【摘 要】文章對傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時所面臨的挑戰(zhàn)進行分析，提出了基于移動認證PKI實現(xiàn)跨區(qū)域一卡通應(yīng)用方案。該方案利用移動客戶數(shù)字證書作為跨區(qū)域一卡通系統(tǒng)用戶身份標記，可以有效解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時由于解決非特定對象臨時跨區(qū)域使用問題而導致卡片應(yīng)用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲等問題。

【關(guān)鍵詞】一卡通 PKI 身份認證 跨區(qū)域

一、引言

當前傳統(tǒng)的一卡通市場發(fā)展相對成熟，用戶已經(jīng)習慣使用IC卡進行門禁、考勤、會員管理等應(yīng)用。傳統(tǒng)一卡通系統(tǒng)使用ID卡或IC卡，利用卡的物理ID或在卡上數(shù)據(jù)區(qū)域（扇區(qū)）寫入用戶ID，作為用戶的身份ID，僅適合作為孤立的個體單位內(nèi)部使用，不適合政府、大型企業(yè)、連鎖酒店等客戶的跨區(qū)域應(yīng)用。

跨區(qū)域一卡通應(yīng)用面臨以下挑戰(zhàn)：

（一）密鑰管理問題：從安全性的角度而言，不同區(qū)域一卡通應(yīng)用需要采用不同的應(yīng)用密鑰。而不同區(qū)域一卡通應(yīng)用模式不完全一致，權(quán)限管理方式很難做到集中、垂直化管理，使得跨區(qū)域一卡通應(yīng)用的密鑰管理復(fù)雜。

（二）非特定對象問題：跨區(qū)域應(yīng)用的客戶對象通常并不確定。一般而言，本區(qū)域內(nèi)部人員相對固定；但外來人員不確定。

（三）臨時性問題：跨區(qū)域的一卡通應(yīng)用通常時間較短，需要解決臨時性授權(quán)問題。

（四）系統(tǒng)安全性問題：卡的掛失需要涉及多個區(qū)域的系統(tǒng)數(shù)據(jù)更新。

目前，通信運營商以CA為中心、以PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）體系為基礎(chǔ)設(shè)施，發(fā)行具備內(nèi)置移動客戶數(shù)字證書的非接觸卡或RFID-SIM卡，實現(xiàn)內(nèi)部一卡通應(yīng)用以及外部手機支付、電子票務(wù)公交一卡通等電子商務(wù)應(yīng)用。

二、系統(tǒng)方案

（一）系統(tǒng)框

系統(tǒng)包括以下功能實體：

1.門禁感應(yīng)器（考勤、消費機具）

（1）讀取用戶PKI相關(guān)數(shù)據(jù)，發(fā)送給一卡通業(yè)務(wù)平臺進行處理；（2）完成相應(yīng)門禁、考勤、消費業(yè)務(wù)流程。

2.一卡通業(yè)務(wù)平臺

（1）用戶數(shù)據(jù)維護；（2）配合機具完成相應(yīng)門禁、考勤、消費、來訪管理業(yè)務(wù)流程；（3）離線用戶身份認證；（4）在線用戶身份認證；（5）證書同步。

3.認證鑒權(quán)服務(wù)平臺

（1）對用戶PKI數(shù)據(jù)進行驗證；（2）與一卡通業(yè)務(wù)平臺接口，實現(xiàn)證書同步。

（二）業(yè)務(wù)流程

流程說明如下：

1.用戶在本區(qū)域一卡通應(yīng)用流程

用戶在本區(qū)域一卡通應(yīng)用流程。

（1）讀卡器產(chǎn)生隨機數(shù)發(fā)送給通寶卡；（2）通寶卡對隨機數(shù)進行數(shù)字簽名，將簽名后的數(shù)據(jù)發(fā)給讀卡器；（3）讀卡器將簽名相關(guān)數(shù)據(jù)（UCID、簽名）發(fā)送給一卡通業(yè)務(wù)平臺，一卡通業(yè)務(wù)平臺轉(zhuǎn)發(fā)給認證鑒權(quán)服務(wù)平臺；（4）認證鑒權(quán)服務(wù)平臺對用戶簽名數(shù)據(jù)進行驗證，返回錯誤或用戶手機號碼、用戶證書給一卡通業(yè)務(wù)平臺；（5）一卡通業(yè)務(wù)平臺將用戶的UCID作為用戶內(nèi)部身份信息寫入相應(yīng)的機具與應(yīng)用數(shù)據(jù)庫；（6）對于常規(guī)應(yīng)用場合，用戶使用UCID作為門禁、考勤、消費等應(yīng)用的用戶ID；（7）對高安全應(yīng)用場合，一卡通業(yè)務(wù)平臺使用用戶證書對用戶通寶卡進行本地離線驗證或?qū)⑾嚓P(guān)數(shù)據(jù)（UCID、簽名）轉(zhuǎn)發(fā)給認證鑒權(quán)服務(wù)平臺對用戶身份進行認證。

2.用戶跨區(qū)域一卡通應(yīng)用流程

用戶跨區(qū)域一卡通應(yīng)用流程。

（1）用戶通過網(wǎng)絡(luò)申請異地一卡通權(quán)限，一卡通業(yè)務(wù)平臺以用戶手機號碼為標記，記錄用戶授權(quán)信息；（2）用戶到達異地后，使用通寶卡進行刷卡；（3）讀卡器產(chǎn)生隨機數(shù)發(fā)送給通寶卡；（4）通寶卡對隨機數(shù)進行數(shù)字簽名，將簽名后的數(shù)據(jù)發(fā)給讀卡器；（5）讀卡器將簽名相關(guān)數(shù)據(jù)（UCID、簽名）發(fā)送給一卡通業(yè)務(wù)平臺，一卡通業(yè)務(wù)平臺轉(zhuǎn)發(fā)給認證鑒權(quán)服務(wù)平臺；（6）認證鑒權(quán)服務(wù)平臺對用戶簽名數(shù)據(jù)進行驗證，返回錯誤或用戶手機號碼、用戶證書給一卡通業(yè)務(wù)平臺；（7）一卡通業(yè)務(wù)平臺將用戶的UCID作為用戶內(nèi)部身份信息，同時將時限信息寫入相應(yīng)的機具與應(yīng)用數(shù)據(jù)庫；（8）用戶使用通寶卡進行異地一卡通應(yīng)用（如門禁、消費、會議簽到等）。

（三）業(yè)務(wù)特點

利用PKI進行異地一卡通應(yīng)用，可以較好地解決跨區(qū)域企業(yè)一卡通應(yīng)用所面臨的問題。

1.由于用戶的PKI是唯一數(shù)字身份標記，用戶身份的合法性是后臺通過PKI驗證確定的，且與手機號碼進行綁定。以手機號碼作為索引，通過PKI驗證過程，即可確認身份。因此對于跨區(qū)域應(yīng)用，只需使用一張通寶卡即可。[論文網(wǎng)]

2.對于密鑰管理問題，PKI為非對稱密鑰體系，PKI數(shù)據(jù)驗證通過認證鑒權(quán)服務(wù)平臺或本地離線認證完成，門禁一卡通系統(tǒng)無需與卡共享密鑰，從而解決了密鑰管理問題。

3.對于非特定對象的臨時跨區(qū)域應(yīng)用問題，可以通過用戶手機號碼作為索引，預(yù)先通過網(wǎng)站進行臨時申請，異地一卡通后臺根據(jù)用戶的手機號碼，與PKI驗證數(shù)據(jù)進行比較，若在可授權(quán)范圍內(nèi)，即可將用戶UCID作為異地一卡通系統(tǒng)授權(quán)數(shù)據(jù)，寫入一卡通系統(tǒng)相應(yīng)機具與后臺。

將PKI應(yīng)用于跨區(qū)域一卡通系統(tǒng)，只需增加用戶認證模塊，對原有企業(yè)一卡通系統(tǒng)無需做大的改造，即可實現(xiàn)用戶使用一張卡同時在本地與異地進行一卡通應(yīng)用的需求。系統(tǒng)實施的技術(shù)與商務(wù)門檻低。

三、結(jié)語

本文研究了利用移動認證PKI實現(xiàn)跨區(qū)域一卡通應(yīng)用的方案。該方案將移動客戶數(shù)字證書作為跨區(qū)域一卡通系統(tǒng)用戶身份標記，通過離線或在線身份認證，來解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應(yīng)用時由于解決非特定對象臨時跨區(qū)域使用問題而導致卡片應(yīng)用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲等問題。可以較好地解決諸如大型企業(yè)、政府、連鎖酒店等單位的跨區(qū)域一卡通應(yīng)用需求，目前該研究方案已成功應(yīng)用于某公司培訓中心跨區(qū)域一卡通系統(tǒng)。

參考文獻：

[1]QB-E-053-2009.中國移動PKI系統(tǒng)總體技術(shù)要求[S]. 2010.

[2]QB-E-054-2009.中國移動PKI系統(tǒng)業(yè)務(wù)規(guī)范[S]. 2010.

[3]QB-E-062-2009. 中國移動PKI系統(tǒng)（U）SIM卡證書管理技術(shù)規(guī)范[S]. 2010.