随着公交IC卡在其它领域拓展和跨城市互通实现，一卡多用、城市间互通已成为建设事业IC卡应用发展的主流。但是，这些应用涉及到多个单位，甚至是不同的城市，如何保证乘客的利益不受到损失、如何保证多个运营主体之间的资金安全等等一系列安全性问题摆在人们面前。 

　　公交IC卡主要为大众百姓服务，因此方便百姓出行，实现公交卡“一卡多用”成为公共交通IC卡的发展方向。推广城市交通一卡多用将会提高城市公共服务设施的服务质量和服务水平，提高参与一卡多用的企、事业单位的管理能力，符合建设现代化信息城市的目的,公交IC卡的应用目前已经从最初的公交应用，扩展到出租、地铁、轨道交通，还有燃气、供水、社区、银行、公园景点等多领域应用。城市的互联互通也成为方便百姓出行的一大亮点，目前涉及这些领域或部分领域的城市包括上海、南京、北京、杭州、郑州、宁波、大连等多个城市。 

　　如何建设一个安全的一卡多用、互联互通应用系统，也成为人们关注的焦点之一，以下从几个方面来阐述这个问题。 

一、卡片安全 

　　1、卡类型的选择 

　　卡类型的选择是保证系统安全的重要的因素之一，因为它和用户的利益息息相关，成为决定系统能否正常运行的重要因素之一。 
按芯片类型的不同，IC卡大致可分为：存储器卡、逻辑加密卡、和CPU卡三种。 

　　（1）存储器卡：也叫非加密存储器卡，卡内的集成电路芯片主要是EEPROM，这个EEPROM是一个电擦除可编程只读存储器EEPROM， 它仅有数据存储功能，不具有数据处理功能，存储卡本身不提供硬件加密功能，只能存储通过系统加密过的数据，很容易被破解，因而一般用于存放不需要保密的信息。 
　　（2）逻辑加密卡：卡内的集成电路包括加密逻辑电路和电擦除可编程只读存储器EEPROM，也就是在非加密存储器卡的基础上增加了加密逻辑电路，加密逻辑电路通过校验密码方式来保护着卡和卡中数据的安全。该类卡片存储量相对较小，价格相对便宜，适用于有一定保密要求的场合。 
　　（3）CPU卡：也称智能卡，卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS（Card Operating System）。 

　　其中，RAM用于存放运算过程中的中间数据，ROM中固化有COS，COS是用户的应用程序与卡的交互界面；是卡内各硬件部件（RAM、PROM、EEPROM）的总调度师；是卡的安全卫士；是实现各相关国际标准的基础。COS通常都是自己的安全体系，它的安全性能通常是衡量COS的重要技术指标。

　　COS的功能包括：传输管理、文件管理、安全体系、命令解释。 

　　EEPROM用于存放持卡人的个人信息以及发行单位的有关信息。CPU管理信息的加/解密和传输，严格防范非法访问卡内信息，发现数次非法访问，将锁死相应的信息区（也可用高一级命令解锁）。

　　CPU卡的容量有大有小，价格比逻辑加密卡要高。但CPU卡的良好的处理能力和上佳的保密性能，使其成为IC卡发展的主要方向，以下对CPU卡做一详细介绍。

　　CPU卡的特点 

　　1）芯片和COS的安全技术为CPU卡提供了双重的安全保证 
　　2）自带操作系统的CPU卡对计算机网络系统要求较低，可实现脱机操作；而存储器卡必须在完善的网络环境下使用。 
　　3）可实现真正意义上的一卡多应用，每个应用之间相互独立，并受控于各自的密钥管理系统。 
　　4）存储容量大，可提供1K-64K字节的数据存储间 
　　5）使用寿命长，数据存储时间可达十年以上 

　　CPU卡的主要功能 

　　1）身份认证： 对持卡人、卡终端和卡片三方的合法身份做认证 
　　2）安全保密模块：使用相应的密钥实现加密、解密以及处理，从而完成与用户卡之间的安全认证。 
　　3）数据载体：CPU卡可做为个人档案或重要数据的安全载体，数据可至少保存10年以上。

　　由于CPU卡在安全性等方面具备很多优点，随着CPU卡成本的降低，而逻辑加密卡又在安全上经受着越来越多的挑战，将会有更多的城市采用CPU卡或逐步向CPU卡进行过渡。 

　　2、密钥安全 

　　一卡多用、互联互通应建立在统一的技术标准、统一的安全体系、统一的结算机制基础上，为保障应用系统的安全性，系统建设应采用统一的建设事业IC卡密钥管理系统和安全认证模块，同时进一步加强密钥系统本身的安全机制和标准加密算法研究，以确保系统的安全性能。

　　建设事业IC卡密钥管理系统采用高度加密的3DES加密算法，支持相应的RSA非对称算法，通过先进的网络技术、IC卡技术和加密技术，实现多行业的密钥分散和统一分发，满足各城市在多个行业的安全应用要求，从而达到一卡多用、城市间互联互通目标。 

二、设备的安全 

　　相对于消费业务来讲，用户卡的充值业务在系统安全设计中则显得更加重要，应用ISAM卡进行充值授权认证，是保证系统安全性的重要手段。目前，充值方式有脱机充值和在线联机充值两种解决方案。作为脱机充值方式，虽然初期投入成本较低，但存在着种种弊端和安全隐患。 

　　1、操作员未及时上传充值记录造成用户卡清算不平衡； 
　　2、黑名单发布滞后； 
　　3、脱机充值设备损坏造成充值记录丢失； 
　　4、不能实现充值操作的实时权限控制； 
　　5、脱机充值设备和设备内ISAM卡的物理安全也成为系统的隐患之一。

　　以上几种情况，均会对IC卡用户及IC卡运营商造成不必要的损失。随着网络连接成本的逐步降低以及用户对于系统安全性要求的进一步提高，联机充值方式逐渐成为首选方案。

　　从系统设计角度看，联机充值系统应采用三层体系结构，即前台客户机系统、中间件应用服务器系统、后台中心数据库系统。通过中间件将前台客户机与后台数据库联系起来，有利于系统的安全性、可靠性和可扩充性。同时系统采用经行业认证的加密机，每一笔充值交易所需的密钥认证和授权以及数据的加密传输，都通过加密机进行，从而避免了每一个终端设备都必须安装ISAM卡和终端设备损坏、数据丢失的问题，有效地保证了密钥的安全和系统的安全。 

三、交易记录的安全
 
　　交易记录主要包括充值交易记录、消费交易记录，交易记录涉及到乘客的切身利益和运营主体的资金问题，因此必须采取有效手段要保证交易数据的有效性和完整性。
 
　　1、终端设备形成交易记录时,均应产生交易认证码(TAC码)。脱机设备TAC码由SAM卡产生，联机在线设备TAC码由后台硬件加密机设备产生，每条交易记录均使用TAC机制保证数据的完整性，使交易数据不可篡改、不可伪造，上传后，后台使用硬件加密机进行TAC校验。TAC码(Transaction Authentication Code)即交易验证码。TAC码是通过将原始交易记录的交易时间,交易金额等数据项进行加密计算而产生的交易验证码。其设计目的是通过生成和验证基于密钥的TAC，能够保证交易记录产生的合法性，防止人为生成交易记录之类的欺诈行为。
　　 2、脱机终端设备应保证交易数据不丢失,交易过程中断导致交易未正常完成时,终端设备应具有在规定的时间内提示和恢复功能。
　　 3、清算中心和分系统结算中心之间的所有的数据交换均使用MAC认证，采用硬件加密机进行MAC的生成和校验，即保证了处理速度又提高了系统的安全性。 

四、后台系统及网络的安全 

　　后台系统及网络的安全也不容忽视，否则用户卡的数据一旦没有得到有效的保护，后果不堪设想。建设一个安全的后台系统及网络，应注意以下几方面： 

　　1、关键的服务器尽量采用相对安全的操作系统如UNIX、LINUX； 
　　2、及时对操作系统进行升级和补丁安装； 
　　3、安装网络版杀毒软件并及时升级； 
　　4、建立不同权限的数据库用户，对数据库登陆要严格管理； 
　　5、建立完善的数据库备份方案和有效的灾难恢复机制； 
　　6、定期更换数据库、操作系统、网络设备密码； 
　　7、采用防火墙将IC卡应用网络与日常办公、互联网进行隔离，仅允许通过授权的端口进行数据传输或访问。 

五、安全管理制度

　　虽然在系统设计和建设中，我们考虑了很多安全因素，但是如果单位内部出现问题，安全管理制度不健全，或不按操作规程执行，将重要的信息透露给外界，有意无意间使系统遭到破坏，都会造成严重的后果。譬如，密钥卡的存放、领取、归还都要有详细、严格的规定，相关人员必须严格执行等等。因此，建立一套健全的安全管理制度，加强人员管理，也是保证系统安全性的重中之重。
 
　　综上所述，随着科学技术的不断发展、一卡多用和互联互通应用的不断拓展，系统安全将会遇到越来越多的挑战，只有从IC卡、设备、交易过程、后台系统及网络、管理制度等方面不断完善，同时采用建设事业IC卡密钥管理系统及正在制订的关于一卡多用和互联互通的相关标准，才能建设一个安全、可靠、可信的系统，才能更好地为百姓服务。