一种基于机场环境的一卡通证卡的制作方法

本发明涉及机场环境专用一卡通证卡领域，特别涉及一种基于机场环境的一卡通证卡。

背景技术：

随着机场客流量的增加，机场通行验证的通行通道点位数量、类型也在快速增长，不同通行通道点位面对的通行人员类型也有不同的划分，部分区域如包含商业功能的区域往往不同种类的通行人员数量较多，而飞行区域的通行人员种类、数量比较前者较少。此外，持证人存在长期值守、轮休调班等情况，对证卡多功能的需求也较大。

但是，现有技术中通常采用m1卡对安检系统进行单方面验证，以及存在证卡种类繁杂时没有有效分区解决的问题。

1、系统单方验证安全性问题：当前常规通行验证方法为前端机器读卡，所有区域的验证设备通过证卡内统一的一套密钥进行动态验证后，在后端服务端或前端保留的权限文件判断该机器是否存在通行权限。不同区域存相同密钥存在密钥单一、对后台系统的验证、同步权限文件的准确性有较高依赖性的问题。

2、证卡种类繁杂问题：当前机场工作人员由于存在长期值守、轮休调班等情况，在机场内部会存在工作服清洗、用餐、停车、住宿等需求，洗衣卡、停车卡、用餐卡等证卡种类繁多，有保管复杂、携带不便、协同管理难度较高的问题。

技术实现要素：

本发明的目的在于：提供了一种基于机场环境的一卡通证卡，解决了现有的机场一卡通证卡无法满足机场的安全通行验证在稳定、准确、高效的前提下，保证高安全性验证，并对证卡功能进行多种功能划分的重点需求。

本发明采用的技术方案如下：

一种基于机场环境的一卡通证卡，包括一卡通证卡以及与一卡通证卡配合使用的读卡机，所述一卡通证卡内由两个主模块构成，分别为cpu卡公共区域模块和cpu卡认证加密区域模块，所述公共区域模块内由des算法与系统内密钥加密，分为证卡基础信息子扇区、人员基础信息子扇区，用于存储一卡通证卡的证卡基础信息和人员基础信息；所述cpu卡认证加密区域模块包括cpu芯片cos系统和存储器，所述存储器内的扇区分为相互独立的安全通行扇区、消费扇区，其中：

安全通行扇区，分为至少2级安全通行验证的子扇区，且各级子扇区独立保存密钥，用于在一卡通证卡制证时写入具有通过权限的对应区域密钥，在通行验证时针对各自区域扇区对应的密钥进行权限验证；

消费扇区，分为钱包文件子扇区和记录文件子扇区，用于通过非接触式的方式与读卡机实现握手后，验证读卡机提出金额请求，在钱包文件子扇区中扣除或充入金额，并在记录文件子扇区中记录操作行为。公共区域扇区保存人员、证卡的基础信息，此区域信息仅进行基础的des算法与系统内密钥加密，仅做基础非敏感信息展示，不涉及任何应用权限获取。cpu扇区主要保存各应用数据、密钥与个人、证卡敏感数据，因此需要采用cpu卡进行保存，通过对扇区进行合理的规划，使通行、消费、其他各功能相互之间可以在各自的扇区内进行独立管理，卡片的制卡、功能激活与关闭操作都可在各职能部门单独进行，并投入使用。其中针对通行区域级别进行进一步扇区划分，用卡密钥写入验证的方式来限制通行权限，能有效减少网络、程序异常导致的开卡后需要联网更新后才能读卡、收回权限以后联网才能同步名单的问题。

进一步地，所述消费扇区分为餐饮消费子扇区、洗衣应用子扇区、停车应用子扇区。洗衣存取、停车进出模块功能中，对车辆进出、衣物存取类信息在卡片内进行保存、读取。停车、洗衣区域报文包括衣物、车辆id，衣物、车辆基本信息，衣物存入、车辆进入日期等。

进一步地，所述消费扇区采用pboc金融规范限制。进行各类消费时通过符合pboc金融规范对金融消费、卡片充值的行为进行限制。

进一步地，所述安全通行扇区依据通过人群数设定准入标准。通行区域分类基于该区域可通过人群设定标准，例如航站楼内商区，包含大量数量较大、流动性较大，比较复杂的通行人员名单的区域设置为a级；停机坪等通过人员数量、流动性较小的区域设置为b级，避免a级区域人员拥有b级区域的密钥，提高各个独立区域的密钥保密性。

进一步地，所述安全通行扇区与cpu芯片之间还设置连接有外部认证模块、信息获取模块、psam证书模块连接，其中：

外部认证模块获取一卡通证卡内文件的读取权限后，将信息获取模块与文件连接；

所述信息获取模块读取文件取出加密信息后传递到psam证书模块；

所述psam证书模块对加密信息进行解密获得明文信息。对信息进行加密防止明文读取信息；通过psam数字证书进行解密，避免在开发程序过程中暴露解密密钥，使用sm1算法能提高信息保密能力。

进一步地，还包括制卡系统，所述制卡系统生成根密钥后，通过一级分散因子生成通行区根密钥，通过二级分散因子分散为psam密钥和安全密钥，再通过证卡特征因子生成一卡通证卡内的分区密钥。制卡系统通过随机数与制卡人员第一组输入数组合作为根密钥，并通过制卡人员二次输入生成通行区根密钥，并以一卡通证卡内证卡基础信息和人员基础信息进行二级分散后，并通过母卡的特征因子分散写入一卡通证卡完成制证，这样的制卡方式能够综合多种加密方式的优点，在不提高制卡困难和使用困难的情况下，有效提高安全通行的安全性。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明一种基于机场环境的一卡通证卡，通过密钥的管理，从制卡流程开始限定该证卡对各个区域的通行权限，通行验证终端同时对后端验证结果与卡内密钥验证结果进行判断，可有效规范证卡通行区域的流程管理，并杜绝由于后端数据异常、人为篡改数据造成的不同区域通行权限误判；

2、本发明一种基于机场环境的一卡通证卡，在通行证内划分不同区域对不同的工作相关应用，例如工作服清洗、用餐、停车、私人物品存取等规划了应用区域，结合后台管理系统可有效实现一卡通证卡用，方便使用、管理整体功能；

3、本发明一种基于机场环境的一卡通证卡，基于当前民航机场对于证卡的权限变更管理流程规范中，必须回收卡片更换证卡后完成通行区域的权限更新的管理要求，可不必实现权限动态更新，有助于规范证卡通行区域的权限管理流程，虽然需要大内存的cpu卡，单卡成本较高，但节约了整体系统的管理成本、多个类型卡片的制作成本，降低了整体的运行成本。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是本发明一种实施例的结构示意图；

图2是本发明一种实施例的安全通行扇区认证过程；

图3是本发明一种实施例的设置cpu卡内安全通行扇区的制卡过程。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

下面结合图1、图2至图3对本发明作详细说明。

实施例1

本发明一种基于机场环境的一卡通证卡，包括一卡通证卡以及与一卡通证卡配合使用的读卡机，所述一卡通证卡内由两个主模块构成，分别为cpu卡公共区域模块和cpu卡认证加密区域模块，所述公共区域模块内由des算法与系统内密钥加密，分为证卡基础信息子扇区、人员基础信息子扇区，用于存储一卡通证卡的证卡基础信息和人员基础信息；所述cpu卡认证加密区域模块包括cpu芯片cos系统和存储器，所述存储器内的扇区分为相互独立的安全通行扇区、消费扇区，其中：

安全通行扇区，分为至少2级安全通行验证的子扇区，且各级子扇区独立保存密钥，用于在一卡通证卡制证时写入具有通过权限的对应区域密钥，在通行验证时针对各自区域扇区对应的密钥进行权限验证；

消费扇区，分为钱包文件子扇区和记录文件子扇区，用于通过非接触式的方式与读卡机实现握手后，验证读卡机提出金额请求，在钱包文件子扇区中扣除或充入金额，并在记录文件子扇区中记录操作行为。公共区域扇区保存人员、证卡的基础信息，此区域信息仅进行基础的des算法与系统内密钥加密，仅做基础非敏感信息展示，不涉及任何应用权限获取。cpu扇区主要保存各应用数据、密钥与个人、证卡敏感数据，因此需要采用cpu卡进行保存，通过对扇区进行合理的规划，使通行、消费、其他各功能相互之间可以在各自的扇区内进行独立管理，卡片的制卡、功能激活与关闭操作都可在各职能部门单独进行，并投入使用。其中针对通行区域级别进行进一步扇区划分，用卡密钥写入验证的方式来限制通行权限，能有效减少网络、程序异常导致的开卡后需要联网更新后才能读卡、收回权限以后联网才能同步名单的问题。

实施例2

本实施例在实施例1的基础上做出了如下进一步限定：所述消费扇区分为餐饮消费子扇区、洗衣应用子扇区、停车应用子扇区。洗衣存取、停车进出模块功能中，对车辆进出、衣物存取类信息在卡片内进行保存、读取。停车、洗衣区域报文包括衣物、车辆id，衣物、车辆基本信息，衣物存入、车辆进入日期等。所述消费扇区采用pboc金融规范限制。进行各类消费时通过符合pboc金融规范对金融消费、卡片充值的行为进行限制。所述安全通行扇区依据通过人群数设定准入标准。通行区域分类基于该区域可通过人群设定标准，例如航站楼内商区，包含大量数量较大、流动性较大，比较复杂的通行人员名单的区域设置为a级；停机坪等通过人员数量、流动性较小的区域设置为b级，避免a级区域人员拥有b级区域的密钥，提高各个独立区域的密钥保密性。所述安全通行扇区与cpu芯片之间还设置连接有外部认证模块、信息获取模块、psam证书模块连接，其中：

外部认证模块获取一卡通证卡内文件的读取权限后，将信息获取模块与文件连接；

所述信息获取模块读取文件取出加密信息后传递到psam证书模块；

所述psam证书模块对加密信息进行解密获得明文信息。对信息进行加密防止明文读取信息；通过psam数字证书进行解密，避免在开发程序过程中暴露解密密钥，使用sm1算法能提高信息保密能力。还包括制卡系统，所述制卡系统生成根密钥后，通过一级分散因子生成通行区根密钥，通过二级分散因子分散为psam密钥和安全密钥，再通过证卡特征因子生成一卡通证卡内的分区密钥。制卡系统通过随机数与制卡人员第一组输入数组合作为根密钥，并通过制卡人员二次输入生成通行区根密钥，并以一卡通证卡内证卡基础信息和人员基础信息进行二级分散后，并通过母卡的特征因子分散写入一卡通证卡完成制证，这样的制卡方式能够综合多种加密方式的优点，在不提高制卡困难和使用困难的情况下，有效提高安全通行的安全性。

以上，仅为本发明的优选实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的技术人员在本发明所揭露的技术范围内，可不经过创造性劳动想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书所限定的保护范围为准。