基于PKI的跨区域一卡通应用研究(2)
编辑:admin 来源:wenku163.com
用户在本区域一卡通应用流程如图2所示。 1)读卡器产生随机数发送给通宝卡; 2)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器; 3)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台; 4)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台; 5)一卡通业务平台将用户的UCID作为用户内部身份信息写入相应的机具与应用数据库; 6)对于常规应用场合,用户使用UCID作为门禁、考勤、消费等应用的用户ID; 7)对高安全应用场合,一卡通业务平台使用用户证书对用户通宝卡进行本地离线验证或将相关数据(UCID、签名)转发给认证鉴权服务平台对用户身份进行认证。 (2)用户跨区域一卡通应用流程 用户跨区域一卡通应用流程如图3所示。 1)用户通过网络申请异地一卡通权限,一卡通业务平台以用户手机号码为标记,记录用户授权信息; 2)用户到达异地后,使用通宝卡进行刷卡; 3)读卡器产生随机数发送给通宝卡; 4)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器; 5)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台; 6)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台; 7)一卡通业务平台将用户的UCID作为用户内部身份信息,同时将时限信息写入相应的机具与应用数据库; 8)用户使用通宝卡进行异地一卡通应用(如门禁、消费、会议签到等)。 2.3 业务特点 利用PKI进行异地一卡通应用,可以较好地解决跨区域企业一卡通应用所面临的问题。 (1)由于用户的PKI是唯一数字身份标记,用户身份的合法性是后台通过PKI验证确定的,且与手机号码进行绑定。以手机号码作为索引,通过PKI验证过程,即可确认身份。因此对于跨区域应用,只需使用一张通宝卡即可。[论文网] (2)对于密钥管理问题,PKI为非对称密钥体系,PKI数据验证通过认证鉴权服务平台或本地离线认证完成,门禁一卡通系统无需与卡共享密钥,从而解决了密钥管理问题。 (3)对于非特定对象的临时跨区域应用问题,可以通过用户手机号码作为索引,预先通过网站进行临时申请,异地一卡通后台根据用户的手机号码,与PKI验证数据进行比较,若在可授权范围内,即可将用户UCID作为异地一卡通系统授权数据,写入一卡通系统相应机具与后台。 将PKI应用于跨区域一卡通系统,只需增加用户认证模块,对原有企业一卡通系统无需做大的改造,即可实现用户使用一张卡同时在本地与异地进行一卡通应用的需求。系统实施的技术与商务门槛低。 3 结语 本文研究了利用移动认证PKI实现跨区域一卡通应用的方案。该方案将移动客户数字证书作为跨区域一卡通系统用户身份标记,通过离线或在线身份认证,来解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。可以较好地解决诸如大型企业、政府、连锁酒店等单位的跨区域一卡通应用需求,目前该研究方案已成功应用于某公司培训中心跨区域一卡通系统。 参考文献: [1] QB-E-053-2009. 中国移动PKI系统总体技术要求[S]. 2010. [2] QB-E-054-2009. 中国移动PKI系统业务规范[S]. 2010. [3] QB-E-062-2009. 中国移动PKI系统(U)SIM卡证书管理技术规范[S]. 2010. |