城市IC卡收費(fèi)系統(tǒng)升級(jí)為CPU卡的典型問題研究
文章出處:http://m.xindazheng.cn 作者: 人氣: 發(fā)表時(shí)間:2012年02月20日
一、CPU卡升級(jí)改造的意義
1. M1卡被破解,給中國的IC卡市場(chǎng)帶來沖擊
邏輯加密卡的安全性問題越來越引起各地IC卡主管部門及各運(yùn)營單位的高度重視,住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心、工業(yè)和信息化部、相關(guān)省市政府部門均下發(fā)了專門的通知,對(duì)當(dāng)前大量使用M1芯片的非接觸式邏輯加密卡的IC卡發(fā)行與應(yīng)用單位的IC卡情況進(jìn)行調(diào)查,同時(shí),相關(guān)部門也提出了各應(yīng)用單位根據(jù)實(shí)際情況逐漸實(shí)現(xiàn)IC卡從邏輯加密卡向CPU卡升級(jí)的相關(guān)要求。
作為城市IC卡收費(fèi)系統(tǒng),從本質(zhì)上屬于一個(gè)準(zhǔn)金融的系統(tǒng)。它直接面對(duì)的是錢。充值和消費(fèi)環(huán)節(jié)的安全性,直接影響到公司的生存、發(fā)展、聲譽(yù)。
2. 采用非接觸CPU卡是技術(shù)發(fā)展趨勢(shì),CPU更適合于一卡通應(yīng)用
作為M1邏輯加密卡替代產(chǎn)品的CPU卡芯片內(nèi)部都有雙重安全機(jī)制,第一重是芯片本身集成的加密算法模塊,芯片設(shè)計(jì)公司通常都會(huì)將經(jīng)實(shí)踐檢驗(yàn)最安全的幾種加密算法集成入芯片,目前比較常見的安全算法有RSA,3-DES等。第二重保護(hù)則是CPU卡芯片特有的COS(Card Operation System)系統(tǒng),COS可以為芯片設(shè)立多個(gè)相互獨(dú)立的密碼,密鑰以目錄為單位存放,每個(gè)目錄下的密鑰相互之間獨(dú)立。同時(shí)COS內(nèi)部還設(shè)立密碼最大重試次數(shù)以防止惡意攻擊。由此可見,非接觸式CPU卡比非接觸式邏輯加密卡具有更高的安全性。
除此以外,CPU卡可以實(shí)現(xiàn)真正意義上的“一卡多用”,每個(gè)應(yīng)用相互獨(dú)立并受控于各自的密鑰管理系統(tǒng)。不同應(yīng)用可以共享一個(gè)“錢包”,也可以分別擁有各自的“錢包”。服務(wù)商可以通過使用CPU卡進(jìn)行更加靈活有效的管理,用戶也能使用CPU卡實(shí)現(xiàn)多功能應(yīng)用的需求。
3. 市場(chǎng)上舊有的車載機(jī)面臨升級(jí)換代的需求
鑒于城市IC卡收費(fèi)系統(tǒng)中所采用的早期型號(hào)的車載機(jī),已經(jīng)運(yùn)營很多年的時(shí)間,作為精密電子設(shè)備,在目前車輛的實(shí)際運(yùn)行環(huán)境下,由于顛簸、振動(dòng)、灰塵等其它外界環(huán)境的因素,同時(shí)由于車輛運(yùn)行狀況的不斷惡化,車載機(jī)長期工作在相對(duì)比較惡劣的電磁環(huán)境下,導(dǎo)致車載收費(fèi)機(jī)部分元器件的基本參數(shù)下降,再者電子元器件本身也存在自然老化的現(xiàn)象,綜合這些因素使得車載機(jī)性能出現(xiàn)下降。由于元器件老化所造成的車載機(jī)性能下降的趨勢(shì)在逐步增加,車載機(jī)本身的故障率也有所提高,維護(hù)量在不斷上升。由于車載機(jī)性能的下降,也必將會(huì)造成持卡人與司乘人員之間的糾紛上升。同時(shí)車載收費(fèi)機(jī)的性能下降將導(dǎo)致將來的清算劃撥出現(xiàn)問題。
二、城市IC卡收費(fèi)系統(tǒng)升級(jí)為CPU卡過程中存在的問題研究
1. 明確需求、統(tǒng)一標(biāo)準(zhǔn)、加強(qiáng)合作
作為系統(tǒng)軟件的升級(jí),面臨的首要問題就是需求分析,只有做好仔細(xì)、深入的調(diào)研分析工作,才能為系統(tǒng)平穩(wěn)、安全的升級(jí)奠定基礎(chǔ)。從系統(tǒng)的角度出發(fā),在需求調(diào)研和分析中對(duì)收集到的用戶需求進(jìn)行分類和優(yōu)化,結(jié)合行業(yè)標(biāo)準(zhǔn)進(jìn)行系統(tǒng)抽象化并通用化。
目前住房和城鄉(xiāng)建設(shè)部于2009年頒布的《建設(shè)事業(yè)CPU卡操作系統(tǒng)技術(shù)要求》和《建設(shè)事業(yè)非接觸式CPU卡芯片技術(shù)要求》是我們遵循的行業(yè)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的發(fā)布和實(shí)施為城市IC卡收費(fèi)系統(tǒng)升級(jí)CPU卡提供了依據(jù)。相關(guān)的軟件、硬件開發(fā)商需要對(duì)這些標(biāo)準(zhǔn)進(jìn)行有效的貫徹和實(shí)施,制定CPU卡結(jié)構(gòu)、交易流程、充值和消費(fèi)數(shù)據(jù)結(jié)構(gòu)等相關(guān)技術(shù)文檔,統(tǒng)一的標(biāo)準(zhǔn)有助于未來城市間互聯(lián)互通的實(shí)現(xiàn)。我們相信《城市互聯(lián)互通通用技術(shù)要求》、《城市互聯(lián)互通卡清分清算技術(shù)要求》、《城市互聯(lián)互通卡密鑰及安全技術(shù)要求》系列標(biāo)準(zhǔn)的頒布將會(huì)規(guī)范和推動(dòng)城市一卡通互聯(lián)互通。
在需求調(diào)研和分析過程中,要堅(jiān)決避免倉促上馬,調(diào)研不充分現(xiàn)象的發(fā)生。城市IC卡收費(fèi)系統(tǒng)CPU卡的升級(jí),面臨著部IC卡中心、IC卡運(yùn)營單位、軟件開發(fā)廠商、車載機(jī)生產(chǎn)廠商、POS機(jī)生產(chǎn)廠商、合作單位開發(fā)商等多家供應(yīng)商之間的合作,因此,統(tǒng)一領(lǐng)導(dǎo)和制定統(tǒng)一的執(zhí)行規(guī)范變得尤為重要。同時(shí)為了防止在升級(jí)過程中的穩(wěn)定性,我們建議盡量不要增加新的開發(fā)單位,以避免扯皮、推諉現(xiàn)象的發(fā)生。
2. M1卡與CPU卡共存的問題
現(xiàn)在全國大部分的城市已經(jīng)開通了城市一卡通或者公交IC卡收費(fèi)系統(tǒng),并且具有了一定的M1卡保有量,如何使得系統(tǒng)進(jìn)行平穩(wěn)升級(jí),是各個(gè)城市面臨的實(shí)際問題。
從數(shù)據(jù)的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進(jìn)行區(qū)分是一個(gè)更好的解決方法。它既兼顧了數(shù)據(jù)的獨(dú)立性、安全性,同時(shí)為未來取消M1卡后,數(shù)據(jù)的維護(hù)奠定了基礎(chǔ)。
從清算的角度上來講,將M1卡數(shù)據(jù)和CPU卡數(shù)據(jù)進(jìn)行區(qū)分,將有助于數(shù)據(jù)的明確劃分和對(duì)賬,也便于對(duì)問題數(shù)據(jù)的定位。
從系統(tǒng)的角度上來講,同時(shí)進(jìn)行系統(tǒng)軟件和硬件中嵌入式軟件的開發(fā),并且在系統(tǒng)正式使用前進(jìn)行充分的測(cè)試,將有效的避免M1卡和CPU卡共存的情況下,系統(tǒng)發(fā)生沖突的問題。
從應(yīng)用的角度上來講,盡量維持原有操作界面,將更多的代碼變化放在程序內(nèi)部完成,這樣避免二次培訓(xùn)的問題。
從實(shí)施的角度上來講,實(shí)行先更新硬件設(shè)備軟件,再升級(jí)系統(tǒng)軟件的執(zhí)行策略,這樣有助于系統(tǒng)平穩(wěn)過渡。
3. 車載機(jī)終端等的設(shè)備升級(jí)問題
目前在所有城市IC卡收費(fèi)系統(tǒng)項(xiàng)目上使用的配套機(jī)具(車載機(jī)、脫機(jī)充值機(jī)、小額消費(fèi)機(jī)、發(fā)卡充值機(jī)等)在硬件上是兼容符合國際標(biāo)準(zhǔn)的非接觸CPU卡的讀寫操作的,但由于早期型號(hào)的車載機(jī)在產(chǎn)品硬件上的本身限制,實(shí)現(xiàn)非接觸CPU卡的應(yīng)用,需要解決:由于M1卡和非接觸CPU卡兼容所導(dǎo)致的車載機(jī)程序容量不足的問題、刷卡速度下降的問題、以及由此造成車載機(jī)具整體效率下降的問題等。針對(duì)這些問題,我們提出以下3個(gè)在公交IC卡車載機(jī)終端上應(yīng)用非接觸CPU卡的方案:
方案一:M1、CPU兩種卡片兼容的機(jī)具軟件改造升級(jí)方案
1) 對(duì)城市IC卡收費(fèi)系統(tǒng)使用的車載機(jī)、發(fā)卡充值機(jī)、脫機(jī)充值機(jī)等專用讀寫機(jī)具進(jìn)行新的整體規(guī)劃,按照兼容M1和CPU兩種卡的要求規(guī)劃機(jī)具硬件資源,重新分配存儲(chǔ)空間,根據(jù)原有M1卡和非接觸CPU兩種卡的消費(fèi)流程,優(yōu)化程序結(jié)構(gòu),保證機(jī)具的程序空間能滿足升級(jí)需要。
2) 更換/升級(jí)所有的ISAM卡/PSAM卡,ISAM/PSAM卡中保留原先的密鑰體系中支持M1卡的所有功能,同時(shí)由部IC卡中心在密鑰卡中加裝非接觸CPU卡密鑰,逐步發(fā)行非接觸CPU卡來替換系統(tǒng)現(xiàn)有的M1卡,在一定時(shí)期內(nèi)保持非接觸CPU卡和M1卡的兼容,待根據(jù)部IC卡中心規(guī)定的M1卡的密鑰失效期前完成全部M1卡向非接觸CPU卡的遷移。也可保留原先的PSAM卡支持M1卡的所有功能,在車載機(jī)中加裝新發(fā)行的支持非接觸CPU卡的PSAM卡,系統(tǒng)新增卡片和新發(fā)行的卡片使用非接觸CPU卡,然后逐步將M1卡升級(jí)為CPU卡,待時(shí)機(jī)成熟時(shí),逐步淘汰M1卡。
3) 精心設(shè)計(jì)機(jī)具的軟件,保證M1卡和CPU卡的完全兼容,并改善刷卡速度,盡量減少因兼容2種卡而產(chǎn)生的刷卡速度下降。
4) 重新規(guī)劃通訊協(xié)議,提高采集補(bǔ)采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案二:將原有M1卡全部更換為CPU卡的機(jī)具軟件改造升級(jí)方案
1) 對(duì)城市IC卡收費(fèi)系統(tǒng)使用的所有機(jī)具進(jìn)行新的整體規(guī)劃,按照系統(tǒng)發(fā)行非接觸CPU卡的要求重新規(guī)劃卡結(jié)構(gòu)、機(jī)具硬件資源,重新分配存儲(chǔ)空間,設(shè)計(jì)非接觸CPU卡的消費(fèi)流程,優(yōu)化程序結(jié)構(gòu),保證機(jī)具的程序空間能滿足升級(jí)需要。
2) 向住房和城鄉(xiāng)建設(shè)部申請(qǐng)支持非接觸CPU卡的密鑰管理系統(tǒng),更換現(xiàn)有專用配套讀寫機(jī)具中的ISAM、PSAM卡,實(shí)現(xiàn)CPU卡的硬密鑰方式,最終完成全部升級(jí)。在發(fā)行新的非接觸CPU卡的同時(shí),對(duì)系統(tǒng)中原有的M1卡進(jìn)行清算、退卡和換卡。
3) 精心設(shè)計(jì)機(jī)具的軟件,并改善刷卡速度。
4) 重新規(guī)劃通訊協(xié)議,提高采集補(bǔ)采集及黑名單下載速度,使采集下載速度提高2倍以上。
方案三:機(jī)具設(shè)備換代升級(jí)方案
隨著電子技術(shù)的不斷發(fā)展,車載機(jī)本身的性能也在不斷的更新?lián)Q代,處理速度、存儲(chǔ)容量、接口性能、采集速度等等的性能指標(biāo)也在不斷地提升。為了有效地保證整個(gè)系統(tǒng)的數(shù)據(jù)完整和準(zhǔn)確性,特建議目前系統(tǒng)中早期的車載收費(fèi)機(jī)進(jìn)行逐步的更換和升級(jí),從而在提高車載收費(fèi)機(jī)性能的同時(shí),逐步提高工作效率。
1) 機(jī)具改造、施工方案
第一種情況:對(duì)于實(shí)施軟密鑰的IC卡終端機(jī)具,在改造工程中需要拆下車載機(jī),并在車間將車載機(jī)終端打開,裝上PSAM卡后,再裝回運(yùn)營車輛。
第二種情況:對(duì)于使用原建設(shè)部密鑰的城市,同樣要拆下機(jī)具,并在車間將車載機(jī)終端打開,裝上支持CPU卡的新的PSAM卡,再裝回運(yùn)營車輛。
改造中按照線路為單位,逐步升級(jí),批量的替換設(shè)備這樣可以保證在不影響公交正常運(yùn)營的原則上施工改造。
2) 項(xiàng)目實(shí)施計(jì)劃
步驟1:由軟件工程師修改調(diào)試可以兼容M1卡和CPU卡的程序,并在實(shí)驗(yàn)室測(cè)試合格后,交與改造項(xiàng)目施工負(fù)責(zé)人。
步驟2:由施工負(fù)責(zé)人帶領(lǐng)高級(jí)技工并攜帶調(diào)試好的程序和必要的工具到達(dá)現(xiàn)場(chǎng)(如果有必要軟件工程師也可以到達(dá)改造現(xiàn)場(chǎng))。
步驟3:根據(jù)現(xiàn)場(chǎng)情況修訂升級(jí)改造計(jì)劃,包括需要公交給予的配合要求和進(jìn)度計(jì)劃。
步驟4:根據(jù)制定計(jì)劃實(shí)施升級(jí)改造。
步驟5:改造升級(jí)完畢交由使用方驗(yàn)收。
4. 系統(tǒng)安全性問題
多數(shù)城市的IC卡收費(fèi)系統(tǒng),多數(shù)采用的是離線充值和在線充值并存的方式,而且離線充值占大多數(shù),這樣對(duì)于充值密鑰的保存、保管、使用的安全性都存在著一定的隱患。特別是充值密鑰卡的丟失,將給IC卡系統(tǒng)安全性帶來隱患,甚至需要更換密鑰的嚴(yán)重后果。
隨著通訊費(fèi)用的不斷下降和通訊技術(shù)的成熟,采用在線充值方式替代離線充值方式是解決密鑰安全性的有效途徑。采用加密機(jī)代替充值SAM卡進(jìn)行密鑰的計(jì)算,更符合金融系統(tǒng)的安全性要求。在加密機(jī)與應(yīng)用終端之間增加中間層,將顯著的提高系統(tǒng)的抗攻擊能力,有效的保護(hù)系統(tǒng)的安全性。
在線充值方式占大多數(shù)的情況下,允許存在少量的離線充值方式,以滿足通訊不暢時(shí),業(yè)務(wù)不間斷的問題。
5. 系統(tǒng)拓展的問題
作為城市IC卡收費(fèi)系統(tǒng)的運(yùn)營者來說,單單憑借自己的力量進(jìn)行網(wǎng)點(diǎn)的擴(kuò)充,勢(shì)必造成較大的資金壓力和維護(hù)成本的壓力。隨著發(fā)卡量的不斷擴(kuò)大,借助第三方的力量進(jìn)行網(wǎng)點(diǎn)的擴(kuò)充,是一個(gè)較好的選擇。
采用專用的讀寫設(shè)備進(jìn)行IC卡的操作,將有效的保護(hù)卡片的安全性。同時(shí)在專用的讀寫設(shè)備上,不再存放充值或消費(fèi)密鑰卡,轉(zhuǎn)而采用安裝通訊密鑰卡的方式,對(duì)卡片的交易過程進(jìn)行加解密,保證密鑰傳輸?shù)陌踩浴?br />
針對(duì)銀行ATM、查詢終端、柜面系統(tǒng)、郵局、超市、互聯(lián)網(wǎng)等不同應(yīng)用的需求,開發(fā)不同接口、種類的讀寫設(shè)備,將使得IC卡的應(yīng)用拓展到各個(gè)領(lǐng)域。提供第三方SDK,將有助于解決系統(tǒng)拓展的需要。
綜上所述,邏輯加密卡向CPU卡遷移是大勢(shì)所趨,各地IC卡運(yùn)營機(jī)構(gòu)應(yīng)根據(jù)當(dāng)?shù)匦枨蠛瓦\(yùn)營特點(diǎn),選擇最佳的升級(jí)方案,確保系統(tǒng)的平穩(wěn)過渡。