城市通卡安全體系建設

文章出處：http://www.jrzgy.com 作者： 人氣： 發表時間：2011年12月11日

    1、背景介紹

    隨著城市通卡業務在各個領域的拓展，為了加強城市通卡發展過程中的安全性，切實保障城市通卡和廣大持卡人的利益，住房和城鄉建設部IC卡應用服務中心（以下簡稱：部IC卡中心）在目前現有的《建設事業IC卡密鑰管理系統》安全體系基礎上規劃和建設了《城市建設及公共服務領域數字認證系統》，旨在滿足城市通卡基于互聯網絡的安全需求，指導城市通卡進行城市一卡通系統安全體系建設。

    2、城市通卡安全體系

    城市通卡系統安全體系由《建設事業IC卡密鑰管理系統》和《城市建設及公共服務領域數字認證系統》構成。其中《建設事業IC卡密鑰管理系統》保障城市通卡線下脫機交易的安全性，《城市建設及公共服務領域數字認證系統》保障城市通卡線上在線支付的安全性。

    整個安全體系的建設目的是為了保證城市通卡業務的整體安全性，保證城市通卡各種應用密鑰的安全應用，并且讓城市通卡有一定的安全控制權。

    3、城市通卡安全產品

    整個城市通卡安全體系中涉及的安全產品包括各種密碼機、SAM 卡/ 安全模塊和密管系統/CA系統。

    1）密碼機

    城市一卡通專用加密機是用于《建設事業IC卡應密鑰管理系統》的硬件加密設備，目前由部IC卡中心統一管理，統一采購。在硬件上具有一定的防物理攻擊能力，在軟件上對密鑰的生成、存放、備份和運算進行權限控制，并可采取一定策略進行審計。

    隨著全國互聯互通數據處理中心的開展和應用，在滿足應用需求的情況下，部IC卡中心又與密碼機供貨商合作研發了專門用于交易數據校驗的TAC 校驗密碼機，充分保障了數據清算過程中密鑰的安全性。

    2）SAM 卡/ 安全模塊

    城市一卡通專用SAM 卡/ 安全模塊屬于部IC卡中心的專控安全產品，部IC卡中心統一進行設計和規劃，委托技術實力雄厚的廠家進行開發和測試，統一由部IC卡中心初始化，并加載消費主密鑰/ 部級根證書。

    安全模塊是集成了RF 和SAM 功能，既能夠實現SAM 卡的COS 功能，又能夠實現RF 對符合ISO/IEC14443 A/B 的卡片通訊。可以滿足在線支付、門禁和各種增值業務應用的需求。

    3）建設事業IC卡密鑰管理系統

    《建設事業IC卡密鑰管理系統》是根據住房和城鄉建設部建辦[1999]65 號文件要求而研制的。在研制過程中最初借鑒和參考了中國人民銀行的PBOC 標準和密鑰管理體系，結合自己行業特點于1999 年研發完成，并通過由住房和城鄉建設部組織的專家評審，獲得了國家金卡辦等主管部門的認可。

    《關于建設事業IC卡應用管理工作的通知》規定，為確保各地IC卡應用系統，特別是發卡、充值、清算、資金劃撥等環節高度的安全性，建設事業IC卡系統應采取必要的安全管理機制，一律采用統一的密鑰管理系統和機具安全模塊。截止目前，住房城鄉建設領域IC卡系統已經涵蓋了所有直轄市和絕大多數的省會城市，廣泛應用于公用事業繳費、風景園林、物業管理、停車場管理、公共交通等40 多個領域。

    根據工業和信息化部印發的《關于做好應對部分IC卡出現嚴重安全漏洞工作的通知》（工信密電[2009]2 號）和國家密碼管理局印發的《關于請協助做好IC卡系統密碼管理工作的函》（國密局函[2009]4 號），部IC卡中心在兼容《建設事業IC卡密鑰管理系統》的基礎上，采用國密SM1 算法進行了《城市一卡通密鑰管理系統》的密碼方案設計和論證，并通過國家密碼管理局的方案論證。目前已經開發完成，并已經在城市進行了初步試用。

    4）城市建設及公共服務領域數字證書認證系統

    《城市建設及公共服務領域數字證書認證系統》是繼《建設事業IC卡密鑰管理系統》之后針對在線支付業務應用進行設計開發，支持RSA1024 位和2048 位密鑰生成和證書簽發，并為城市建設及公共服務領域內用戶提供數字證書驗簽服務，目的是為了確保在線支付的身份認證和密鑰傳輸過程中的安全性。

    目前，《城市建設及公共服務領域數字證書認證系統》已經建設完成并在城市部署使用，在近期部IC卡中心還將對《城市建設及公共服務領域數字證書認證系統》進行申請《電子認證服務密碼許可證》和《電子認證服務許可證》，為城市通卡的可持續發展保駕護航。

    4、城市通卡安全標準

    圍繞整個城市通卡業務，部IC卡中心先后制定了《建設事業集成電路（IC）卡產品檢測》、《建設事業CPU 卡操作系統技術要求》、《建設事業非接觸式CPU 卡芯片技術要求》、《城市公用事業互聯互通卡通用技術要求》、《城市公用事業互聯互通卡清分清算技術要求》、《城市公用事業互聯互通卡密鑰及安全技術要求》等國家行業標準，用于指導城市通卡業務的建設和加強城市通卡業務的安全。

    為了更系統、更全面的指導行業用戶進行各種IC卡系統建設，今年部IC卡中心又組織行業城市用戶、芯片廠商、COS 廠商、終端廠商、系統集成商編寫制定了國家工程標準《城鎮建設智能卡系統工程技術規范》。同時也向國家標準化管理委員會申請立項了國家標準《智能卡系統安全技術要求》。

    作者：楊輝
    單位：住房和城鄉建設部IC卡應用服務中心
    電話：010-62109726 傳真：010-62109726
    地址：北京市海淀區中關村南大街甲12 號寰太大廈1602室 郵編：100081
    E-mail：yanghui@icfw.com.cn