城市一卡通IC卡在線(xiàn)加值之解決方案設計

1 論題提出的背景

　　我國城市一卡通建設可說(shuō)是如火如荼，很多二三線(xiàn)城市也已經(jīng)或者正打算投入其中。城市一卡通是由公交一卡通演化而來(lái)，我國首次使用公交卡是在1993年的杭州，當時(shí)是以磁條卡的形式出現的，到今天，已經(jīng)過(guò)去了19年，當初的接觸式IC卡也已演變成了更加方便的非接觸式IC卡。

　　國內首批集社保卡、公交卡、銀行卡功能為一體的IC卡在蘇州吳江市發(fā)行，吳江市民通過(guò)這張市民卡，可以辦理社保、領(lǐng)取養老金、乘公交、游公園，并可繳水、電、煤氣、電話(huà)費，同時(shí)也可用于銀行儲蓄等業(yè)務(wù)，適用于政府服務(wù)、公用事業(yè)、金融支付等三大領(lǐng)域12個(gè)重點(diǎn)行業(yè)。

　　截止到2011年8月份，按照住房建設部IC卡應用服務(wù)中心的數據統計，國內已啟動(dòng)城市一卡通的城市總量已達到367個(gè)，發(fā)卡總量超過(guò)1.8億張。其中北京，上海等特大城市發(fā)卡量增長(cháng)迅速，兩城市發(fā)卡量均超3000萬(wàn)張。同時(shí)應用領(lǐng)域逐步擴大，從開(kāi)始的公交刷卡，到現在已擴展到供水、煤氣、出租、風(fēng)景園林等公共事業(yè)領(lǐng)域，涉及40多個(gè)領(lǐng)域。此外，上海、天津、廣州、長(cháng)沙等許多城市都已經(jīng)廣泛應用了公交一卡通，可以說(shuō)在一些地方，公交一卡通已經(jīng)成為市民生活中必不可少的組成部分。

　　2 在線(xiàn)加值安全之源-密鑰系統

　　住房建設部未來(lái)對全國范圍內各級城市建設事業(yè)一卡通工程提供可靠的安全標準，開(kāi)發(fā)了住房建設部IC卡密鑰管理系統，提供了密鑰管理的統一標準和IC卡的結構統一規范，提高了系統整體的安全性能。該密鑰管理系統采取二級管理的模式，分為部級密鑰管理系統和城市密鑰管理系統。

　　2.1 部級密鑰

　　住房建設部密鑰管理中心負責產(chǎn)生全國范圍內各行業(yè)使用的消費密鑰，為各城市管理中心產(chǎn)生對應子密鑰，并以母卡形式傳輸到各個(gè)城市。

　　(1)部級總控卡。由住房建設部主管領(lǐng)導生成.存儲建設事業(yè)IC卡應用總控密鑰。

　　(2)部級主密鑰卡。由部級總控卡和相應業(yè)務(wù)密鑰代碼生成部級業(yè)務(wù)主密鑰，如公交行業(yè)消費主密鑰、TAC主密鑰、應用維護主密鑰等。

　　(3)城市主密鑰卡。由部級主密鑰卡和各地區行政編號生成各地區的城市主密鑰卡。城市級密鑰管理系統由經(jīng)住房建設部IC卡應用服務(wù)中心授權并經(jīng)城市行政主管部門(mén)認可的城市發(fā)卡機構管理和操作。

　　2.2 城市級密鑰

　　各城市首先由主管領(lǐng)導生成城市總控卡。并結合住房建設部發(fā)放的城市主密鑰卡生成城市密鑰母卡。由城市密鑰母卡生成并裝載加值密鑰卡卡、ESAM模塊和用戶(hù)卡密鑰。

　　(1)城市總控卡。存儲由各城市主管領(lǐng)導生成的地方總控密鑰。

　　(2)城市主密鑰卡。存儲由城市主密鑰卡和城市總控卡生成的城市應用主密鑰。

　　(3)加值密鑰卡。加值權限認證卡，嵌入用戶(hù)卡讀寫(xiě)器內.用于城市各加值網(wǎng)點(diǎn)的加值授權和認證。

　　2.3 密鑰的重要性

　　在“城市一卡通”系統中，用戶(hù)卡的加值業(yè)務(wù)是系統整體設計中的重要環(huán)節，一方面，應使用加值密鑰卡卡進(jìn)行加值授權認證，以保證系統安全性;另一方面，具體實(shí)現形式有脫機加值和在線(xiàn)聯(lián)機加值兩種解決方案。作為脫機加值方式，雖然初期投入成本較低，但存在著(zhù)種種弊端和安全隱患。灰名單以及黑名單滯后發(fā)布、加值數據滯后上傳造成清算不平衡、脫機加值設備損壞造成加值數據丟失、對加值操作的權限控制及業(yè)務(wù)監控能力不強等情況。上述情況的出現。都會(huì )對持卡用戶(hù)及一卡通業(yè)主造成不必要的損失。隨著(zhù)網(wǎng)絡(luò )連接成本的逐步降低以及用戶(hù)對于系統安全性要求的進(jìn)一步提高，聯(lián)機加值方式逐漸成為首選方案。

　　3 在線(xiàn)加值的實(shí)現

　　3.1 在線(xiàn)加值結構及流程

　　從系統設計角度看，聯(lián)機加值系統應采用“三層體系結構”，即前臺前端客戶(hù)系統一中間件應用服務(wù)器系統一后臺中一tl,數據庫系統(圖1)。通過(guò)中間件將前臺前端客戶(hù)系統與后臺數據庫聯(lián)系起來(lái).有利于系統的安全性、可靠性和可擴充性。 

　　圖1 在線(xiàn)代理加值業(yè)務(wù)系統示意圖

　　對于前端客戶(hù)系統來(lái)說(shuō)，除自建的中心服務(wù)中心網(wǎng)點(diǎn)外，還可利用超市、郵局及銀行等機構的現有網(wǎng)點(diǎn)開(kāi)辦聯(lián)機加值業(yè)務(wù)，以解決加值網(wǎng)點(diǎn)數量偏少。用戶(hù)加值不方便的問(wèn)題。由于在線(xiàn)加值的業(yè)務(wù)數據需要通過(guò)網(wǎng)絡(luò )傳輸，因此在編制相應的異常處理流程時(shí)，需要充分考慮網(wǎng)絡(luò )故障的情況，使前端客戶(hù)系統數據與后臺數據庫保持數據一致性。

　　代理網(wǎng)點(diǎn)前端客戶(hù)系統進(jìn)行加值時(shí)，由IC卡讀寫(xiě)器完成對卡片的加值操作，通過(guò)認證卡內密鑰與加值密鑰卡是否匹配來(lái)確定是否是本系統卡。前端客戶(hù)系統程序發(fā)送給讀寫(xiě)器讀卡指令后，IC讀寫(xiě)器會(huì )將卡內的信息發(fā)送給前端客戶(hù)系統。如繼續加值，那么需根據系統提示來(lái)確認加值金額。此時(shí)加值交易開(kāi)始，前端客戶(hù)系統將加值金額和相關(guān)內容組成加值請求報文，發(fā)送給中間件系統。中間件將按照先后順序，首先判斷請求報文是否合法以及有效，然后卡片是否合法的認證。認證通過(guò)后，后臺交易流程開(kāi)始.數據庫記錄本次加值交易數據，相應扣減網(wǎng)點(diǎn)的加值額度，并將加值內容通過(guò)前端客戶(hù)系統返回給讀寫(xiě)器。讀寫(xiě)器根據發(fā)送回來(lái)的內容，再利用加值密鑰卡卡計算加值密鑰，依據加值規則對用戶(hù)卡進(jìn)行加值。加值成功后，由前端客戶(hù)系統向后臺返回加值成功報文，加值交易及后臺交易流程均結束。加值流程如圖2所示。 

　　圖2 在線(xiàn)加值流程示意圖

　　3.2 容錯處理

　　如果加值過(guò)程中出現異常，則前端客戶(hù)系統必須進(jìn)入沖正流程。沖正流程的處理流程是卡片先沖正，再沖正后臺數據，以保證數據安全性。沖正流程如圖3所示。 

　　圖3 沖正交易流程示意圖

　　這樣，一卡通中心可以通過(guò)向代理網(wǎng)點(diǎn)配備IC卡讀寫(xiě)器的方式來(lái)授權其辦理加值業(yè)務(wù). 并且可以實(shí)時(shí)監控各個(gè)網(wǎng)點(diǎn)的工作情況，從而解決使用脫機加

　　值系統導致的黑名單滯后以及對加值操作的權限控制能力不強等種種問(wèn)題。

　　3.3 加值安全性保障

　　在進(jìn)行系統設計時(shí)，因為目前用戶(hù)所用的IC卡一般為邏輯加密卡，卡片自身不具備MAC驗證功能，所以在卡片結構規劃設計時(shí)，需依照住房建設部規范，實(shí)行“一卡一密，一區一密”，同時(shí)將安全認證機制封裝在前端IC讀寫(xiě)器內部。前端客戶(hù)系統在與中間件通訊時(shí)，通訊報文采用密文傳輸.DES算法加密。傳輸密鑰由一卡通中心依據“一卡一密，一區一密” 的原則事先生成，存放于加值密鑰卡內。由前端客戶(hù)系統/IC讀寫(xiě)器利用傳輸密鑰對通訊報文進(jìn)行加、解密。以保證數據傳輸的安全性。

　　4 結語(yǔ)

　　總之，作為一種與常規加值方式完全不同的方案，IC卡在線(xiàn)加值通過(guò)對業(yè)務(wù)邏輯進(jìn)行封裝的方式，對前端客戶(hù)系統開(kāi)放中間件和讀寫(xiě)器的通訊接口.達到了保證系統安全的目的。通過(guò)制定沖正流程，可以解決系統的數據一致性的問(wèn)題，使得在線(xiàn)加值解決方案更加完善，從而可以推動(dòng)城市一卡通系統的進(jìn)一步發(fā)展。

　　而作為一種與傳統加值思路完全不同的方式.要論證“IC卡在線(xiàn)加值”的合理性和安全性，最好的辦法就是采用此方法為客戶(hù)IC卡進(jìn)行加值的操作，驗證是否可行。此方式目前已在蘭州及福州等城市試行，并取得了不錯的效果。此文所論證的城市一卡通IC卡在線(xiàn)加值之解決方案切實(shí)可行，并提高了城市一卡通加值的安全性。

城市一卡通IC卡在線(xiàn)加值之解決方案設計