关于城市一卡通IC卡在线加值的解决方案

　　首先对城市一卡通IC卡在线加值解决方案的国内外发展背景进行了分析论述．提出IC卡在线加值要以住建部密钥系统为安全基础保证，并分析了IC卡在线加值安全保证的住建部密钥系统的的重要性。并对住建部密钥的结构进行分解分析；提出了IC卡在线加值系统的系统层次，安全容错方法，并归纳了在线充值的数据处理流程。

　　1论题提出的背景
　　
　　我国城市一卡通建设可说是如火如荼，很多二三线城市也已经或者正打算投入其中。城市一卡通是由公交一卡通演化而来，我国首次使用公交卡是在1993年的杭州，当时是以磁条卡的形式出现的，到今天，已经过去了19年，当初的接触式IC卡也已演变成了更加方便的非接触式IC卡。

　　国内首批集社保卡、公交卡、银行卡功能为一体的IC卡在苏州吴江市发行，吴江市民通过这张市民卡，可以办理社保、领取养老金、乘公交、游公园，并可缴水、电、煤气、电话费，同时也可用于银行储蓄等业务，适用于政府服务、公用事业、金融支付等三大领域12个重点行业。

　　截止到2011年8月份，按照住房建设部IC卡应用服务中心的数据统计，国内已启动城市一卡通的城市总量已达到367个，发卡总量超过1.8亿张。其中北京，上海等特大城市发卡量增长迅速，两城市发卡量均超3000万张。同时应用领域逐步扩大，从开始的公交刷卡，到现在已扩展到供水、煤气、出租、风景园林等公共事业领域，涉及40多个领域。此外，上海、天津、广州、长沙等许多城市都已经广泛应用了公交一卡通，可以说在一些地方，公交一卡通已经成为市民生活中必不可少的组成部分。

　　2在线加值安全之源-密钥系统
　　
　　住房建设部未来对全国范围内各级城市建设事业一卡通工程提供可靠的安全标准，开发了住房建设部IC卡密钥管理系统，提供了密钥管理的统一标准和IC卡的结构统一规范，提高了系统整体的安全性能。该密钥管理系统采取二级管理的模式，分为部级密钥管理系统和城市密钥管理系统。

　　2．1部级密钥
　　
　　住房建设部密钥管理中心负责产生全国范围内各行业使用的消费密钥，为各城市管理中心产生对应子密钥，并以母卡形式传输到各个城市。

　　(1)部级总控卡。由住房建设部主管领导生成．存储建设事业IC卡应用总控密钥。

　　(2)部级主密钥卡。由部级总控卡和相应业务密钥代码生成部级业务主密钥，如公交行业消费主密钥、TAC主密钥、应用维护主密钥等。

　　(3)城市主密钥卡。由部级主密钥卡和各地区行政编号生成各地区的城市主密钥卡。城市级密钥管理系统由经住房建设部IC卡应用服务中心授权并经城市行政主管部门认可的城市发卡机构管理和操作。

　　2．2城市级密钥
　　
　　各城市首先由主管领导生成城市总控卡。并结合住房建设部发放的城市主密钥卡生成城市密钥母卡。由城市密钥母卡生成并装载加值密钥卡卡、ESAM模块和用户卡密钥。

　　(1)城市总控卡。存储由各城市主管领导生成的地方总控密钥。

　　(2)城市主密钥卡。存储由城市主密钥卡和城市总控卡生成的城市应用主密钥。

　　(3)加值密钥卡。加值权限认证卡，嵌入用户卡读写器内．用于城市各加值网点的加值授权和认证。

　　2．3密钥的重要性
　　
　　在“城市一卡通”系统中，用户卡的加值业务是系统整体设计中的重要环节，一方面，应使用加值密钥卡卡进行加值授权认证，以保证系统安全性；另一方面，具体实现形式有脱机加值和在线联机加值两种解决方案。作为脱机加值方式，虽然初期投入成本较低，但存在着种种弊端和安全隐患。灰名单以及黑名单滞后发布、加值数据滞后上传造成清算不平衡、脱机加值设备损坏造成加值数据丢失、对加值操作的权限控制及业务监控能力不强等情况。上述情况的出现。都会对持卡用户及一卡通业主造成不必要的损失。随着网络连接成本的逐步降低以及用户对于系统安全性要求的进一步提高，联机加值方式逐渐成为首选方案。

　　3在线加值的实现

　　3．1在线加值结构及流程
　　
　　从系统设计角度看，联机加值系统应采用“三层体系结构”，即前台前端客户系统一中间件应用服务器系统一后台中一tl,数据库系统(图1)。通过中间件将前台前端客户系统与后台数据库联系起来．有利于系统的安全性、可靠性和可扩充性。

　　对于前端客户系统来说，除自建的中心服务中心网点外，还可利用超市、邮局及银行等机构的现有网点开办联机加值业务，以解决加值网点数量偏少。用户加值不方便的问题。由于在线加值的业务数据需要通过网络传输，因此在编制相应的异常处理流程时，需要充分考虑网络故障的情况，使前端客户系统数据与后台数据库保持数据一致性。

　　代理网点前端客户系统进行加值时，由IC卡读写器完成对卡片的加值操作，通过认证卡内密钥与加值密钥卡是否匹配来确定是否是本系统卡。前端客户系统程序发送给读写器读卡指令后，IC读写器会将卡内的信息发送给前端客户系统。如继续加值，那么需根据系统提示来确认加值金额。此时加值交易开始，前端客户系统将加值金额和相关内容组成加值请求报文，发送给中间件系统。中间件将按照先后顺序，首先判断请求报文是否合法以及有效，然后卡片是否合法的认证。认证通过后，后台交易流程开始．数据库记录本次加值交易数据，相应扣减网点的加值额度，并将加值内容通过前端客户系统返回给读写器。读写器根据发送回来的内容，再利用加值密钥卡卡计算加值密钥，依据加值规则对用户卡进行加值。加值成功后，由前端客户系统向后台返回加值成功报文，加值交易及后台交易流程均结束。

　　3．2容错处理
　　
　　如果加值过程中出现异常，则前端客户系统必须进入冲正流程。冲正流程的处理流程是卡片先冲正，再冲正后台数据，以保证数据安全性。

　　这样，一卡通中心可以通过向代理网点配备IC卡读写器的方式来授权其办理加值业务．并且可以实时监控各个网点的工作情况，从而解决使用脱机加值系统导致的黑名单滞后以及对加值操作的权限控制能力不强等种种问题。

　　3．3加值安全性保障
　　
　　在进行系统设计时，因为目前用户所用的IC卡一般为逻辑加密卡，卡片自身不具备MAC验证功能，所以在卡片结构规划设计时，需依照住房建设部规范，实行“一卡一密，一区一密”，同时将安全认证机制封装在前端IC读写器内部。前端客户系统在与中间件通讯时，通讯报文采用密文传输．DES算法加密。传输密钥由一卡通中心依据“一卡一密，一区一密”的原则事先生成，存放于加值密钥卡内。由前端客户系统／IC读写器利用传输密钥对通讯报文进行加、解密。以保证数据传输的安全性。

　　4结语
　　
　　总之，作为一种与常规加值方式完全不同的方案，IC卡在线加值通过对业务逻辑进行封装的方式，对前端客户系统开放中间件和读写器的通讯接口．达到了保证系统安全的目的。通过制定冲正流程，可以解决系统的数据一致性的问题，使得在线加值解决方案更加完善，从而可以推动城市一卡通系统的进一步发展。

　　而作为一种与传统加值思路完全不同的方式．要论证“IC卡在线加值”的合理性和安全性，最好的办法就是采用此方法为客户IC卡进行加值的操作，验证是否可行。此方式目前已在兰州及福州等城市试行，并取得了不错的效果。此文所论证的城市一卡通IC卡在线加值之解决方案切实可行，并提高了城市一卡通加值的安全性。