区域联网电子不停车收费系统应用示范 技术规范 第1 部分

区域联网电子不停车收费系统应用示范技术规范第1部分密钥管理总规则交通部公路科学研究院2008年5月1第一章总则第一条为了加强对公路电子收费密钥的安全管理，根据《收费公路联网收费技术要求》中关于密钥的规定和国家密码管理局的相关规定，制订本规则。第二条公路电子收费密钥管理分为二级密钥管理模式：全国密钥管理和省级密钥管理。第三条全国密钥管理中心（一级密钥管理中心）由国务院交通主管部门设立；二级密钥管理中心应在各省（直辖市、自治区）交通主管部门的许可下设立，并保证在各省（直辖市、自治区）内的唯一性。第四条全国密钥管理系统（一级密钥管理系统）由全国密钥管理中心负责建设、维护和管理。各省级业务主密钥由全国密钥管理中心统一提供。第五条涉及全国应用的PSAM卡（消费安全访问卡）和用于车载设备安全性管理的ESAM（安全认证模块）由一级密钥管理中心统一提供。第二章密钥管理系统要求第六条一级密钥管理中心应遵循交通运输部和国家密码管理局的相应规范，建立符合公路电子收费应用需要的一级密钥管理系统。2第七条二级密钥管理系统的建设应符合附件一“二级密钥管理中心建设技术要求”。各省二级密钥管理系统建设完成后，须通过密码、安全方面的专家及一级密钥管理中心代表组成的验收委员会的现场验收；一级密钥管理中心可为二级密钥管理中心的建设提供技术支持。第八条密钥管理系统应确保密钥多级管理的可操作性。密钥的装载、存放和分散必须在安全的环境下完成，中间结果不得被内部操作人员和外界获得。第九条密钥管理系统应与其它业务处理系统分开，开发调试必须采用测试密钥，不得在已使用正式密钥的业务系统中进行调试操作。第十条各级相关机构和部门应定期检查下级单位安装和使用密钥相关设备的安全保障措施的落实情况。对安全检查中发现的问题，应当提出限期整改意见，做出详细记录，存档备查。第三章工作职责第十一条一级密钥管理中心是全国联网电子收费系统密钥管理的具体承担机构。它的主要职责是：z为各二级密钥管理中心提供二级密钥管理系统，并核查系统的运行条件是否符合要求；z产生全国联网电子收费系统的总控密钥；z分散产生各种业务主密钥和各二级总控密钥；3z统一实施对PSAM卡、ESAM模块的制作；z进行密钥管理系统的维护、升级；z制订、贯彻、检查密钥安全操作的实施细则；z对系统安全进行评估，发现问题，及时通知相关机构和有关部门；z交通运输部赋予的其它职责。第十二条二级密钥管理中心是各省、直辖市、自治区实施密钥管理的具体承担机构，它的主要职责是：z向一级密钥中心申领二级密钥管理系统及PSAM卡；z最终生成各类应用密钥；z对所辖地区发放和回收的各种母卡、PSAM卡、用户卡进行使用注册登记和监控管理；z对所辖地区的联机交易、清算等业务系统涉及的密钥认证服务系统进行维护与升级管理；z对相关人员进行安全操作培训。第十三条所有涉及公路电子收费密钥系统的单位和个人应当接受安全部门的安全监督、检查和指导，如实向安全部门提供有关安全保护的信息、资料和数据文件，协助安全部门查处有关违法犯罪行为。第十四条涉及公路电子收费密钥应用的单位或个人若发现可能存在的密钥安全问题，应及时向上级业务机构和相关部门汇报。4第四章二级密钥的申请和发放第十五条省级交通主管部门按照附件二的要求向一级密钥管理中心提出二级密钥申请。一级密钥管理中心对二级密钥管理中心建设情况现场审查通过后，报交通运输部审批后给与批复。第十六条获得交通运输部批准后，一级密钥管理中心为省交通主管部门提供二级业务主密钥母卡及传输卡，二级密钥管理系统可以开通运营。第十七条正式密钥导入前，二级密钥管理系统可以使用测试密钥进行调试、测试和试验。第十八条二级密钥管理中心应妥善保管业务主密钥母卡及传输卡，不得将母卡内密钥导入到未经一级密钥管理中心审核的密钥管理系统中。第五章PSAM卡的申请和下发第十九条二级密钥管理中心向一级密钥管理中心领取《PSAM卡申请表》，并根据表格所列内容详细填写。第二十条装有正式密钥的PSAM卡仅限二级密钥管理中心申请领用，在正式递交申请之前请仔细阅读《申领PSAM卡责任书》，在责任书上签字盖章，并要严格遵守责任书中的各项规定。第二十一条其他企、事业单位由于电子收费测试、试验的需要，可以申请领用测试用PSAM卡。第二十二条申请单位应向一级密钥管理中心提交以下材料：51）填写好并加盖公章的PSAM卡申请表、责任书；2）单位营业执照复印件；3）经办人身份证复印件。第二十三条一级密钥管理中心应在5个工作日内对所提交的材料进行审核，并在2个工作日内制作完成PSAM卡。二级密钥管理中心应派专人领取PSAM卡。第二十四条一级密钥管理中心向二级密钥管理中心提交PSAM卡的同时，应提供发卡清单。同时对PSAM卡的发放情况进行登记。第二十五条二级密钥管理中心对PSAM卡操作过程中损坏的PSAM卡应如数退回一级密钥管理中心统一销毁。PSAM卡如有丢失，二级密钥管理中心应以书面形式上报一级密钥管理中心。第六章ESAM卡的申请和下发第二十六条一级密钥管理中心负责对OBE的ESAM模块进行初始化，初始化后的ESAM模块提供给OBE厂商封装成OBE车载设备。第二十七条ESAM申请单位应向一级密钥管理中心领取《ESAM申请表》，并根据表格所列内容详细填写。第二十八条申请单位在正式递交申请之前应仔细阅读《申领ESAM责任书》，在责任书上签字盖章，并要严格遵守责任书中的各项规定。第二十九条申请单位应向一级密钥管理中心提交以下材料：1）加盖公章的ESAM申请表、责任书；62）单位营业执照复印件；3）经办人身份证复印件。第三十条一级密钥管理中心应在5个工作日内对所提交的材料进行审核。ESAM制作完成后，由一级密钥管中心通知申请单位领取。一级密钥管理中心向申请单位提交ESAM卡的同时，应提供发卡清单，同时对ESAM卡的发放情况进行登记。第七章附则第三十一条本规则由一级密钥管理中心负责解释。第三十二条本规则从发布之日起开始生效。7附件一：二级密钥管理中心建设技术要求一、总体要求作为交通运输部公路电子收费密钥管理及安全认证中心业务功能的延伸，二级密钥管理中心的设计与建设应完全依照交通运输部一级密钥管理中心统一的体系架构和技术路线。二级密钥管理中心建成后，形成省一级的密钥管理支撑服务环境，主要职责为：向一级密钥管理中心申请PSAM卡；PSAM卡的发卡管理；用户卡的发放与管理。二级密钥管理中心应参照交通运输部公路电子收费密钥管理系统的体系结构，在基础设施基础上划分为密钥管理体系、生产管理体系、服务管理体系、应用服务体系等。密钥管理体系为生产管理、应用服务提供密钥生产、密钥存储、密钥分发、密钥管理等服务。生产管理体系为用户提供各类卡的生产服务。卡服务管理体系基于密码技术，在发行管理方面对OBU、用户卡、PSAM卡的发行提供管理服务。一级密钥管理中心为二级密钥管理中心提供二级密钥管理系统、PSAM卡及密钥备份卡（业务主密钥母卡和传输卡）。二级密钥中心通过二级密钥管理系统分散自己所需要的业务密钥，如用户卡母卡、充值认证卡等。测试密钥由一级密钥管理中心统一管理、发放。二、功能要求二级密钥管理中心应包括对称密码服务系统和对称密钥管理系统，各系统的功能说明如下：¾对称密码服务系统提供对称密码算法，为发各种用户卡密钥提供密码服务。¾对称密钥管理系统提供对称密钥的生成、注入、导出、备份、恢复、更新、服务等功能。三、运行环境8¾二级密钥管理中心应采用屏蔽机房（推荐）¾要求放置密钥管理系统的机房配有门禁及24小时监控系统¾二级密钥管理中心应具备管理终端、服务器密码机、IC卡读写器（2台）、设备专用机柜¾UPS供电四、开通条件二级密钥管理中心提供系统管理规章制度、机房建设说明，由一级密钥管理中心技术人员现场审核通过后，导入正式密钥，系统开通服务。9附件二：关于申请使用“公路电子收费二级密钥”的函交通运输部：按照交通运输部《二级密钥管理中心建设技术要求》及国家行业标准要求，（申请单位）申请使用公路电子收费二级密钥。特此申请，请予批准为盼！申请单位名称（盖章）年月日计划开通日期二级密钥管理中心地址申请单位情况申报时间：___________________________________联系人：___________________________________联系电话：___________________________________传真电话：___________________________________E-MAIL：___________________________________通讯地址：___________________________________邮政编码：___________________________________（盖章）年月日10公路电子收费密钥管理及安全认证中心审核意见（盖章）年月日交通运输部（盖章）年月日11附件三：公路电子收费PSAM卡申请表编号：PSAM-SQ-200X-流水号（四位）以下内容由申请人填写单位名称营业执照号经办人姓名身份证号单位地址邮政编码电子邮件联系电话□正式使用PSAM卡数量：申请内容□测试用PSAM卡数量：申请提供的证明资料□身份证□营业执照□其它（请注明）声明我单位申请领取PSAM卡，已仔细阅读并理解《申领PSAM卡责任书》的内容，同时承诺遵守《公路电子收费密钥管理与安全认证系统管理规则（暂行）》中之相关规定。经办人(签名)：单位公章：年月日年月日以下内容由交通运输部密钥管理与安全认证中心填写密钥管理与安全认证中心审核意见□同意□不同意（原因）受理人（签名）：年月日制作情况制作人：年月日PSAM卡领取情况领取人：年月日*本申请表一式三份,申请者留存一份，交通运输部密钥管理与安全认证中心留存二份。12申领PSAM卡责任书PSAM卡是用于认证非现金支付IC卡及OBU，以完成公路电子收费交易。为确保公路电子收费交易的安全，二级密钥管理与安全认证中心必须遵循以下规程：一、PSAM卡是公路电子收费系统的一部分，只能用于公路电子收费系统，不能作为其他任何用途。二、应仔细阅读《公路电子收费密钥管理与安全认证系统管理规则（暂行）》，并按照安全操作流程对PSAM卡进行管理与使用。三、应根据规定填写详细的PSAM卡的申领与使用记录。四、应保证PSAM卡的安全，如有遗失，应及时通知交通运输部密钥管理与安全认证中心。五、使用过程中如有PSAM卡损坏，应及时提出书面申请并进行更换。六、若发现某些PSAM卡可能存在安全问题，应及时向交通运输部密钥管理与安全认证中心和相关部门汇报，在其使用范围内，停止使用该PSAM卡，并进行调换。单位（盖章）日期：年月日13附件三：公路电子收费密钥管理及安全认证中心—ESAM申请表编号：ESAM-SQ-200X-流水号（四位）以下内容由申请人填写单位名称营业执照号经办人姓名身份证号单位地址邮政编码电子邮件联系电话□用于试验、测试数量：申请内容□用于正式生产数量：申请提供的证明资料□身份证□营业执照□其它（请注明）声明我单位申请领取二级密钥管理与安全认证中心ESAM，已仔细阅读并理解《ESAM责任书》的内容，同时承诺遵守《公路电子收费密钥管理与安全认证系统管理规则（暂行）》中之相关规定。经办人(签名)：单位公章：年月日年月日以下内容由交通运输部密钥管理与安全认证中心填写密钥管理与安全认证中心审核意见□同意□不同意（原因）受理人（签名）：年月日制作情况制作人：年月日ESAM领取情况领取人：年月日*本申请表一式三份,申请者留存一份，交通运输部密钥管理与安全认证中心留存二份。14ESAM责任书ESAM是用于完成OBU的认证，以安全的完成公路电子收费交易。为确保公路电子收费交易的安全，领用ESAM的单位必须遵循以下规程：一、ESAM卡是公路电子收费系统的一部分，只能用于公路电子收费系统，不能作为其他任何用途。二、应仔细阅读《公路电子收费密钥管理与安全认证系统管理规则（暂行）》，并按照安全操作流程对ESAM卡进行管理与使用。三、应根据规定填写详细的ESAM的