根據“國標密鑰體系”的劃分,省級密鑰管理的主要內容是負責省級建設本省的密鑰體系;申領省級密鑰母卡、省級密鑰傳輸卡;申領PSAM卡及OBE-SAM一次發行母卡;發放和管理本轄區內各種密鑰母卡、PSAM卡、CPU用戶卡,並對上述各類卡片的使用進行註冊登記和監控管理;等等。本部分以當前多數省份採用的以業務加密機爲核心搭建的在線密鑰認證系統爲原型,說明省級密鑰系統的建設過程。
1. 省級密鑰系統組成
按照省級密鑰系統的建設過程以及使用的場景,將其劃分爲如下兩個部分:提供密鑰生產、密鑰存儲、密鑰分發、密鑰管理等服務的密鑰管理系統(以下統稱爲省級密管系統);提供密鑰計算的業務加密機及聯機服務的密鑰認證系統(以下統稱密鑰認證系統)。省級密鑰系統的關係結構如下圖所示:
省級密管系統(圖中紅色虛線橢圓框)建設完成之後一般脫機保管,當新建、重建或者調整密鑰認證系統(圖中紅色虛線矩形框)時才需要使用到省級密管系統;使用時,從省級密管系統將指定的密鑰導出到母卡/傳輸卡中,然後再把母卡/傳輸卡里面的密鑰通過專用的工具導入到業務加密機,導入完成後將母卡/傳輸卡放置到安全可靠的位置保管(一般放到省級密管系統同個地方保管)。
密鑰認證系統屬於在線系統,給其他業務系統提供實時的密鑰計算服務;系統建設後需保證處於工作狀態,並且通過網絡聯通其他業務系統,對其提供服務。
2. 省級密管系統
2.1.建設要求
作爲國家密鑰管理系統業務功能的延伸,省級密鑰管理系統的設計與建設應
符合如下要求:
-
應能導入國家密鑰管理系統下發的省級密鑰;
-
可以提供密鑰生產、密鑰存儲、密鑰分發、密鑰管理等服務,具備對稱密鑰的生成、注入、導出、備份、恢復、更新、服務等功能;
-
應確保密鑰多級管理的可操作性。密鑰的裝載、存放和分散必須在安全的環境下完成,中間結果不得被內部操作人員和外界獲得;
-
支持通過領導卡方式,產生省級根密鑰;
-
應能爲用戶提供各類母卡的生產服務,生成各類母卡時要求同時生成密鑰母卡及傳輸卡。
2.2.系統概述
省級密管系統,屬於全國電子聯網收費密鑰管理系統第二級別系統,因此也稱作全國電子聯網收費二級密鑰管理系統,是全國高速公路電子聯網收費密鑰管理系統體系的二級密鑰管理系統。該系統不僅可以通過A、B領導卡產生本系統需要使用的各類密鑰,還可以通過導入其上一級配發的下發母卡和認證卡將上級下發的密鑰導入該密鑰系統中,且兩類密鑰相互獨立並在密鑰導出時能夠按照系統的配置要求下載到指定的母卡中。
密鑰生成流程如下圖所示:
另,該系統一般由國家級的密鑰管理單位統一開發,省級向其購買即可,不必自行開發。
2.3.系統架構
2.3.1.軟件架構
-
密鑰管理系統採用分層結構設計,各層相互獨立,層內各模塊功能的耦合度小。分爲操作系統層、底層驅動層、應用模塊層、應用程序層,從下到上,從硬件到軟件,逐層向上層提供服務,最近構造密鑰管理系統程序。
-
系統底層驅動在操作系統層的基礎提供了訪問數據庫、加密機、讀卡器的服務。
-
應用模塊層構造了高度藕合的功能模塊,層內模塊相對獨立,同時相互依賴。是整合應用系統程序的單元。
-
應用程序層主要提供使用者可見的系統管理軟件,體現業務邏輯,實現業務功能。
-
密鑰體系能夠實行多級密鑰管理體制
2.3.2.硬件架構
-
二級密鑰管理應用管理終端。
-
SJL21專用服務器密碼機:密鑰管理系統所有密鑰的產生和管理設備。
-
專用密鑰管理終端:執行密鑰管理系統。
-
UPS:不間斷電源設備。
-
設備專用機櫃。
3. 密鑰認證系統
密鑰認證系統主要由業務加密機、認證系統兩部分構成。其作用主要是讓外部接入的終端或系統與業務加密機之間的信息交互與指令執行能夠以在線方式實現;對密鑰的計算請求、與用戶的認證接入進行統一的管理;作爲唯一允許訪問業務加密機的系統,從根本上降低其他系統訪問加密機帶來的安全風險。
3.1.業務加密機
密鑰的存儲、相關算法的實現全部由業務加密機實現,並提供相應接口給認證系統調用。
3.2.密鑰認證系統
提供給其他業務系統(如一發、二發等)提供訪問密鑰的接口,以完成相關業務的辦理。其本身並沒有辦理卡簽發行、充值、OBU激活等業務方面的功能。同其他業務系統的關係如圖所示:
其主要包括如下接口:數據加密、數據解密、TAC計算、MAC計算、交易MAC計算以及密鑰獲取。
4. 密鑰導入
一般情況下,採購回來的業務加密機裏面是沒有密鑰的,需要自行將業務上需要使用到的密鑰從省級密管系統導入到業務加密機,下面簡單描述下這一導入過程。
省級密管系統與業務加密機之間沒有統一的接口,不能直接把密鑰從密管系統導入到業務加密機,所以一般使用母卡/傳輸卡作爲密鑰的傳輸媒介來實現密鑰的導出導入需求。
從省級密管系統將密鑰導出到“母卡/傳輸卡”由密管系統實現,其自帶讀卡器以及相應的導出功能,一般不用開發程序即可直接導出;不過,從“母卡/傳輸卡”導入到業務加密機時,由於不同卡廠的卡、不同廠商的加密機,其接口或者流程不大相同,沒有統一的程序,一般由負責省中心建設的系統集成商開發。
5. 其他說明
-
關於系統升級或者更換主管單位等原因導致的密鑰遷移需求,其具體內容請查看附錄“附錄1關於密鑰遷移的相關情況說明”
-
附錄1關於密鑰遷移的相關情況說明
收費公路電子收費密鑰分爲國家級密鑰和省級密鑰。國家級密鑰是由國家級密鑰管理系統承擔單位管理,用於全國範圍內收費公路聯網交易過程認證的密鑰;省級密鑰是省級行政區範圍內使用的密鑰,由國家級密鑰管理系統下發和省級密鑰管理系統生成兩部分構成,其中由國家級下發的省級密鑰以省級密鑰母卡爲載體並由省級密鑰傳輸卡控制權限。
省級密鑰系統主要由用於生成/接收、管理、維護密鑰的全國電子聯網收費二級密鑰管理系統(以下簡稱“密管系統”)和用於生產應用的加密機(以下簡稱“業務加密機”)組成。當省級密鑰系統需要改造或者遷移時,有如下幾種遷移方式:
1. 僅遷移業務加密機
1.1. 必備條件
-
加密機開發接口
-
加密機裏面的密鑰索引以及用途
1.2. 實現功能
-
可實現包括在線發行、在線充值在內的CPU卡業務
1.3. 其他說明
-
無法保證密鑰的唯一性:密管系統與業務加密機分屬不同部門,通過密管系統可以重建出完全相同的密鑰體系
2. 僅遷移密管系統
2.1. 必備條件
-
密管系統的控制權限,含系統登錄口令、管理員卡、各種母卡/傳輸卡等
-
密管系統支持的母卡/傳輸卡類型及其對應指令集
-
各密鑰的TVI以及用途
-
購置業務加密機
2.2. 實現功能
-
可重建一套跟原來一致的密鑰體系
-
可實現包括在線發行、在線充值在內的CPU卡業務
-
如果採購的是新版加密機,還可實現OBU的在線發行、在線激活等業務
2.3. 其他說明
-
無法保證密鑰的唯一性:通過原業務加密機仍然可辦理ETC卡方面的業務(發行、充值等)
3. 同時遷移密管系統及業務加密機
3.1. 必備條件
-
加密機開發接口
-
加密機裏面的密鑰索引以及用途
-
密管系統的控制權限,含系統登錄口令、管理員卡、各種母卡/傳輸卡等
-
密管系統支持的母卡/傳輸卡類型及其對應指令集
-
各密鑰的TVI以及用途
3.2. 實現功能
-
可沿用原有業務加密機,也可根據需要採購新加密機重建密鑰體系
-
可實現包括在線發行、在線充值在內的CPU卡業務
-
如果採購新版加密機,還可實現OBU的在線發行、在線激活等業務
3.3. 其他說明
-
密管系統以及業務加密機同屬於一個部門管理,密鑰的唯一性可得到有效保證