硬件加密设备在城市交通一卡通中及应用.doc

 一、引言 　　目前，全国范围内的许多城市都正在积极筹备或正在实施城市建设综合管理信息系统的开发工作，城市建设综合管理系统以IC卡为媒体，将现金支付为主的收费方式转变为以电子货币交易为主的收费方式，最终实现公共交通等城市建设收费行业的“一卡通”。实施城市交通一卡通的目的在于对城市交通中各行业的收费情况进行统一完善的管理，协调好各行业的运行，并且具有方便市民出行，结算方便快捷等优点。　　 　　在城市“交通一卡通”系统中，IC卡作为电子货币的媒体，实现“一卡多用”、“一卡通用”是系统的基本需求，同时具有电子货币功能的智能卡对安全的要求大大提高。因此保证系统安全是城市交通一卡通成败的关键，是统一行业规范与管理的前提，能防止出现盗卡和伪卡的产生，保证市民的利益不受损害，对维护政府形象和社会稳定起到关键的作用。 　　在该系统中密钥管理机制通常使用标准的3DES密码算法或者由国家主管部门审定批准的密码算法和严格的传输密钥来控制系统的安全性。密钥管理机制直接关系到整个系统的安全，密钥的生成、存储、发行、更新、保管、销毁是系统安全的核心问题，占有非常重要的地位。如何保证IC卡在系统中实现安全认证；如何保证成功交易防止窜改；如何保证卡中数据的安全特别是持卡人资金的安全；如何确保整个系统的正常运作，如何保证资金清算的顺利进行等一系列的安全问题就成为整个项目的重中之重。 　　本文就城市公共交通IC卡应用建设，从应用系统安全的角度分析现行的交通一卡通系统中存在的安全隐患，同时就密钥管理系统、发卡系统和交易系统的安全作一些探讨，即如何利用硬件加密设备来实现密钥管理和卡片的个人化处理，保证敏感信息的机密性和交易数据的完整性，防止非法卡、伪卡的诈骗行为。 　　二、交通一卡通系统中存在的安全隐患 　　在交通一卡通系统中，其安全风险和隐患主要来至于以下几个方面： 来自于密钥管理系统软件实现方式的安全隐患； 来自于通信线路上的风险，如：搭线、篡改、重播等； 来自于人员的风险，如：攻击者分析、跟踪程序代码，获取用户密码；非法访问数据业务主机数据库，获取客户信息等； 来自于保护措施上的风险，采用的保护措施安全强度不够或方法不得当而给攻击者以可趁之机； 卡片个人化处理系统； 主机系统采用软件加密； 主机操作系统的安全性等 　　三、密钥管理系统实现模型 　　密钥管理系统是整个应用系统的核心，占有非常重要的地位。在整个系统的安全机制中，密钥扮演着非常重要的角色。通过密钥本身的安全机制和密码算法，来有效的保证系统的安全性能。 　　建设部建办[1999]65号《关于建设事业IC卡应用管理工作的通知》文件明确规定：为确保各地IC卡应用系统，特别是发卡、充值、清算、资金划拨等环节高度的安全性，建设事业IC卡应用采取必要的安全管理机制，一律采用部IC办统一提供的密钥管理系统和机具安全模块。其主要目的是为了对全国范围内各城市建设事业一卡通工程提供密钥管理的统一标准和IC卡结构的规范，以便能够对各城市使用IC卡进行规范和管理，提高系统的安全性能。 　　密钥管理系统主要包括以下部分的功能：密钥生成、密钥存储、密钥发行、密钥保管、密钥更新、密钥销毁。密钥管理系统的目标就是安全地产生各级主密钥和各类子密钥，并将子密钥安全地下发给子系统的发卡中心，用来产生用户卡和操作员卡的各种密钥，确保以上所有环节中密钥的安全性和一致性，实现集中式的密钥管理。 　　对密钥进行统一、分级管理可以有效地解决子系统独立发卡、机具共享，实现跨地区、跨行业一卡通的问题。并具有管理简单，强等优点。目前建设行业的密钥管理系统共分两级，第一级为部级密钥管理系统，第二级为城市密钥管理系统。如下图所示： 　　在交通一卡通系统中使用的密钥分为三级：系统总控密钥、卡片访问主密钥、卡片访问密钥。所有的密钥生成过程都在发卡中心完成。整个系统中密钥生成体系如下所示： 　　密钥管理中心主要功能是负责产生全系统消费（扣款）主密钥，为二级模块产生消费（扣款）主密钥，并以密钥卡的形式传输到各二级模块，在密钥卡上记录发卡信息以便跟踪审计，同时以书面形式记载密钥卡的文件结构和使用方法。 　　具体功能如下： 　　生成一级模块各种密钥管理卡 —— 　　·制造主密钥卡 　　·总控密钥卡 　　·业务总控密钥卡 　　·一级模块主密钥卡 　　·二级模块主密钥卡 　　·PSAM母卡 　　·传输密钥卡 　　为二级模块生成各种密钥管理卡 —— 　　·二级模块密钥发行卡 　　·二级模块终端SAM卡 　　此一级模块主要应用于部级密钥管理中心。 　　二级模块： 　　主要功能是负责生成和安装用户卡、充值SAM卡上的各种密钥。 　　此二级模块一般应用于城市密钥管理中心。 　　硬件加密机在系统中典型的应用配置图如下所示： 　　四、硬件加密设备在系统中的作用