DB11T 159.5-2023 市政交通一卡通系统技术规范 第5部分：安全

ICS35.240.15CCSL64

DB11北 京 市 地 方 标 准DB11/T159.5—2023DB11/T159.4—20155Technicalspecificationformunicipaladministration&communicationscardsystem—Part5:Security2023-12-25发布 2024-04-01实施北京市市场监督管理局 发布DB11/T159.5—2023目 次前言 II引言 III范围 1规性用1术和1缩2系安要求 2终安要求 2般2端据全3端境全3端码法3卡安要求 4般4存4钥独4片部全4片信4片易4片攻击 4片码法4移支系安要求 5SE全5户软安要求 5信务理统全要求 5交安要求 5费易5值易5卡易6钥理算要求 6一要求 6生与6安机制 7密算法 7附录A（范）SM4法MAC的算8附录B（范）SM4法数加计流程 9附录C（范）SM4法数解计流程 10附录D（范）SM4法过密产流程 11附录E（范）SM4法子钥导12IDB11/T159.5—2023前 言本文按GB/T1.1—2020标化作则 第部准文的和起规的定起DB11/T159《市政交通一卡通系统技术规范》分为以下部分：——第1部分：总体要求；23——第4部分：移动支付系统；56本文件是DB11/T159的第5部分。DB11/T4DB11/T159.4—2015相比，除结构调整和编辑性改动外，主要技术变化如下：（5,20153）（5）；（6.4）；（7）；8）；（10.4,20157.4）；“MACDEA（2015A）；“MAC2015B）；“SM4MAC（A）；“SM4（B）；“SM4（C）；“SM4（D）；“SM4（E）。本文件由北京市交通委员会提出并归口。本文件由北京市交通委员会组织实施。本文件起草单位：北京市智慧交通发展中心、北京市政交通一卡通有限公司、北京市标准化研究院。本文件及其所代替文件的历次版本发布情况为：——2015首发DB11/T159.4—2015市交一卡技规范 4：安》；——本次为第一次修订。IIDB11/T159.5—2023引 言DB11/T1596——第1部分：总体要求。目的在于明确市政交通一卡通系统的整体构成和要求。——第4部分：移动支付系统。目的在于明确市政交通一卡通系统移动支付系统的组成和要求。DB11/T159DB11/T159.5《市政交通一卡通系统技术规范第5IIIDB11/T159.5—2023市政交通一卡通系统技术规范第5部分：安全范围本文件规定了市政交通一卡通系统安全的通用技术要求，包括系统安全要求、终端安全要求、卡片安全要求、移动支付系统安全要求、交易安全要求、密钥管理及算法要求。本文件适用于市政交通一卡通系统安全的设计、开发和实施。（）GB/T22239信息安全技术网络安全等级保护基本要求GM/T0002SM4分组密码算法GM/T0003SM2椭圆曲线公钥密码算法GM/T0004SM3密码杂凑算法GM/T0005随机性检测规范JT/T978.3市共通IC卡术范 第3分：写JT/T978.6市共通IC卡术范 第6分：JT/T1059.2交一移动付术范 第2部分安单元JT/T1059.5交一移动付术范 第5部分客端JT/T1059.6交一移动付术范 第6部分可服管系统DB11/T159.1 市交一卡系技规范 第1部：体DB11/T159.1界定的以及下列术语和定义适用于本文件。3.1对称密术 symmetriccryptographictechnique发送方和接收方使用相同保密密钥进行数据变换的加密技术。[来源：JT/T978.6—2015,3.3]3.2非对加技术 asymmetriccryptographictechnique采用公开变换（由公钥定义）和私有变换（由私钥定义）这两种相关变换的加密技术。[来源：JT/T978.6—2015,3.2]1DB11/T159.5—20233.3Timing攻击Timingattack在加密过程中，由于各分支语句的执行、频率、RAM命中率等因素所造成时间不一致，利用这些漏洞进行的攻击活动。3.4SPA/DPA攻击simplepoweranalysis/differentialpoweranalysisattack系统消耗功率的大小随微处理器执行的指令不同而不同，通过观察系统的功耗，提取与密钥有关信息的攻击活动。3.5数字名 key expiry date对数据的一种非对称加密变换，简称签名。：JT/T978.6—2015,3.4]3.6公钥 publickey非对称密钥对中可公开的密钥。在数字签名时，公钥用于验证。[来源：JT/T978.6—2015,3.5]3.7私钥 privatekey非对称密钥对中不可公开的密钥，在数字签名中，私钥用于签名。[来源：JT/T978.6—2015,3.6]缩略语DB11/T159.1定以下列略适于文CA：书证心（Certificate Authority）CPU：中处单（CentralProcessUnit）MAC：报验码（MessageAuthenticationCode）PKI：公开密钥基础设施（PublicKeyInfrastructure）SM2：椭圆曲线公钥密码算法（PublicKeyCryptographicAlgorithmSM2BasedonEllipticCurves）SM3：密码杂凑算法（SM3CryptographicHashAlgorithm）SM4：分组密码算法（SM4CryptographicAlgorithm）GB/T222392DB11/T159.5—2023应符合JT/T978.6中的相关要求。终端存在两种基本类型的数据，包括：敏感数据：包括卡片应用密钥、公私钥、及终端内部参数。在未授权的情况下，外界不应对这类数据进行访问和修改。业务数据应存放在存储器中。在更新参数以及下载新的应用程序时，终端应执行以下操作：所有与交易相关的数据均应以记录形式存储于终端存储器中，终端须保证这些数据的完整性。敏感数据应存放在终端安全模块中。安全模块应保证存储数据的安全，具体要求如下：露。应具有防入侵功能。在正常的运行环境中，保证终端及其接口不会泄露或改变任何存储及处理的敏感数据。应限制对内部存储的密钥数据、业务参数、个人敏感信息的物理访问，防止数据被窃取，未经授权的使用或者未经授权的对终端的修改应有安全控制，具体要求如下：如果终端的设计需要部分部件在物理上分离，并且处理的数据或指令在这些分离的部件之间传递，那么对终端的所有部件的保护等级应是相同的。应满足如下算法要求：SM2、SM3SM43DB11/T159.5—2023应符合JT/T978.6中的相关要求。卡片共存应用应符合如下要求：特定功能的加密/解密密钥不能被任何其他功能所使用，包括保存在卡片中的密钥和用来产生、派生、传输这些密钥的密钥。卡片内部安全体系应符合JT/T978.6中的相关要求。卡片通信安全应满足要求如下：CSNSAMMACMAC，MAC。卡片交易安全应满足要求如下：JT/T978.3JT/T978.3Timing应能够抵御通过卡片CPU运算的时间差异分析得到卡片机密信息的攻击。SPA/DPA应能够抵御通过卡片计算过程中能量消耗的变化分析得到卡片机密信息的攻击。随机数的产生应符合GM/T0005中的相关要求。芯片及操作系统应支持SM2、SM3和SM4算法。4DB11/T159.5—2023SE应符合JT/T1059.2中的相关要求。应符合JT/T1059.5中的相关要求。应符合JT/T1059.6中的相关要求。消费交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：SAMSAM的行业及应用，应采用联机消费方式进行；消费交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否正常、是否为黑名单卡、卡内余额是否足够等；TAC；充值交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：查；PKIMACMACA；充值交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否正常、是否为黑名单卡等；5DB11/T159.5—2023TAC。退卡交易处理应保证卡与终端之间、终端与系统之间的数据可靠传输，防止数据被窃取或篡改，具体要求如下：PKIMACMACA；退卡交易时，应验证卡的合规性和可用性，包括但不限于是否为本系统卡、卡片状态是否TAC。市政交通一卡通系统密钥管理应符合JT/T978.6的要求。生成方式要求如下：原来相同的密钥值。SAMSAMCA不需重复生成的密钥应采用随机产生的方式生成，由系统随机产生密钥，写入安全存取模块中保存。可重复生成的密钥采用密钥变换或密钥衍生的方式生成，应确保密钥变换或密钥衍生过程安全。为了保证密钥的安全，防止密钥的泄露，在密钥生成时，应符合以下要求：6DB11/T159.5—2023密钥发行应采用逐级分散方式，由上一级生成下一级所需的各种子密钥，并传递给下一级。应通过主控密钥、传输密钥控制密钥的加密装载、直接加密导出、分散加密导出。包括SM4算法MAC计算（见附录A）、SM4算法数据加密（见附录B）、SM4算法数据解密（见附录C）、SM4算法过程密钥产生（见附录D）和SM4算法子密钥推导（见附录E）。JT/T978.6在选择公开密钥的模数长度时，应考虑密钥的生命周期以及在此生命周期内被解密的可能性。SM4算法应符合GM/T0002中的相关要求。SM2算法应符合GM/T0003中的相关要求。SM3算法应符合GM/T0004中的相关要求。7DB11/T159.5—2023附 录 A（规范性）SM4算法MAC的计算流程SM4算法MAC的计算流程如下：a)将一个16字节长的初始值设定为十六进制的“0x00000000000000000000000000000000”；16D1D2D3D48161680000000000000000000000000000000”。若最161616‘0016I5SM4（加密）O4KMB168I5SM4（加密）O4KMB+KMA+D2I1=D1初始值+KMA+D2I1=D1初始值+D3+D4SM4（加密）O5SM4（解密）KMAI2SM4（加密）O1KMAI3SM4（加密）O2KMAI4SM4（加密）O3OO6MAC说明：I-输入； D-数据块；KMA-MAC过程密钥A； KMB-MAC过程钥B；O-输出； +-异或运算。图1SM4算法的MAC计算流程8DB11/T159.5—2023附 录 B（规范性）SM4算法数据加密计算流程SM4算法数据加密计算流程如下：LDLD16D1D2D3D4块长度有可能不足16字节；最后16d）；1616‘00’16SM4（D1D2）将结果数据块插入到命令数据域中。O1SM4(加密)O1SM4(加密)O3KDAKDBSM4（解密）O2SM4（加密）加密后的DN说明：I-输入； DN-N个数据块；O-输出； KDA-数加密密钥A；KDB-数据加密密钥B。图2SM49DB11/T159.5—2023附 录 C（规范性）SM4算法数据解密计算流程SM4算法数据解密计算流程如下：16D1D2D3D4的解密流程见图3；（D1D2）LDLDO1SM4(解密)DNO1SM4(解密)DNO3KDAKDBSM4（加密）O2SM4（解密）解密后的DN说明：I-输入；