張 華，吳壯松

(廣西交科集團(tuán)有限公司，廣西 南寧 530007)

0 引言

2019年，全國高速公路取消省界收費(fèi)站，大力推廣ETC，使ETC業(yè)務(wù)得到了前所未有的普及。同年初，交通運(yùn)輸部開展了全國高速公路聯(lián)網(wǎng)電子不停車收費(fèi)(ETC)系統(tǒng)國產(chǎn)密碼算法遷移改造工程(以下簡稱為國密改造)，要求各省下屬所有終端業(yè)務(wù)系統(tǒng)統(tǒng)一接入高速公路省級在線密鑰管理系統(tǒng)，并統(tǒng)一出口接入到部中心的在線密鑰管理與服務(wù)平臺，爭取早日實(shí)現(xiàn)高速公路密鑰體系國產(chǎn)化[1]。當(dāng)前廣西在用的密鑰管理系統(tǒng)是2012年部署的高速公路ETC密鑰管理系統(tǒng)，該系統(tǒng)僅僅支持3DES算法，不支持SM4算法和密鑰的在線管理，為此，需重新設(shè)計(jì)一套高速公路省級在線密鑰管理系統(tǒng)，對上能夠安全、有效、穩(wěn)定地接入部級在線密鑰管理與服務(wù)平臺，對下能提供一套符合國密改造要求的API接口，供終端業(yè)務(wù)系統(tǒng)調(diào)用，實(shí)現(xiàn)由終端到省級，再由省級到部級的對接。

1 相關(guān)術(shù)語簡介

(1)3DES算法：也稱為Triple DES，是三重?cái)?shù)據(jù)加密算法(TDEA，Triple Data Encryption Algorithm)塊密碼的通稱，稱之為國際算法[2]。

(2)SM4算法：是國家密碼局認(rèn)定的國產(chǎn)密碼算法，是我國自主設(shè)計(jì)的分組對稱密碼算法，用于實(shí)現(xiàn)數(shù)據(jù)的加密/解密運(yùn)算，以保證數(shù)據(jù)和信息的機(jī)密性。SM4算法的密鑰長度分組長度為128比特，在安全性上高于3DES算法[3]。

(3)終端業(yè)務(wù)系統(tǒng)：是省內(nèi)高速公路收費(fèi)業(yè)務(wù)相關(guān)的系統(tǒng)，主要包括OBU/ETC發(fā)行系統(tǒng)、CPC卡發(fā)行系統(tǒng)、客服系統(tǒng)、車道收費(fèi)系統(tǒng)、門架系統(tǒng)、APP應(yīng)用、小程序以及銀行代理等第三方業(yè)務(wù)系統(tǒng)。

(4)OBU：車載單元，也叫車載電子標(biāo)簽。

(5)ETC：電子不停車收費(fèi)系統(tǒng)。

(6)PSAM：消費(fèi)安全存取模塊。

2 系統(tǒng)需求簡介

根據(jù)交通運(yùn)輸部技術(shù)要求，在原部省兩級密鑰體系的基礎(chǔ)上，對省內(nèi)各終端業(yè)務(wù)系統(tǒng)開放統(tǒng)一的API接口，實(shí)現(xiàn)終端業(yè)務(wù)系統(tǒng)到省級密鑰管理系統(tǒng)，再到部級在線密鑰管理與服務(wù)平臺的對接。因此系統(tǒng)需滿足以下三個(gè)方面的需求：

(1)對外統(tǒng)一出口。密鑰管理系統(tǒng)使用省級聚合接入服務(wù)器，通過專線網(wǎng)絡(luò)接入到部級在線密鑰管理與服務(wù)平臺，保證通信的安全性、有效性和穩(wěn)定性，滿足CA證書接入，國密SSL網(wǎng)關(guān)處理，應(yīng)用握手和數(shù)據(jù)的加解密功能。

(2)對內(nèi)統(tǒng)一入口。根據(jù)國密業(yè)務(wù)功能，提供一套完整的、實(shí)時(shí)響應(yīng)的在線API接口，供終端業(yè)務(wù)系統(tǒng)調(diào)用。提供的服務(wù)主要有：CPC卡、ETC用戶卡發(fā)行密鑰服務(wù)；單/雙片OBU發(fā)行密鑰服務(wù)；客服接口服務(wù)；在線充值接口服務(wù)；聯(lián)機(jī)消費(fèi)接口服務(wù)；PSAM授權(quán)服務(wù)等。

(3)內(nèi)部具備密鑰管理功能。系統(tǒng)內(nèi)部實(shí)現(xiàn)管理員、角色、權(quán)限管理；操作日志管理；業(yè)務(wù)系統(tǒng)接入認(rèn)證；訪問權(quán)限管理；PSAM卡出入庫管理等功能。

3 系統(tǒng)設(shè)計(jì)

3.1 總體架構(gòu)

國密改造工程涉及的系統(tǒng)由部級在線密鑰管理與服務(wù)平臺、省級在線密鑰管理系統(tǒng)以及終端業(yè)務(wù)系統(tǒng)組成?？傮w架構(gòu)如圖1所示。

圖1中，國密改造項(xiàng)目分為：部級、省級和終端三個(gè)層次。其中，省級在線密鑰管理系統(tǒng)采用B/S架構(gòu)部署，由以下三個(gè)部分組成：

圖1 在線密鑰管理系統(tǒng)架構(gòu)圖

(1)省級PSAM授權(quán)服務(wù)器。交通運(yùn)輸部ITS中心專供服務(wù)器，集成了安全模塊和在線授權(quán)應(yīng)用服務(wù)，提供高并發(fā)的PSAM授權(quán)服務(wù)，保證車道和ETC門架系統(tǒng)的收費(fèi)業(yè)務(wù)不中斷，能為省級PSAM授權(quán)業(yè)務(wù)提供多重保障，減輕對部級在線密鑰平臺的依賴。

(2)省級聚合接入服務(wù)器。交通運(yùn)輸部ITS中心專供服務(wù)器，也叫省級專用接入服務(wù)器，集成了行業(yè)CA證書、國密SSL、應(yīng)用握手和加解密功能，兼具了省級接入前置系統(tǒng)、SSL網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器和加密機(jī)的作用。省級專用接入服務(wù)器利用線程連接池等支持高并發(fā)應(yīng)用技術(shù)，調(diào)度和協(xié)調(diào)省級業(yè)務(wù)系統(tǒng)的大量業(yè)務(wù)請求，避免業(yè)務(wù)請求直接發(fā)送至部級在線密鑰平臺，從而導(dǎo)致帶寬被占用等異常情況。省級專用接入服務(wù)器采用雙層加密通信機(jī)制，在通信協(xié)議層使用國密SSL協(xié)議實(shí)現(xiàn)傳輸加密，在應(yīng)用層采用標(biāo)準(zhǔn)PBOC三次握手機(jī)制實(shí)現(xiàn)終端認(rèn)證，獲取會話令牌和會話密鑰，對業(yè)務(wù)數(shù)據(jù)進(jìn)行硬件級加解密，從而保障了傳輸和數(shù)據(jù)安全。

(3)密鑰管理服務(wù)。作為各個(gè)終端業(yè)務(wù)系統(tǒng)和部級在線密鑰管理平臺交互的橋梁，統(tǒng)一各類業(yè)務(wù)交易的出入口，提供HTTPS/post接口，簽發(fā)CA證書給終端業(yè)務(wù)系統(tǒng)接入，實(shí)現(xiàn)各類交易統(tǒng)一管理，同時(shí)可在WEB端登錄密鑰管理系統(tǒng)，進(jìn)行系統(tǒng)各項(xiàng)日常操作，實(shí)現(xiàn)人機(jī)交互的密鑰管理功能。

3.2 系統(tǒng)層次架構(gòu)

(1)省級在線密鑰管理系統(tǒng)的核心部件，主要由省級聚合接入服務(wù)器、省級PSAM授權(quán)服務(wù)器、數(shù)據(jù)庫以及提供給終端業(yè)務(wù)系統(tǒng)的接口API部件組成。

(2)終端業(yè)務(wù)系統(tǒng)調(diào)用省級在線密鑰管理系統(tǒng)提供的API，實(shí)現(xiàn)相關(guān)功能。

(3)省級在線密鑰管理系統(tǒng)接收到終端業(yè)務(wù)系統(tǒng)請求后，根據(jù)業(yè)務(wù)類型，轉(zhuǎn)發(fā)請求至聚合接入服務(wù)器，然后連接到部級在線密鑰平臺實(shí)現(xiàn)相關(guān)業(yè)務(wù)功能，或者轉(zhuǎn)發(fā)至省級PSAM授權(quán)服務(wù)器實(shí)現(xiàn)PSAM卡的授權(quán)功能。系統(tǒng)層次架構(gòu)如圖2所示。

圖2 系統(tǒng)層次架構(gòu)圖

3.3 設(shè)計(jì)思路

設(shè)計(jì)思路及處理流程采用業(yè)務(wù)與模塊分離、低耦合原則。分離后通過接口通信實(shí)現(xiàn)各模塊之間的交互，如圖3所示。

圖3 總體設(shè)計(jì)思路圖

3.4 功能設(shè)計(jì)

3.4.1 管理員、角色、菜單管理模塊

該模塊具備如下功能：

(1)實(shí)現(xiàn)用戶管理：對用戶進(jìn)行增刪查改，同時(shí)賦予用戶某個(gè)角色，具有對應(yīng)的權(quán)限。

(2)實(shí)現(xiàn)角色管理：初始化系統(tǒng)角色，并分配角色所擁有的權(quán)限，不可新增角色，不可修改角色所擁有的權(quán)限。

(3)實(shí)現(xiàn)菜單管理：初始化系統(tǒng)菜單、權(quán)限。擁有權(quán)限的用戶可操作對應(yīng)的權(quán)限接口和頁面。

本模塊與其他模塊的接口主要為權(quán)限查詢接口，用于檢查該用戶是否具有某項(xiàng)權(quán)限的執(zhí)行能力。

3.4.2 系統(tǒng)配置、字典管理模塊

該模塊具備如下功能：

(1)實(shí)現(xiàn)系統(tǒng)配置管理：可對系統(tǒng)配置增刪查改。

(2)實(shí)現(xiàn)字典管理：實(shí)現(xiàn)字典的增刪查改。

本模塊與其他模塊的接口主要為動(dòng)態(tài)加載配置。

3.4.3 操作日志管理模塊

主要實(shí)現(xiàn)用戶操作日志的管理，登記用戶操作日志，方便用戶實(shí)時(shí)查看，輔助問題跟蹤以及解決。本模塊與其他模塊的接口主要為調(diào)用日志記錄接口，登記用戶操作日志到數(shù)據(jù)庫表中。

3.4.4 業(yè)務(wù)系統(tǒng)認(rèn)證管理模塊

業(yè)務(wù)系統(tǒng)認(rèn)證管理模塊主要有以下五個(gè)功能：

(1)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)認(rèn)證管理：可對業(yè)務(wù)系統(tǒng)增刪查改，同時(shí)賦予業(yè)務(wù)系統(tǒng)可訪問的接口模塊，具有對應(yīng)接口的訪問權(quán)限。

(2)實(shí)現(xiàn)CA證書管理：賦予業(yè)務(wù)系統(tǒng)相關(guān)的CA證書，并提供證書認(rèn)證、注銷、下載等功能。

(3)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)IP白名單管理：管理業(yè)務(wù)系統(tǒng)所在服務(wù)器對應(yīng)的IP地址、對于需驗(yàn)證的業(yè)務(wù)系統(tǒng)進(jìn)行IP地址驗(yàn)證。

(4)接口模塊管理：對接口模塊進(jìn)行增刪查改管理，實(shí)現(xiàn)接口模塊所擁有的接口訪問權(quán)限。

(5)接口映射管理：實(shí)現(xiàn)接口映射的增刪改查管理。

本模塊與其他模塊的接口主要為權(quán)限查詢接口，用于檢查業(yè)務(wù)系統(tǒng)是否具有接口模塊對應(yīng)接口的訪問能力，校驗(yàn)接口訪問的合法性。

3.4.5 PSAM卡管理模塊

主要實(shí)現(xiàn)PSAM卡的出入庫、調(diào)撥、審批、回收等管理。本模塊與其他模塊的接口主要為調(diào)用IC卡讀寫器，讀寫PSAM卡信息。

4 關(guān)鍵業(yè)務(wù)流程

4.1 業(yè)務(wù)系統(tǒng)登記注冊

任何需要接入到省級在線密鑰管理系統(tǒng)的終端業(yè)務(wù)系統(tǒng)，均需在系統(tǒng)進(jìn)行登記注冊，登記信息包括：系統(tǒng)名稱、聯(lián)系人信息、系統(tǒng)IP(白名單)、系統(tǒng)歸屬公司、申請調(diào)用的API接口功能模塊信息等。管理員在登記完這些信息后，生成CA證書、系統(tǒng)ID號以及系統(tǒng)密鑰信息，提供給終端業(yè)務(wù)系統(tǒng)，終端業(yè)務(wù)系統(tǒng)登記這些信息后，可以發(fā)起接入密鑰系統(tǒng)申請，接入驗(yàn)證成功后即可調(diào)用對應(yīng)的API接口服務(wù)實(shí)現(xiàn)對應(yīng)的業(yè)務(wù)功能。

4.2 業(yè)務(wù)系統(tǒng)接入認(rèn)證

終端業(yè)務(wù)系統(tǒng)與省級在線密鑰管理系統(tǒng)交互之前，應(yīng)先根據(jù)自身業(yè)務(wù)情況向省級在線密鑰管理系統(tǒng)發(fā)起接入認(rèn)證申請，省級在線密鑰管理系統(tǒng)在對終端業(yè)務(wù)系統(tǒng)鑒權(quán)通過后，會返回一個(gè)動(dòng)態(tài)的工作密鑰，該密鑰可持續(xù)使用。終端業(yè)務(wù)系統(tǒng)在后續(xù)的請求中，使用該密鑰對報(bào)文請求字段進(jìn)行SM4算法ECB模式加密，形成一個(gè)摘要信息，隨請求參數(shù)一起發(fā)送到省級在線密鑰管理系統(tǒng)，業(yè)務(wù)流程如圖4所示。

圖4 業(yè)務(wù)系統(tǒng)接入認(rèn)證流程圖

4.3 業(yè)務(wù)系統(tǒng)調(diào)用API流程

終端業(yè)務(wù)系統(tǒng)申請接入密鑰管理系統(tǒng)成功后，即可發(fā)起請求調(diào)用密鑰系統(tǒng)提供的API接口，業(yè)務(wù)流程如圖5所示。

圖5 業(yè)務(wù)系統(tǒng)調(diào)用API流程圖

5 數(shù)據(jù)交互

數(shù)據(jù)交互主要是終端業(yè)務(wù)系統(tǒng)與省級密鑰管理系統(tǒng)的通信接口。

5.1 通信方式

(1)數(shù)據(jù)交互采用基于HTTPS的傳輸協(xié)議。

(2)傳輸?shù)臄?shù)據(jù)使用JSON格式進(jìn)行表示。

(3)請求方式：POST/JSON。

(4)服務(wù)端統(tǒng)一下發(fā)CA證書給客戶端進(jìn)行通信驗(yàn)證。

(5)編碼方式：UTF-8。

5.2 數(shù)據(jù)安全

為保證數(shù)據(jù)安全，通過統(tǒng)一約定的SM4算法ECB模式對關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)字簽名，生成摘要信息，隨請求參數(shù)一起發(fā)送到省級在線密鑰管理系統(tǒng)，由服務(wù)端校驗(yàn)，確保數(shù)據(jù)的安全性和完整性[4]。

6 結(jié)語

國密改造是交通運(yùn)輸部的重點(diǎn)改造工程項(xiàng)目，全國各省、自治區(qū)、直轄市應(yīng)大力配合。文章對省級在線密鑰管理系統(tǒng)進(jìn)行了深入、系統(tǒng)化、多層次的研究，分析了系統(tǒng)的各個(gè)設(shè)計(jì)要素，出色完成了系統(tǒng)的設(shè)計(jì)工作。這套密鑰管理系統(tǒng)對高速公路國密改造的門架系統(tǒng)、車道收費(fèi)系統(tǒng)、OBU/ETC發(fā)行系統(tǒng)、CPC卡發(fā)行等系統(tǒng)的正常運(yùn)行起到了保駕護(hù)航的作用。