【论文摘要】文章对传统一卡通系统在跨区域应用时所面临的挑战进行分析,提出了基于移动认证PKI实现跨区域一卡通应用方案。该方案利用移动客户数字证书作为跨区域一卡通系统用户身份标记,可以有效解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。
【论文关键词】一卡通PKI身份认证跨区域
1引言
当前传统的一卡通市场发展相对成熟,用户已经习惯使用IC卡进行门禁、考勤、会员管理等应用。传统一卡通系统使用ID卡或IC卡,利用卡的物理ID或在卡上数据区域(扇区)写入用户ID,作为用户的身份ID,仅适合作为孤立的个体单位内部使用,不适合政府、大型企业、连锁酒店等客户的跨区域应用。
跨区域一卡通应用面临以下挑战:
(1)密钥管理问题:从安全性的角度而言,不同区域一卡通应用需要采用不同的应用密钥。而不同区域一卡通应用模式不完全一致,权限管理方式很难做到集中、垂直化管理,使得跨区域一卡通应用的密钥管理复杂。
(2)非特定对象问题:跨区域应用的客户对象通常并不确定。一般而言,本区域内部人员相对固定;但外来人员不确定。
(3)临时性问题:跨区域的一卡通应用通常时间较短,需要解决临时性授权问题。
(4)系统安全性问题:卡的挂失需要涉及多个区域的系统数据更新。
目前,通信运营商以CA为中心、以PKI(PublicKeyInfrastructure,公钥基础设施)体系为基础设施,发行具备内置移动客户数字证书的非接触卡或RFID-SIM卡,实现内部一卡通应用以及外部手机支付、电子票务公交一卡通等电子商务应用。
2系统方案
2.1系统框图
系统框图如图1所示。
系统包括以下功能实体:
(1)门禁感应器(考勤、消费机具)
1)读取用户PKI相关数据,发送给一卡通业务平台进行处理;
2)完成相应门禁、考勤、消费业务流程。
(2)一卡通业务平台
1)用户数据维护;
2)配合机具完成相应门禁、考勤、消费、来访管理业务流程;
3)离线用户身份认证;
4)在线用户身份认证;
5)证书同步。
(3)认证鉴权服务平台
1)对用户PKI数据进行验证;
2)与一卡通业务平台接口,实现证书同步。
2.2业务流程
流程说明如下:
(1)用户在本区域一卡通应用流程
用户在本区域一卡通应用流程如图2所示。
1)读卡器产生随机数发送给通宝卡;
2)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器;
3)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台;
4)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台;
5)一卡通业务平台将用户的UCID作为用户内部身份信息写入相应的机具与应用数据库;
6)对于常规应用场合,用户使用UCID作为门禁、考勤、消费等应用的用户ID;
7)对高安全应用场合,一卡通业务平台使用用户证书对用户通宝卡进行本地离线验证或将相关数据(UCID、签名)转发给认证鉴权服务平台对用户身份进行认证。
(2)用户跨区域一卡通应用流程
用户跨区域一卡通应用流程如图3所示。
1)用户通过网络申请异地一卡通权限,一卡通业务平台以用户手机号码为标记,记录用户授权信息;
2)用户到达异地后,使用通宝卡进行刷卡;
3)读卡器产生随机数发送给通宝卡;
4)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器;
5)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台;
6)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台;
7)一卡通业务平台将用户的UCID作为用户内部身份信息,同时将时限信息写入相应的机具与应用数据库;
8)用户使用通宝卡进行异地一卡通应用(如门禁、消费、会议签到等)。
2.3业务特点
利用PKI进行异地一卡通应用,可以较好地解决跨区域企业一卡通应用所面临的问题。
(1)由于用户的PKI是唯一数字身份标记,用户身份的合法性是后台通过PKI验证确定的,且与手机号码进行绑定。以手机号码作为索引,通过PKI验证过程,即可确认身份。因此对于跨区域应用,只需使用一张通宝卡即可。[论文网]
(2)对于密钥管理问题,PKI为非对称密钥体系,PKI数据验证通过认证鉴权服务平台或本地离线认证完成,门禁一卡通系统无需与卡共享密钥,从而解决了密钥管理问题。
(3)对于非特定对象的临时跨区域应用问题,可以通过用户手机号码作为索引,预先通过网站进行临时申请,异地一卡通后台根据用户的手机号码,与PKI验证数据进行比较,若在可授权范围内,即可将用户UCID作为异地一卡通系统授权数据,写入一卡通系统相应机具与后台。
将PKI应用于跨区域一卡通系统,只需增加用户认证模块,对原有企业一卡通系统无需做大的改造,即可实现用户使用一张卡同时在本地与异地进行一卡通应用的需求。系统实施的技术与商务门槛低。
3结语
本文研究了利用移动认证PKI实现跨区域一卡通应用的方案。该方案将移动客户数字证书作为跨区域一卡通系统用户身份标记,通过离线或在线身份认证,来解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。可以较好地解决诸如大型企业、政府、连锁酒店等单位的跨区域一卡通应用需求,目前该研究方案已成功应用于某公司培训中心跨区域一卡通系统。
【参考文献】
[1]QB-E-053-2009.中国移动PKI系统总体技术要求[S].2010.
[2]QB-E-054-2009.中国移动PKI系统业务规范[S].2010.
[3]QB-E-062-2009.中国移动PKI系统(U)SIM卡证书管理技术规范[S].2010.
(www.fabiaoba.com),是一个专门从事期刊推广期刊发表、投稿辅导、发表期刊的网站。
本站提供如何投稿辅导、发表期刊,寻求论文刊登合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级论文刊登/国家级论文刊登/
CSSCI核心/医学投稿辅导/职称投稿辅导。
投稿邮箱:fabiaoba365@126.com
在线咨询:
275774677、
1003180928
在线咨询:
610071587、
1003160816
联系电话:18796993035
主管单位:集美大学 主办单位:集美大学 国内统一刊号:35-1189/G8 国际标准刊号:100...
主管单位:山西出版集团 主办单位:山西出版集团 出版地:山西省太原市 国际标准刊号...
主管单位:中华全国总工会 主办单位:中国工人报刊协会 出版地:北京 国际标准刊号:I...
期刊简介: 《文化产业》杂志以关注文化、关注产业为创刊宗旨,坚持用财经理性融合文...
期刊介绍: 《吉林广播电视大学学报》是由吉林省教育厅主管、吉林广播电视大学主办的...
主管单位:湖北省教育厅 主办单位:湖北第二师范学院 出版地:湖北省武汉市 国际标准...
近来发现有些作者论文投稿存在大量剽窃、抄袭行为,“发表吧”对此类存在大量剽窃、抄袭的论文已经停止编辑、推荐。同时我们也提醒您,当您向“发表吧”投稿时请您一定要保证论文的原创性、唯一性,这既是对您自己负责,更是对他人的尊敬。
此类投稿的论文如果发表之后,对您今后的人生和事业将造成很大的麻烦,后果不堪设想,请您一定要慎重,三思而后行。
如因版权问题引起争议或任何其他原因,“发表吧”不承担任何法律责任,侵权法律责任概由剽窃、抄袭者本人承担。