DB11-T 159.5-2023 市政交通-卡通系统技术规范 第5部分：安全

ICS35.240.15CCSL64DB11代替DB11/T159.4—2015北京市市场监督管理局发布IDB11/T159.5—2023前言 2规范性引用文件 3术语和定义 4缩略语 5系统安全要求 6终端安全要求 6.1一般要求 6.2终端数据安全要求 6.3终端环境安全要求 6.4终端密码算法要求 7卡片安全要求 7.1一般要求 7.2共存应用 7.3密钥的独立性 7.4卡片内部安全体系 7.5卡片通信安全 7.6卡片交易安全 7.7卡片防攻击 7.8卡片密码算法要求 8移动支付系统安全要求 8.1SE安全要求 8.2客户端软件安全要求 8.3可信服务管理系统安全要求 9交易安全要求 9.1消费交易安全 9.2充值交易安全 9.3退卡交易安全 10密钥管理及算法要求 10.1一般要求 10.2生成与发行 10.3安全机制 10.4密码算法 附录A（规范性）SM4算法MAC的计算流程 附录B（规范性）SM4算法数据加密计算流程 附录C（规范性）SM4算法数据解密计算流程 附录D（规范性）SM4算法过程密钥产生流程 附录E（规范性）SM4算法子密钥推导流程 DB11/T159.5—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。DB11/T159《市政交通一卡通系统技术规范》分为以下部分：——第1部分：总体要求；——第2部分：卡片；——第3部分：终端；——第4部分：移动支付系统；——第5部分：安全；——第6部分：检测；本文件是DB11/T159的第5部分。本文件代替DB11/T159.4—2015《市政交通一卡通技术规范第4部分：安全》，与DB11/T159.4—2015相比，除结构调整和编辑性改动外，主要技术变化如下：a)更改了“系统安全”为“系统安全要求”（见第5章,2015年版的第3章删除了“基“系统备份要求”（见第5章b)增加了“终端密码算法要求”（见6.4c)增加了卡片安全要求的“一般要求”、“共存应用”、“密钥的独立性”、“卡片内部安全体系”和“卡片密码算法要求”（见第7章d)增加了移动支付系统安全要求（见第8章e)更改了“密钥算法”为“密码算法”（见第10.4,2015年版的7.4f)删除了“MAC计算—DEA算法”（见2015年版的附录Ag)删除了“MAC计算—国密算法”（见2015年版的附录Bh)增加了“SM4算法MAC计算流程”（见附录Ai)增加了“SM4算法数据加密计算流程”（见附录Bj)增加了“SM4算法数据解密计算流程”（见附录Ck)增加了“SM4算法过程密钥产生流程”（见附录Dl)增加了“SM4算法子密钥推导流程”（见附录E）。本文件由北京市交通委员会提出并归口。本文件由北京市交通委员会组织实施。本文件起草单位：北京市智慧交通发展中心、北京市政交通一卡通有限公司、北京市标准化研。DB11/T159.5—2023随着智慧城市建设的加速和公共交通的快速发展，市政交通一卡通系统在城市交通运营和民生服务中发挥着越来越重要的作用。为了提高城市公共交通运营效率和民生服务质量，满足市政交通一卡通系统的业务发展要求和民生服务需求，需要进行规范化的技术管理，北京市交通委员会组织编制了统一的技术标准。DB11/T159《市政交通一卡通系统技术规范》由6个部分组成：——第1部分：总体要求。目的在于明确市政交通一卡通系统的整体构成和要求。——第2部分：卡片。目的在于明确市政交通一卡通系统卡片的要求。——第3部分：终端。目的在于明确市政交通一卡通系统终端的要求。——第4部分：移动支付系统。目的在于明确市政交通一卡通系统移动支付系统的组成和要求。——第5部分：安全。目的在于明确市政交通一卡通系统安全的要求。——第6部分：检测。目的在于明确市政交通一卡通系统检测的要求。DB11/T159《市政交通一卡通系统技术规范》参考了国家及地方的相关法规、行业标准和最佳实践，结合北京市公共交通行业特点和发展需求，以及新技术应用等进行了修订，保证标准具有先进性、安全性和指导性，保障市政交通一卡通系统长期、稳定和健康地发展。DB11/T159.5《市政交通一卡通系统技术规范第5部分：安全》规定了市政交通一卡通系统安全的通用技术要求，包括系统安全要求、终端安全要求、卡片安全要求、移动支付系统安全要求、交易安全要求、密钥管理及算法要求。适用于市政交通一卡通系统安全的设计、开发和实施。DB11/T159.5—20231市政交通一卡通系统技术规范第5部分：安全本文件规定了市政交通一卡通系统安全的通用技术要求，包括系统安全要求、终端安全要求、卡片安全要求、移动支付系统安全要求、交易安全要求、密钥管理及算法要求。本文件适用于市政交通一卡通系统安全的设计、开发和实施。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GM/T0002SM4分组密码算法GM/T0003SM2椭圆曲线公钥密码算法GM/T0004SM3密码杂凑算法GM/T0005随机性检测规范JT/T978.3城市公共交通IC卡技术规范第3部分：读写终端JT/T978.6城市公共交通IC卡技术规范第6部分：安全JT/T1059.2交通一卡通移动支付技术规范第2部分:安全单元JT/T1059.5交通一卡通移动支付技术规范第5部分:客户端软件JT/T1059.6交通一卡通移动支付技术规范第6部分:可信服务管理系统DB11/T159.1市政交通一卡通系统技术规范第1部分：总体要求3术语和定义DB11/T159.1界定的以及下列术语和定义适用于本文件。3.1对称加密技术symmetriccryptographictechnique发送方和接收方使用相同保密密钥进行数据变换的加密技术。[来源：JT/T978.6—2015,3.3]3.2非对称加密技术asymmetriccryptographictechnique采用公开变换（由公钥定义）和私有变换（由私钥定义）这两种相关变换的加密技术。[来源：JT/T978.6—2015,3.2]2DB11/T159.5—20233.3Timing攻击Timingattack在加密过程中，由于各分支语句的执行、频率、RAM命中率等因素所造成时间不一致，利用这些漏洞进行的攻击活动。3.4SPA/DPA攻击simplepoweranalysis/differentialpoweranalysisattack系统消耗功率的大小随微处理器执行的指令不同而不同，通过观察系统的功耗，提取与密钥有关信息的攻击活动。3.5数字签名keyexpirydate对数据的一种非对称加密变换，简称签名。[来源：JT/T978.6—2015,3.4]3.6公钥publickey非对称密钥对中可公开的密钥。在数字签名时，公钥用于验证。[来源：JT/T978.6—2015,3.5]3.7私钥privatekey非对称密钥对中不可公开的密钥，在数字签名中，私钥用于签名。[来源：JT/T978.6—2015,3.6]4缩略语DB11/T159.1界定的以及下列缩略语适用于本文件：CA：证书认证中心（CertificateAuthority）CPU：中央处理单元（CentralProcessUnit）MAC：报文验证码（MessageAuthenticationCode）PKI：公开密钥基础设施（PublicKeyInfrastructure）SM2：椭圆曲线公钥密码算法（PublicKeyCryptographicAlgorithmSM2BasedonEllipticCurves）SM3：密码杂凑算法（SM3CryptographicHashAlgorithm）SM4：分组密码算法（SM4CryptographicAlgorithm）5系统安全要求系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、云计算安全扩展要求、移动互联安全扩展要求、安全管理要求等，应符合GB/T22239中第三级的相关要求。6终端安全要求6.1一般要求DB11/T159.5—20233应符合JT/T978.6中的相关要求。6.2终端数据安全要求6.2.1终端数据类型终端存在两种基本类型的数据，包括：a)业务数据：如终端交易记录等。可对这些数据进行访问，但不应进行无授权修改；b)敏感数据：包括卡片应用密钥、公私钥、及终端内部参数。在未授权的情况下，外界不应对这类数据进行访问和修改。6.2.2业务数据的安全要求业务数据应存放在存储器中。在更新参数以及下载新的应用程序时，终端应执行以下操作：a)验证更新方的身份；b)校验下载参数及应用程序的完整性；c)在任何情况下，终端的应用数据都不应随意改变或丢失，并保证数据有效；d)所有与交易相关的数据均应以记录形式存储于终端存储器中，终端须保证这些数据的完整6.2.3敏感数据的安全要求敏感数据应存放在终端安全模块中。安全模块应保证存储数据的安全，具体要求如下：a)安全模块应提供必要的安全机制以防止外界对终端所储存或处理的数据进行非法攻击；b)安全模块的硬件设计应能保证在物理上限制对其内部存贮的敏感数据的窃取，以及对安全模块的非授权使用和修改。一旦安全模块受到非法的攻击，其自身应能够立即完成对内部敏感数据的删除；c)安全模块的逻辑设计应保证，调用任何单一功能或组合功能时，都不会导致敏感数据的泄6.3终端环境安全要求6.3.1基本要求应具有防入侵功能。在正常的运行环境中，保证终端及其接口不会泄露或改变任何存储及处理的敏感数据。6.3.2一般要求应限制对内部存储的密钥数据、业务参数、个人敏感信息的物理访问，防止数据被窃取，未经授权的使用或者未经授权的对终端的修改应有安全控制，具体要求如下：a)终端应具备防止外界非法入侵及对软硬件的增加、替换或修改的能力；b)终端应具备防止外界非法测定或修改敏感数据后重新安装终端软件的能力；c)当终端的任何部件发生故障时，不会导致秘密或敏感数据的泄露；d)如果终端的设计需要部分部件在物理上分离，并且处理的数据或指令在这些分离的部件之间传递，那么对终端的所有部件的保护等级应是相同的。6.4终端密码算法要求应满足如下算法要求：a)硬件应支持SM2、SM3和SM4算法；b)应满足密钥的安全下发、存储和更新。DB11/T159.5—202347卡片安全要求7.1一般要求应符合JT/T978.6中的相关要求。7.2共存应用卡片共存应用应符合如下要求：a)不同应用之间应设计防火墙；b)不同应用之间的初始化要求和应用规则不应发生冲突。7.3密钥的独立性特定功能的加密/解密密钥不能被任何其他功能所使用，包括保存在卡片中的密钥和用来产生、派生、传输这些密钥的密钥。7.4卡片内部安全体系卡片内部安全体系应符合JT/T978.6中的相关要求。7.5卡片通信安全卡片通信安全应满足要求如下：a)应采用一卡一密的密钥管理体系，密钥利用卡片的CSN及其他有关信息，通过规定的加密算法，由卡片的发行机构在初始化时，写入卡片中；b)应用验证应由内置在终端的SAM卡或安全模块与总中心计算机处理系统共同完成认证；c)在交易过程中，为防止信号被窃取，其数据通信均应进行加密传输；d)每次写操作时，均应经过MAC验证，MAC的计算需要通过卡内密钥经过特定的计算方法计算得到，MAC计算方法见附录A。7.6卡片交易安全卡片交易安全应满足要求如下：a)卡片消费交易流程安全应满足JT/T978.3中的相关要求；b)卡片充值交易流程安全应满足JT/T978.3中的相关要求。7.7卡片防攻击7.7.1防Timing攻击应能够抵御通过卡片CPU运算的时间差异分析得到卡片机密信息的攻击。7.7.2防SPA/DPA攻击应能够抵御通过卡片计算过程中能量消耗的变化分析得到卡片机密信息的攻击。7.7.3防随机数攻击随机数的产生应符合GM/T0005中的相关要求。7.8卡片密码算法要求芯片及操作系统应支持SM2、SM3和SM4算法。DB11/T159.5—202358移动支付系统安全要求8.1SE安全要求应符合JT/T1059.2中的相关要求。8.2客户端软件安全要求应符合JT/T1059.5中的相关要求。8.3可信服务管理系统安全要求应符合JT/T1059.6中的相关要求。9交易安全要求9.1消费交易安全消费交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：a)公共交通领域消费终端应使用SAM完成卡片的脱机交易验证；b)非公共交通领域脱机消费终端应使用SAM完成卡片的交易验证；消费交易所需安全性较高的行业及应用，应采用联机消费方式进行；c)消费交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否正常、是否为黑名单卡、卡内余额是否足够等；d)消费交易应符合中心计算机系统下发的消费参数规定，如消费可用卡类型等；e)消费成功后应正确生成和完整保存消费交易数据，并确保数据存储及传输的安全性；f)消费交易数据应包含TAC；g)系统应及时将黑名单下发到每一台终端上，终端应拒绝黑名单卡的交易并进行锁卡。9.2充值交易安全充值交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：a)充值交易应采用联机方式进行，即交易过程中，终端与总中心计算机处理系统实时通信，通过终端及其内置的安全模块、认证系统及硬件加密机，完成卡片的联机认证及合法性检查；b)联机交易终端与总中心计算机处理系统的交互流程应采用PKI体系安全机制，采用非对称算法加密技术，确保传输报文的安全，报文中应附带MAC防篡改，MAC计算方法见附录A；c)支持充值业务的终端应成功签到取得授权，并在有效时间范围内进行卡片的充值交易，授权验证的权限应在断电、复位、关机或超时后失效；d)总中心计算机处理系统应具有对支持充值业务的终端、商户、单位充值额度的三级配置管理功能，如：累计充值额度、当日最大充值额度限制等，对超出充值额度的终端、商户和单位，系统应拒绝其继续交易；e)充值交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否正常、是否为黑名单卡等；f)充值成功后，终端应正确生成和完整保存充值交易数据，并将交易数据实时上传至总中心计算机处理系统；DB11/T159.5—20236g)充值交易数据应包含TAC。9.3退卡交易安全退卡交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：a)退卡交易应采用联机方式进行，即交易过程中，终端与总中心计算机处理系统实时通信，通过终端及其内置的安全模块、总中心计算机处理系统及硬件加密机，完成卡片的联机认证及合法性检查；b)联机交易终端与总中心计算机处理系统的交互流程应采用PKI体系安全机制，采用非对称算法加密技术确保传输报文的安全，报文中附带MAC防篡改，MAC计算方法见附录A；c)退卡终端应成功签到取得授权，并在权限有效时间范围内进行退卡交易，授权验证的权限应在断电、复位、关机或超时后失效；d)退卡交易应符合总中心计算机处理系统下发的退卡参数规定；e)退卡交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否正常、是否为黑名单卡等；f)退卡成功后，终端应正确生成和完整保存交易数据，并将交易数据实时上传至总中心计算机处理系统；g)退卡交易数据应包含TAC。10密钥管理及算法要求10.1一般要求市政交通一卡通系统密钥管理应符合JT/T978.6的要求。10.2生成与发行10.2.1密钥生成10.2.1.1生成方式生成方式要求如下：a)对称密钥应采用集中方式生成，即由发卡机构生成相应的主密钥组，其他密钥由该组主密钥分散生成。密钥生成的两种基本方法为：1)不重复的密钥生成：随机生成不可恢复的密钥，每次的数值不相同；2)可重复的密钥生成：密钥变换、密钥衍生；密钥的生成是可重复的，能够重新得到与原来相同的密钥值。b)非对称密钥应采用在加密机或SAM卡内部产生公钥和私钥的方式，私钥在加密机或SAM卡内存储，公钥输出；c)数字证书应采用根CA逐级向下签发的方式产生用户证书或设备证书。10.2.1.2安全技术不需重复生成的密钥应采用随机产生的方式生成，由系统随机产生密钥，写入安全存取模块中保存。可重复生成的密钥采用密钥变换或密钥衍生的方式生成，应确保密钥变换或密钥衍生过程安全。10.2.1.3安全措施为了保证密钥的安全，防止密钥的泄露，在密钥生成时，应符合以下要求：DB11/T159.5—20237a)密钥采用多人生成或由硬件加密的方式生成；b)密钥应在独立的物理空间生成，环境应符合安全管理要求；c)密钥生成应由专人负责，应符合安全管理规定；d)密钥生成的过程应严格执行操作规程。10.2.2密钥发行10.2.2.1发行方式密钥发行应采用逐级分散方式，由上一级生成下一级所需的各种子密钥，并传递给下一级。10.2.2.2安全技术应通过主控密钥、传输密钥控制密钥的加密装载、直接加密导出、分散加密导出。10.3安全机制10.3.1对称加密技术包括SM4算法MAC计算（见附录A）、SM4算法数据加密（见附录B）、SM4算法数据解密（见附录C）、SM4算法过程密钥产生（见附录D）和SM4算法子密钥推导（见附录E）。10.3.2非对称加密技术非对称加密用来进行静态数据和动态数据的验证以及数字签名，应符合JT/T978.6中的相关要在选择公开密钥的模数长度时，应考虑密钥的生命周期以及在此生命周期内被解密的可能性。10.4密码算法10.4.1对称加密算法SM4算法应符合GM/T0002中的相关要求。10.4.2非对称加密算法SM2算法应符合GM/T0003中的相关要求。10.4.3摘要算法SM3算法应符合GM/T0004中的相关要求。DB11/T159.5—20238（规范性）SM4算法MAC的计算流程SM4算法MAC的计算流程如下：a)将一个16字节长的初始值设定为十六进制的“0x00000000000000000000000000000000”；b)将所有的输入数据按指定顺序串联成一个数据块；c)将串联成的数据块分割为16字节长的数据块组，标识为D1、D2、D3与D4等，分割到最后，余下的字节组成一个长度小于等于8字节的最后一个数据块；d)若最后一个数据块长度为16字节，则在此数据块后附加一个16字节长的数据块，附加的数据块为十六进制的“0x80000000000000000000000000000000”。若最后一个数据块长度小于16字节，则该数据块的最后填补一个十六进制‘80’。若填补之后的数据块长度等于16字节，则跳至下一步。若填补之后的数据块长度仍小于16字节，则在数据块后填补十六进制‘00’至数据块长度为16字节；e)对通过上述步骤产生的数据块组，用过程密钥进行加密运算；f)将16字节运算结果按8字节分块做异或运算，得到8字节数据，取高4字节得到MAC。+（加密加密）I1=D1I1=D1+++++D2D3D2D3图1SM4算法的MAC计算流程DB11/T159.5—20239（规范性）SM4算法数据加密计算流程SM4算法数据加密计算流程如下：a)用LD表示明文数据的长度，在明文数据前加上LD产生新的数据块；b)将a）中生成的数据块分解成