城市IC卡收費系統(tǒng)升級為CPU卡的典型問題研究
文章出處:http://56733.cn 作者: 人氣: 發(fā)表時間:2012年02月20日
一、CPU卡升級改造的意義
1. M1卡被破解,給中國的IC卡市場帶來沖擊
邏輯加密卡的安全性問題越來越引起各地IC卡主管部門及各運營單位的高度重視,住房和城鄉(xiāng)建設部IC卡應用服務中心、工業(yè)和信息化部、相關省市政府部門均下發(fā)了專門的通知,對當前大量使用M1芯片的非接觸式邏輯加密卡的IC卡發(fā)行與應用單位的IC卡情況進行調(diào)查,同時,相關部門也提出了各應用單位根據(jù)實際情況逐漸實現(xiàn)IC卡從邏輯加密卡向CPU卡升級的相關要求。
作為城市IC卡收費系統(tǒng),從本質(zhì)上屬于一個準金融的系統(tǒng)。它直接面對的是錢。充值和消費環(huán)節(jié)的安全性,直接影響到公司的生存、發(fā)展、聲譽。
2. 采用非接觸CPU卡是技術發(fā)展趨勢,CPU更適合于一卡通應用
作為M1邏輯加密卡替代產(chǎn)品的CPU卡芯片內(nèi)部都有雙重安全機制,第一重是芯片本身集成的加密算法模塊,芯片設計公司通常都會將經(jīng)實踐檢驗最安全的幾種加密算法集成入芯片,目前比較常見的安全算法有RSA,3-DES等。第二重保護則是CPU卡芯片特有的COS(Card Operation System)系統(tǒng),COS可以為芯片設立多個相互獨立的密碼,密鑰以目錄為單位存放,每個目錄下的密鑰相互之間獨立。同時COS內(nèi)部還設立密碼最大重試次數(shù)以防止惡意攻擊。由此可見,非接觸式CPU卡比非接觸式邏輯加密卡具有更高的安全性。
除此以外,CPU卡可以實現(xiàn)真正意義上的“一卡多用”,每個應用相互獨立并受控于各自的密鑰管理系統(tǒng)。不同應用可以共享一個“錢包”,也可以分別擁有各自的“錢包”。服務商可以通過使用CPU卡進行更加靈活有效的管理,用戶也能使用CPU卡實現(xiàn)多功能應用的需求。
3. 市場上舊有的車載機面臨升級換代的需求
鑒于城市IC卡收費系統(tǒng)中所采用的早期型號的車載機,已經(jīng)運營很多年的時間,作為精密電子設備,在目前車輛的實際運行環(huán)境下,由于顛簸、振動、灰塵等其它外界環(huán)境的因素,同時由于車輛運行狀況的不斷惡化,車載機長期工作在相對比較惡劣的電磁環(huán)境下,導致車載收費機部分元器件的基本參數(shù)下降,再者電子元器件本身也存在自然老化的現(xiàn)象,綜合這些因素使得車載機性能出現(xiàn)下降。由于元器件老化所造成的車載機性能下降的趨勢在逐步增加,車載機本身的故障率也有所提高,維護量在不斷上升。由于車載機性能的下降,也必將會造成持卡人與司乘人員之間的糾紛上升。同時車載收費機的性能下降將導致將來的清算劃撥出現(xiàn)問題。
二、城市IC卡收費系統(tǒng)升級為CPU卡過程中存在的問題研究
1. 明確需求、統(tǒng)一標準、加強合作
作為系統(tǒng)軟件的升級,面臨的首要問題就是需求分析,只有做好仔細、深入的調(diào)研分析工作,才能為系統(tǒng)平穩(wěn)、安全的升級奠定基礎。從系統(tǒng)的角度出發(fā),在需求調(diào)研和分析中對收集到的用戶需求進行分類和優(yōu)化,結(jié)合行業(yè)標準進行系統(tǒng)抽象化并通用化。
目前住房和城鄉(xiāng)建設部于2009年頒布的《建設事業(yè)CPU卡操作系統(tǒng)技術要求》和《建設事業(yè)非接觸式CPU卡芯片技術要求》是我們遵循的行業(yè)標準。該標準的發(fā)布和實施為城市IC卡收費系統(tǒng)升級CPU卡提供了依據(jù)。相關的軟件、硬件開發(fā)商需要對這些標準進行有效的貫徹和實施,制定CPU卡結(jié)構(gòu)、交易流程、充值和消費數(shù)據(jù)結(jié)構(gòu)等相關技術文檔,統(tǒng)一的標準有助于未來城市間互聯(lián)互通的實現(xiàn)。我們相信《城市互聯(lián)互通通用技術要求》、《城市互聯(lián)互通卡清分清算技術要求》、《城市互聯(lián)互通卡密鑰及安全技術要求》系列標準的頒布將會規(guī)范和推動城市一卡通互聯(lián)互通。
在需求調(diào)研和分析過程中,要堅決避免倉促上馬,調(diào)研不充分現(xiàn)象的發(fā)生。城市IC卡收費系統(tǒng)CPU卡的升級,面臨著部IC卡中心、IC卡運營單位、軟件開發(fā)廠商、車載機生產(chǎn)廠商、POS機生產(chǎn)廠商、合作單位開發(fā)商等多家供應商之間的合作,因此,統(tǒng)一領導和制定統(tǒng)一的執(zhí)行規(guī)范變得尤為重要。同時為了防止在升級過程中的穩(wěn)定性,我們建議盡量不要增加新的開發(fā)單位,以避免扯皮、推諉現(xiàn)象的發(fā)生。
2. M1卡與CPU卡共存的問題
現(xiàn)在全國大部分的城市已經(jīng)開通了城市一卡通或者公交IC卡收費系統(tǒng),并且具有了一定的M1卡保有量,如何使得系統(tǒng)進行平穩(wěn)升級,是各個城市面臨的實際問題。
從數(shù)據(jù)的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進行區(qū)分是一個更好的解決方法。它既兼顧了數(shù)據(jù)的獨立性、安全性,同時為未來取消M1卡后,數(shù)據(jù)的維護奠定了基礎。
從清算的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進行區(qū)分,將有助于數(shù)據(jù)的明確劃分和對賬,也便于對問題數(shù)據(jù)的定位。
從系統(tǒng)的角度上來講,同時進行系統(tǒng)軟件和硬件中嵌入式軟件的開發(fā),并且在系統(tǒng)正式使用前進行充分的測試,將有效的避免M1卡和CPU卡共存的情況下,系統(tǒng)發(fā)生沖突的問題。
從應用的角度上來講,盡量維持原有操作界面,將更多的代碼變化放在程序內(nèi)部完成,這樣避免二次培訓的問題。
從實施的角度上來講,實行先更新硬件設備軟件,再升級系統(tǒng)軟件的執(zhí)行策略,這樣有助于系統(tǒng)平穩(wěn)過渡。
3. 車載機終端等的設備升級問題
目前在所有城市IC卡收費系統(tǒng)項目上使用的配套機具(車載機、脫機充值機、小額消費機、發(fā)卡充值機等)在硬件上是兼容符合國際標準的非接觸CPU卡的讀寫操作的,但由于早期型號的車載機在產(chǎn)品硬件上的本身限制,實現(xiàn)非接觸CPU卡的應用,需要解決:由于M1卡和非接觸CPU卡兼容所導致的車載機程序容量不足的問題、刷卡速度下降的問題、以及由此造成車載機具整體效率下降的問題等。針對這些問題,我們提出以下3個在公交IC卡車載機終端上應用非接觸CPU卡的方案:
方案一:M1、CPU兩種卡片兼容的機具軟件改造升級方案
1) 對城市IC卡收費系統(tǒng)使用的車載機、發(fā)卡充值機、脫機充值機等專用讀寫機具進行新的整體規(guī)劃,按照兼容M1和CPU兩種卡的要求規(guī)劃機具硬件資源,重新分配存儲空間,根據(jù)原有M1卡和非接觸CPU兩種卡的消費流程,優(yōu)化程序結(jié)構(gòu),保證機具的程序空間能滿足升級需要。
2) 更換/升級所有的ISAM卡/PSAM卡,ISAM/PSAM卡中保留原先的密鑰體系中支持M1卡的所有功能,同時由部IC卡中心在密鑰卡中加裝非接觸CPU卡密鑰,逐步發(fā)行非接觸CPU卡來替換系統(tǒng)現(xiàn)有的M1卡,在一定時期內(nèi)保持非接觸CPU卡和M1卡的兼容,待根據(jù)部IC卡中心規(guī)定的M1卡的密鑰失效期前完成全部M1卡向非接觸CPU卡的遷移。也可保留原先的PSAM卡支持M1卡的所有功能,在車載機中加裝新發(fā)行的支持非接觸CPU卡的PSAM卡,系統(tǒng)新增卡片和新發(fā)行的卡片使用非接觸CPU卡,然后逐步將M1卡升級為CPU卡,待時機成熟時,逐步淘汰M1卡。
3) 精心設計機具的軟件,保證M1卡和CPU卡的完全兼容,并改善刷卡速度,盡量減少因兼容2種卡而產(chǎn)生的刷卡速度下降。
4) 重新規(guī)劃通訊協(xié)議,提高采集補采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案二:將原有M1卡全部更換為CPU卡的機具軟件改造升級方案
1) 對城市IC卡收費系統(tǒng)使用的所有機具進行新的整體規(guī)劃,按照系統(tǒng)發(fā)行非接觸CPU卡的要求重新規(guī)劃卡結(jié)構(gòu)、機具硬件資源,重新分配存儲空間,設計非接觸CPU卡的消費流程,優(yōu)化程序結(jié)構(gòu),保證機具的程序空間能滿足升級需要。
2) 向住房和城鄉(xiāng)建設部申請支持非接觸CPU卡的密鑰管理系統(tǒng),更換現(xiàn)有專用配套讀寫機具中的ISAM、PSAM卡,實現(xiàn)CPU卡的硬密鑰方式,最終完成全部升級。在發(fā)行新的非接觸CPU卡的同時,對系統(tǒng)中原有的M1卡進行清算、退卡和換卡。
3) 精心設計機具的軟件,并改善刷卡速度。
4) 重新規(guī)劃通訊協(xié)議,提高采集補采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案三:機具設備換代升級方案
隨著電子技術的不斷發(fā)展,車載機本身的性能也在不斷的更新?lián)Q代,處理速度、存儲容量、接口性能、采集速度等等的性能指標也在不斷地提升。為了有效地保證整個系統(tǒng)的數(shù)據(jù)完整和準確性,特建議目前系統(tǒng)中早期的車載收費機進行逐步的更換和升級,從而在提高車載收費機性能的同時,逐步提高工作效率。
1) 機具改造、施工方案
第一種情況:對于實施軟密鑰的IC卡終端機具,在改造工程中需要拆下車載機,并在車間將車載機終端打開,裝上PSAM卡后,再裝回運營車輛。
第二種情況:對于使用原建設部密鑰的城市,同樣要拆下機具,并在車間將車載機終端打開,裝上支持CPU卡的新的PSAM卡,再裝回運營車輛。
改造中按照線路為單位,逐步升級,批量的替換設備這樣可以保證在不影響公交正常運營的原則上施工改造。
2) 項目實施計劃
步驟1:由軟件工程師修改調(diào)試可以兼容M1卡和CPU卡的程序,并在實驗室測試合格后,交與改造項目施工負責人。
步驟2:由施工負責人帶領高級技工并攜帶調(diào)試好的程序和必要的工具到達現(xiàn)場(如果有必要軟件工程師也可以到達改造現(xiàn)場)。
步驟3:根據(jù)現(xiàn)場情況修訂升級改造計劃,包括需要公交給予的配合要求和進度計劃。
步驟4:根據(jù)制定計劃實施升級改造。
步驟5:改造升級完畢交由使用方驗收。
4. 系統(tǒng)安全性問題
多數(shù)城市的IC卡收費系統(tǒng),多數(shù)采用的是離線充值和在線充值并存的方式,而且離線充值占大多數(shù),這樣對于充值密鑰的保存、保管、使用的安全性都存在著一定的隱患。特別是充值密鑰卡的丟失,將給IC卡系統(tǒng)安全性帶來隱患,甚至需要更換密鑰的嚴重后果。
隨著通訊費用的不斷下降和通訊技術的成熟,采用在線充值方式替代離線充值方式是解決密鑰安全性的有效途徑。采用加密機代替充值SAM卡進行密鑰的計算,更符合金融系統(tǒng)的安全性要求。在加密機與應用終端之間增加中間層,將顯著的提高系統(tǒng)的抗攻擊能力,有效的保護系統(tǒng)的安全性。
在線充值方式占大多數(shù)的情況下,允許存在少量的離線充值方式,以滿足通訊不暢時,業(yè)務不間斷的問題。
5. 系統(tǒng)拓展的問題
作為城市IC卡收費系統(tǒng)的運營者來說,單單憑借自己的力量進行網(wǎng)點的擴充,勢必造成較大的資金壓力和維護成本的壓力。隨著發(fā)卡量的不斷擴大,借助第三方的力量進行網(wǎng)點的擴充,是一個較好的選擇。
采用專用的讀寫設備進行IC卡的操作,將有效的保護卡片的安全性。同時在專用的讀寫設備上,不再存放充值或消費密鑰卡,轉(zhuǎn)而采用安裝通訊密鑰卡的方式,對卡片的交易過程進行加解密,保證密鑰傳輸?shù)陌踩浴?br />
針對銀行ATM、查詢終端、柜面系統(tǒng)、郵局、超市、互聯(lián)網(wǎng)等不同應用的需求,開發(fā)不同接口、種類的讀寫設備,將使得IC卡的應用拓展到各個領域。提供第三方SDK,將有助于解決系統(tǒng)拓展的需要。
綜上所述,邏輯加密卡向CPU卡遷移是大勢所趨,各地IC卡運營機構(gòu)應根據(jù)當?shù)匦枨蠛瓦\營特點,選擇最佳的升級方案,確保系統(tǒng)的平穩(wěn)過渡。