非对称密钥体系在粤通卡空中充值中的应用

2017-07-05 13:02刘少军
中国公共安全 2017年4期
关键词:数字证书公钥终端设备

□ 文/陈 喆 刘少军 李 洁

非对称密钥体系在粤通卡空中充值中的应用

□ 文/陈 喆 刘少军 李 洁

根据交通运输部发布的《交通运输部关于开展全国高速公路电子不停车收费联网工作的通知》中关于探索网上充值等服务模式的要求,广东于2015年率先推出了粤通卡空中充值系统,并创新性推出基于非对称密钥技术的认证充值终端的认证模式,基本解决了异地充值、充值网点有限等条件的限制,粤通卡用户更好的体验到简单、便捷的充值方式。

与传统的充值方式相比,空中充值有效弥补客服网点等实体渠道的不足,为客户提供多样化的灵活、便捷充值服务。空中充值的优点主要表现在服务理念的创新——将营业网点无限拉近到客户身边,减缓了营业网点的充值压力;提高服务质量——采用便利服务系统,不再受到时间和空间的限制。

数字证书介绍

非对称密钥加密也称为公钥加密,它使用公钥/私钥,构成一对,私钥用于加密数据,公钥用于解密,其中公钥可以提供给很多人,但私钥是特定个人所独有的。向用户传送公钥使用的分发机制是数字证书,因此数字证书也称公开密钥证书,由CA系统签发,在网络通信中标志通信各方身份信息的一系列数据。证书中最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途,目前最常用的证书格式X.509。

数字签名是一种使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名过程

首先对要签名的信息进行摘要运算(散列函数如MD5),然后将生成的摘要用私钥进行加密运算(如RSA)

验签过程

信息接收方获得签名者的数字证书,验证证书的有效性(有效期,颁发等),然后取出数字证书中的公钥对签名数据解密,获得摘要,然后对信息原文进行摘要运算,如果得到的摘要相同,则说明验签成功。

图1:证书签名及验签过程

基于非对称密钥技术的粤通卡空中充值系统应用

粤通卡“空中充值”是通过在电脑或手机上的简单操作来实现对粤通卡的充值办理。空中充值主要有转账和圈存两个步骤:转账时,用户可以直接通过第三方支付方式(支付宝、微信支付、网银、迷你付等)进行转账即可;圈存时,则需利用广东联合电子服务股份有限公司(以下简称“联合电子”)自行发行的读卡设备完成写卡。

粤通卡空中充值业务的读写卡设备称为充值终端设备,主要实现充值金额圈存到粤通卡中,包括联合电子自发的设备与机构接入方的设备,其中联合电子自发的设备需要自行实现发行与认证,设备中内置SE模块。

当粤通卡客户选择联合电子自发充值终端设备圈存时,可以通过手机APP与自发充值终端设备蓝牙交互,实现粤通卡的充值。

图2:自发充值终端设备的空中充值模式

自发充值终端设备与空中充值系统之间通过互联网或专线接入,数据传输建立在利用CA证书进行双向认证的基础之上。CA证书主要用途一方面用于服务器、终端双向认证,另一方面用于互联网加密通讯,具体安全架构体系统如下。

图3:安全架构体系

自发充值终端设备证书签发流程

自发充值终端设备中签发的数字证书完全符合ITUX.509 V3格式,兼容ITUX.509 V4标准。自发充值终端设备中的数字证书是通过与部中心连接的RA系统签发生成,设备证书申请流程如下:

图4:设备证书申请流程

自发充值终端设备安全认证流程

在粤通卡圈存过程中,对于内置数字证书的自发充值终端设备的双向认证是根据JR/T0025.3—2013《中国金融集成电路(IC)卡规范》第十六部分“IC卡互联网终端规范”实现,空中后台服务器与设备之间的安全通道,利用握手工作原理与处理中心建立端到端的逻辑安全通道。

图5:握手协议消息序列图

安全通道的建立协议由握手协议和记录协议两部分组成。其中握手协议用于完成充值终端与空充服务器的双向身份认证和会话密钥的交互过程,记录协议用于完成应用数据的加密传输具体握手协议流程如下。

总结

粤通卡空中充值系统是落实交通部鼓励探索网上充值等服务模式的战略部署,创新性推出充值终端安全认证模式,构建了全国充值模式最全面、充值手段最丰富的线上充值系统,在全国同行业中处于领先位置。该系统为广大粤通卡用户提供更加快捷方便的充值服务,实现足不出户,随时随地进行充值,使出行更加智能化、便捷化、人性化。此外,粤通卡空中充值已有成熟的加密和防篡改安全保障机制,可以最大程度保障信息的机密性、完整性和确证性,防止信息被篡改、伪造和假冒,有效保障用户的资金安全。

作者单位:陈喆:广东联合电子服务股份有限公司;刘少军、李洁:广州华工信息软件有限公司

猜你喜欢
数字证书公钥终端设备
案例教学法在公钥密码体制难点教学中的应用——以ssh服务中双向认证为例
基于MAC 认证的终端网络准入控制系统方案*
视频监视系统新型终端设备接入方案
神奇的公钥密码
国密SM2密码算法的C语言实现
P2X7 receptor antagonism in amyotrophic lateral sclerosis
行车记录仪通信连接方法、行车记录仪及终端设备
电网终端设备信息安全研究
基于数字证书的军事信息系统安全防护方案
数字签名保护Word文档