根据“国标密钥体系”的划分,省级密钥管理的主要内容是负责省级建设本省的密钥体系;申领省级密钥母卡、省级密钥传输卡;申领PSAM卡及OBE-SAM一次发行母卡;发放和管理本辖区内各种密钥母卡、PSAM卡、CPU用户卡,并对上述各类卡片的使用进行注册登记和监控管理;等等。本部分以当前多数省份采用的以业务加密机为核心搭建的在线密钥认证系统为原型,说明省级密钥系统的建设过程。
1. 省级密钥系统组成
按照省级密钥系统的建设过程以及使用的场景,将其划分为如下两个部分:提供密钥生产、密钥存储、密钥分发、密钥管理等服务的密钥管理系统(以下统称为省级密管系统);提供密钥计算的业务加密机及联机服务的密钥认证系统(以下统称密钥认证系统)。省级密钥系统的关系结构如下图所示:
省级密管系统(图中红色虚线椭圆框)建设完成之后一般脱机保管,当新建、重建或者调整密钥认证系统(图中红色虚线矩形框)时才需要使用到省级密管系统;使用时,从省级密管系统将指定的密钥导出到母卡/传输卡中,然后再把母卡/传输卡里面的密钥通过专用的工具导入到业务加密机,导入完成后将母卡/传输卡放置到安全可靠的位置保管(一般放到省级密管系统同个地方保管)。
密钥认证系统属于在线系统,给其他业务系统提供实时的密钥计算服务;系统建设后需保证处于工作状态,并且通过网络联通其他业务系统,对其提供服务。
2. 省级密管系统
2.1.建设要求
作为国家密钥管理系统业务功能的延伸,省级密钥管理系统的设计与建设应
符合如下要求:
应能导入国家密钥管理系统下发的省级密钥;
可以提供密钥生产、密钥存储、密钥分发、密钥管理等服务,具备对称密钥的生成、注入、导出、备份、恢复、更新、服务等功能;
应确保密钥多级管理的可操作性。密钥的装载、存放和分散必须在安全的环境下完成,中间结果不得被内部操作人员和外界获得;
支持通过领导卡方式,产生省级根密钥;
应能为用户提供各类母卡的生产服务,生成各类母卡时要求同时生成密钥母卡及传输卡。
2.2.系统概述
省级密管系统,属于全国电子联网收费密钥管理系统第二级别系统,因此也称作全国电子联网收费二级密钥管理系统,是全国高速公路电子联网收费密钥管理系统体系的二级密钥管理系统。该系统不仅可以通过A、B领导卡产生本系统需要使用的各类密钥,还可以通过导入其上一级配发的下发母卡和认证卡将上级下发的密钥导入该密钥系统中,且两类密钥相互独立并在密钥导出时能够按照系统的配置要求下载到指定的母卡中。
密钥生成流程如下图所示:
另,该系统一般由国家级的密钥管理单位统一开发,省级向其购买即可,不必自行开发。
2.3.系统架构
2.3.1.软件架构
密钥管理系统采用分层结构设计,各层相互独立,层内各模块功能的耦合度小。分为操作系统层、底层驱动层、应用模块层、应用程序层,从下到上,从硬件到软件,逐层向上层提供服务,最近构造密钥管理系统程序。
系统底层驱动在操作系统层的基础提供了访问数据库、加密机、读卡器的服务。
应用模块层构造了高度藕合的功能模块,层内模块相对独立,同时相互依赖。是整合应用系统程序的单元。
应用程序层主要提供使用者可见的系统管理软件,体现业务逻辑,实现业务功能。
密钥体系能够实行多级密钥管理体制
2.3.2.硬件架构
二级密钥管理应用管理终端。
SJL21专用服务器密码机:密钥管理系统所有密钥的产生和管理设备。
专用密钥管理终端:执行密钥管理系统。
UPS:不间断电源设备。
设备专用机柜。
3. 密钥认证系统
密钥认证系统主要由业务加密机、认证系统两部分构成。其作用主要是让外部接入的终端或系统与业务加密机之间的信息交互与指令执行能够以在线方式实现;对密钥的计算请求、与用户的认证接入进行统一的管理;作为唯一允许访问业务加密机的系统,从根本上降低其他系统访问加密机带来的安全风险。
3.1.业务加密机
密钥的存储、相关算法的实现全部由业务加密机实现,并提供相应接口给认证系统调用。
3.2.密钥认证系统
提供给其他业务系统(如一发、二发等)提供访问密钥的接口,以完成相关业务的办理。其本身并没有办理卡签发行、充值、OBU激活等业务方面的功能。同其他业务系统的关系如图所示:
其主要包括如下接口:数据加密、数据解密、TAC计算、MAC计算、交易MAC计算以及密钥获取。
4. 密钥导入
一般情况下,采购回来的业务加密机里面是没有密钥的,需要自行将业务上需要使用到的密钥从省级密管系统导入到业务加密机,下面简单描述下这一导入过程。
省级密管系统与业务加密机之间没有统一的接口,不能直接把密钥从密管系统导入到业务加密机,所以一般使用母卡/传输卡作为密钥的传输媒介来实现密钥的导出导入需求。
从省级密管系统将密钥导出到“母卡/传输卡”由密管系统实现,其自带读卡器以及相应的导出功能,一般不用开发程序即可直接导出;不过,从“母卡/传输卡”导入到业务加密机时,由于不同卡厂的卡、不同厂商的加密机,其接口或者流程不大相同,没有统一的程序,一般由负责省中心建设的系统集成商开发。
5. 其他说明
关于系统升级或者更换主管单位等原因导致的密钥迁移需求,其具体内容请查看附录“附录1关于密钥迁移的相关情况说明”
附录1关于密钥迁移的相关情况说明
收费公路电子收费密钥分为国家级密钥和省级密钥。国家级密钥是由国家级密钥管理系统承担单位管理,用于全国范围内收费公路联网交易过程认证的密钥;省级密钥是省级行政区范围内使用的密钥,由国家级密钥管理系统下发和省级密钥管理系统生成两部分构成,其中由国家级下发的省级密钥以省级密钥母卡为载体并由省级密钥传输卡控制权限。
省级密钥系统主要由用于生成/接收、管理、维护密钥的全国电子联网收费二级密钥管理系统(以下简称“密管系统”)和用于生产应用的加密机(以下简称“业务加密机”)组成。当省级密钥系统需要改造或者迁移时,有如下几种迁移方式:
1. 仅迁移业务加密机
1.1. 必备条件
加密机开发接口
加密机里面的密钥索引以及用途
1.2. 实现功能
可实现包括在线发行、在线充值在内的CPU卡业务
1.3. 其他说明
无法保证密钥的唯一性:密管系统与业务加密机分属不同部门,通过密管系统可以重建出完全相同的密钥体系
2. 仅迁移密管系统
2.1. 必备条件
密管系统的控制权限,含系统登录口令、管理员卡、各种母卡/传输卡等
密管系统支持的母卡/传输卡类型及其对应指令集
各密钥的TVI以及用途
购置业务加密机
2.2. 实现功能
可重建一套跟原来一致的密钥体系
可实现包括在线发行、在线充值在内的CPU卡业务
如果采购的是新版加密机,还可实现OBU的在线发行、在线激活等业务
2.3. 其他说明
无法保证密钥的唯一性:通过原业务加密机仍然可办理ETC卡方面的业务(发行、充值等)
3. 同时迁移密管系统及业务加密机
3.1. 必备条件
加密机开发接口
加密机里面的密钥索引以及用途
密管系统的控制权限,含系统登录口令、管理员卡、各种母卡/传输卡等
密管系统支持的母卡/传输卡类型及其对应指令集
各密钥的TVI以及用途
3.2. 实现功能
可沿用原有业务加密机,也可根据需要采购新加密机重建密钥体系
可实现包括在线发行、在线充值在内的CPU卡业务
如果采购新版加密机,还可实现OBU的在线发行、在线激活等业务
3.3. 其他说明
密管系统以及业务加密机同属于一个部门管理,密钥的唯一性可得到有效保证