【摘 要】文章對(duì)傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時(shí)所面臨的挑戰(zhàn)進(jìn)行分析，提出了基于移動(dòng)認(rèn)證PKI實(shí)現(xiàn)跨區(qū)域一卡通應(yīng)用方案。該方案利用移動(dòng)客戶數(shù)字證書(shū)作為跨區(qū)域一卡通系統(tǒng)用戶身份標(biāo)記，可以有效解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時(shí)由于解決非特定對(duì)象臨時(shí)跨區(qū)域使用問(wèn)題而導(dǎo)致卡片應(yīng)用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲(chǔ)等問(wèn)題。

　　【關(guān)鍵詞】一卡通 PKI 身份認(rèn)證 跨區(qū)域

　　1 引言

　　當(dāng)前傳統(tǒng)的一卡通市場(chǎng)發(fā)展相對(duì)成熟，用戶已經(jīng)習(xí)慣使用IC卡進(jìn)行門(mén)禁、考勤、會(huì)員管理等應(yīng)用。傳統(tǒng)一卡通系統(tǒng)使用ID卡或IC卡，利用卡的物理ID或在卡上數(shù)據(jù)區(qū)域(扇區(qū))寫(xiě)入用戶ID，作為用戶的身份ID，僅適合作為孤立的個(gè)體單位內(nèi)部使用，不適合政府、大型企業(yè)、連鎖酒店等客戶的跨區(qū)域應(yīng)用。

　　跨區(qū)域一卡通應(yīng)用面臨以下挑戰(zhàn)：

　　(1)密鑰管理問(wèn)題：從安全性的角度而言，不同區(qū)域一卡通應(yīng)用需要采用不同的應(yīng)用密鑰。而不同區(qū)域一卡通應(yīng)用模式不完全一致，權(quán)限管理方式很難做到集中、垂直化管理，使得跨區(qū)域一卡通應(yīng)用的密鑰管理復(fù)雜。

　　(2)非特定對(duì)象問(wèn)題：跨區(qū)域應(yīng)用的客戶對(duì)象通常并不確定。一般而言，本區(qū)域內(nèi)部人員相對(duì)固定;但外來(lái)人員不確定。

　　(3)臨時(shí)性問(wèn)題：跨區(qū)域的一卡通應(yīng)用通常時(shí)間較短，需要解決臨時(shí)性授權(quán)問(wèn)題。

　　(4)系統(tǒng)安全性問(wèn)題：卡的掛失需要涉及多個(gè)區(qū)域的系統(tǒng)數(shù)據(jù)更新。

　　目前，通信運(yùn)營(yíng)商以CA為中心、以PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)體系為基礎(chǔ)設(shè)施，發(fā)行具備內(nèi)置移動(dòng)客戶數(shù)字證書(shū)的非接觸卡或RFID-SIM卡，實(shí)現(xiàn)內(nèi)部一卡通應(yīng)用以及外部手機(jī)支付、電子票務(wù)公交一卡通等電子商務(wù)應(yīng)用。

　　2 系統(tǒng)方案

　　2.1 系統(tǒng)框圖

　　系統(tǒng)框圖如圖1所示。

　　系統(tǒng)包括以下功能實(shí)體：

　　(1)門(mén)禁感應(yīng)器(考勤、消費(fèi)機(jī)具)

　　1)讀取用戶PKI相關(guān)數(shù)據(jù)，發(fā)送給一卡通業(yè)務(wù)平臺(tái)進(jìn)行處理;

　　2)完成相應(yīng)門(mén)禁、考勤、消費(fèi)業(yè)務(wù)流程。

　　(2)一卡通業(yè)務(wù)平臺(tái)

　　1)用戶數(shù)據(jù)維護(hù);

　　2)配合機(jī)具完成相應(yīng)門(mén)禁、考勤、消費(fèi)、來(lái)訪管理業(yè)務(wù)流程;

　　3)離線用戶身份認(rèn)證;

　　4)在線用戶身份認(rèn)證;

　　5)證書(shū)同步。

　　(3)認(rèn)證鑒權(quán)服務(wù)平臺(tái)

　　1)對(duì)用戶PKI數(shù)據(jù)進(jìn)行驗(yàn)證;

　　2)與一卡通業(yè)務(wù)平臺(tái)接口，實(shí)現(xiàn)證書(shū)同步。

　　2.2 業(yè)務(wù)流程

　　流程說(shuō)明如下：

　　(1)用戶在本區(qū)域一卡通應(yīng)用流程

　　用戶在本區(qū)域一卡通應(yīng)用流程如圖2所示。

　　1)讀卡器產(chǎn)生隨機(jī)數(shù)發(fā)送給通寶卡;

　　2)通寶卡對(duì)隨機(jī)數(shù)進(jìn)行數(shù)字簽名，將簽名后的數(shù)據(jù)發(fā)給讀卡器;

　　3)讀卡器將簽名相關(guān)數(shù)據(jù)(UCID、簽名)發(fā)送給一卡通業(yè)務(wù)平臺(tái)，一卡通業(yè)務(wù)平臺(tái)轉(zhuǎn)發(fā)給認(rèn)證鑒權(quán)服務(wù)平臺(tái);

　　4)認(rèn)證鑒權(quán)服務(wù)平臺(tái)對(duì)用戶簽名數(shù)據(jù)進(jìn)行驗(yàn)證，返回錯(cuò)誤或用戶手機(jī)號(hào)碼、用戶證書(shū)給一卡通業(yè)務(wù)平臺(tái);

　　5)一卡通業(yè)務(wù)平臺(tái)將用戶的UCID作為用戶內(nèi)部身份信息寫(xiě)入相應(yīng)的機(jī)具與應(yīng)用數(shù)據(jù)庫(kù);

　　6)對(duì)于常規(guī)應(yīng)用場(chǎng)合，用戶使用UCID作為門(mén)禁、考勤、消費(fèi)等應(yīng)用的用戶ID;

　　7)對(duì)高安全應(yīng)用場(chǎng)合，一卡通業(yè)務(wù)平臺(tái)使用用戶證書(shū)對(duì)用戶通寶卡進(jìn)行本地離線驗(yàn)證或?qū)⑾嚓P(guān)數(shù)據(jù)(UCID、簽名)轉(zhuǎn)發(fā)給認(rèn)證鑒權(quán)服務(wù)平臺(tái)對(duì)用戶身份進(jìn)行認(rèn)證。

　　(2)用戶跨區(qū)域一卡通應(yīng)用流程

　　用戶跨區(qū)域一卡通應(yīng)用流程如圖3所示。

　　1)用戶通過(guò)網(wǎng)絡(luò)申請(qǐng)異地一卡通權(quán)限，一卡通業(yè)務(wù)平臺(tái)以用戶手機(jī)號(hào)碼為標(biāo)記，記錄用戶授權(quán)信息;

　　2)用戶到達(dá)異地后，使用通寶卡進(jìn)行刷卡;

　　3)讀卡器產(chǎn)生隨機(jī)數(shù)發(fā)送給通寶卡;

　　4)通寶卡對(duì)隨機(jī)數(shù)進(jìn)行數(shù)字簽名，將簽名后的數(shù)據(jù)發(fā)給讀卡器;

　　5)讀卡器將簽名相關(guān)數(shù)據(jù)(UCID、簽名)發(fā)送給一卡通業(yè)務(wù)平臺(tái)，一卡通業(yè)務(wù)平臺(tái)轉(zhuǎn)發(fā)給認(rèn)證鑒權(quán)服務(wù)平臺(tái);

　　6)認(rèn)證鑒權(quán)服務(wù)平臺(tái)對(duì)用戶簽名數(shù)據(jù)進(jìn)行驗(yàn)證，返回錯(cuò)誤或用戶手機(jī)號(hào)碼、用戶證書(shū)給一卡通業(yè)務(wù)平臺(tái);

　　7)一卡通業(yè)務(wù)平臺(tái)將用戶的UCID作為用戶內(nèi)部身份信息，同時(shí)將時(shí)限信息寫(xiě)入相應(yīng)的機(jī)具與應(yīng)用數(shù)據(jù)庫(kù);

　　8)用戶使用通寶卡進(jìn)行異地一卡通應(yīng)用(如門(mén)禁、消費(fèi)、會(huì)議簽到等)。

　　2.3 業(yè)務(wù)特點(diǎn)

　　利用PKI進(jìn)行異地一卡通應(yīng)用，可以較好地解決跨區(qū)域企業(yè)一卡通應(yīng)用所面臨的問(wèn)題。

　　(1)由于用戶的PKI是唯一數(shù)字身份標(biāo)記，用戶身份的合法性是后臺(tái)通過(guò)PKI驗(yàn)證確定的，且與手機(jī)號(hào)碼進(jìn)行綁定。以手機(jī)號(hào)碼作為索引，通過(guò)PKI驗(yàn)證過(guò)程，即可確認(rèn)身份。因此對(duì)于跨區(qū)域應(yīng)用，只需使用一張通寶卡即可。[論文網(wǎng)]

　　(2)對(duì)于密鑰管理問(wèn)題，PKI為非對(duì)稱(chēng)密鑰體系，PKI數(shù)據(jù)驗(yàn)證通過(guò)認(rèn)證鑒權(quán)服務(wù)平臺(tái)或本地離線認(rèn)證完成，門(mén)禁一卡通系統(tǒng)無(wú)需與卡共享密鑰，從而解決了密鑰管理問(wèn)題。

　　(3)對(duì)于非特定對(duì)象的臨時(shí)跨區(qū)域應(yīng)用問(wèn)題，可以通過(guò)用戶手機(jī)號(hào)碼作為索引，預(yù)先通過(guò)網(wǎng)站進(jìn)行臨時(shí)申請(qǐng)，異地一卡通后臺(tái)根據(jù)用戶的手機(jī)號(hào)碼，與PKI驗(yàn)證數(shù)據(jù)進(jìn)行比較，若在可授權(quán)范圍內(nèi)，即可將用戶UCID作為異地一卡通系統(tǒng)授權(quán)數(shù)據(jù)，寫(xiě)入一卡通系統(tǒng)相應(yīng)機(jī)具與后臺(tái)。

　　將PKI應(yīng)用于跨區(qū)域一卡通系統(tǒng)，只需增加用戶認(rèn)證模塊，對(duì)原有企業(yè)一卡通系統(tǒng)無(wú)需做大的改造，即可實(shí)現(xiàn)用戶使用一張卡同時(shí)在本地與異地進(jìn)行一卡通應(yīng)用的需求。系統(tǒng)實(shí)施的技術(shù)與商務(wù)門(mén)檻低。

　　3 結(jié)語(yǔ)

　　本文研究了利用移動(dòng)認(rèn)證PKI實(shí)現(xiàn)跨區(qū)域一卡通應(yīng)用的方案。該方案將移動(dòng)客戶數(shù)字證書(shū)作為跨區(qū)域一卡通系統(tǒng)用戶身份標(biāo)記，通過(guò)離線或在線身份認(rèn)證，來(lái)解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時(shí)由于解決非特定對(duì)象臨時(shí)跨區(qū)域使用問(wèn)題而導(dǎo)致卡片應(yīng)用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲(chǔ)等問(wèn)題。可以較好地解決諸如大型企業(yè)、政府、連鎖酒店等單位的跨區(qū)域一卡通應(yīng)用需求，目前該研究方案已成功應(yīng)用于某公司培訓(xùn)中心跨區(qū)域一卡通系統(tǒng)。

　　參考文獻(xiàn)：

　　[1] QB-E-053-2009. 中國(guó)移動(dòng)PKI系統(tǒng)總體技術(shù)要求[S]. 2010.

　　[2] QB-E-054-2009. 中國(guó)移動(dòng)PKI系統(tǒng)業(yè)務(wù)規(guī)范[S]. 2010.

　　[3] QB-E-062-2009. 中國(guó)移動(dòng)PKI系統(tǒng)(U)SIM卡證書(shū)管理技術(shù)規(guī)范[S]. 2010.