基于PKI的跨区域一卡通应用研究

　　【摘 要】文章对传统一卡通系统在跨区域应用时所面临的挑战进行分析，提出了基于移动认证PKI实现跨区域一卡通应用方案。该方案利用移动客户数字证书作为跨区域一卡通系统用户身份标记，可以有效解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。
　　【关键词】一卡通 PKI 身份认证 跨区域
　　1 引言
　　当前传统的一卡通市场发展相对成熟，用户已经习惯使用IC卡进行门禁、考勤、会员管理等应用。传统一卡通系统使用ID卡或IC卡，利用卡的物理ID或在卡上数据区域（扇区）写入用户ID，作为用户的身份ID，仅适合作为孤立的个体单位内部使用，不适合政府、大型企业、连锁酒店等客户的跨区域应用。
　　跨区域一卡通应用面临以下挑战：
　　（1）密钥管理问题：从安全性的角度而言，不同区域一卡通应用需要采用不同的应用密钥。而不同区域一卡通应用模式不完全一致，权限管理方式很难做到集中、垂直化管理，使得跨区域一卡通应用的密钥管理复杂。
　　（2）非特定对象问题：跨区域应用的客户对象通常并不确定。一般而言，本区域内部人员相对固定；但外来人员不确定。
　　（3）临时性问题：跨区域的一卡通应用通常时间较短，需要解决临时性授权问题。
　　（4）系统安全性问题：卡的挂失需要涉及多个区域的系统数据更新。
　　目前，通信运营商以CA为中心、以PKI（Public Key Infrastructure，公钥基础设施）体系为基础设施，发行具备内置移动客户数字证书的非接触卡或RFID-SIM卡，实现内部一卡通应用以及外部手机支付、电子票务公交一卡通等电子商务应用。
　　2 系统方案
　　2.1 系统框图
　　系统框图如图1所示。
　　系统包括以下功能实体：
　　（1）门禁感应器（考勤、消费机具）
　　1）读取用户PKI相关数据，发送给一卡通业务平台进行处理；
　　2）完成相应门禁、考勤、消费业务流程。
　　（2）一卡通业务平台
　　1）用户数据维护；
　　2）配合机具完成相应门禁、考勤、消费、来访管理业务流程；
　　3）离线用户身份认证；
　　4）在线用户身份认证；
　　5）证书同步。
　　（3）认证鉴权服务平台
　　1）对用户PKI数据进行验证；
　　2）与一卡通业务平台接口，实现证书同步。
　　2.2 业务流程
　　流程说明如下：
　　（1）用户在本区域一卡通应用流程

　　用户在本区域一卡通应用流程如图2所示。
　　1）读卡器产生随机数发送给通宝卡；
　　2）通宝卡对随机数进行数字签名，将签名后的数据发给读卡器；
　　3）读卡器将签名相关数据（UCID、签名）发送给一卡通业务平台，一卡通业务平台转发给认证鉴权服务平台；
　　4）认证鉴权服务平台对用户签名数据进行验证，返回错误或用户手机号码、用户证书给一卡通业务平台；
　　5）一卡通业务平台将用户的UCID作为用户内部身份信息写入相应的机具与应用数据库；
　　6）对于常规应用场合，用户使用UCID作为门禁、考勤、消费等应用的用户ID；
　　7）对高安全应用场合，一卡通业务平台使用用户证书对用户通宝卡进行本地离线验证或将相关数据（UCID、签名）转发给认证鉴权服务平台对用户身份进行认证。
　　（2）用户跨区域一卡通应用流程
　　用户跨区域一卡通应用流程如图3所示。
　　1）用户通过网络申请异地一卡通权限，一卡通业务平台以用户手机号码为标记，记录用户授权信息；
　　2）用户到达异地后，使用通宝卡进行刷卡；
　　3）读卡器产生随机数发送给通宝卡；
　　4）通宝卡对随机数进行数字签名，将签名后的数据发给读卡器；
　　5）读卡器将签名相关数据（UCID、签名）发送给一卡通业务平台，一卡通业务平台转发给认证鉴权服务平台；
　　6）认证鉴权服务平台对用户签名数据进行验证，返回错误或用户手机号码、用户证书给一卡通业务平台；
　　7）一卡通业务平台将用户的UCID作为用户内部身份信息，同时将时限信息写入相应的机具与应用数据库；
　　8）用户使用通宝卡进行异地一卡通应用（如门禁、消费、会议签到等）。
　　2.3 业务特点
　　利用PKI进行异地一卡通应用，可以较好地解决跨区域企业一卡通应用所面临的问题。
　　（1）由于用户的PKI是唯一数字身份标记，用户身份的合法性是后台通过PKI验证确定的，且与手机号码进行绑定。以手机号码作为索引，通过PKI验证过程，即可确认身份。因此对于跨区域应用，只需使用一张通宝卡即可。[论文网]
　　（2）对于密钥管理问题，PKI为非对称密钥体系，PKI数据验证通过认证鉴权服务平台或本地离线认证完成，门禁一卡通系统无需与卡共享密钥，从而解决了密钥管理问题。
　　（3）对于非特定对象的临时跨区域应用问题，可以通过用户手机号码作为索引，预先通过网站进行临时申请，异地一卡通后台根据用户的手机号码，与PKI验证数据进行比较，若在可授权范围内，即可将用户UCID作为异地一卡通系统授权数据，写入一卡通系统相应机具与后台。
　　将PKI应用于跨区域一卡通系统，只需增加用户认证模块，对原有企业一卡通系统无需做大的改造，即可实现用户使用一张卡同时在本地与异地进行一卡通应用的需求。系统实施的技术与商务门槛低。
　　3 结语
　　本文研究了利用移动认证PKI实现跨区域一卡通应用的方案。该方案将移动客户数字证书作为跨区域一卡通系统用户身份标记，通过离线或在线身份认证，来解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。可以较好地解决诸如大型企业、政府、连锁酒店等单位的跨区域一卡通应用需求，目前该研究方案已成功应用于某公司培训中心跨区域一卡通系统。
　　参考文献：
　　[1] QB-E-053-2009. 中国移动PKI系统总体技术要求[S]. 2010.
　　[2] QB-E-054-2009. 中国移动PKI系统业务规范[S]. 2010.
　　[3] QB-E-062-2009. 中国移动PKI系统（U）SIM卡证书管理技术规范[S]. 2010.