一種基于半在線密鑰的車輛出入控制系統和控制方法
【技術領域】
[0001 ]本發明涉及一種基于半在線密鑰的車輛出入控制系統和控制方法。
【背景技術】
[0002]車輛出入控制系統往往需要對車輛的CPU卡或電子標簽等出入憑證進行讀寫操作。為了完成該操作，需進行相關的密鑰計算。目前密鑰計算的方式主要有離線密鑰方式和在線密鑰方式。
[0003]其中，離線密鑰方式，通過在讀寫設備內安裝PSAM卡，由PSAM卡完成密鑰計算并返回計算結果。該方式具有計算響應速度快，不受網絡影響等特點。但由于每個出入口都需要配備PSAM卡，而且全部安全操作都在PSAM卡中完成，存在PSAM卡流失和惡意使用等風險。
[0004]在線密鑰方式，車道工控機或天線通過網絡向密鑰系統發送密鑰計算請求，密鑰系統將計算結果返回給車道端。無需發放PSAM卡，提高了密鑰安全性，但受網絡環境影響較大，當網絡性能較差時，會出現密鑰計算響應慢甚至無法提供密鑰計算服務，使車道無法正常交易。
[0005]因此，無論是離線密鑰方式還是在線密鑰方式均存在其自身的缺點，亟待解決。

【發明內容】

[0006]為了克服現有技術的不足，本發明的目的在于提供一種基于半在線密鑰的車輛出入控制系統和控制方法，將PSAM卡與后臺管理系統和密鑰系統結合在一起，既解決了依賴網絡質量的問題，也解決了 PSAM卡被盜和惡意使用的問題。
[0007]為解決上述問題，本發明所采用的技術方案如下:
[0008]方案一:
[0009]—種基于半在線密鑰的車輛出入控制系統，包括:PSAM卡、讀寫設備、通行控制系統、后臺管理系統和密鑰系統，所述PSAM卡安裝于讀寫設備的內部并與讀寫設備電性連接，所述讀寫設備與通行控制系統電性連接，所述通行控制系統和后臺管理系統通過網絡連接，所述后臺管理系統和密鑰系統通過網絡連接;所述讀寫設備用于從PSAM卡接收加密信號并通過通行控制系統將加密信號通過網絡發送至后臺管理系統，所述后臺管理系統用于通過密鑰系統對加密信號進行解密，以及接收密鑰系統返回的解密信號并根據解密信號向通行控制系統發送返回信號，所述通行控制系統用于通過讀寫設備將返回信號發送至PSAM卡，所述PSAM根據返回信號更新自身的工作狀態。
[0010]優選的，所述讀寫設備包括讀卡器和天線，所述PSAM卡和天線分別與讀卡器電性連接。
[0011 ]優選的，其特征在于，所述網絡為無線網絡。
[0012]方案二:
[0013]—種基于半在線密鑰的車輛出入控制方法，包括認證步驟和授權步驟，其中，
[0014]認證步驟包括以下步驟:
[0015]S103、PSAM卡產生隨機數，將自身的卡號進行加密得到加密信息，并將隨機數和加密信息分別通過讀寫設備和通行控制系統發送至后臺管理系統；
[0016]S104、后臺管理系統通過密鑰系統對加密信息進行解密并接收密鑰系統返回的解密信息，然后對解密信息中的數據進行驗證，若驗證通過則通過密鑰系統對隨機數進行密鑰計算，并接收密鑰系統返回的密鑰結果；
[0017]S105、后臺管理系統將密鑰結果通過分別通行控制系統和讀寫設備發送至PSAM卡；
[0018]S106、PSAM卡對密鑰結果進行校驗，若校驗通過則進入正常工作狀態；
[0019]授權步驟包括以下步驟:
[0020]S201、通行控制系統向后臺管理系統發起授權請求；
[0021]S202、后臺管理系統根據授權請求生成授權信息，并將授權信息發送至通行控制系統；
[0022]S203、通行控制系統通過讀寫設備將授權信息發送至PSAM卡；
[0023]S204、PSAM卡根據授權信息對自身的授權信息進行更新。
[0024]優選的，在認證步驟中，在步驟S103之前還包括以下步驟:
[0025]S101、通行控制系統向讀寫設備發送自身的IP地址信息；
[0026]S102、讀寫設備將接收到的IP地址信息發送至PSAM卡；
[0027]在步驟S103中，PSAM卡將IP地址信息和自身的卡號進行加密得到加密信息。
[0028]優選的，在步驟S102中，讀寫設備還將自身的序列號發送至PSAM卡中；在步驟S103中，PSAM卡將IP地址信息、序列號和自身的卡號進行加密得到加密信息。
[0029]優選的，在步驟S104中，對解密信息中的數據進行驗證的方法為:判斷IP地址信息、序列號和卡號是否均滿足合法性條件和一致性條件，若滿足則驗證通過;其中，合法性條件為IP地址信息、序列號和卡號均為已注冊、已啟用和不在黑名單中，一致性條件為IP地址信息、序列號和卡號三者為綁定關系。
[0030]優選的，所述授權信息為授權使用時間、授權使用次數和授權使用金額中的一種或多種。
[0031]優選的，當PSAM卡首次上電或者重新上電，則首先執行認證步驟且在步驟S106中校驗通過，再執行授權步驟。
[0032]優選的，當PSAM卡中的授權信息的額度小于預設閾值時，觸發并執行授權步驟。
[0033]相比現有技術，本發明的有益效果在于:
[0034]1、在讀寫設備中安裝PSAM卡，將PSAM卡與后臺管理系統和密鑰系統結合在一起，通過三者之間的通信交互完成認證和授權，既可以解決依賴網絡質量的問題，也可以解決PSAM卡被盜和惡意使用的問題，在網絡需求和安全性之間找到平衡點。2、PSAM卡在首次上電或者再次上電后都需與后臺系統進行認證步驟，認證成功后，還需要申請授權，因此在認證并授權后PSAM卡才可以正常工作，并且是在授權范圍內正常工作，當授權額度不足時，需要再次請求授權才可以繼續正常工作，但不需要再次認證。因此，在認證成功且授權范圍內，即使出現網絡異常，仍可以正常提供授權值范圍內的密鑰計算服務。而當PSAM卡流失，由于無法通過認證，PSAM卡交易所需密鑰不可使用，不會導致安全漏洞。
【附圖說明】
[0035]圖1為本發明基于半在線密鑰的車輛出入控制系統的結構圖；
[0036]圖2為本發明的認證步驟的流程圖；
[0037]圖3為本發明的授權步驟的流程圖。
【具體實施方式】
[0038]下面，結合附圖以及【具體實施方式】，對本發明做進一步描述:
[0039]如圖1所示，一種基于半在線密鑰的車輛出入控制系統，包括:PSAM卡、讀寫設備、通行控制系統、后臺管理系統和密鑰系統，所述PSAM卡安裝于讀寫設備的內部并與讀寫設備電性連接，所述讀寫設備與通行控制系統電性連接，所述通行控制系統和后臺管理系統通過網絡連接，所述后臺管理系統和密鑰系統通過網絡連接。其中，讀寫設備包括讀卡器和天線，所述PSAM卡和天線分別與讀卡器電性連接，所述網絡優選為無線網絡。
[0040]當PSAM卡在授權范圍內會向讀寫設備提供密鑰服務，讀寫設備讀取CPU卡或者OBU設備的信息后會請求PSAM卡提供密鑰，只有在PSAM卡成功提供密鑰，通行控制系統才能完成交易處理并放行車輛。
[0041]上述基于半在線密鑰的車輛出入控制系統的基本工作原理如下:當PSAM卡上電后，會發送加密信號至通行控制系統，由通行控制系統將加密信號發送至后臺管理系統，后臺管理系統通過密鑰系統對加密信號進行解密并從密鑰系統中接收返回的解密信號，然后驗證解密信號中的信息是否滿足條件，若滿足條件則生成返回信號發送至讀寫設備，由讀寫設備將返回信號發送至PSAM卡，當PSAM卡收到返回信號則進入正常工作狀態。在PSAM卡處于正常工作狀態中，當通行控制系統檢測到PSAM卡的授權額度不足時，會向后臺管理系統發送授權請求，后臺管理系統根據授權請求向通行控制系統發送授權信號，由通行控制系統和讀寫設備將授權信號轉發至PSAM卡中，PSAM卡根據授權信號中的信息進行更新。
[0042]本發明的基于半在線密鑰的車輛出入控制系統的優點在于:在讀寫設備中安裝PSAM卡，將PSAM卡與后臺管理系統和密鑰系統結合在一起，通過三者之間的通信交互完成認證和授權，既可以解決依賴網絡質量的問題，也可以解決PSAM卡被盜和惡意使用的問題，在網絡需求和安全性之間找到平衡點。
[0043]如