摘要：在現(xiàn)代社會中，智能卡應(yīng)用業(yè)務(wù)領(lǐng)域非常廣泛，同時擴展應(yīng)用需求多樣化，智能卡作為信息交換和資金支付的樞紐，與持卡人的衣食住行息息相關(guān)，涉及到交通領(lǐng)域和非交通領(lǐng)域，例如：公交、地鐵、ETC、鐵路、停車場、小額消費、小區(qū)門禁等。因此需要從智能卡應(yīng)用領(lǐng)域的多樣性，對密鑰進行統(tǒng)一規(guī)劃設(shè)計，實現(xiàn)跨領(lǐng)域、跨行業(yè)的通用，實現(xiàn)一張卡全城通用，乃至全國互通。本文中筆者詳細論述了城市通卡應(yīng)用中的密鑰規(guī)劃，希望以此有所貢獻。

關(guān)鍵詞：城市通卡 應(yīng)用 密鑰 規(guī)劃

一、智能卡廣泛應(yīng)用于各大領(lǐng)域

按照相關(guān)部門已經(jīng)發(fā)布的有關(guān)密碼管理的要求，與行業(yè)相關(guān)的密鑰交由相應(yīng)的主管部門負責(zé)，但是應(yīng)該在發(fā)卡主體部門的授權(quán)下寫入到智能卡中。 例如：公交卡與衛(wèi)生行業(yè)互通，有關(guān)健康醫(yī)療相關(guān)的密鑰應(yīng)由衛(wèi)生部門來主管，但是衛(wèi)生行業(yè)的密鑰應(yīng)在公交卡密鑰體系的授權(quán)下裝載。

同樣，運輸行業(yè)對于密鑰也有各自的需求，交通運輸部要求公交的智能化管理。各地城市通卡從便民利民角度，多數(shù)公交公司推出了換乘優(yōu)惠、聯(lián)乘優(yōu)惠、累計優(yōu)惠的措施。同時，考慮到學(xué)生、老人、軍烈屬的乘車優(yōu)惠。為了實現(xiàn)這些業(yè)務(wù)，需要在卡內(nèi)記錄優(yōu)惠策略與信息，這些更新信息將是運營單位與補助企業(yè)的清算依據(jù)，也是對優(yōu)惠信息的安全保護，另外鑒于脫機應(yīng)用的特殊性，智能卡內(nèi)有一個專門數(shù)據(jù)存儲單元，對卡片金額進行記錄。在智能卡層面有一個應(yīng)用鎖定的功能，如果卡片丟失了，將會對卡片進行鎖卡，錢包功能封閉，即使被人撿到，也不能使用。這樣就會減少持卡人的損失。

二、現(xiàn)行智能卡的安全性存在缺陷

在智能卡體系中，是通過應(yīng)用維護密鑰對卡片應(yīng)用安全、卡片數(shù)據(jù)安全進行保護。但是，現(xiàn)在大多數(shù)通卡密鑰系統(tǒng)在設(shè)計初期，其PSAM卡內(nèi)只裝載一條維護根密鑰，在進行智能卡發(fā)行過程中，大多是通過這唯一的根密鑰分散出一條卡片級的維護密鑰，用做保護卡片的鎖卡、解鎖、更新等應(yīng)用。

這樣，在技術(shù)上存在安全隱患，即通過這一張PSAM卡就可以對卡片進行鎖卡、解鎖、更新等多種操作。舉例：如果個專用消費的POS機上的PSAM卡被以為被人撿到，同時該通卡公司的業(yè)務(wù)拓展了地鐵應(yīng)用。眾所周知，現(xiàn)在國內(nèi)的地鐵大都改成分段計時收費。假如，此人乘坐某地鐵線從始發(fā)站到終點站，本應(yīng)需要支付全程金額。但是，由于一條密鑰的弊端，這個人完全可以在上車前，通過他撿到的PSAM卡在下車的前一站對卡內(nèi)的進站上車信息進行修改，實際可能只需支付一站地的票款。同理，在同樣有這種分時分段收費的場所（高鐵、高速公司、停車場），也會遇到風(fēng)險。

三、城市通卡應(yīng)用中的密鑰規(guī)劃措施

在密鑰體系中，密碼規(guī)劃時應(yīng)遵循唯一性、保密性、不可復(fù)用的原則進行統(tǒng)一規(guī)劃。因此智能卡層面，我建議采用多種密鑰進行卡片安全、應(yīng)用安全、行業(yè)安全的分別保護，而不是之前的一個密鑰做多種業(yè)務(wù)。

首先：卡片層次，應(yīng)該有獨立的卡片主控密鑰和卡片維護密鑰、以及內(nèi)部鑒權(quán)密鑰用于對卡片整體提供安全保障和卡片外部環(huán)境的安全鑒別，同時該層次的密鑰只應(yīng)由發(fā)卡主體保管，并且提供一個安全可控的訪問接口，用于卡片二次應(yīng)用的疊加實現(xiàn)與其他行業(yè)的互聯(lián)互通。

其次：應(yīng)用層次，針對不同應(yīng)用設(shè)定專屬的應(yīng)用主控、應(yīng)用鑒權(quán)、應(yīng)用鎖定、應(yīng)用解鎖等密鑰。應(yīng)用主控密鑰僅存在于應(yīng)用發(fā)行的主體單位，用于所屬應(yīng)用下各種數(shù)據(jù)文件的管理（新增、刪除等）；應(yīng)用鑒權(quán)分布于卡片和應(yīng)用外部的受理終端，用于應(yīng)用于外部環(huán)境的相互認證，只有合法應(yīng)用以及合法的受理終端，才能進行交易；應(yīng)用鎖定存在于外部受理終端上的PSAM卡或者安全模塊中，對于異常卡或者已經(jīng)下發(fā)了黑名單的卡，進行應(yīng)用鎖定。保證應(yīng)用內(nèi)錢余額的安全；應(yīng)用解鎖密鑰務(wù)必與應(yīng)用鎖定密鑰分開，并且不能由同一根分散出來，存在于應(yīng)用發(fā)行的主管部門，通過正常途徑置黑的卡片，可以在受理網(wǎng)點以聯(lián)機的方式對卡片解鎖，并分析卡片置黑的原因。

最后：行業(yè)應(yīng)用層次，需要結(jié)合卡片所開展的不同領(lǐng)域、不同行業(yè)進行規(guī)劃。以行業(yè)密鑰的方式寫入到智能卡，這些行業(yè)密鑰用于保護卡內(nèi)不同行業(yè)數(shù)據(jù)的信息安全，只有在行業(yè)密鑰的授權(quán)下才能對卡片數(shù)據(jù)進行更新。行業(yè)密鑰應(yīng)由行業(yè)主管部門管理，但是，卡片的發(fā)行單位具有完善的密鑰管理系統(tǒng)，無論在機房環(huán)境還是業(yè)務(wù)風(fēng)險管控方面都有成熟的經(jīng)驗，而行業(yè)管理單位可能不具備這些軟硬件環(huán)境。因此有關(guān)行業(yè)密鑰的管理，也可以通過協(xié)商的方式交由發(fā)行單位來托管。結(jié)合現(xiàn)有的應(yīng)用場景，需要規(guī)劃的行業(yè)密鑰至少包括：公交信息更新密鑰、地鐵信息更新密鑰、ETC更新密鑰、高鐵更新密鑰、行業(yè)互通更新密鑰、對外合作更新密鑰等。

四、結(jié)語

由于智能卡的發(fā)行現(xiàn)狀，還存在這大量的脫機應(yīng)用場景。因此仍需發(fā)行PSAM卡或安全模塊用于實現(xiàn)對卡片的讀寫與余額操作。根據(jù)受理終端的業(yè)務(wù)類型，應(yīng)當(dāng)發(fā)行多種類別的PSAM卡或安全模塊。其發(fā)行規(guī)則之一就是，僅灌裝與本行業(yè)應(yīng)用相關(guān)的密鑰。

例如：針對僅有一次扣費的公交車上PSAM卡內(nèi)只有消費密鑰和鎖卡密鑰，針對分段應(yīng)用的公交車上應(yīng)疊加一套公交信息更新密鑰；對于地鐵閘機內(nèi)的密鑰需要灌裝地鐵信息更新密鑰和消費密鑰；對于高速公路、鐵路等領(lǐng)域涉及到金額大的場所內(nèi)的PSAM卡內(nèi)應(yīng)加裝消費密鑰，相應(yīng)的更新密鑰應(yīng)以聯(lián)機的方式存放在設(shè)備的安全模塊或車場主控單元內(nèi)；對于存在行業(yè)互通、存在不同行業(yè)之間補扣金額的領(lǐng)域，PSAM卡內(nèi)應(yīng)疊加行業(yè)互通更新密鑰等。

作者簡介：

郭炯光（1983-），男，河北保定人，畢業(yè)于南昌理工學(xué)院，研究方向：智能卡應(yīng)用領(lǐng)域。

有10多年的城市通卡建設(shè)經(jīng)驗。設(shè)計并參與了多個城市一卡通項目的建設(shè)；參與了住建部、交通運輸部多個部委在智能ic卡在城市一卡通領(lǐng)域的標(biāo)準制定；參與了某通信集團全國應(yīng)用的密鑰體系建設(shè)；參與國內(nèi)首個網(wǎng)上自助充值系統(tǒng)的建設(shè)并負責(zé)通訊安全、設(shè)備安全、卡片安全等核心模塊的開發(fā)；參與國內(nèi)首個居民健康卡系統(tǒng)的建設(shè)，負責(zé)密鑰、卡管等核心模塊的建設(shè)；參與公安部某省居住證系統(tǒng)的密鑰系統(tǒng)與卡片個人化系統(tǒng)的建設(shè)；在城市通卡領(lǐng)域，首次以采用cpu卡進行大規(guī)模發(fā)行，負責(zé)其卡管的建設(shè)；首次在通卡領(lǐng)域基于pboc2.0電子現(xiàn)金標(biāo)準搭建了數(shù)據(jù)準備系統(tǒng)，并大規(guī)模應(yīng)用。endprint