高速公路省級在線密鑰管理系統(tǒng)設計研究

張 華，吳壯松

(廣西交科集團有限公司，廣西 南寧 530007)

0 引言

2019年，全國高速公路取消省界收費站，大力推廣ETC，使ETC業(yè)務得到了前所未有的普及。同年初，交通運輸部開展了全國高速公路聯(lián)網(wǎng)電子不停車收費(ETC)系統(tǒng)國產(chǎn)密碼算法遷移改造工程(以下簡稱為國密改造)，要求各省下屬所有終端業(yè)務系統(tǒng)統(tǒng)一接入高速公路省級在線密鑰管理系統(tǒng)，并統(tǒng)一出口接入到部中心的在線密鑰管理與服務平臺，爭取早日實現(xiàn)高速公路密鑰體系國產(chǎn)化[1]。當前廣西在用的密鑰管理系統(tǒng)是2012年部署的高速公路ETC密鑰管理系統(tǒng)，該系統(tǒng)僅僅支持3DES算法，不支持SM4算法和密鑰的在線管理，為此，需重新設計一套高速公路省級在線密鑰管理系統(tǒng)，對上能夠安全、有效、穩(wěn)定地接入部級在線密鑰管理與服務平臺，對下能提供一套符合國密改造要求的API接口，供終端業(yè)務系統(tǒng)調(diào)用，實現(xiàn)由終端到省級，再由省級到部級的對接。

1 相關術語簡介

(1)3DES算法：也稱為Triple DES，是三重數(shù)據(jù)加密算法(TDEA，Triple Data Encryption Algorithm)塊密碼的通稱，稱之為國際算法[2]。

(2)SM4算法：是國家密碼局認定的國產(chǎn)密碼算法，是我國自主設計的分組對稱密碼算法，用于實現(xiàn)數(shù)據(jù)的加密/解密運算，以保證數(shù)據(jù)和信息的機密性。SM4算法的密鑰長度分組長度為128比特，在安全性上高于3DES算法[3]。

(3)終端業(yè)務系統(tǒng)：是省內(nèi)高速公路收費業(yè)務相關的系統(tǒng)，主要包括OBU/ETC發(fā)行系統(tǒng)、CPC卡發(fā)行系統(tǒng)、客服系統(tǒng)、車道收費系統(tǒng)、門架系統(tǒng)、APP應用、小程序以及銀行代理等第三方業(yè)務系統(tǒng)。

(4)OBU：車載單元，也叫車載電子標簽。

(5)ETC：電子不停車收費系統(tǒng)。

(6)PSAM：消費安全存取模塊。

2 系統(tǒng)需求簡介

根據(jù)交通運輸部技術要求，在原部省兩級密鑰體系的基礎上，對省內(nèi)各終端業(yè)務系統(tǒng)開放統(tǒng)一的API接口，實現(xiàn)終端業(yè)務系統(tǒng)到省級密鑰管理系統(tǒng)，再到部級在線密鑰管理與服務平臺的對接。因此系統(tǒng)需滿足以下三個方面的需求：

(1)對外統(tǒng)一出口。密鑰管理系統(tǒng)使用省級聚合接入服務器，通過專線網(wǎng)絡接入到部級在線密鑰管理與服務平臺，保證通信的安全性、有效性和穩(wěn)定性，滿足CA證書接入，國密SSL網(wǎng)關處理，應用握手和數(shù)據(jù)的加解密功能。

(2)對內(nèi)統(tǒng)一入口。根據(jù)國密業(yè)務功能，提供一套完整的、實時響應的在線API接口，供終端業(yè)務系統(tǒng)調(diào)用。提供的服務主要有：CPC卡、ETC用戶卡發(fā)行密鑰服務；單/雙片OBU發(fā)行密鑰服務；客服接口服務；在線充值接口服務；聯(lián)機消費接口服務；PSAM授權服務等。

(3)內(nèi)部具備密鑰管理功能。系統(tǒng)內(nèi)部實現(xiàn)管理員、角色、權限管理；操作日志管理；業(yè)務系統(tǒng)接入認證；訪問權限管理；PSAM卡出入庫管理等功能。

3 系統(tǒng)設計

3.1 總體架構(gòu)

國密改造工程涉及的系統(tǒng)由部級在線密鑰管理與服務平臺、省級在線密鑰管理系統(tǒng)以及終端業(yè)務系統(tǒng)組成。總體架構(gòu)如圖1所示。

圖1中，國密改造項目分為：部級、省級和終端三個層次。其中，省級在線密鑰管理系統(tǒng)采用B/S架構(gòu)部署，由以下三個部分組成：

圖1 在線密鑰管理系統(tǒng)架構(gòu)圖

(1)省級PSAM授權服務器。交通運輸部ITS中心專供服務器，集成了安全模塊和在線授權應用服務，提供高并發(fā)的PSAM授權服務，保證車道和ETC門架系統(tǒng)的收費業(yè)務不中斷，能為省級PSAM授權業(yè)務提供多重保障，減輕對部級在線密鑰平臺的依賴。

(2)省級聚合接入服務器。交通運輸部ITS中心專供服務器，也叫省級專用接入服務器，集成了行業(yè)CA證書、國密SSL、應用握手和加解密功能，兼具了省級接入前置系統(tǒng)、SSL網(wǎng)關、簽名驗簽服務器和加密機的作用。省級專用接入服務器利用線程連接池等支持高并發(fā)應用技術，調(diào)度和協(xié)調(diào)省級業(yè)務系統(tǒng)的大量業(yè)務請求，避免業(yè)務請求直接發(fā)送至部級在線密鑰平臺，從而導致帶寬被占用等異常情況。省級專用接入服務器采用雙層加密通信機制，在通信協(xié)議層使用國密SSL協(xié)議實現(xiàn)傳輸加密，在應用層采用標準PBOC三次握手機制實現(xiàn)終端認證，獲取會話令牌和會話密鑰，對業(yè)務數(shù)據(jù)進行硬件級加解密，從而保障了傳輸和數(shù)據(jù)安全。

(3)密鑰管理服務。作為各個終端業(yè)務系統(tǒng)和部級在線密鑰管理平臺交互的橋梁，統(tǒng)一各類業(yè)務交易的出入口，提供HTTPS/post接口，簽發(fā)CA證書給終端業(yè)務系統(tǒng)接入，實現(xiàn)各類交易統(tǒng)一管理，同時可在WEB端登錄密鑰管理系統(tǒng)，進行系統(tǒng)各項日常操作，實現(xiàn)人機交互的密鑰管理功能。

3.2 系統(tǒng)層次架構(gòu)

(1)省級在線密鑰管理系統(tǒng)的核心部件，主要由省級聚合接入服務器、省級PSAM授權服務器、數(shù)據(jù)庫以及提供給終端業(yè)務系統(tǒng)的接口API部件組成。

(2)終端業(yè)務系統(tǒng)調(diào)用省級在線密鑰管理系統(tǒng)提供的API，實現(xiàn)相關功能。

(3)省級在線密鑰管理系統(tǒng)接收到終端業(yè)務系統(tǒng)請求后，根據(jù)業(yè)務類型，轉(zhuǎn)發(fā)請求至聚合接入服務器，然后連接到部級在線密鑰平臺實現(xiàn)相關業(yè)務功能，或者轉(zhuǎn)發(fā)至省級PSAM授權服務器實現(xiàn)PSAM卡的授權功能。系統(tǒng)層次架構(gòu)如圖2所示。

圖2 系統(tǒng)層次架構(gòu)圖

3.3 設計思路

設計思路及處理流程采用業(yè)務與模塊分離、低耦合原則。分離后通過接口通信實現(xiàn)各模塊之間的交互，如圖3所示。

圖3 總體設計思路圖

3.4 功能設計

3.4.1 管理員、角色、菜單管理模塊

該模塊具備如下功能：

(1)實現(xiàn)用戶管理：對用戶進行增刪查改，同時賦予用戶某個角色，具有對應的權限。

(2)實現(xiàn)角色管理：初始化系統(tǒng)角色，并分配角色所擁有的權限，不可新增角色，不可修改角色所擁有的權限。

(3)實現(xiàn)菜單管理：初始化系統(tǒng)菜單、權限。擁有權限的用戶可操作對應的權限接口和頁面。

本模塊與其他模塊的接口主要為權限查詢接口，用于檢查該用戶是否具有某項權限的執(zhí)行能力。

3.4.2 系統(tǒng)配置、字典管理模塊

該模塊具備如下功能：

(1)實現(xiàn)系統(tǒng)配置管理：可對系統(tǒng)配置增刪查改。

(2)實現(xiàn)字典管理：實現(xiàn)字典的增刪查改。

本模塊與其他模塊的接口主要為動態(tài)加載配置。

3.4.3 操作日志管理模塊

主要實現(xiàn)用戶操作日志的管理，登記用戶操作日志，方便用戶實時查看，輔助問題跟蹤以及解決。本模塊與其他模塊的接口主要為調(diào)用日志記錄接口，登記用戶操作日志到數(shù)據(jù)庫表中。

3.4.4 業(yè)務系統(tǒng)認證管理模塊

業(yè)務系統(tǒng)認證管理模塊主要有以下五個功能：

(1)實現(xiàn)業(yè)務系統(tǒng)認證管理：可對業(yè)務系統(tǒng)增刪查改，同時賦予業(yè)務系統(tǒng)可訪問的接口模塊，具有對應接口的訪問權限。

(2)實現(xiàn)CA證書管理：賦予業(yè)務系統(tǒng)相關的CA證書，并提供證書認證、注銷、下載等功能。

(3)實現(xiàn)業(yè)務系統(tǒng)IP白名單管理：管理業(yè)務系統(tǒng)所在服務器對應的IP地址、對于需驗證的業(yè)務系統(tǒng)進行IP地址驗證。

(4)接口模塊管理：對接口模塊進行增刪查改管理，實現(xiàn)接口模塊所擁有的接口訪問權限。

(5)接口映射管理：實現(xiàn)接口映射的增刪改查管理。

本模塊與其他模塊的接口主要為權限查詢接口，用于檢查業(yè)務系統(tǒng)是否具有接口模塊對應接口的訪問能力，校驗接口訪問的合法性。

3.4.5 PSAM卡管理模塊

主要實現(xiàn)PSAM卡的出入庫、調(diào)撥、審批、回收等管理。本模塊與其他模塊的接口主要為調(diào)用IC卡讀寫器，讀寫PSAM卡信息。

4 關鍵業(yè)務流程

4.1 業(yè)務系統(tǒng)登記注冊

任何需要接入到省級在線密鑰管理系統(tǒng)的終端業(yè)務系統(tǒng)，均需在系統(tǒng)進行登記注冊，登記信息包括：系統(tǒng)名稱、聯(lián)系人信息、系統(tǒng)IP(白名單)、系統(tǒng)歸屬公司、申請調(diào)用的API接口功能模塊信息等。管理員在登記完這些信息后，生成CA證書、系統(tǒng)ID號以及系統(tǒng)密鑰信息，提供給終端業(yè)務系統(tǒng)，終端業(yè)務系統(tǒng)登記這些信息后，可以發(fā)起接入密鑰系統(tǒng)申請，接入驗證成功后即可調(diào)用對應的API接口服務實現(xiàn)對應的業(yè)務功能。

4.2 業(yè)務系統(tǒng)接入認證

終端業(yè)務系統(tǒng)與省級在線密鑰管理系統(tǒng)交互之前，應先根據(jù)自身業(yè)務情況向省級在線密鑰管理系統(tǒng)發(fā)起接入認證申請，省級在線密鑰管理系統(tǒng)在對終端業(yè)務系統(tǒng)鑒權通過后，會返回一個動態(tài)的工作密鑰，該密鑰可持續(xù)使用。終端業(yè)務系統(tǒng)在后續(xù)的請求中，使用該密鑰對報文請求字段進行SM4算法ECB模式加密，形成一個摘要信息，隨請求參數(shù)一起發(fā)送到省級在線密鑰管理系統(tǒng)，業(yè)務流程如圖4所示。

圖4 業(yè)務系統(tǒng)接入認證流程圖

4.3 業(yè)務系統(tǒng)調(diào)用API流程

終端業(yè)務系統(tǒng)申請接入密鑰管理系統(tǒng)成功后，即可發(fā)起請求調(diào)用密鑰系統(tǒng)提供的API接口，業(yè)務流程如圖5所示。

圖5 業(yè)務系統(tǒng)調(diào)用API流程圖

5 數(shù)據(jù)交互

數(shù)據(jù)交互主要是終端業(yè)務系統(tǒng)與省級密鑰管理系統(tǒng)的通信接口。

5.1 通信方式

(1)數(shù)據(jù)交互采用基于HTTPS的傳輸協(xié)議。

(2)傳輸?shù)臄?shù)據(jù)使用JSON格式進行表示。

(3)請求方式：POST/JSON。

(4)服務端統(tǒng)一下發(fā)CA證書給客戶端進行通信驗證。

(5)編碼方式：UTF-8。

5.2 數(shù)據(jù)安全

為保證數(shù)據(jù)安全，通過統(tǒng)一約定的SM4算法ECB模式對關鍵數(shù)據(jù)進行數(shù)字簽名，生成摘要信息，隨請求參數(shù)一起發(fā)送到省級在線密鑰管理系統(tǒng)，由服務端校驗，確保數(shù)據(jù)的安全性和完整性[4]。

6 結(jié)語

國密改造是交通運輸部的重點改造工程項目，全國各省、自治區(qū)、直轄市應大力配合。文章對省級在線密鑰管理系統(tǒng)進行了深入、系統(tǒng)化、多層次的研究，分析了系統(tǒng)的各個設計要素，出色完成了系統(tǒng)的設計工作。這套密鑰管理系統(tǒng)對高速公路國密改造的門架系統(tǒng)、車道收費系統(tǒng)、OBU/ETC發(fā)行系統(tǒng)、CPC卡發(fā)行等系統(tǒng)的正常運行起到了保駕護航的作用。