JT_T 825.8-2012IC卡道路运输证件 第8部分：密钥安全体系框架.pdf

ICS 03.220.20 ;35.240.60R 10备案号：中华人民共和国交通运输行业标准JT /T 825.82012IC卡道路运输证件第8部分：密钥安全体系框架IC card license for road transportation-Part 8 : Security architecture of keys2012-02-20 发布2012-05-01 实施中华人民共和国交通运输部发布 JT/T 825.8—2012目次前言范围·1总体框架·118密钥管理的安全要求119密钥使用安全技术要求4115 JT/T 825.8—2012前言JT/T825《IC卡道路运输证件》分为13个部分：第1部分：总体技术要求；第2部分：IC卡技术要求；-第3部分：IC卡道路运输证数据格式；第4部分：IC卡道路运输证规格与样式；第5部分：IC卡从业资格证数据格式；第6部分：IC卡从业资格证规格与样式；第7部分：IC卡物理防伪膜技术要求；-第8部分：密钥安全体系框架；第9部分：密钥管理系统技术要求；第10部分：IC卡初始化设备技术要求；一第11部分：IC卡证卡打印机技术要求；-第12部分：IC卡读写器技术要求；第13部分：IC卡及关键设备检测规范。本部分为JT/T825的第8部分。本部分按照GB/T1.1—2009给出的规则起草。本部分由交通运输部信息通信及导航标准化技术委员会提出并归口。本部分主要起草单位：交通运输部公路科学研究院、交通运输部科学研究院。本部分参加起草单位：广东省交通运输厅、山西省交通运输管理局、甘肃省公路运输管理局。本部分主要起草人：吴金中、张永军、杨富峰、陈宓、郑晓峰、刘志、宋伟、陈永峰。116 JT/T 825.8--2012IC卡道路运输证件第8部分：密钥安全体系框架1范围JT/T825的本部分规定了IC卡道路运输证件有关密钥安全的总体框架，以及密钥管理、使用相关技术要求。本部分适用于IC卡道路运输证件密钥管理及安全认证体系。2　总体框架2.1框架结构全国道路运输电子部级证件业务根密钥业务分散代码（道路运输证、从业资格证)全国道路运输电子证件业务主密钥母省级分散代码卡传省级省级根密钥输(地）道路运输电子证件省级业务主密钥..业务分散代码省级业务密钥用户卡分散代码IC卡道路运输证IC卡从业资格证图1总体框架2.2全国道路运输电子证件业务根密钥作为全国道路运输电子证件业务应用的总密钥，由交通运输行业总控密钥根据一定规则分散产生。通过全国道路运输电子证件业务根密钥可分散产生全国道路运输电子证件业务主密钥、卡片控制密钥等。2.3全国道路运输电子证件业务主密钥主要包括道路运输电子证件全国通读通写的密钥,如IC卡道路运输证真伪认证密钥、IC卡道路运输117 JT/T 825.8—2012证省外稽查业务应用密钥、IC卡从业资格证真伪认证密钥、IC卡从业资格证省外稽查业务应用密钥等。全国道路运输电子证件业务主密钥由全国道路运输电子证件业务根密钥根据相关业务代码分散生成。全国道路运输电子证件业务主密钥在下发到各省的同时,也灌装到TSAM卡中。2.4道路运输电子证件省级业务主密钥涉及道路运输电子证件全国通读通写的密钥，由全国道路运输电子证件业务主密钥经省级分散代码分散生成,并在省级层面二次分散后灌装到IC卡道路运输证、IC卡从业资格证。2.5省级根密钥作为各省道路运输电子证件地方应用的总密钥，由各省根据一定规则自行产生。通过省级根密钥可分散产生省级业务密钥、卡片控制密钥等。2.6省级业务密钥主要包括道路运输电子证件地方应用相关密钥，如年审管理写密钥，客运班车进站管理应用密钥等。路运输证、IC卡从业资格证。3密钥管理的安全要求3.1密钥生成密钥生成过程应保证所生成密钥的机密性、安全性、随机性，密钥生成过程应确保不可预测。在密钥生成时,应采取以下措施：a）密钥生成采用硬件加密的方式；b）传输密钥应采用不可重复的方式生成；c）密钥生成的环境应保证安全；d）密钥生成过程应严格按照安全的操作规程进行。3.2密钥的下发根据密钥的用途,业务密钥采用逐级下发的方式，即由上一级生成下一级所需的子密钥,并保存在密钥母卡及密钥传输控制卡中传递给下一级。3.3密钥存储密钥不能以明文方式存储在安全存储设备之外。可采取下列一项或多项措施防止存储密钥被篡改和非授权替换：a）从物理或逻辑上防止对密钥存储区的非授权访问；b）根据不同的使用目的将密钥加密后存储;c）确保不能同时知道明文数据及其密文数据。3.4密钥备份和篡改。密钥备份后的存储设备应采用多人分开保管的形式。118 JT/T 825.8—20123.5密钥恢复通过备份设备将密钥恢复到密钥系统安全设备中。密钥恢复应当经过授权,并严格遵循安全规章制度。3.6密钥更新当密钥的生命周期结束或系统的密