基于RSA加密算法的車道收費軟件授權認證管理系統

覃力更，何增鎮，王　彬

(廣西交通科學研究院，廣西　南寧　530007)

基于RSA加密算法的車道收費軟件授權認證管理系統

覃力更，何增鎮，王彬

(廣西交通科學研究院，廣西南寧530007)

覃力更(1973—)，男，高級工程師，主要從事智能交通系統技術研究與軟件開發工作；

何增鎮(1974—)，男，博士后，高級工程師，研究方向：智能交通系統技術與應用研究；

王彬(1984—)，男，軟件技術員，主要從事交通行業的軟件開發和管理工作。

廣西壯族自治區高速公路管理局科技項目(合同編號：GXZC2013-G3-30567-ZC-D)

摘要：車道收費軟件授權認證管理系統是高速公路聯網收費系統的一個重要組成部分。文章闡述了部署車道收費軟件授權認證管理系統的目的和必要性、功能流程、授權認證流程以及RSA密鑰管理方法，并介紹了車道收費軟件授權認證管理系統的編程開發與應用情況。

關鍵詞：高速公路聯網收費；車道收費軟件；授權認證管理；密鑰管理；RSA加密算法

0引言

隨著高速公路建設的飛速發展，高速公路路網逐步成形，對高速公路收費管理的要求就越來越高，聯網收費則是高速公路收費模式發展的必然趨勢。車道收費軟件是高速公路聯網收費系統中關鍵組成部分之一，其能否正確安裝和運行影響到整個收費管理系統的安全高效運行[1]。車道軟件授權認證管理系統就是為了保證車道收費軟件經過高速公路管理局的認可后能正確安裝和運行的一個關鍵子系統，從而保障聯網收費系統的安全運行。

1系統設計目的與必要性

1.1　車道軟件授權認證管理系統設計目的

車道軟件是收費系統收費數據的基本來源，任何細微的故障都有可能影響到系統報表的生成，影響到通行費的清分，而車道軟件的正確安裝和運行會牽涉到許多收費參數的設置和發布，簡單的拷貝運行很可能給后續的使用埋下安全隱患。認證的目的是保證該收費車道是經過高速公路管理局認可，所安裝收費軟件是通過正常途徑獲取并擁有軟件開發商技術支持保障的，以此保證系統數據的完整性和安全性，切實保證各業主的切身利益。

1.2　必要性

不采用車道軟件認證機制，會存在以下幾點安全隱患：(1)車道軟件隨意克隆拷貝，不法分子可通過內外勾結利用IC讀寫器管理上的疏漏，自己安裝車道收費系統，通過非法修改通行卡信息來偷逃通行費；(2)每個收費站的車道配置都有站代碼配置的區別，如果允許簡單克隆拷貝安裝，維護人員可能因疏忽而忘記修改站代碼，導致入口發卡寫入錯誤的站代碼，引起出口通行費計算錯誤，或者因為出口站代碼錯誤導致通行費費率查詢錯誤；(3)收費系統目前采用中間件進行數據傳輸，每個車道都有自己唯一的車道編號，并與高速公路管理局中心服務器中間件服務端配置對應，錯誤的車道號配置會導致數據傳輸失敗甚至出現丟失的情況；(4)收費系統每個車道都有自己唯一的IP網絡地址，錯誤的IP地址會導致車道網絡連接失敗，引起數據傳輸故障。

采用車道軟件認證機制，將每套車道軟件與該車道的站代碼、車道號、IP地址以及硬盤序列號嚴格綁定，在進入系統之前進行激活和認證檢查，未激活或者認證失敗不允許進入收費系統，避免以上四種情況發生。

2系統功能流程

(1)對于需要接入聯網收費系統的車道收費機，由經營業主向高速公路征費管理部門報送注冊信息(站代碼、車道號、車道IP、車道硬件序列號)。其中站代碼、車道號、車道IP可通過高速公路管理局規劃獲取，車道硬件序列號可通過技術手段遠程獲取。

(2)高速公路征費管理部門使用密鑰生成工具生成非RSA對稱加密密鑰對，包含一個公共密鑰，一個私有密鑰，密鑰長度至少1 024位。其中，公共密鑰發布到車道，私有密鑰由高速公路管理局專門人員妥善管理。授權文件只能由私有密鑰加密，使用公共密鑰解密，防止偽造。

(3)高速公路征費管理部門根據各經營業主單位報送的車道收費機注冊信息使用私有密鑰加密形成各車道的授權文件。每個車道擁有自己的授權文件，不能在車道之間混用。

(4)車道收費軟件開發商根據各經營業主單位報送的車道收費機注冊信息使用私有密鑰加密形成各車道的激活文件。每個車道擁有自己的激活文件，不能在車道之間混用。

(5)高速公路征費管理部門通過高速公路收費網絡，向申請認證的車道收費機，發布已生成的激活文件和授權文件到其收費系統目錄下。

(6)車道收費機收費程序運行時應先檢查激活文件和授權文件，用公鑰解密密文，得到明文信息(站代碼、車道號、車道IP、車道硬件序列號)。然后比較本機配置信息和明文信息，所有項目都匹配才能通過認證。不能通過認證的車道收費機，其收費程序不能進入正常收費界面。

(7)因硬盤損壞需重新安裝的車道收費機，須重新認證申報，并說明重新認證的原因和硬盤原有數據的處理方式及處理結果，經高速公路征費管理部門審核通過后才能獲取授權。

3授權認證流程

在高速公路征費管理部門內網需要部署兩套車道軟件授權認證管理系統，一套提供征費管理部門入網許可授權，一套提供車道收費軟件開發商的正版軟件認證。這兩套車道軟件授權認證管理系統的授權認證流程各有不同。

3.1　入網許可授權流程

向高速公路征費管理部門申請入網許可授權的流程如圖1所示。

圖1　入網許可授權流程圖

3.2　正版軟件認證流程

車道收費軟件開發商的正版軟件認證流程如圖2所示。

圖2　正版軟件認證流程圖

4RSA密鑰管理

4.1　RSA公鑰加密算法

當前，常見加密算法有：DES數據加密標準、3DES三重數據加密標準、RC2對稱算法、RC4對稱算法、IDEA國際數據加密算法、RSA公鑰加密算法、DSA數字簽名算法、AES高級加密標準、BLOWFISH、MD5等[2]。RSA是當前影響力最大的公鑰加密算法，可以抵抗絕大多數密碼攻擊，已被ISO推薦為公鑰數據加密標準。RSA公開密鑰密碼體制，即使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。在公開密鑰密碼體制中，加密密鑰(即公開密鑰)PK是公開信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法E和解密算法D也都是公開的。雖然解密密鑰SK是由公開密鑰PK決定的，但卻不能依據PK計算出SK[3]。其加密解密流程如圖3所示。

圖3　RSA加密解密流程圖

RSA算法是一種非對稱密碼算法，需要一對密鑰，使用其中一個加密，則需要用另一個才能解密[4]。

4.2　認證管理系統的RSA密鑰管理

為每一個認證提供者創建一個RSA密鑰(包括公鑰與私鑰)，其中私鑰用口令加密保存，在使用私鑰時需要用口令對已經加密的私鑰進行解密，同時口令以32位MD5散列碼的形式進行保存，以確保私鑰的安全。

如果每一次使用私鑰都需要用口令進行解密(如果每一次生成License時都需要用到私鑰進行簽)，那么效率將會極低。為了提高工作效率，可以在系統用戶會話過程(用戶登錄與退出)中首次使用私鑰時要求輸入私鑰解密口令，而之后的使用不再要求輸入私鑰解密口令；也可以在用戶登錄之后馬上要求輸入私鑰解密口令，之后的使用不再要求輸入私鑰解密口令。

4.2.1新建密鑰

創建新的認證提供者，同時為該認證提供者生成RSA密鑰：(1)輸入用戶信息及口令；(2)口令以32位MD5散列值的形式保存；(3)生成RSA密鑰，用口令對私鑰進行加密；(4)保存數據。

4.2.2重新生成密鑰

原則上RSA密鑰一旦生成，將不再允許更改，因為一旦更改了RSA密鑰，意味著所有車道收費軟件的公鑰及License需要重新生成。因此，該功能是萬不得已的情況下使用(如私鑰解密口令丟失或數據損壞)：(1)選擇要修改的密鑰；(2)輸入私鑰解密口令；(3)驗證口令是否正確；(4)生成RSA密鑰，用口令對私鑰進行加密；(5)保存數據。

4.2.3修改私鑰解密口令

(1)輸入舊口令、新口令、確認口令；(2)驗證舊口令是否正確；(3)用舊口令對私鑰進行解密；(4)用新口令對私鑰進行加密；(5)保存數據。

4.2.4新建申請

車道使用聯網收費系統，應先向相關管理部門提出授權申請：(1)填寫申請單內容(收費站車道IP地址、C盤序列號、收費站代碼、車道號)；(2)審核狀態為0-待審核；(3)保存數據。

5開發與應用

5.1　軟件編程開發與運行環境

車道軟件授權認證管理系統的編程開發與運行環境，操作系統為Windows 2000/2003/XP/7，數據庫為oracle 10 g，集成開發環境為Microsoft Visual Studio.NET 2005，系統開發語言為C#。

5.2　車道軟件授權認證管理系統的應用

車道軟件授權認證管理系統是高速公路聯網收費系統的一個重要組成部分，應用于廣西高速公路聯網收費網絡中，在高速公路征費管理部門的監管下，經過半年多的實際應用，從測試、試運行至正式運行，到目前為止運行良好。車道軟件授權認證管理系統既能保證整個收費系統的安全高效運行，又可切實保證各業主、軟件開發商、高速公路征費管理部門的利益。

6結語

在高速公路聯網收費系統中部署車道軟件授權認證管理系統，保證了廣西高速公路范圍內保證車道收費軟件的正確安裝和運行，確保收費系統數據的完整性和安全性，保障正常的高速公路收費管理秩序和經濟社會的良好運行。

參考文獻

[1]李永祥.高速公路聯網收費系統的研究[D].哈爾濱：哈爾濱工程大學，2006.

[2]梁貞，鄧必棟，何增鎮.高速公路ETC密鑰管理系統研究[J].西部交通科技，2012(7)：111-115.

[3]丁志虎.RSA算法的研究與分析[D].昆明：昆明理工大學，2013.

[4]百度百科詞條：RSA算法[EB/OL].http：//baike.baidu.com/view/10613.htm，2014-11-22.

Authorized Authentication Management System of Lane Billing Software Based on RSA Encryption Algorithm

QIN Li-geng，HE Zeng-zhen，WANG Bin

(Guangxi Transportation Research Institute，Nanning，Guangxi，530007)

Abstract：The authorized authentication management system of lane billing software is an important part of expressway network toll system.This article described the purpose，necessity，functional processes，authorization and certification process，and RSA key management methods of deploying the authorized authentication management system of lane billing software，and introduced the programming develop-ment and application situation of authorized authentication management system of lane billing software.

Key Words：Expressway network toll；Lane billing software；Authorized authentication management；Key management；RSA encryption algorithm

收稿日期：2015-02-03

文章編號：1673-4874(2015)02-0058-04

中圖分類號：U495

文獻標識碼：A

DOI：10.13282/j.cnki.wccst.2015.02.015

基金項目

作者簡介