摘要：在现代社会中，智能卡应用业务领域非常广泛，同时扩展应用需求多样化，智能卡作为信息交换和资金支付的枢纽，与持卡人的衣食住行息息相关，涉及到交通领域和非交通领域，例如：公交、地铁、ETC、铁路、停车场、小额消费、小区门禁等。因此需要从智能卡应用领域的多样性，对密钥进行统一规划设计，实现跨领域、跨行业的通用，实现一张卡全城通用，乃至全国互通。本文中笔者详细论述了城市通卡应用中的密钥规划，希望以此有所贡献。

关键词：城市通卡 应用 密钥 规划

一、智能卡广泛应用于各大领域

按照相关部门已经发布的有关密码管理的要求，与行业相关的密钥交由相应的主管部门负责，但是应该在发卡主体部门的授权下写入到智能卡中。 例如：公交卡与卫生行业互通，有关健康医疗相关的密钥应由卫生部门来主管，但是卫生行业的密钥应在公交卡密钥体系的授权下装载。

同样，运输行业对于密钥也有各自的需求，交通运输部要求公交的智能化管理。各地城市通卡从便民利民角度，多数公交公司推出了换乘优惠、联乘优惠、累计优惠的措施。同时，考虑到学生、老人、军烈属的乘车优惠。为了实现这些业务，需要在卡内记录优惠策略与信息，这些更新信息将是运营单位与补助企业的清算依据，也是对优惠信息的安全保护，另外鉴于脱机应用的特殊性，智能卡内有一个专门数据存储单元，对卡片金额进行记录。在智能卡层面有一个应用锁定的功能，如果卡片丢失了，将会对卡片进行锁卡，钱包功能封闭，即使被人捡到，也不能使用。这样就会减少持卡人的损失。

二、现行智能卡的安全性存在缺陷

在智能卡体系中，是通过应用维护密钥对卡片应用安全、卡片数据安全进行保护。但是，现在大多数通卡密钥系统在设计初期，其PSAM卡内只装载一条维护根密钥，在进行智能卡发行过程中，大多是通过这唯一的根密钥分散出一条卡片级的维护密钥，用做保护卡片的锁卡、解锁、更新等应用。

这样，在技术上存在安全隐患，即通过这一张PSAM卡就可以对卡片进行锁卡、解锁、更新等多种操作。举例：如果个专用消费的POS机上的PSAM卡被以为被人捡到，同时该通卡公司的业务拓展了地铁应用。众所周知，现在国内的地铁大都改成分段计时收费。假如，此人乘坐某地铁线从始发站到终点站，本应需要支付全程金额。但是，由于一条密钥的弊端，这个人完全可以在上车前，通过他捡到的PSAM卡在下车的前一站对卡内的进站上车信息进行修改，实际可能只需支付一站地的票款。同理，在同样有这种分时分段收费的场所（高铁、高速公司、停车场），也会遇到风险。

三、城市通卡应用中的密钥规划措施

在密钥体系中，密码规划时应遵循唯一性、保密性、不可复用的原则进行统一规划。因此智能卡层面，我建议采用多种密钥进行卡片安全、应用安全、行业安全的分别保护，而不是之前的一个密钥做多种业务。

首先：卡片层次，应该有独立的卡片主控密钥和卡片维护密钥、以及内部鉴权密钥用于对卡片整体提供安全保障和卡片外部环境的安全鉴别，同时该层次的密钥只应由发卡主体保管，并且提供一个安全可控的访问接口，用于卡片二次应用的叠加实现与其他行业的互联互通。

其次：应用层次，针对不同应用设定专属的应用主控、应用鉴权、应用锁定、应用解锁等密钥。应用主控密钥仅存在于应用发行的主体单位，用于所属应用下各种数据文件的管理（新增、删除等）；应用鉴权分布于卡片和应用外部的受理终端，用于应用于外部环境的相互认证，只有合法应用以及合法的受理终端，才能进行交易；应用锁定存在于外部受理终端上的PSAM卡或者安全模块中，对于异常卡或者已经下发了黑名单的卡，进行应用锁定。保证应用内钱余额的安全；应用解锁密钥务必与应用锁定密钥分开，并且不能由同一根分散出来，存在于应用发行的主管部门，通过正常途径置黑的卡片，可以在受理网点以联机的方式对卡片解锁，并分析卡片置黑的原因。

最后：行业应用层次，需要结合卡片所开展的不同领域、不同行业进行规划。以行业密钥的方式写入到智能卡，这些行业密钥用于保护卡内不同行业数据的信息安全，只有在行业密钥的授权下才能对卡片数据进行更新。行业密钥应由行业主管部门管理，但是，卡片的发行单位具有完善的密钥管理系统，无论在机房环境还是业务风险管控方面都有成熟的经验，而行业管理单位可能不具备这些软硬件环境。因此有关行业密钥的管理，也可以通过协商的方式交由发行单位来托管。结合现有的应用场景，需要规划的行业密钥至少包括：公交信息更新密钥、地铁信息更新密钥、ETC更新密钥、高铁更新密钥、行业互通更新密钥、对外合作更新密钥等。

四、结语

由于智能卡的发行现状，还存在这大量的脱机应用场景。因此仍需发行PSAM卡或安全模块用于实现对卡片的读写与余额操作。根据受理终端的业务类型，应当发行多种类别的PSAM卡或安全模块。其发行规则之一就是，仅灌装与本行业应用相关的密钥。

例如：针对仅有一次扣费的公交车上PSAM卡内只有消费密钥和锁卡密钥，针对分段应用的公交车上应叠加一套公交信息更新密钥；对于地铁闸机内的密钥需要灌装地铁信息更新密钥和消费密钥；对于高速公路、铁路等领域涉及到金额大的场所内的PSAM卡内应加装消费密钥，相应的更新密钥应以联机的方式存放在设备的安全模块或车场主控单元内；对于存在行业互通、存在不同行业之间补扣金额的领域，PSAM卡内应叠加行业互通更新密钥等。

作者简介：

郭炯光（1983-），男，河北保定人，毕业于南昌理工学院，研究方向：智能卡应用领域。

有10多年的城市通卡建设经验。设计并参与了多个城市一卡通项目的建设；参与了住建部、交通运输部多个部委在智能ic卡在城市一卡通领域的标准制定；参与了某通信集团全国应用的密钥体系建设；参与国内首个网上自助充值系统的建设并负责通讯安全、设备安全、卡片安全等核心模块的开发；参与国内首个居民健康卡系统的建设，负责密钥、卡管等核心模块的建设；参与公安部某省居住证系统的密钥系统与卡片个人化系统的建设；在城市通卡领域，首次以采用cpu卡进行大规模发行，负责其卡管的建设；首次在通卡领域基于pboc2.0电子现金标准搭建了数据准备系统，并大规模应用。endprint