【摘 要】文章对传统一卡通系统在跨区域应用时所面临的挑战进行分析，提出了基于移动认证PKI实现跨区域一卡通应用方案。该方案利用移动客户数字证书作为跨区域一卡通系统用户身份标记，可以有效解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。 　　【关键词】一卡通 PKI 身份认证 跨区域 　　1 引言 　　当前传统的一卡通市场发展相对成熟，用户已经习惯使用IC卡进行门禁、考勤、会员管理等应用。传统一卡通系统使用ID卡或IC卡，利用卡的物理ID或在卡上数据区域（扇区）写入用户ID，作为用户的身份ID，仅适合作为孤立的个体单位内部使用，不适合政府、大型企业、连锁酒店等客户的跨区域应用。 　　跨区域一卡通应用面临以下挑战： 　　（1）密钥管理问题：从安全性的角度而言，不同区域一卡通应用需要采用不同的应用密钥。而不同区域一卡通应用模式不完全一致，权限管理方式很难做到集中、垂直化管理，使得跨区域一卡通应用的密钥管理复杂。 　　（2）非特定对象问题：跨区域应用的客户对象通常并不确定。一般而言，本区域内部人员相对固定；但外来人员不确定。 　　（3）临时性问题：跨区域的一卡通应用通常时间较短，需要解决临时性授权问题。 　　（4）系统安全性问题：卡的挂失需要涉及多个区域的系统数据更新。 　　目前，通信运营商以CA为中心、以PKI（Public Key Infrastructure，公钥基础设施）体系为基础设施，发行具备内置移动客户数字证书的非接触卡或RFID-SIM卡，实现内部一卡通应用以及外部手机支付、电子票务公交一卡通等电子商务应用。 　　2 系统方案 　　2.1 系统框图 　　系统框图如图1所示。 　　系统包括以下功能实体： 　　（1）门禁感应器（考勤、消费机具） 　　1）读取用户PKI相关数据，发送给一卡通业务平台进行处理； 　　2）完成相应门禁、考勤、消费业务流程。 　　（2）一卡通业务平台 　　1）用户数据维护； 　　2）配合机具完成相应门禁、考勤、消费、来访管理业务流程； 　　3）离线用户身份认证； 　　4）在线用户身份认证； 　　5）证书同步。 　　（3）认证鉴权服务平台 　　1）对用户PKI数据进行验证； 　　2）与一卡通业务平台接口，实现证书同步。 　　2.2 业务流程 　　流程说明如下： 　　（1）用户在本区域一卡通应用流程