18禁网站免费,成年人黄色视频网站,熟妇高潮一区二区在线播放,国产精品高潮呻吟AV

學習啦>論文大全>畢業(yè)論文>工學論文>通信學>

試論基于PKI的跨區(qū)域一卡通應用研究

時間: 寧靜642 分享

  【摘 要】文章對傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應用時所面臨的挑戰(zhàn)進行分析,提出了基于移動認證PKI實現(xiàn)跨區(qū)域一卡通應用方案。該方案利用移動客戶數(shù)字證書作為跨區(qū)域一卡通系統(tǒng)用戶身份標記,可以有效解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應用時由于解決非特定對象臨時跨區(qū)域使用問題而導致卡片應用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲等問題。

  【關鍵詞】一卡通 PKI 身份認證 跨區(qū)域

  1 引言

  當前傳統(tǒng)的一卡通市場發(fā)展相對成熟,用戶已經(jīng)習慣使用IC卡進行門禁、考勤、會員管理等應用。傳統(tǒng)一卡通系統(tǒng)使用ID卡或IC卡,利用卡的物理ID或在卡上數(shù)據(jù)區(qū)域(扇區(qū))寫入用戶ID,作為用戶的身份ID,僅適合作為孤立的個體單位內(nèi)部使用,不適合政府、大型企業(yè)、連鎖酒店等客戶的跨區(qū)域應用。

  跨區(qū)域一卡通應用面臨以下挑戰(zhàn):

  (1)密鑰管理問題:從安全性的角度而言,不同區(qū)域一卡通應用需要采用不同的應用密鑰。而不同區(qū)域一卡通應用模式不完全一致,權限管理方式很難做到集中、垂直化管理,使得跨區(qū)域一卡通應用的密鑰管理復雜。

  (2)非特定對象問題:跨區(qū)域應用的客戶對象通常并不確定。一般而言,本區(qū)域內(nèi)部人員相對固定;但外來人員不確定。

  (3)臨時性問題:跨區(qū)域的一卡通應用通常時間較短,需要解決臨時性授權問題。

  (4)系統(tǒng)安全性問題:卡的掛失需要涉及多個區(qū)域的系統(tǒng)數(shù)據(jù)更新。

  目前,通信運營商以CA為中心、以PKI(Public Key Infrastructure,公鑰基礎設施)體系為基礎設施,發(fā)行具備內(nèi)置移動客戶數(shù)字證書的非接觸卡或RFID-SIM卡,實現(xiàn)內(nèi)部一卡通應用以及外部手機支付、電子票務公交一卡通等電子商務應用。

  2 系統(tǒng)方案

  2.1 系統(tǒng)框圖

  系統(tǒng)框圖如圖1所示。

  系統(tǒng)包括以下功能實體:

  (1)門禁感應器(考勤、消費機具)

  1)讀取用戶PKI相關數(shù)據(jù),發(fā)送給一卡通業(yè)務平臺進行處理;

  2)完成相應門禁、考勤、消費業(yè)務流程。

  (2)一卡通業(yè)務平臺

  1)用戶數(shù)據(jù)維護;

  2)配合機具完成相應門禁、考勤、消費、來訪管理業(yè)務流程;

  3)離線用戶身份認證;

  4)在線用戶身份認證;

  5)證書同步。

  (3)認證鑒權服務平臺

  1)對用戶PKI數(shù)據(jù)進行驗證;

  2)與一卡通業(yè)務平臺接口,實現(xiàn)證書同步。

  2.2 業(yè)務流程

  流程說明如下:

  (1)用戶在本區(qū)域一卡通應用流程

  用戶在本區(qū)域一卡通應用流程如圖2所示。

  1)讀卡器產(chǎn)生隨機數(shù)發(fā)送給通寶卡;

  2)通寶卡對隨機數(shù)進行數(shù)字簽名,將簽名后的數(shù)據(jù)發(fā)給讀卡器;

  3)讀卡器將簽名相關數(shù)據(jù)(UCID、簽名)發(fā)送給一卡通業(yè)務平臺,一卡通業(yè)務平臺轉(zhuǎn)發(fā)給認證鑒權服務平臺;

  4)認證鑒權服務平臺對用戶簽名數(shù)據(jù)進行驗證,返回錯誤或用戶手機號碼、用戶證書給一卡通業(yè)務平臺;

  5)一卡通業(yè)務平臺將用戶的UCID作為用戶內(nèi)部身份信息寫入相應的機具與應用數(shù)據(jù)庫;

  6)對于常規(guī)應用場合,用戶使用UCID作為門禁、考勤、消費等應用的用戶ID;

  7)對高安全應用場合,一卡通業(yè)務平臺使用用戶證書對用戶通寶卡進行本地離線驗證或?qū)⑾嚓P數(shù)據(jù)(UCID、簽名)轉(zhuǎn)發(fā)給認證鑒權服務平臺對用戶身份進行認證。

  (2)用戶跨區(qū)域一卡通應用流程

  用戶跨區(qū)域一卡通應用流程如圖3所示。

  1)用戶通過網(wǎng)絡申請異地一卡通權限,一卡通業(yè)務平臺以用戶手機號碼為標記,記錄用戶授權信息;

  2)用戶到達異地后,使用通寶卡進行刷卡;

  3)讀卡器產(chǎn)生隨機數(shù)發(fā)送給通寶卡;

  4)通寶卡對隨機數(shù)進行數(shù)字簽名,將簽名后的數(shù)據(jù)發(fā)給讀卡器;

  5)讀卡器將簽名相關數(shù)據(jù)(UCID、簽名)發(fā)送給一卡通業(yè)務平臺,一卡通業(yè)務平臺轉(zhuǎn)發(fā)給認證鑒權服務平臺;

  6)認證鑒權服務平臺對用戶簽名數(shù)據(jù)進行驗證,返回錯誤或用戶手機號碼、用戶證書給一卡通業(yè)務平臺;

  7)一卡通業(yè)務平臺將用戶的UCID作為用戶內(nèi)部身份信息,同時將時限信息寫入相應的機具與應用數(shù)據(jù)庫;

  8)用戶使用通寶卡進行異地一卡通應用(如門禁、消費、會議簽到等)。

  2.3 業(yè)務特點

  利用PKI進行異地一卡通應用,可以較好地解決跨區(qū)域企業(yè)一卡通應用所面臨的問題。

  (1)由于用戶的PKI是唯一數(shù)字身份標記,用戶身份的合法性是后臺通過PKI驗證確定的,且與手機號碼進行綁定。以手機號碼作為索引,通過PKI驗證過程,即可確認身份。因此對于跨區(qū)域應用,只需使用一張通寶卡即可。[論文網(wǎng)]

  (2)對于密鑰管理問題,PKI為非對稱密鑰體系,PKI數(shù)據(jù)驗證通過認證鑒權服務平臺或本地離線認證完成,門禁一卡通系統(tǒng)無需與卡共享密鑰,從而解決了密鑰管理問題。

  (3)對于非特定對象的臨時跨區(qū)域應用問題,可以通過用戶手機號碼作為索引,預先通過網(wǎng)站進行臨時申請,異地一卡通后臺根據(jù)用戶的手機號碼,與PKI驗證數(shù)據(jù)進行比較,若在可授權范圍內(nèi),即可將用戶UCID作為異地一卡通系統(tǒng)授權數(shù)據(jù),寫入一卡通系統(tǒng)相應機具與后臺。

  將PKI應用于跨區(qū)域一卡通系統(tǒng),只需增加用戶認證模塊,對原有企業(yè)一卡通系統(tǒng)無需做大的改造,即可實現(xiàn)用戶使用一張卡同時在本地與異地進行一卡通應用的需求。系統(tǒng)實施的技術與商務門檻低。

  3 結(jié)語

  本文研究了利用移動認證PKI實現(xiàn)跨區(qū)域一卡通應用的方案。該方案將移動客戶數(shù)字證書作為跨區(qū)域一卡通系統(tǒng)用戶身份標記,通過離線或在線身份認證,來解決傳統(tǒng)一卡通系統(tǒng)在跨區(qū)域應用時由于解決非特定對象臨時跨區(qū)域使用問題而導致卡片應用文件數(shù)量大、密鑰管理困難、用戶信息需全局存儲等問題??梢暂^好地解決諸如大型企業(yè)、政府、連鎖酒店等單位的跨區(qū)域一卡通應用需求,目前該研究方案已成功應用于某公司培訓中心跨區(qū)域一卡通系統(tǒng)。

  參考文獻:

  [1] QB-E-053-2009. 中國移動PKI系統(tǒng)總體技術要求[S]. 2010.

  [2] QB-E-054-2009. 中國移動PKI系統(tǒng)業(yè)務規(guī)范[S]. 2010.

  [3] QB-E-062-2009. 中國移動PKI系統(tǒng)(U)SIM卡證書管理技術規(guī)范[S]. 2010.

191458