城市IC卡收費系統升級為CPU卡的典型問(wèn)題研究

文章出處：http://psychicreadingswithdeb.com 作者： 人氣： 發(fā)表時(shí)間：2012年02月20日

    一、CPU卡升級改造的意義

    1. M1卡被破解，給中國的IC卡市場(chǎng)帶來(lái)沖擊

    邏輯加密卡的安全性問(wèn)題越來(lái)越引起各地IC卡主管部門(mén)及各運營(yíng)單位的高度重視，住房和城鄉建設部IC卡應用服務(wù)中心、工業(yè)和信息化部、相關(guān)省市政府部門(mén)均下發(fā)了專(zhuān)門(mén)的通知，對當前大量使用M1芯片的非接觸式邏輯加密卡的IC卡發(fā)行與應用單位的IC卡情況進(jìn)行調查，同時(shí)，相關(guān)部門(mén)也提出了各應用單位根據實(shí)際情況逐漸實(shí)現IC卡從邏輯加密卡向CPU卡升級的相關(guān)要求。

    作為城市IC卡收費系統，從本質(zhì)上屬于一個(gè)準金融的系統。它直接面對的是錢(qián)。充值和消費環(huán)節的安全性，直接影響到公司的生存、發(fā)展、聲譽(yù)。

    2. 采用非接觸CPU卡是技術(shù)發(fā)展趨勢，CPU更適合于一卡通應用

    作為M1邏輯加密卡替代產(chǎn)品的CPU卡芯片內部都有雙重安全機制，第一重是芯片本身集成的加密算法模塊，芯片設計公司通常都會(huì )將經(jīng)實(shí)踐檢驗最安全的幾種加密算法集成入芯片，目前比較常見(jiàn)的安全算法有RSA，3-DES等。第二重保護則是CPU卡芯片特有的COS（Card Operation System）系統，COS可以為芯片設立多個(gè)相互獨立的密碼，密鑰以目錄為單位存放，每個(gè)目錄下的密鑰相互之間獨立。同時(shí)COS內部還設立密碼最大重試次數以防止惡意攻擊。由此可見(jiàn)，非接觸式CPU卡比非接觸式邏輯加密卡具有更高的安全性。

    除此以外，CPU卡可以實(shí)現真正意義上的“一卡多用”，每個(gè)應用相互獨立并受控于各自的密鑰管理系統。不同應用可以共享一個(gè)“錢(qián)包”，也可以分別擁有各自的“錢(qián)包”。服務(wù)商可以通過(guò)使用CPU卡進(jìn)行更加靈活有效的管理，用戶(hù)也能使用CPU卡實(shí)現多功能應用的需求。

    3. 市場(chǎng)上舊有的車(chē)載機面臨升級換代的需求

    鑒于城市IC卡收費系統中所采用的早期型號的車(chē)載機，已經(jīng)運營(yíng)很多年的時(shí)間，作為精密電子設備，在目前車(chē)輛的實(shí)際運行環(huán)境下，由于顛簸、振動(dòng)、灰塵等其它外界環(huán)境的因素，同時(shí)由于車(chē)輛運行狀況的不斷惡化，車(chē)載機長(cháng)期工作在相對比較惡劣的電磁環(huán)境下，導致車(chē)載收費機部分元器件的基本參數下降，再者電子元器件本身也存在自然老化的現象，綜合這些因素使得車(chē)載機性能出現下降。由于元器件老化所造成的車(chē)載機性能下降的趨勢在逐步增加，車(chē)載機本身的故障率也有所提高，維護量在不斷上升。由于車(chē)載機性能的下降，也必將會(huì )造成持卡人與司乘人員之間的糾紛上升。同時(shí)車(chē)載收費機的性能下降將導致將來(lái)的清算劃撥出現問(wèn)題。

    二、城市IC卡收費系統升級為CPU卡過(guò)程中存在的問(wèn)題研究

    1. 明確需求、統一標準、加強合作

    作為系統軟件的升級，面臨的首要問(wèn)題就是需求分析，只有做好仔細、深入的調研分析工作，才能為系統平穩、安全的升級奠定基礎。從系統的角度出發(fā)，在需求調研和分析中對收集到的用戶(hù)需求進(jìn)行分類(lèi)和優(yōu)化，結合行業(yè)標準進(jìn)行系統抽象化并通用化。

    目前住房和城鄉建設部于2009年頒布的《建設事業(yè)CPU卡操作系統技術(shù)要求》和《建設事業(yè)非接觸式CPU卡芯片技術(shù)要求》是我們遵循的行業(yè)標準。該標準的發(fā)布和實(shí)施為城市IC卡收費系統升級CPU卡提供了依據。相關(guān)的軟件、硬件開(kāi)發(fā)商需要對這些標準進(jìn)行有效的貫徹和實(shí)施，制定CPU卡結構、交易流程、充值和消費數據結構等相關(guān)技術(shù)文檔，統一的標準有助于未來(lái)城市間互聯(lián)互通的實(shí)現。我們相信《城市互聯(lián)互通通用技術(shù)要求》、《城市互聯(lián)互通卡清分清算技術(shù)要求》、《城市互聯(lián)互通卡密鑰及安全技術(shù)要求》系列標準的頒布將會(huì )規范和推動(dòng)城市一卡通互聯(lián)互通。

    在需求調研和分析過(guò)程中，要堅決避免倉促上馬，調研不充分現象的發(fā)生。城市IC卡收費系統CPU卡的升級，面臨著(zhù)部IC卡中心、IC卡運營(yíng)單位、軟件開(kāi)發(fā)廠(chǎng)商、車(chē)載機生產(chǎn)廠(chǎng)商、POS機生產(chǎn)廠(chǎng)商、合作單位開(kāi)發(fā)商等多家供應商之間的合作，因此，統一領(lǐng)導和制定統一的執行規范變得尤為重要。同時(shí)為了防止在升級過(guò)程中的穩定性，我們建議盡量不要增加新的開(kāi)發(fā)單位，以避免扯皮、推諉現象的發(fā)生。

    2. M1卡與CPU卡共存的問(wèn)題

    現在全國大部分的城市已經(jīng)開(kāi)通了城市一卡通或者公交IC卡收費系統，并且具有了一定的M1卡保有量，如何使得系統進(jìn)行平穩升級，是各個(gè)城市面臨的實(shí)際問(wèn)題。

    從數據的角度上來(lái)講，將M1卡數據和CPU卡數據進(jìn)行區分是一個(gè)更好的解決方法。它既兼顧了數據的獨立性、安全性，同時(shí)為未來(lái)取消M1卡后，數據的維護奠定了基礎。

    從清算的角度上來(lái)講，將M1卡數據和CPU卡數據進(jìn)行區分，將有助于數據的明確劃分和對賬，也便于對問(wèn)題數據的定位。

    從系統的角度上來(lái)講，同時(shí)進(jìn)行系統軟件和硬件中嵌入式軟件的開(kāi)發(fā)，并且在系統正式使用前進(jìn)行充分的測試，將有效的避免M1卡和CPU卡共存的情況下，系統發(fā)生沖突的問(wèn)題。

    從應用的角度上來(lái)講，盡量維持原有操作界面，將更多的代碼變化放在程序內部完成，這樣避免二次培訓的問(wèn)題。
    
    從實(shí)施的角度上來(lái)講，實(shí)行先更新硬件設備軟件，再升級系統軟件的執行策略，這樣有助于系統平穩過(guò)渡。

    3. 車(chē)載機終端等的設備升級問(wèn)題

    目前在所有城市IC卡收費系統項目上使用的配套機具（車(chē)載機、脫機充值機、小額消費機、發(fā)卡充值機等）在硬件上是兼容符合國際標準的非接觸CPU卡的讀寫(xiě)操作的，但由于早期型號的車(chē)載機在產(chǎn)品硬件上的本身限制，實(shí)現非接觸CPU卡的應用，需要解決：由于M1卡和非接觸CPU卡兼容所導致的車(chē)載機程序容量不足的問(wèn)題、刷卡速度下降的問(wèn)題、以及由此造成車(chē)載機具整體效率下降的問(wèn)題等。針對這些問(wèn)題，我們提出以下3個(gè)在公交IC卡車(chē)載機終端上應用非接觸CPU卡的方案：

    方案一：M1、CPU兩種卡片兼容的機具軟件改造升級方案

    1) 對城市IC卡收費系統使用的車(chē)載機、發(fā)卡充值機、脫機充值機等專(zhuān)用讀寫(xiě)機具進(jìn)行新的整體規劃，按照兼容M1和CPU兩種卡的要求規劃機具硬件資源，重新分配存儲空間，根據原有M1卡和非接觸CPU兩種卡的消費流程，優(yōu)化程序結構，保證機具的程序空間能滿(mǎn)足升級需要。

    2) 更換/升級所有的ISAM卡/PSAM卡，ISAM/PSAM卡中保留原先的密鑰體系中支持M1卡的所有功能，同時(shí)由部IC卡中心在密鑰卡中加裝非接觸CPU卡密鑰，逐步發(fā)行非接觸CPU卡來(lái)替換系統現有的M1卡，在一定時(shí)期內保持非接觸CPU卡和M1卡的兼容，待根據部IC卡中心規定的M1卡的密鑰失效期前完成全部M1卡向非接觸CPU卡的遷移。也可保留原先的PSAM卡支持M1卡的所有功能，在車(chē)載機中加裝新發(fā)行的支持非接觸CPU卡的PSAM卡，系統新增卡片和新發(fā)行的卡片使用非接觸CPU卡，然后逐步將M1卡升級為CPU卡，待時(shí)機成熟時(shí)，逐步淘汰M1卡。

    3) 精心設計機具的軟件，保證M1卡和CPU卡的完全兼容，并改善刷卡速度，盡量減少因兼容2種卡而產(chǎn)生的刷卡速度下降。

    4) 重新規劃通訊協(xié)議，提高采集補采集及黑名單下載速度，使采集下載速度提高2倍以上。

    方案二：將原有M1卡全部更換為CPU卡的機具軟件改造升級方案

    1) 對城市IC卡收費系統使用的所有機具進(jìn)行新的整體規劃，按照系統發(fā)行非接觸CPU卡的要求重新規劃卡結構、機具硬件資源，重新分配存儲空間，設計非接觸CPU卡的消費流程，優(yōu)化程序結構，保證機具的程序空間能滿(mǎn)足升級需要。

    2) 向住房和城鄉建設部申請支持非接觸CPU卡的密鑰管理系統，更換現有專(zhuān)用配套讀寫(xiě)機具中的ISAM、PSAM卡，實(shí)現CPU卡的硬密鑰方式，最終完成全部升級。在發(fā)行新的非接觸CPU卡的同時(shí)，對系統中原有的M1卡進(jìn)行清算、退卡和換卡。

    3) 精心設計機具的軟件，并改善刷卡速度。

    4) 重新規劃通訊協(xié)議，提高采集補采集及黑名單下載速度，使采集下載速度提高2倍以上。

    方案三：機具設備換代升級方案

    隨著(zhù)電子技術(shù)的不斷發(fā)展，車(chē)載機本身的性能也在不斷的更新?lián)Q代，處理速度、存儲容量、接口性能、采集速度等等的性能指標也在不斷地提升。為了有效地保證整個(gè)系統的數據完整和準確性，特建議目前系統中早期的車(chē)載收費機進(jìn)行逐步的更換和升級，從而在提高車(chē)載收費機性能的同時(shí)，逐步提高工作效率。

    1) 機具改造、施工方案

    第一種情況：對于實(shí)施軟密鑰的IC卡終端機具，在改造工程中需要拆下車(chē)載機，并在車(chē)間將車(chē)載機終端打開(kāi)，裝上PSAM卡后，再裝回運營(yíng)車(chē)輛。

    第二種情況：對于使用原建設部密鑰的城市，同樣要拆下機具，并在車(chē)間將車(chē)載機終端打開(kāi)，裝上支持CPU卡的新的PSAM卡，再裝回運營(yíng)車(chē)輛。

    改造中按照線(xiàn)路為單位，逐步升級，批量的替換設備這樣可以保證在不影響公交正常運營(yíng)的原則上施工改造。

    2) 項目實(shí)施計劃

    步驟1：由軟件工程師修改調試可以兼容M1卡和CPU卡的程序，并在實(shí)驗室測試合格后，交與改造項目施工負責人。

    步驟2：由施工負責人帶領(lǐng)高級技工并攜帶調試好的程序和必要的工具到達現場(chǎng)（如果有必要軟件工程師也可以到達改造現場(chǎng)）。

    步驟3：根據現場(chǎng)情況修訂升級改造計劃，包括需要公交給予的配合要求和進(jìn)度計劃。

    步驟4：根據制定計劃實(shí)施升級改造。

    步驟5：改造升級完畢交由使用方驗收。

    4. 系統安全性問(wèn)題

    多數城市的IC卡收費系統，多數采用的是離線(xiàn)充值和在線(xiàn)充值并存的方式，而且離線(xiàn)充值占大多數，這樣對于充值密鑰的保存、保管、使用的安全性都存在著(zhù)一定的隱患。特別是充值密鑰卡的丟失，將給IC卡系統安全性帶來(lái)隱患，甚至需要更換密鑰的嚴重后果。

    隨著(zhù)通訊費用的不斷下降和通訊技術(shù)的成熟，采用在線(xiàn)充值方式替代離線(xiàn)充值方式是解決密鑰安全性的有效途徑。采用加密機代替充值SAM卡進(jìn)行密鑰的計算，更符合金融系統的安全性要求。在加密機與應用終端之間增加中間層，將顯著(zhù)的提高系統的抗攻擊能力，有效的保護系統的安全性。

    在線(xiàn)充值方式占大多數的情況下，允許存在少量的離線(xiàn)充值方式，以滿(mǎn)足通訊不暢時(shí)，業(yè)務(wù)不間斷的問(wèn)題。

    5. 系統拓展的問(wèn)題

    作為城市IC卡收費系統的運營(yíng)者來(lái)說(shuō)，單單憑借自己的力量進(jìn)行網(wǎng)點(diǎn)的擴充，勢必造成較大的資金壓力和維護成本的壓力。隨著(zhù)發(fā)卡量的不斷擴大，借助第三方的力量進(jìn)行網(wǎng)點(diǎn)的擴充，是一個(gè)較好的選擇。

    采用專(zhuān)用的讀寫(xiě)設備進(jìn)行IC卡的操作，將有效的保護卡片的安全性。同時(shí)在專(zhuān)用的讀寫(xiě)設備上，不再存放充值或消費密鑰卡，轉而采用安裝通訊密鑰卡的方式，對卡片的交易過(guò)程進(jìn)行加解密，保證密鑰傳輸的安全性。

    針對銀行ATM、查詢(xún)終端、柜面系統、郵局、超市、互聯(lián)網(wǎng)等不同應用的需求，開(kāi)發(fā)不同接口、種類(lèi)的讀寫(xiě)設備，將使得IC卡的應用拓展到各個(gè)領(lǐng)域。提供第三方SDK，將有助于解決系統拓展的需要。

    綜上所述，邏輯加密卡向CPU卡遷移是大勢所趨，各地IC卡運營(yíng)機構應根據當地需求和運營(yíng)特點(diǎn)，選擇最佳的升級方案，確保系統的平穩過(guò)渡。