城市通卡應用中的密鑰規劃

摘要：在現代社會中，智能卡應用業務領域非常廣泛，同時擴展應用需求多樣化，智能卡作為信息交換和資金支付的樞紐，與持卡人的衣食住行息息相關，涉及到交通領域和非交通領域，例如：公交、地鐵、ETC、鐵路、停車場、小額消費、小區門禁等。因此需要從智能卡應用領域的多樣性，對密鑰進行統一規劃設計，實現跨領域、跨行業的通用，實現一張卡全城通用，乃至全國互通。本文中筆者詳細論述了城市通卡應用中的密鑰規劃，希望以此有所貢獻。

關鍵詞：城市通卡 應用 密鑰 規劃

一、智能卡廣泛應用于各大領域

按照相關部門已經發布的有關密碼管理的要求，與行業相關的密鑰交由相應的主管部門負責，但是應該在發卡主體部門的授權下寫入到智能卡中。 例如：公交卡與衛生行業互通，有關健康醫療相關的密鑰應由衛生部門來主管，但是衛生行業的密鑰應在公交卡密鑰體系的授權下裝載。

同樣，運輸行業對于密鑰也有各自的需求，交通運輸部要求公交的智能化管理。各地城市通卡從便民利民角度，多數公交公司推出了換乘優惠、聯乘優惠、累計優惠的措施。同時，考慮到學生、老人、軍烈屬的乘車優惠。為了實現這些業務，需要在卡內記錄優惠策略與信息，這些更新信息將是運營單位與補助企業的清算依據，也是對優惠信息的安全保護，另外鑒于脫機應用的特殊性，智能卡內有一個專門數據存儲單元，對卡片金額進行記錄。在智能卡層面有一個應用鎖定的功能，如果卡片丟失了，將會對卡片進行鎖卡，錢包功能封閉，即使被人撿到，也不能使用。這樣就會減少持卡人的損失。

二、現行智能卡的安全性存在缺陷

在智能卡體系中，是通過應用維護密鑰對卡片應用安全、卡片數據安全進行保護。但是，現在大多數通卡密鑰系統在設計初期，其PSAM卡內只裝載一條維護根密鑰，在進行智能卡發行過程中，大多是通過這唯一的根密鑰分散出一條卡片級的維護密鑰，用做保護卡片的鎖卡、解鎖、更新等應用。

這樣，在技術上存在安全隱患，即通過這一張PSAM卡就可以對卡片進行鎖卡、解鎖、更新等多種操作。舉例：如果個專用消費的POS機上的PSAM卡被以為被人撿到，同時該通卡公司的業務拓展了地鐵應用。眾所周知，現在國內的地鐵大都改成分段計時收費。假如，此人乘坐某地鐵線從始發站到終點站，本應需要支付全程金額。但是，由于一條密鑰的弊端，這個人完全可以在上車前，通過他撿到的PSAM卡在下車的前一站對卡內的進站上車信息進行修改，實際可能只需支付一站地的票款。同理，在同樣有這種分時分段收費的場所（高鐵、高速公司、停車場），也會遇到風險。

三、城市通卡應用中的密鑰規劃措施

在密鑰體系中，密碼規劃時應遵循唯一性、保密性、不可復用的原則進行統一規劃。因此智能卡層面，我建議采用多種密鑰進行卡片安全、應用安全、行業安全的分別保護，而不是之前的一個密鑰做多種業務。

首先：卡片層次，應該有獨立的卡片主控密鑰和卡片維護密鑰、以及內部鑒權密鑰用于對卡片整體提供安全保障和卡片外部環境的安全鑒別，同時該層次的密鑰只應由發卡主體保管，并且提供一個安全可控的訪問接口，用于卡片二次應用的疊加實現與其他行業的互聯互通。

其次：應用層次，針對不同應用設定專屬的應用主控、應用鑒權、應用鎖定、應用解鎖等密鑰。應用主控密鑰僅存在于應用發行的主體單位，用于所屬應用下各種數據文件的管理（新增、刪除等）；應用鑒權分布于卡片和應用外部的受理終端，用于應用于外部環境的相互認證，只有合法應用以及合法的受理終端，才能進行交易；應用鎖定存在于外部受理終端上的PSAM卡或者安全模塊中，對于異常卡或者已經下發了黑名單的卡，進行應用鎖定。保證應用內錢余額的安全；應用解鎖密鑰務必與應用鎖定密鑰分開，并且不能由同一根分散出來，存在于應用發行的主管部門，通過正常途徑置黑的卡片，可以在受理網點以聯機的方式對卡片解鎖，并分析卡片置黑的原因。

最后：行業應用層次，需要結合卡片所開展的不同領域、不同行業進行規劃。以行業密鑰的方式寫入到智能卡，這些行業密鑰用于保護卡內不同行業數據的信息安全，只有在行業密鑰的授權下才能對卡片數據進行更新。行業密鑰應由行業主管部門管理，但是，卡片的發行單位具有完善的密鑰管理系統，無論在機房環境還是業務風險管控方面都有成熟的經驗，而行業管理單位可能不具備這些軟硬件環境。因此有關行業密鑰的管理，也可以通過協商的方式交由發行單位來托管。結合現有的應用場景，需要規劃的行業密鑰至少包括：公交信息更新密鑰、地鐵信息更新密鑰、ETC更新密鑰、高鐵更新密鑰、行業互通更新密鑰、對外合作更新密鑰等。

四、結語

由于智能卡的發行現狀，還存在這大量的脫機應用場景。因此仍需發行PSAM卡或安全模塊用于實現對卡片的讀寫與余額操作。根據受理終端的業務類型，應當發行多種類別的PSAM卡或安全模塊。其發行規則之一就是，僅灌裝與本行業應用相關的密鑰。

例如：針對僅有一次扣費的公交車上PSAM卡內只有消費密鑰和鎖卡密鑰，針對分段應用的公交車上應疊加一套公交信息更新密鑰；對于地鐵閘機內的密鑰需要灌裝地鐵信息更新密鑰和消費密鑰；對于高速公路、鐵路等領域涉及到金額大的場所內的PSAM卡內應加裝消費密鑰，相應的更新密鑰應以聯機的方式存放在設備的安全模塊或車場主控單元內；對于存在行業互通、存在不同行業之間補扣金額的領域，PSAM卡內應疊加行業互通更新密鑰等。

作者簡介：

郭炯光（1983-），男，河北保定人，畢業于南昌理工學院，研究方向：智能卡應用領域。

有10多年的城市通卡建設經驗。設計并參與了多個城市一卡通項目的建設；參與了住建部、交通運輸部多個部委在智能ic卡在城市一卡通領域的標準制定；參與了某通信集團全國應用的密鑰體系建設；參與國內首個網上自助充值系統的建設并負責通訊安全、設備安全、卡片安全等核心模塊的開發；參與國內首個居民健康卡系統的建設，負責密鑰、卡管等核心模塊的建設；參與公安部某省居住證系統的密鑰系統與卡片個人化系統的建設；在城市通卡領域，首次以采用cpu卡進行大規模發行，負責其卡管的建設；首次在通卡領域基于pboc2.0電子現金標準搭建了數據準備系統，并大規模應用。endprint