1、 项目概述

    1.1 开发背景

    改革开放以来，经济发展的同时带动了公路建设的飞速发展，高速公路通车里程不断增加，先进的现代化的路网格局初现端倪。随着我国加入世界贸易组织（WTO），可以预见这一发展势头将会更加迅猛。随着高速公路的不断发展以及车辆的不断增加，传统分路段手工收费系统的种种弊端显现无遗，联网收费系统出现解决的这一矛盾。联网收费的出现，也同时伴随着新的问题产生，那就是收费安全问题，主要体现在IC卡的密钥安全问题，如果没有一个安全的密钥管理体系，收费系统的安全漏洞将会给经营者带来不可估量的损失。密钥管理系统是保障联网收费系统安全的基本保证。

    因此，一个安全可靠的密钥管理系统是高速公路联网收费系统必须建立的系统。目前市面上各行各业的密钥管理系统都有它本行业的特点，对于高速公路联网收费系统来说，有的太过于复杂，操作起来非常麻烦，有的太过于简单，达不到安全的要求。

    本系统正是在这样背景下，力图要建设一个适合于高速公路联网收费系统的，操作起来简单，又可以达到安全要求的密钥管理系统。

    1.2 系统概述

    本系统是专门为高速公路联网收费系统设计的IC卡密钥管理系统，它是用于管理密钥的产生、派生及传输全过程的一整套安全可靠的解决方案，符合《建设事业IC卡应用技术》标准。

    本系统是一个密钥管理系统，同时也是一个数据库信息管理系统。在发卡的同时记录发卡信息，提供卡信息查询，发卡记录查询，报表查询等功能。但敏感数据不会保存在数据库里面。系统使用时，校验数据库里面的信息和IC卡上的信息，如果发现两方面的信息有任何一方被非法修改，则报警并拒绝这张卡的使用，直到问题被妥善处理。

    系统采用一级管理模式，不分使用区域，所有发出去的卡在同一个区域内使用。产品的分布采用“两级用户”的模式，即省“中心－发卡点”两级用户。IC卡上的敏感数据不会在两个级别之间的网络上传输，所有敏感数据只会在IC卡上保存。

    为了提高系统的安全系数，系统采用了多种安全手段，比如操作权限，刷卡登录，操作日志等措施。
在系统的部署和传输方面，采用三层应用结构，并且采用目前市面上流行的稳定的数据库系统，方便系统的发布。系统还采用自动更新的技术，如果有新的版本，系统将自动下载并且更新，不需要到各个发卡点去更新应用。

    1.3 假定约束

    ※ 系统参照的标准是建设事业部的标准。
    ※ 系统所建设的密钥管理系统只在高速公路联合收费系统中使用，不适合其他行业。
    ※ 高速公路联合收费系统的用户级别以省为单位，不适合其他级别的单位。在同一个省级单位内所发的IC卡无地市区域限制。

    1.4 设计原则

    为了确保密钥管理系统最终达到比较高的用户满意度，在系统设计中，尽量遵循以下原则：

    ※ 规范性原则：设计应该遵循国际和国内标准规范及相关规定。
    ※ 安全性原则：所设计的系统，必须达到安全标准。
    ※ 方便用户原则：开发的系统不仅能满足业务需求，还要有较好的实用性；从用户第一的角度进行设计，确保方便用户使用。
    ※ 易于维护原则：系统应采用模块化设计，便于安装、配置、维护和使用。

    1.5相关标准

    2、 需求约定

    2.1建设部规定

    建设部建办[1999]65号《关于建设事业IC卡应用管理工作的通知》中明确提出：“为确保各地IC卡应用系统，特别是发卡、充值、清算、资金划拨等环节高度的安全性，建设事业IC卡应用采取必要的安全管理机制，一律采用部IC办统一提供的密钥管理系统和机具安全模块”。

    建设事业部在《关于建设事业IC卡安全管理若干问题的说明》中要求：

    1、 建设系统IC卡密钥管理采用二级管理的模式，即部级密钥管理系统和城市级密钥管理系统。
    2、 部级密钥管理系统由建设部IC卡应用管理领导小组办公室（以下简称部IC办）管理，建设部IC卡应用服务中心具体执行。该系统主要功能是生成城市发卡机构使用的相关母卡。
    3、 城市级密钥管理系统由城市发卡机构管理和操作，由建设部IC卡应用服务中心提供。
    4、 城市发卡机构在开展IC卡应用之前，应首先向其上级主管部门提出使用城市级密钥管理系统的申请，而后由该主管部门向部IC办提出申请，待部IC办批准后，由该主管部门授权发卡机构使用。
    5、 城市发卡机构的发行充值安全认证卡所需的软件可以由部IC卡应用服务中心提供，或根据部IC卡应用服务中心提供的《建设事业IC卡密钥管理系统技术要求》和《建设事业IC卡城市密钥管理系统二次开发说明书》进行开发。
    6、 安全认证模块（主要用于供水、燃气、供暖等领域）的提供：此类模块由部IC卡应用服务中心根据城市的应用申请直接提供给终端生产厂商，终端生产厂商在产品出厂之前将其封装在产品内部，同时部IC卡应用服务中心向城市提供密钥更改卡，供城市更改安全认证模块中的密钥。

    下面三个图简单地描述了建设事业部密钥管理系统简单结构：

 图1 建设部的两级管理系统

图2 部级管理系统

图3 城市级管理系统