搜索
【摘要】文章对传统一卡通系统在跨区域应用时所面临的挑战进行分析,提出了基于移动认证PKI实现跨区域一卡通应用方案。该方案利用移动客户数字证书作为跨区域一卡通系统用户身份标记,可以有效解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。【关键词】一卡通PKI身份认证跨区域1、引言当前传统的一卡通市场发展相对成熟,用户已经习惯使用IC卡进行门禁、考勤、会员管理等应用。传统一卡通系统使用ID卡或IC卡,利用卡的物理ID或在卡上数据区域(扇区)写入用户ID,作为用户的身份ID,仅适合作为孤立的个体单位内部使用,不适合政府、大型企业、连锁酒店等客户的跨区域应用。跨区域一卡通应用面临以下挑战:(1)密钥管理问题:从安全性的角度而言,不同区域一卡通应用需要采用不同的应用密钥。而不同区域一卡通应用模式不完全一致,权限管理方式很难做到集中、垂直化管理,使得跨区域一卡通应用的密钥管理复杂。(2)非特定对象问题:跨区域应用的客户对象通常并不确定。一般而言,本区域内部人员相对固定;但外来人员不确定。(3)临时性问题:跨区域的一卡通应用通常时间较短,需要解决临时性授权问题。(4)系统安全性问题:卡的挂失需要涉及多个区域的系统数据更新。目前,通信运营商以CA为中心、以PKI(PublicKeyInfrastructure,公钥基础设施)体系为基础设施,发行具备内置移动客户数字证书的非接触卡或RFID-SIM卡,实现内部一卡通应用以及外部手机支付、电子票务公交一卡通等电子商务应用。2、系统方案2.1系统框图系统框图如图1所示。系统包括以下功能实体:(1)门禁感应器(考勤、消费机具)1)读取用户PKI相关数据,发送给一卡通业务平台进行处理;2)完成相应门禁、考勤、消费业务流程。(2)一卡通业务平台1)用户数据维护;2)配合机具完成相应门禁、考勤、消费、来访管理业务流程;更多文章)离线用户身份认证;4)在线用户身份认证;5)证书同步。(3)认证鉴权服务平台1)对用户PKI数据进行验证;2)与一卡通业务平台接口,实现证书同步。2.2业务流程流程说明如下:(1)用户在本区域一卡通应用流程用户在本区域一卡通应用流程如图2所示。1)读卡器产生随机数发送给通宝卡;2)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器;3)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台;4)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台;5)一卡通业务平台将用户的UCID作为用户内部身份信息写入相应的机具与应用数据库;6)对于常规应用场合,用户使用UCID作为门禁、考勤、消费等应用的用户ID;7)对高安全应用场合,一卡通业务平台使用用户证书对用户通宝卡进行本地离线验证或将相关数据(UCID、签名)转发给认证鉴权服务平台对用户身份进行认证。(2)用户跨区域一卡通应用流程用户跨区域一卡通应用流程如图3所示。1)用户通过网络申请异地一卡通权限,一卡通业务平台以用户手机号码为标记,记录用户授权信息;2)用户到达异地后,使用通宝卡进行刷卡;3)读卡器产生随机数发送给通宝卡;4)通宝卡对随机数进行数字签名,将签名后的数据发给读卡器;5)读卡器将签名相关数据(UCID、签名)发送给一卡通业务平台,一卡通业务平台转发给认证鉴权服务平台;6)认证鉴权服务平台对用户签名数据进行验证,返回错误或用户手机号码、用户证书给一卡通业务平台;7)一卡通业务平台将用户的UCID作为用户内部身份信息,同时将时限信息写入相应的机具与应用数据库;8)用户使用通宝卡进行异地一卡通应用(如门禁、消费、会议签到等)。2.3业务特点利用PKI进行异地一卡通应用,可以较好地解决跨区域企业一卡通应用所面临的问题。(1)由于用户的PKI是唯一数字身份标记,用户身份的合法性是后台通过PKI验证确定的,且与手机号码进行绑定。以手机号码作为索引,通过PKI验证过程,即可确认身份。因此对于跨区域应用,只需使用一张通宝卡即可。[论文网](2)对于密钥管理问题,PKI为非对称密钥体系,PKI数据验证通过认证鉴权服务平台或本地离线认证完成,门禁一卡通系统无需与卡共享密钥,从而解决了密钥管理问题。(3)对于非特定对象的临时跨区域应用问题,可以通过用户手机号码作为索引,预先通过网站进行临时申请,异地一卡通后台根据用户的手机号码,与PKI验证数据进行比较,若在可授权范围内,即可将用户UCID作为异地一卡通系统授权数据,写入一卡通系统相应机具与后台。将PKI应用于跨区域一卡通系统,只需增加用户认证模块,对原有企业一卡通系统无需做大的改造,即可实现用户使用一张卡同时在本地与异地进行一卡通应用的需求。系统实施的技术与商务门槛低。3、结语本文研究了利用移动认证PKI实现跨区域一卡通应用的方案。该方案将移动客户数字证书作为跨区域一卡通系统用户身份标记,通过离线或在线身份认证,来解决传统一卡通系统在跨区域应用时由于解决非特定对象临时跨区域使用问题而导致卡片应用文件数量大、密钥管理困难、用户信息需全局存储等问题。可以较好地解决诸如大型企业、政府、连锁酒店等单位的跨区域一卡通应用需求,目前该研究方案已成功应用于某公司培训中心跨区域一卡通系统。参考文献:[1]QB-E-053-2009.中国移动PKI系统总体技术要求[S].2010.[2]QB-E-054-2009.中国移动PKI系统业务规范[S].2010.[3]QB-E-062-2009.中国移动PKI系统(U)SIM卡证书管理技术规范[S].2010.1.绪论1.1研究背景网络被认为是互联网发展的第三阶段。网络的设计和实施能够带来切身实际的利益,城域网、企业网、局域网、家庭网和个人网络都是网络发展的体现。网络发明的初衷并不仅仅是表现在它的规模上,而是互联互通,资源共享,消除资源访问的壁垒,让生活更加方便、快捷、高效。随着网络技术的发展,网络在应用方面也体现出了很大的潜力,能够共享和调度成千上万的计算设备协同并发工作,能汇聚数百万计的信息资源加以归类、分析和发布,还可以让世界每一个角落的人们实时沟通交流。在现代高速发展的社会里,企业与企业之间的联系日益密切,大量的、复杂的信息交流显得由为重要。随着电子科技的高速发展,那些如何复杂大量的信息,通过网络技术帮助下,就可以轻而易举的从某一地方传送到另一地方,而且简单、快速、准确,给人们带来了很大的方便。而在现代企业中,网络技术在管理中的应用,已显得举足轻重。随着企业信息化进程的进一步深入和发展,计算机在企业中的应用越来越广泛,而企业对计算机的依赖越来越强。随着网络应用的日益丰富以及人们在日常生活中对网络依赖的日渐紧密,那么对于网络吞吐量,网络延时,网络链路的稳定性以及网络服务的多样性就会产生新的要求,同时也希望网络应用的花销能更加低廉,这样针对电信网络运营商所提供的服务将会产生巨大的挑战,本实时通信系统的成功应用将会给运营商们提供更加方便,快捷,稳定,并且低廉的网络运营成本,本实时通信系统帮助企业实现巨大的商业价值的同时也为用户带来的更加高效,快速,稳定并且廉价的网络服务资源。1.2选题理论1.2.1需求分析方法在软件的设计和开发过程中,需求分析是一个重要的阶段,是项目开发的基本要素,是项目实现和实行的关键。软件工程的需求分析指的是了解用户需求,在软件的功能上和客户沟通并且达成一致,评估软件的风险系数和项目需要付出的代价,最终形成一个完善设计实现的复杂过程。目前比较流行的软件需求分析方法有:结构化分析方法和面向对象的分析方法。1.结构化分析结构化分析方法给出一组帮助系统分析人员产生功能规约的原理与技术。它一般利用图形表达用户需求,使用的手段主要有数据流图、数据字典、结构化语言、判定表以及判定树等。结构化分析的步骤如下:①分析当前的情况,做出反映当前物理模型的DFD;②推导出等价的逻辑模型的DFD;③设计新的逻辑系统,生成数据字典和基元描述;④建立人机接口,提出可供选择的目标系统物理模型的DFD;⑤确定各种方案的成本和风险等级,据此对各种方案进行分析;⑥选择一种方案;⑦建立完整的需求规约。2.面向对象分析面向对象是在结构化设计方法出现很多问题的情况下应运而生的。从结构化设计的方法中,我们不难发现,结构化设计方法求解问题的基本策略是从功能的角度审视问题域。它将应用程序看成实现某些特定任务的功能模块,其中子过程是实现某项具体操作的底层功能模块。在每个功能模块中,用数据结构描述待处理数据的组织形式,用算法描述具体的操作过程。面对日趋复杂的应用系统,这种开发思路逐渐暴露了一些弱点。那么面向对象的分析首先根据客户需求抽象出业务对象;然后对需求进行合理分层,构建相对独立的业务模块;之后设计业务逻辑,利用多态、继承、封装、抽象的编程思想,实现业务需求;最后通过整合各模块,达到高内聚、低耦合的效果,从而满足客户要求。1.4.2系统开发设计方法软件的开发设计模型是将软件开发的整个过程、事件以及任务提取汇总而成的结构化框架。软件的开发包括了需求分析、系统设计、编码实现以及单元、系统测试等阶段,有时也会有一部分的后期维护阶段。软件的开发设计模型能够更加清晰、直观地反应出软件设计开发的全部过程,明确定义了开发过程中所需要完成的事件和任务。常见的软件设计模型有:边做边改模型、瀑布模型、原型模型、增量模型、螺旋模型、演化模型、喷泉模型、智能模型、混合模型等,下面将列举并介绍其中比较常用的两种模型。第2章实时通信系统的需求分析2.1客户业务需求分析网络如今已经成为人们日常生活中不可或缺的一部分,无论是个人娱乐还是工作拓展,以及将来的智能生活和办公需求,都需要网络的承载,随着网络应用发展的突飞猛进,人们对网络的承载能力,业务种类的多样性,以及网络的稳定性提出了更高,更多的要求。本通信系统针对自己的核心客户需求给出了不同的定制方案,本文针对各大客户的共同需求,有以下几个方面.1.网络带宽方面,要求核心网单口接入全面铺设10Gbps端口,最大单机承载达到960Gbps。2.服务多样性方面,要求全面支持IEEE802.1q,802.1p,802.1ad等全业务承载,对于多用户网桥要求支持基于虚拟专用局域网业务建连,对于核心网要求采用MPLS方式承载接入。3.网络稳定性方面,要求支持多链路,多接点通信保护,倒换时间不超过50ms,核心网保护需要支持BFD,FRR两种工作模式。4.链路维护方面,要求支持ITU-TY.1731的链路检测和诊断。5.网络运营质量和分级管理方面,要求支持层次化业务分级和管理。6.网管方面:需要提供图形化管理界面,需要具备跨厂商设备识别管理能力,动态路由计算能力,多业务配置管理能力。2.2网络拓扑和设备需求分析通过对客户现网运营拓扑的分析,本系统给出了适用的各种网络需求拓扑以及相应的设备安排。本系统的网络拓扑中需要包含一个MPLS核心域和多个以太网交换边缘域,称之为标准域。第3章实时通信系统的详细设计.....................24-443.1基于单点直通业务的模块功能设计...................24-343.2基于多点桥接业务的模块功能设计...................34-44第4章实时通信系统相关功能的实现...................44-604.1协议转换模块的实现...................45-544.2业务承载模块相关功能的实现...................54-60共2页:上一页12下一页第5章实时通信系统测试...................60-655.1端到端系统测试...................60-625.1.1链路保护业务承载测试...................605.1.2节点保护业务承载测试..................