后，終端應(yīng)正確生成和完整保存交易數(shù)據(jù)，并將交易數(shù)據(jù)實時上傳至總中心計算a)對稱密鑰應(yīng)采用集中方式生成，即由管理機(jī)構(gòu)生成相應(yīng)的主密鑰組，其它密鑰由該組主密鑰分2)可重復(fù)的密鑰生成：密鑰變換、密鑰衍生；密鑰的生成是可重復(fù)的，在需要的情況下，能b)非對稱密鑰應(yīng)采用在加密機(jī)或卡片內(nèi)部產(chǎn)生公私鑰密鑰對，私鑰保留，公鑰輸出外部的方式產(chǎn)可重復(fù)生成的密鑰采用密鑰變換或密鑰衍生的方式生成，為了保證密鑰的安全，防止密鑰的泄露，在密鑰生成時，應(yīng)b)密鑰生成應(yīng)有獨(dú)立的物理空間，環(huán)境應(yīng)符合安全密鑰發(fā)行應(yīng)采用梯級生成、下發(fā)方式。即由上一級生成下一級所需的各種子密鑰，并以非對稱加密技術(shù)用來進(jìn)行靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的驗證數(shù)字簽名算法中公開密鑰算法的標(biāo)志碼為十六進(jìn)制數(shù)字’01’。8──所有在市政交通卡應(yīng)用規(guī)范中定義的數(shù)據(jù)初始值O1初始值O1DEA(d)=數(shù)據(jù)加密算法（解密模式）KMB=卡片密鑰低8字節(jié)第一步：取4字節(jié)/8字節(jié)隨機(jī)數(shù)，后補(bǔ)12字節(jié)/8字節(jié)十六進(jìn)制數(shù)?00’作為初始值第三步：將