【導讀】在總體設計中要處理好項目公司、銀行方、資源方以及持卡者（市民）四者。城市“一卡通”項目的目標是實現(xiàn)金融支付的電子化和行業(yè)信息管理的電子化?！翱ā弊鳛榻鹑谂c信息的載體，持卡人通過持卡消費，才能達到這個目的。為電子錢包、第三部分是社保基金帳戶。因此電子存折資金流與目前銀行信用卡或儲蓄。從基本電子存折圈存到電子錢包也是電。方、持卡者（市民）與特約商戶之間。在本系統(tǒng)中，卡片做為資金和信息的載體，有著重要的作用。卡流程與發(fā)卡流程，對提高整個系統(tǒng)的效率起著重要的作用?？ㄆ靼ㄓ脩艨ㄆ骱蛯Ｓ每ㄆㄆ鲀蓚€方面。專用卡片指用于認證和密鑰管理的SAM卡。片流程，在詳細調(diào)研的基礎上，做好卡片流的規(guī)劃和管理。管理中心對信息進行加工，并產(chǎn)生各種應用。是城市居民用來進行消費的IC卡，用它來代替貨幣，這里稱為城市城市通卡。為了方便居民，售卡、充值點要多，一般。公廁、路橋等的收費機，還有各種手持收費POS機。

　　

【正文】 知各設備使用備 用密鑰進行交易，停止原密鑰組的使用。二是一旦密鑰泄露，立即停止系統(tǒng)的使用，并生成新的密鑰組，重新發(fā)行到各級實施機構(gòu)，同時通知用戶到具體實施單位更 新用戶卡上的密鑰組，完成泄密系統(tǒng)密鑰體系的重新構(gòu)成。 、系統(tǒng)的安全保障 、智能卡的安全特性 CPU卡就是一臺微型計算機，它不僅存儲容量大，而且具有很強的數(shù)據(jù)處理能力和保密性能。 CPU卡的安全體系從概念上可以分為安全狀態(tài)、安全屬性、安全機制、密碼算法和密鑰管理機制。 密鑰的安全特性為 CPU卡的安全奠定了基礎 。密鑰的安全特性表現(xiàn)在以下幾方面： ? 密鑰具有獨立性，密鑰的功能完全由密鑰的類型來決定。用于某種特定功能的密鑰不能被其他功能使用。 ? 密鑰的使用都有一定的權(quán)限控制， CPU卡上的密鑰在滿足指定的權(quán)限后，可以修改和使用，但不可讀出。 ? 主控密鑰用于密鑰的加密裝載；傳輸密鑰用于保護要傳送的報文；維護密鑰用于文件的加密寫入。 、加密 /解密算法 A、標準的 DES 算法 在密鑰管理系統(tǒng)中，密鑰長度均為 16字節(jié)，采用標準的 3DES 加密算法。 16字節(jié)密鑰 K 由左 8字節(jié) KL和右 8字節(jié) KR組成 K=（ KL||KR），密鑰將 8字節(jié)明文數(shù)據(jù)塊 X 加密成密文 Y的方法如下： Y=DES（ KL） [DES1（ KR） [DES（ KL[X]） ]] 解密的方法如下： X=DES1（ KL） [DES（ KR） [DES1（ KL[Y]） ]] B、密鑰分散算法 簡稱 Diversify,是指將一個雙長度（ 16字節(jié)）密鑰 MK，對某種代碼進行分散處理，推導出一個雙長度的密鑰 DK。在密鑰管理系統(tǒng)中，上級為下級產(chǎn)生密鑰以及生成用戶卡上密鑰時，均采用密鑰分散算法。 推導 DK左半部分的方法是： ? 將分散數(shù)據(jù)的最右 16個數(shù)字作為輸入數(shù)據(jù)； ? 將 MK 作為加 密密鑰； ? 用 MK 對輸入數(shù)據(jù)進行 3DES 加密運算。 推導 DK右半部分的方法是： ? 將分散數(shù)據(jù)的最右 16個數(shù)字取反，作為輸入數(shù)據(jù)； ? 將 MK 作為加密密鑰； ? 用 MK 對輸入數(shù)據(jù)進行 3DES 加密運算。 、安全報文傳送 卡 與外界進行數(shù)據(jù)交換時，若以明文方式傳輸，容易被攻擊者劫獲，掌握卡中的數(shù)據(jù)，并可能篡改傳輸?shù)臄?shù)據(jù)。為了避免以上情況的發(fā)生，在數(shù)據(jù)傳輸過程中，采用安 全報文傳輸。三種常用的安全報文傳送方式為： 1. 完整性保護，即對傳輸?shù)臄?shù)據(jù)附加 4字節(jié) MAC 碼； 2. 機密性保護，即對轉(zhuǎn)輸?shù)臄?shù)據(jù)進 行 DES 加密；3. 機密性和完整性保護，即對傳輸?shù)臄?shù)據(jù)進行 DES 加密后再附加 4字節(jié) MAC碼。數(shù)據(jù)完整性和對發(fā)送方的認證通過 MAC 碼實現(xiàn)，數(shù)據(jù)的可靠性通過對數(shù)據(jù)的加密 來得到保證。 、密鑰管理機制 密鑰管理機制符合 “中國金融 IC 卡試點 PSAM卡應用規(guī)范 ”。各種密鑰的裝載、更 新和導出必須采用安全報文傳送方式實現(xiàn)。 PSAM卡的結(jié)構(gòu)嚴格遵循 “中國金融 IC 卡試點 PSAM卡應用規(guī)范 ”的規(guī)定?？ńY(jié)構(gòu)嚴謹、安全性能好。在 MF/DF下，文件創(chuàng)建和密鑰裝載是在卡片 /應用主控密鑰的控制下進行的； DIR目錄數(shù)據(jù)文 件記錄各子應用的入口地址；卡片 /應用維護密鑰控制 MF/DF 下數(shù)據(jù)文件的安全更新。 、系統(tǒng)特點 密鑰管理系統(tǒng)的顯著特點是通用，安全，標準，操作方便。 通用性 密鑰管理系統(tǒng)可廣泛應用于金融、工商、建設等各種領域的 IC 卡應用系統(tǒng)中。在功能各異的各種 IC 卡應用系統(tǒng)中，密鑰管理功能是相同的，密鑰管理系統(tǒng)具有很強的通用性。 安全性 密鑰管理系統(tǒng)能夠確保密鑰在產(chǎn)生，下發(fā)，更新過程中絕對保密，從而保證卡在發(fā)行，使用過程中的安全性。 標準性 密鑰管理系統(tǒng)嚴格遵循 “中國金融 IC 卡試點 PSAM卡應用規(guī)范 ”和中國金融集 成電路卡規(guī)范。 實用性 密鑰管理系統(tǒng)功能強大，具有良好的用戶操作界面和聯(lián)機幫助，操作簡單、方便，具有很強的實用性。 該密鑰管理系統(tǒng)將在建設事業(yè)城市一卡通系統(tǒng)中得到廣泛應用，目前已通過建設部的專家評審。 、城市城市通卡發(fā)卡系統(tǒng) 城市 “一卡通 ”系統(tǒng)工程發(fā)卡管理系統(tǒng)負責將卡片廠商提供的空白卡制作成城市城市通卡成品卡，然后將成品卡發(fā)到持卡人（市民）的手中，同時將發(fā)卡數(shù)據(jù)和持卡人信息存到項目公司數(shù)據(jù)交換中心的數(shù)據(jù)庫中。 IC 卡發(fā)卡系統(tǒng)的建立應在充分考慮各發(fā)卡銀行和用卡單位（資源方）現(xiàn)有的系統(tǒng)、業(yè)務管理模式以及 “一卡通 ”未來的發(fā)展模式。 、卡片檔案管理 對于系統(tǒng)使用的卡片型號、供應廠家、版本、容量、文件結(jié)構(gòu)、表面圖案等要求建立檔案，存檔管理； 、卡片出入庫管理 每一批次出入庫的卡片狀態(tài)、數(shù)量、型號、用途、供應商等信息的管理； ? 認證卡片供應商提供的卡片的合法性，認證生產(chǎn)商傳輸密鑰； ? 按照嚴格的測試方案測試卡片的性能：物理性能和軟件性能； ? 將卡片供應商的傳輸密鑰替換為卡片發(fā)行商自己的卡片主控密鑰，即空白卡的洗卡過程。 ? 、卡片發(fā)卡系統(tǒng) 建立卡片文件結(jié)構(gòu)； ? 從母卡上導出 密鑰安裝到用戶卡的密鑰文件中； ? 寫入個人化信息； ? 用戶卡的發(fā)行過程分以下幾個階段： 第一階段： 由 項目實施最高管理機構(gòu)發(fā)行生產(chǎn)商母卡和制造主密鑰卡。經(jīng)授權(quán)的卡片生產(chǎn)商領取生產(chǎn)商母卡后，將測試合格的芯片制成卡片并安裝卡片制造密鑰，項目具體實施單 位直接向卡片生產(chǎn)商訂購卡片，領取卡片后，使用項目實施最高管理機構(gòu)下發(fā)的制造主密鑰卡來檢驗所訂購卡片的合法性。確?？ㄆ谶\輸過程中的安全，并有效防 止非法指定生產(chǎn)商提供的卡片被使用。 第二階段： 項目具體實施單位使用項目實施最高管理機構(gòu)為其發(fā)行的業(yè)務密鑰卡來發(fā)行 用戶 卡。項目具體實施單位為每張用戶卡產(chǎn)生一個唯一的應用序列號，即用戶卡卡號，使用業(yè)務密鑰卡中的業(yè)務密鑰對應用序列號進行分散，產(chǎn)生對應的業(yè)務子密鑰安裝 在用戶卡上，因此，每張用戶卡上的業(yè)務子密鑰都具有唯一性，提高了安全性。 第三階段： 卡片的個人化。由項目具體實施單位將用戶的個人基本信息寫入用戶卡。 第四階段： 項目具體實施單位將卡發(fā)放給用戶，用戶進行卡片初始充值交易后，即可使用卡片。 第五階段： 如 果系統(tǒng)在投入使用一段時間后，其他新的應用要增加到本系統(tǒng)中，最安全的方式是把所有已經(jīng)發(fā)行的卡片收回，建立新的 應用后再發(fā)還到用戶手中，可是這種方案的 可操作性差，費時費力；可行性的方式是授予指定的某個或某幾個發(fā)行點具有添加新應用的權(quán)限，利用下發(fā)的具有添加應用功能的密鑰母卡和相應的發(fā)行程序，在不 影響卡片上已存在的應用的情況下，將新的應用添加到用戶卡上，同時啟用新應用；添加應用的操作要嚴密控制其進行，具有最高的安全性。 、發(fā)卡模式 城市 “一卡通 ”系統(tǒng)所發(fā)行使用的城市通卡是跨行業(yè)、多應用的 IC 卡，同時還要具有金融功能，所以在發(fā)卡方面涉及的單位或行業(yè)較多。另外也要考慮到卡應用的可擴充性。 城市 “一卡通 ”系統(tǒng)工程 在 IC 卡發(fā)行方面有兩種模式，一種是統(tǒng)一發(fā)卡模式，另外一種是分散發(fā)卡模式。 、統(tǒng)一發(fā)卡模式 在統(tǒng)一發(fā)卡模式下，銀行和各行業(yè)將自己的密鑰卡及密鑰控制卡交項目公司數(shù)據(jù)交換中心，由項目公司數(shù)據(jù)交換中心統(tǒng)一對 IC 卡進行初始化，并導入相應的密鑰。 用 戶申請城市通卡時，在售卡、充值點填入相應的個人信息，并在銀行中建立相應的電子存折帳戶。售卡、充值點將相應的發(fā)卡信息上傳到數(shù)據(jù)交換中心和銀行，并通 過網(wǎng)絡下傳到各行業(yè)應用中心，這樣在整個系統(tǒng)中，持卡人的城市通卡就能應用了。對于一些特殊行業(yè)，如社保，持卡人在拿到 城市通卡后，還要到相應的行業(yè)管理 中心進行注冊，行業(yè)管理中心中 IC 卡中本行業(yè)的應用目錄中填入相應的信息（如社保要加入個人社保信息）后，城市通卡才能在本行業(yè)中使用。 在統(tǒng)一發(fā)卡模式下，城市通卡上 IC 卡各行業(yè)應用目錄在初始化時就全部建立起來了，相應的密鑰也已經(jīng)導入。 、分散發(fā)卡模式 在 分散發(fā)卡模式下，項目公司數(shù)據(jù)交換中心在做 IC 卡初始化僅建立基本應用目錄，導入交換中心的基礎密鑰，然后 IC 卡再拿到銀行進行初始化。城市居民在申請城 市通卡中，填入個人基礎信息，銀行為持卡人建立電子存折帳戶，即在城建通 卡上開通金融應用。售卡、充值點將發(fā)卡信息和個人信息傳輸入到銀行主機和項目公司 數(shù)據(jù)交換中心。 如果持卡人要在卡上開通其它行業(yè)應用，要到相應的行業(yè)管理中心開通該行業(yè)應用。由行業(yè)管理中心在城市通卡上加入相應的行業(yè)應用區(qū)，并導入行業(yè)應用密鑰。寫入相應的行業(yè)信息，這樣就持卡人就可以在該行業(yè)進行應用了。 在分散發(fā)卡模式下，城市通卡上 IC 卡各行業(yè)應用目錄是在加入行業(yè)應用時建立并導入相應的密鑰， 、兩種發(fā)卡模式的比較 如 上所述，統(tǒng)一發(fā)卡模式 IC 卡所有行業(yè)應用目錄是在 IC 卡初始化時建立，用戶拿到卡時，所有的 行業(yè)應用目錄都已經(jīng)存在，一些不需要進行行業(yè)個人化的行業(yè)應用 可以當時就開通。對于要進行行業(yè)個人化的行業(yè)只需到相應的行業(yè)管理中心進行個人化即可。因為在卡上已經(jīng)留有空余的空間，可以進行系統(tǒng)擴展，再加入新的應用 時，需建立新的應用目錄。所以統(tǒng)一發(fā)卡模式下發(fā)卡較方便，也具有系統(tǒng)升級擴展能力。 分散發(fā)卡模式下，由于市民初次申請的 IC 卡只有基礎應用 和金融應用，如果要加入某一行業(yè)應用，還要到該行業(yè)管理中心開通該行業(yè)應用。加入新的應用目錄，并導入該行業(yè)密鑰，城市通卡使用時開卡較復雜。但這種發(fā)卡 方式較統(tǒng)一發(fā)卡模式基升級時 較簡，只需加入新的行業(yè)應用就可以了。 、發(fā)卡模式選擇 根據(jù)上面的論述，我們認為在城市 “一卡通 ”系統(tǒng)中，采用統(tǒng)一發(fā)卡模式較為適合。 城市通卡發(fā)放點可以設在銀行網(wǎng)點，城市居民在申請城市通卡時，同時開通行業(yè)應用。 三、系統(tǒng)網(wǎng)絡方案 、概述 本系統(tǒng)是一個分布集中式的網(wǎng)絡應用環(huán)境，在城市范圍內(nèi)，跨多個行業(yè)進行實施的，在網(wǎng)絡結(jié) 構(gòu)上分成一卡通管理中心、應用行業(yè)管理中心、銀行、前置機等多級網(wǎng)絡，另外前置機還應該可以通過遠程訪問的形式進行數(shù)據(jù)收集和數(shù)據(jù)下傳。另外在每級網(wǎng)絡內(nèi) 部還要組成一個小型的局域網(wǎng)， 所以系統(tǒng)網(wǎng)絡是由各個環(huán)節(jié)的局域網(wǎng)和它們之間的廣域網(wǎng)組成，它的建設也將分為廣域網(wǎng)建設和局域網(wǎng)建設兩部分。 隨著計算機網(wǎng)絡的不斷發(fā)展，在網(wǎng)絡建設方面應遵循以下原則： 網(wǎng)絡設計本著經(jīng)濟的原則，應該具有較高的性能價格比； 為適應高速發(fā)展的網(wǎng)絡技術(shù)，網(wǎng)絡設計一定要有可擴展性； 為保證網(wǎng)絡的安全與穩(wěn)定性，應采用先進與成熟的網(wǎng)絡技術(shù)； 網(wǎng)絡的傳輸速度要適應不同傳輸信息的要求； 網(wǎng)絡設備應該具有簡易的安裝與方便的管理方式； 網(wǎng)絡的設計應遵循通用的國際標準及開放性； 網(wǎng)絡設計一定要考慮到用戶需求。 、廣域網(wǎng)設計方案 、廣域網(wǎng)的組建模式 隨著通信技術(shù)和計算機技術(shù)的發(fā)展，建立集成通信與計算機融合為一體的高速信息網(wǎng)絡，實現(xiàn)信息的高速傳輸和交換，為開展 “城市一卡通 ”項目提供服務，目前有多種組網(wǎng)模式可以采用，下面對這幾種模式加以比較。 數(shù)字數(shù)據(jù)網(wǎng) (DDN) 是 利用數(shù)字信道提供半永久性連接電路傳輸數(shù)據(jù)信號的數(shù)字傳輸網(wǎng)絡。 DDN有數(shù)字電路和 DDN復用（或交叉連接節(jié)點）組成，網(wǎng)絡設備包括網(wǎng)絡節(jié)點、網(wǎng)絡接入單 元和用戶設備，能夠提供端到端的高速率、低延時、高質(zhì)量的數(shù)據(jù)通道，利用節(jié)點機或復用器組成點到點、一點到多點的語音、數(shù)據(jù)、 圖像通信。 DDN的優(yōu)點： DDN主要提供端到端的高速數(shù)字專線連接。 數(shù)字信息傳輸全程采用數(shù)字傳輸技術(shù)，傳輸質(zhì)量高。 信息傳輸速率高，網(wǎng)絡延時小。 網(wǎng)絡數(shù)據(jù)信息傳輸透明度高，可開展多種業(yè)務。 適合于數(shù)據(jù)信息流量大的數(shù)據(jù)通信。 網(wǎng)絡運行管理簡潔方便等等。 DDN的缺點： 由于信道是時分多路復用（ TDM），故速率是固定的，信道利用率低，網(wǎng)絡只能適用電路交換方式，要滿足多種業(yè)務需要，需具備較多信道。 即：分組交換網(wǎng)。主要采用分組交換技術(shù) ,向用戶提供多種 。 是中國最早建立的廣域數(shù)據(jù) 通信網(wǎng)，其特點是覆蓋面廣，支持 PVC 和 SVC，技術(shù)成熟。但 ，同時收費又不盡合理 ,目前已趨于淘汰。 Frame Relay是目前國際上應用比較多的廣域網(wǎng)通信技術(shù)之一，我們國家正在積極地推進 。目前 Frame Relay網(wǎng)絡主要向用戶提供永久虛電路，即 PVC的連接。相同速率的 Frame Relay接入，與 DDN端口相比，月租費用較低。有些電信局可能不提供相應業(yè)務。 PSTN網(wǎng)絡 即：公用電話網(wǎng)。主要提供撥號服務，傳輸速率及可靠性都相對比較低。從網(wǎng)絡設計的先進性來考慮 ，基本不作為大網(wǎng)的遠程網(wǎng)的通信信道。 ISDN網(wǎng)絡 ISDN的優(yōu)點： ISDN 是一種先進的網(wǎng)絡，在用戶終端之間傳輸數(shù)字化信號，可傳輸多種綜合業(yè)務，如：語音、數(shù)據(jù)、傳真、圖象、視頻等。 ISDN在計算機聯(lián)網(wǎng)、遠程通信、圖象傳輸 等領域能夠提供有效的連接。用戶只須配備一部 ISDN終端適配器，便可在保護原有的投資的同時，享受 ISDN服務。由于 ISDN本質(zhì)上是撥號網(wǎng)絡，所以， 使用 ISDN，只需付呼叫接通時的通信費，費用遠遠低于 DDN專線的費用；又因為 ISDN提供的傳輸速率較高，其通信效率則遠在 PSTN之上。 ISDN的缺點： 由于 ISDN近一年左右電信部門才開始引入的通信手