城市一卡通系統建設方案簡介

問題提出

隨著城市一卡通應用的蓬勃展開，一卡通應用在越來越多的行業、越來越多的地方得到應用，城市一卡通卡的擁有量和使用率正不斷攀升，呈現出令人振奮的發展前景。

方便快捷的充值是提高一卡通應用的前提。因此，迅速開辟大量的人工充值點，方便市民進行充值，為市民提供“貼身式”的服務，已成為提升一卡通形象、促進一卡通應用的重點問題之一。

充值網點除了銀行、地鐵、公交車站、連鎖式商場外，更多、更方便的是處于各生活社區中，以獨立的小型商鋪出現。由于處于生活社區中間，與市民非常貼近，非常方便，是市民充值的場所，也應該是城市一卡通需要發展的方向。

由于充值網點比較獨立，分布面廣，在當前嚴峻的治安環境下，確實存在著被偷、被盜、被搶的可能性。一旦充值設備被盜，會對城市一卡通系統的應用形成潛在威脅，這也是當前城市一卡通系統不能大量開辟零散充值網點的主要原因之一。

改進設想

應該指出：充值網點之所以要比收費網點有更高的安全要求，是因為目前的城市一卡通系統體系要求在充值網點中存放對用戶卡進行認證和充值的密鑰，一旦該充值密鑰被破獲，不法分子將有可能對系統的用戶卡任意充值或進行任意的操作，由此會產生不可估量的影響。因此充值密鑰是城市一卡通系統中被認為是系統安全級別的信息之一。從另一個方面說，系統中所采用的對充值密鑰的保護技術也代表著該系統的安全信息技術的水平。

現有的城市一卡通系統在設計中，已經使用了智能卡技術，通過利用IC卡的安全性來保護充值密鑰的安全。但由于安全和破解從來就是一對孿生的兄弟，在安全防范技術不斷發展的同時，對安全的破解技術也日新月異，而城市一卡通系統是一個生命周期很長的系統，所以從系統長期發展的安全性考慮，確實應該關注有否更、更可靠的技術來保護系統的敏感信息，以適應未來更大的挑戰。

為更好保護充值密鑰的信息，嚴防密鑰的外瀉，在技術上，我們提出了新的改進方案：

把充值密鑰收回管理中心統一保管，利用目前日益方便的網絡技術建立充值網點與管理中心的網絡連接，在需要充值密鑰的時候，網點通過網絡向管理中心申請，在核實充值員身份后，由中心下發加密后的用戶票卡充值密鑰，由網點設備在內部解密后再執行充值工作。

這樣對密鑰保護的問題轉化為網點身份認證、密鑰傳輸安全的問題。這種方法的就是一旦發現充值網點或設備被丟失或非法使用，管理中心可以馬上截斷與該網點的聯系，所流失的僅僅是與該站點有關的裝載身份認證信息和傳輸密鑰的IC卡片，系統的充值密鑰并沒有流失，它始終是掌握在管理中心處，不致使出現前面提到的情況：密鑰會流落到外界，并始終存在著受到攻擊的可能，這種做法可把對系統根密鑰進行攻擊的威脅性降到。

具體實施中，我們把目前被廣泛采用的PKI安全體系與城市一卡通的實際情況相結合，為改造現有充值系統，提出了切實可行的方案。

方案目標

對城市一卡通現有充值系統的改造，就是要使用目前流行的PKI安全體系安全體系和技術，利用日益快速發展的Internet網絡技術，利用的智能卡技術和國家密碼管理委員提供的商用加密標準算法等，對城市一卡通現行的充值工作方式進行調整。改造后的充值系統：可以讓網點在充值時通過快速方便的Intenet網絡，向管理中心實時申請用戶卡的充值密鑰，而管理中心在對網點進行實時在線身份認證后，通過加密傳輸的方法，把充值密鑰發送給充值設備，通過解密后獲得密鑰再執行充值工作。

通過改造后的充值系統，不但實現了對充值密鑰進行統一管理和統一使用，使得更有效地保護城市一卡通系統中敏感的信息之一——充值根密鑰，而且也實現了對充值網點的實時監控，讓管理中心實時掌握充值現場的信息。

本方案由于采用了PKI的安全技術，使得充值網點與服務器之間的連接可以放在因特網上實現，大大降低了系統的改造成本。

PKI簡介

PKI(Public Key Infrastructure )，即“公開密鑰體系”，就是利用公開密鑰算法，為用戶提供公鑰加密和數字簽名服務的系統。而公開密鑰算法主要的特點就是加密和解密使用不同的密鑰，每個使用者都保存著一對密鑰：公開密鑰PK（公鑰）和秘密密鑰SK（私鑰），因此這種體制又稱為雙鑰體系或非對稱密鑰體系。

在公開密鑰體系中，公鑰PK是公開的，通常用于加密信息或簽名的認證，而秘鑰SK是用戶自己保管的，通常用作解密信息和對信息進行簽字；一般情況下加密算法和解密算法都是公開的，在公鑰與私鑰之間有如下的性質：

?雖然公鑰和私鑰成對出現，但利用公鑰是不能推出私鑰的；

?使用公鑰加密后得到的密文，用公鑰是不能解密的；

?使用公鑰加密后得到的密文只能用私鑰才能解開。

?使用私鑰加密得到的密文只能用對應的公鑰才能解開。

利用公開密鑰體系的這些特點，我們除了可以在信息的通訊中進行加解密外，也可以實現身份認證、數字簽名功能。事實上，在公開密鑰體系中，當我們用私鑰對信息加密后，由于只能采用對應的公鑰才能解出正確的原文，因此當需要證實某些信息是某個人發送者所發出時，可以讓該發送者（被認證方）用私鑰對信息進行加密，接收者（認證方）通過采用發送者（被認證方）所公開的公鑰進行解密，然后與原文比對，如果相同，可以證實該信息確實是發送者（被認證方）所發出的，這是PKI的另一個特性——不可抵賴性。

公開密鑰體系在身份確認、不可抵賴、數據完整等方面的應用較之傳統的對稱性密鑰體系有很大的優勢。

在城市一卡通充值系統的設計方案中，我們采用了這套公開密鑰體系，通過給各充值網點分配不同的公鑰和私鑰，通過使用“數字簽名”和國密對稱性算法標準，將可以有效地把網點身份的可識別性、數據的保密性、數據的完整性、數據的不可否認性、數據的等結合一起，通過網絡與PKI技術的結合，使整個充值系統有機、安全、快捷地連接一起。

充值流程：