城市IC卡收費系統(tǒng)升級為CPU卡的典型問題研究
文章出處:http://m.dipdnbxp.cn 作者: 人氣: 發(fā)表時間:2012年02月20日
一、CPU卡升級改造的意義
1. M1卡被破解,給中國的IC卡市場帶來沖擊
邏輯加密卡的安全性問題越來越引起各地IC卡主管部門及各運營單位的高度重視,住房和城鄉(xiāng)建設(shè)部IC卡應用服務(wù)中心、工業(yè)和信息化部、相關(guān)省市政府部門均下發(fā)了專門的通知,對當前大量使用M1芯片的非接觸式邏輯加密卡的IC卡發(fā)行與應用單位的IC卡情況進行調(diào)查,同時,相關(guān)部門也提出了各應用單位根據(jù)實際情況逐漸實現(xiàn)IC卡從邏輯加密卡向CPU卡升級的相關(guān)要求。
作為城市IC卡收費系統(tǒng),從本質(zhì)上屬于一個準金融的系統(tǒng)。它直接面對的是錢。充值和消費環(huán)節(jié)的安全性,直接影響到公司的生存、發(fā)展、聲譽。
2. 采用非接觸CPU卡是技術(shù)發(fā)展趨勢,CPU更適合于一卡通應用
作為M1邏輯加密卡替代產(chǎn)品的CPU卡芯片內(nèi)部都有雙重安全機制,第一重是芯片本身集成的加密算法模塊,芯片設(shè)計公司通常都會將經(jīng)實踐檢驗最安全的幾種加密算法集成入芯片,目前比較常見的安全算法有RSA,3-DES等。第二重保護則是CPU卡芯片特有的COS(Card Operation System)系統(tǒng),COS可以為芯片設(shè)立多個相互獨立的密碼,密鑰以目錄為單位存放,每個目錄下的密鑰相互之間獨立。同時COS內(nèi)部還設(shè)立密碼最大重試次數(shù)以防止惡意攻擊。由此可見,非接觸式CPU卡比非接觸式邏輯加密卡具有更高的安全性。
除此以外,CPU卡可以實現(xiàn)真正意義上的“一卡多用”,每個應用相互獨立并受控于各自的密鑰管理系統(tǒng)。不同應用可以共享一個“錢包”,也可以分別擁有各自的“錢包”。服務(wù)商可以通過使用CPU卡進行更加靈活有效的管理,用戶也能使用CPU卡實現(xiàn)多功能應用的需求。
3. 市場上舊有的車載機面臨升級換代的需求
鑒于城市IC卡收費系統(tǒng)中所采用的早期型號的車載機,已經(jīng)運營很多年的時間,作為精密電子設(shè)備,在目前車輛的實際運行環(huán)境下,由于顛簸、振動、灰塵等其它外界環(huán)境的因素,同時由于車輛運行狀況的不斷惡化,車載機長期工作在相對比較惡劣的電磁環(huán)境下,導致車載收費機部分元器件的基本參數(shù)下降,再者電子元器件本身也存在自然老化的現(xiàn)象,綜合這些因素使得車載機性能出現(xiàn)下降。由于元器件老化所造成的車載機性能下降的趨勢在逐步增加,車載機本身的故障率也有所提高,維護量在不斷上升。由于車載機性能的下降,也必將會造成持卡人與司乘人員之間的糾紛上升。同時車載收費機的性能下降將導致將來的清算劃撥出現(xiàn)問題。
二、城市IC卡收費系統(tǒng)升級為CPU卡過程中存在的問題研究
1. 明確需求、統(tǒng)一標準、加強合作
作為系統(tǒng)軟件的升級,面臨的首要問題就是需求分析,只有做好仔細、深入的調(diào)研分析工作,才能為系統(tǒng)平穩(wěn)、安全的升級奠定基礎(chǔ)。從系統(tǒng)的角度出發(fā),在需求調(diào)研和分析中對收集到的用戶需求進行分類和優(yōu)化,結(jié)合行業(yè)標準進行系統(tǒng)抽象化并通用化。
目前住房和城鄉(xiāng)建設(shè)部于2009年頒布的《建設(shè)事業(yè)CPU卡操作系統(tǒng)技術(shù)要求》和《建設(shè)事業(yè)非接觸式CPU卡芯片技術(shù)要求》是我們遵循的行業(yè)標準。該標準的發(fā)布和實施為城市IC卡收費系統(tǒng)升級CPU卡提供了依據(jù)。相關(guān)的軟件、硬件開發(fā)商需要對這些標準進行有效的貫徹和實施,制定CPU卡結(jié)構(gòu)、交易流程、充值和消費數(shù)據(jù)結(jié)構(gòu)等相關(guān)技術(shù)文檔,統(tǒng)一的標準有助于未來城市間互聯(lián)互通的實現(xiàn)。我們相信《城市互聯(lián)互通通用技術(shù)要求》、《城市互聯(lián)互通卡清分清算技術(shù)要求》、《城市互聯(lián)互通卡密鑰及安全技術(shù)要求》系列標準的頒布將會規(guī)范和推動城市一卡通互聯(lián)互通。
在需求調(diào)研和分析過程中,要堅決避免倉促上馬,調(diào)研不充分現(xiàn)象的發(fā)生。城市IC卡收費系統(tǒng)CPU卡的升級,面臨著部IC卡中心、IC卡運營單位、軟件開發(fā)廠商、車載機生產(chǎn)廠商、POS機生產(chǎn)廠商、合作單位開發(fā)商等多家供應商之間的合作,因此,統(tǒng)一領(lǐng)導和制定統(tǒng)一的執(zhí)行規(guī)范變得尤為重要。同時為了防止在升級過程中的穩(wěn)定性,我們建議盡量不要增加新的開發(fā)單位,以避免扯皮、推諉現(xiàn)象的發(fā)生。
2. M1卡與CPU卡共存的問題
現(xiàn)在全國大部分的城市已經(jīng)開通了城市一卡通或者公交IC卡收費系統(tǒng),并且具有了一定的M1卡保有量,如何使得系統(tǒng)進行平穩(wěn)升級,是各個城市面臨的實際問題。
從數(shù)據(jù)的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進行區(qū)分是一個更好的解決方法。它既兼顧了數(shù)據(jù)的獨立性、安全性,同時為未來取消M1卡后,數(shù)據(jù)的維護奠定了基礎(chǔ)。
從清算的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進行區(qū)分,將有助于數(shù)據(jù)的明確劃分和對賬,也便于對問題數(shù)據(jù)的定位。
從系統(tǒng)的角度上來講,同時進行系統(tǒng)軟件和硬件中嵌入式軟件的開發(fā),并且在系統(tǒng)正式使用前進行充分的測試,將有效的避免M1卡和CPU卡共存的情況下,系統(tǒng)發(fā)生沖突的問題。
從應用的角度上來講,盡量維持原有操作界面,將更多的代碼變化放在程序內(nèi)部完成,這樣避免二次培訓的問題。
從實施的角度上來講,實行先更新硬件設(shè)備軟件,再升級系統(tǒng)軟件的執(zhí)行策略,這樣有助于系統(tǒng)平穩(wěn)過渡。
3. 車載機終端等的設(shè)備升級問題
目前在所有城市IC卡收費系統(tǒng)項目上使用的配套機具(車載機、脫機充值機、小額消費機、發(fā)卡充值機等)在硬件上是兼容符合國際標準的非接觸CPU卡的讀寫操作的,但由于早期型號的車載機在產(chǎn)品硬件上的本身限制,實現(xiàn)非接觸CPU卡的應用,需要解決:由于M1卡和非接觸CPU卡兼容所導致的車載機程序容量不足的問題、刷卡速度下降的問題、以及由此造成車載機具整體效率下降的問題等。針對這些問題,我們提出以下3個在公交IC卡車載機終端上應用非接觸CPU卡的方案:
方案一:M1、CPU兩種卡片兼容的機具軟件改造升級方案
1) 對城市IC卡收費系統(tǒng)使用的車載機、發(fā)卡充值機、脫機充值機等專用讀寫機具進行新的整體規(guī)劃,按照兼容M1和CPU兩種卡的要求規(guī)劃機具硬件資源,重新分配存儲空間,根據(jù)原有M1卡和非接觸CPU兩種卡的消費流程,優(yōu)化程序結(jié)構(gòu),保證機具的程序空間能滿足升級需要。
2) 更換/升級所有的ISAM卡/PSAM卡,ISAM/PSAM卡中保留原先的密鑰體系中支持M1卡的所有功能,同時由部IC卡中心在密鑰卡中加裝非接觸CPU卡密鑰,逐步發(fā)行非接觸CPU卡來替換系統(tǒng)現(xiàn)有的M1卡,在一定時期內(nèi)保持非接觸CPU卡和M1卡的兼容,待根據(jù)部IC卡中心規(guī)定的M1卡的密鑰失效期前完成全部M1卡向非接觸CPU卡的遷移。也可保留原先的PSAM卡支持M1卡的所有功能,在車載機中加裝新發(fā)行的支持非接觸CPU卡的PSAM卡,系統(tǒng)新增卡片和新發(fā)行的卡片使用非接觸CPU卡,然后逐步將M1卡升級為CPU卡,待時機成熟時,逐步淘汰M1卡。
3) 精心設(shè)計機具的軟件,保證M1卡和CPU卡的完全兼容,并改善刷卡速度,盡量減少因兼容2種卡而產(chǎn)生的刷卡速度下降。
4) 重新規(guī)劃通訊協(xié)議,提高采集補采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案二:將原有M1卡全部更換為CPU卡的機具軟件改造升級方案
1) 對城市IC卡收費系統(tǒng)使用的所有機具進行新的整體規(guī)劃,按照系統(tǒng)發(fā)行非接觸CPU卡的要求重新規(guī)劃卡結(jié)構(gòu)、機具硬件資源,重新分配存儲空間,設(shè)計非接觸CPU卡的消費流程,優(yōu)化程序結(jié)構(gòu),保證機具的程序空間能滿足升級需要。
2) 向住房和城鄉(xiāng)建設(shè)部申請支持非接觸CPU卡的密鑰管理系統(tǒng),更換現(xiàn)有專用配套讀寫機具中的ISAM、PSAM卡,實現(xiàn)CPU卡的硬密鑰方式,最終完成全部升級。在發(fā)行新的非接觸CPU卡的同時,對系統(tǒng)中原有的M1卡進行清算、退卡和換卡。
3) 精心設(shè)計機具的軟件,并改善刷卡速度。
4) 重新規(guī)劃通訊協(xié)議,提高采集補采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案三:機具設(shè)備換代升級方案
隨著電子技術(shù)的不斷發(fā)展,車載機本身的性能也在不斷的更新?lián)Q代,處理速度、存儲容量、接口性能、采集速度等等的性能指標也在不斷地提升。為了有效地保證整個系統(tǒng)的數(shù)據(jù)完整和準確性,特建議目前系統(tǒng)中早期的車載收費機進行逐步的更換和升級,從而在提高車載收費機性能的同時,逐步提高工作效率。
1) 機具改造、施工方案
第一種情況:對于實施軟密鑰的IC卡終端機具,在改造工程中需要拆下車載機,并在車間將車載機終端打開,裝上PSAM卡后,再裝回運營車輛。
第二種情況:對于使用原建設(shè)部密鑰的城市,同樣要拆下機具,并在車間將車載機終端打開,裝上支持CPU卡的新的PSAM卡,再裝回運營車輛。
改造中按照線路為單位,逐步升級,批量的替換設(shè)備這樣可以保證在不影響公交正常運營的原則上施工改造。
2) 項目實施計劃
步驟1:由軟件工程師修改調(diào)試可以兼容M1卡和CPU卡的程序,并在實驗室測試合格后,交與改造項目施工負責人。
步驟2:由施工負責人帶領(lǐng)高級技工并攜帶調(diào)試好的程序和必要的工具到達現(xiàn)場(如果有必要軟件工程師也可以到達改造現(xiàn)場)。
步驟3:根據(jù)現(xiàn)場情況修訂升級改造計劃,包括需要公交給予的配合要求和進度計劃。
步驟4:根據(jù)制定計劃實施升級改造。
步驟5:改造升級完畢交由使用方驗收。
4. 系統(tǒng)安全性問題
多數(shù)城市的IC卡收費系統(tǒng),多數(shù)采用的是離線充值和在線充值并存的方式,而且離線充值占大多數(shù),這樣對于充值密鑰的保存、保管、使用的安全性都存在著一定的隱患。特別是充值密鑰卡的丟失,將給IC卡系統(tǒng)安全性帶來隱患,甚至需要更換密鑰的嚴重后果。
隨著通訊費用的不斷下降和通訊技術(shù)的成熟,采用在線充值方式替代離線充值方式是解決密鑰安全性的有效途徑。采用加密機代替充值SAM卡進行密鑰的計算,更符合金融系統(tǒng)的安全性要求。在加密機與應用終端之間增加中間層,將顯著的提高系統(tǒng)的抗攻擊能力,有效的保護系統(tǒng)的安全性。
在線充值方式占大多數(shù)的情況下,允許存在少量的離線充值方式,以滿足通訊不暢時,業(yè)務(wù)不間斷的問題。
5. 系統(tǒng)拓展的問題
作為城市IC卡收費系統(tǒng)的運營者來說,單單憑借自己的力量進行網(wǎng)點的擴充,勢必造成較大的資金壓力和維護成本的壓力。隨著發(fā)卡量的不斷擴大,借助第三方的力量進行網(wǎng)點的擴充,是一個較好的選擇。
采用專用的讀寫設(shè)備進行IC卡的操作,將有效的保護卡片的安全性。同時在專用的讀寫設(shè)備上,不再存放充值或消費密鑰卡,轉(zhuǎn)而采用安裝通訊密鑰卡的方式,對卡片的交易過程進行加解密,保證密鑰傳輸?shù)陌踩浴?br />
針對銀行ATM、查詢終端、柜面系統(tǒng)、郵局、超市、互聯(lián)網(wǎng)等不同應用的需求,開發(fā)不同接口、種類的讀寫設(shè)備,將使得IC卡的應用拓展到各個領(lǐng)域。提供第三方SDK,將有助于解決系統(tǒng)拓展的需要。
綜上所述,邏輯加密卡向CPU卡遷移是大勢所趨,各地IC卡運營機構(gòu)應根據(jù)當?shù)匦枨蠛瓦\營特點,選擇最佳的升級方案,確保系統(tǒng)的平穩(wěn)過渡。