CJT 333-2010 城市公用事業(yè)互聯(lián)互通卡密鑰及安全技術(shù)要求

中華人民共和國(guó)城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)城市公用事業(yè)互聯(lián)互通卡中華人民共和國(guó)住房和城鄉(xiāng)建設(shè)部發(fā)布 I 2規(guī)范性引用文件 1 14縮略語和符號(hào) 25對(duì)稱密鑰管理 26非對(duì)稱密鑰管理 5附錄A(規(guī)范性附錄)城市公用事業(yè)IC卡互聯(lián)互通系統(tǒng)的密鑰管理系統(tǒng)安全要求 6附錄B(資料性附錄)城市公用事業(yè)IC卡互聯(lián)互通系統(tǒng)的業(yè)務(wù)密鑰說明與使用 附錄C(資料性附錄)雙向身份鑒別和密文加MAC的傳輸方式說明 GB/T16790.7金融交易卡使用集成電路卡的金融交易系統(tǒng)的安全體系第7部GB/T17901.1信息技術(shù)安全技術(shù)密鑰管理第1部分：框架GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T21082.4銀行業(yè)務(wù)密鑰管理(零售)第4部分：使用公鑰密碼的密鑰管理技術(shù)PIN個(gè)人識(shí)別碼(Pe3567 8圖A.2根密鑰生成模式圍b)充值類密鑰生成——地方級(jí)充值根密鑰生成與消費(fèi)類密鑰采用相同的方式生成。 應(yīng)用充值類子密鑰由用戶卡惟一序列號(hào)對(duì)地方級(jí)充值根密鑰一次分散后獲得。A.2.3密鑰存儲(chǔ)城市公用事業(yè)IC卡互聯(lián)互通基本密鑰存儲(chǔ)詳細(xì)信息見表A.1。表A.1密鑰存儲(chǔ)詳細(xì)信息無明文存儲(chǔ)消費(fèi)類密鑰注：業(yè)務(wù)密鑰詳細(xì)信息參見附錄B.A.2.4密鑰分散密鑰分散過程在安全密碼設(shè)備中進(jìn)行，密鑰分散流程如圖A.3。圖A.3密鑰分散流程圖城市公用事業(yè)IC卡互聯(lián)互通系統(tǒng)的基本密鑰分發(fā)注人包括對(duì)保護(hù)密鑰和業(yè)務(wù)密鑰的分發(fā)注入。9 (資料性附錄)B.1業(yè)務(wù)密鑰說明業(yè)務(wù)密鑰分為消費(fèi)類密鑰和充值類密鑰。B.1.1消費(fèi)類密鑰說明采用訪問控制的方式進(jìn)行保護(hù)，安全密碼設(shè)備采用物理隔離的方式進(jìn)行管理，消費(fèi)類密鑰詳細(xì)信息見表B.1。表B.1城市公用事業(yè)IC卡互聯(lián)互通系統(tǒng)的基本消費(fèi)密鑰說明消費(fèi)根密鑰公共錢包消費(fèi)中心級(jí)加密機(jī)用戶卡應(yīng)用維護(hù)主密鑰中心級(jí)加密機(jī)(TAC)主密鑰中心級(jí)加密機(jī)形成交易記錄計(jì)算TAC時(shí)的密鑰安全認(rèn)證密鑰中心級(jí)加密機(jī)B.1.2充值類密鑰說明采用訪問控制的方式進(jìn)行保護(hù)，安全密碼設(shè)備采用物理隔離的方式進(jìn)行管理，充值類密鑰詳細(xì)信息見表B.2城市公用事業(yè)IC卡互聯(lián)互通系統(tǒng)的基本充值密鑰說明充值主密鑰充值主密鑰ISAM卡維護(hù)密鑰B.2業(yè)務(wù)密鑰使用B.2.1消費(fèi)類密鑰使用消費(fèi)交易使用消費(fèi)類密鑰基本流程如下：a)PSAM卡內(nèi)部選擇安全認(rèn)證密鑰驗(yàn)證用戶卡安全認(rèn)證識(shí)別碼：b)用戶卡內(nèi)部選擇公共錢包消費(fèi)密鑰(即應(yīng)用消費(fèi)子密鑰)進(jìn)行交易初始化；c)PSAM卡內(nèi)部選擇公共錢包消費(fèi)密鑰(即消費(fèi)根密鑰)用數(shù)據(jù)A分散出用戶卡公共錢包消費(fèi)密鑰(即應(yīng)用消費(fèi)子密鑰),并用分散出的子密鑰對(duì)數(shù)據(jù)B加密得到消費(fèi)交易過程密鑰，消費(fèi)交易過程密鑰加密數(shù)據(jù)C得到消費(fèi)交易MAC1;d)用戶卡內(nèi)部選擇公共錢包消費(fèi)密鑰(即應(yīng)用消費(fèi)子密鑰)對(duì)數(shù)據(jù)B加密得過消費(fèi)交易程密鑰，——校驗(yàn)成功，采用過程密鑰對(duì)交易金額加密得到消費(fèi)交易MAC2,并選擇交易校驗(yàn)(TAC)密鑰在左右8位字節(jié)異或后加密數(shù)據(jù)D加密得到消費(fèi)交易TAC;e)PSAM卡用卡內(nèi)過程密鑰加密交易金額驗(yàn)證用戶卡計(jì)算的消費(fèi)交易MAC2:B.2.2充值類密鑰使用充值交易使用充值類密鑰基本流程如下：a)用戶卡內(nèi)部選擇公共錢包充值主密鑰(即應(yīng)用充值子密鑰)對(duì)數(shù)據(jù)1加密得到充值交易過程密鑰，并用充值交易過程密鑰加密數(shù)據(jù)2得到充值交易MAC1;b)加密機(jī)內(nèi)部選擇公共錢包充值主密鑰(即地方級(jí)充值根密鑰)用用戶卡惟一序列號(hào)分散出用戶卡公共錢包充值主密鑰(即應(yīng)用充值子密鑰),并用分散出的子密鑰對(duì)數(shù)據(jù)1加密得到充值交易過程密鑰，最終用充值交易過程密鑰加密數(shù)據(jù)2校驗(yàn)用戶卡計(jì)算的充值交易MAC1:1)校驗(yàn)成功，使用充值交易過程密鑰對(duì)數(shù)據(jù)3加密得到充值交易MAC2;2)驗(yàn)證失敗，本次充值交易終止；c)用戶卡內(nèi)部用步驟a)中產(chǎn)生的充值交易過程密鑰對(duì)數(shù)據(jù)3加密校驗(yàn)加密機(jī)計(jì)算的MAC2:2)校驗(yàn)失敗，本次充值交易失敗。A'得到隨機(jī)數(shù)隨機(jī)數(shù)B隨機(jī)數(shù)B”注2:圖中密鑰為對(duì)稱密鑰。a)安全密碼設(shè)備1產(chǎn)生隨機(jī)數(shù)A,并將隨機(jī)數(shù)A發(fā)送給安全密碼設(shè)備2;b)安全密碼設(shè)備2用密鑰對(duì)隨機(jī)數(shù)A加密獲得密文A',同時(shí)產(chǎn)生隨機(jī)數(shù)B,將密文A'和隨機(jī)數(shù)B傳送給安全密碼設(shè)備1;c)安全密碼設(shè)備1用密鑰對(duì)密文A'解密得到隨機(jī)數(shù)A”;d)安全密碼設(shè)備1驗(yàn)證隨機(jī)數(shù)A和A”是否一致：e)安全密碼設(shè)備1隨機(jī)數(shù)驗(yàn)證通過后，用密鑰對(duì)隨機(jī)數(shù)B加密獲得密文B',將密文B'回送給安全密碼設(shè)備2;f)安全密碼設(shè)備2用密鑰對(duì)密文B'解密得到隨機(jī)數(shù)B";g)安全密碼設(shè)備2驗(yàn)證隨機(jī)數(shù)B和B”是否一致： 密文加MAC的傳輸方式可用于傳輸過程中保證所傳輸?shù)男畔⒉槐恍孤丁⑻鎿Q和篡改。密文加MAC的傳輸方式中分為發(fā)送端執(zhí)行步驟和接收端執(zhí)行步驟。發(fā)送端執(zhí)行的步驟如圖C.2。a)用內(nèi)部密鑰對(duì)明文加密獲得密文；b)用內(nèi)部密鑰對(duì)密文進(jìn)行MAC計(jì)算獲得MAC;c)將密文和MAC合成密文加MAC發(fā)送給接收端。C.2.