我国交通智能卡行业CPU卡技术应用探讨

    ■ 引言

    逻辑加密卡技术成熟、价格低廉，在传统的城市交通智能卡应用中占据了绝大部分市场份额。按交通智能卡“一卡多用、多卡互通”的发展趋势，电子钱包资金存量必将越来越高，逻辑加密卡的安全隐患已在业内引起高度关注。CPU卡的安全性大幅优于逻辑加密卡，但高昂的价格严重制约了其推广应用。近来随着非接触CPU卡的推出，其价格接近逻辑加密卡，技术也日趋成熟，这使全面推广应用CPU卡取代逻辑加密卡成为可能。为此，国家建设部明确要求跨行业及互联互通的IC卡应用应采用安全性高的CPU卡，并组织编制CPU卡芯片技术要求和COS技术要求等行业标准，致力推广CPU卡技术在交通智能卡领域的应用。

    ■ 主流方案分析

    目前我国绝大部分城市交通智能卡应用均基于逻辑加密卡技术，全国已发行逻辑加密卡上亿张，安装刷卡终端几十万台。推广CPU卡时，如何才能既保护已有投资，也方便老百姓使用，实现平稳过渡？业内目前对此主要有三种意见。

    意见一：一步到位推广CPU卡

    技术方案：CPU卡无需兼容逻辑加密卡。 
    系统改造：全面升级原有逻辑加密卡系统，将原来只能读写逻辑加密卡的交易终端（下称M1终端）全部改造或更换成可读写CPU卡的交易终端（下称CPU终端），CPU终端应同时支持逻辑加密卡的读写，实现向下兼容。
    运营模式：新布设的交易终端全采用CPU终端，新发行的卡片全采用CPU卡。CPU卡支持跨行业及互联互通应用，已发行的逻辑加密卡限制在原应用领域使用，由市场逐步淘汰。
    利弊浅析：由于推广CPU卡应用不产生直接的经济效益，而此方案要求运营商对原有系统进行全面升级改造，一次性投入很大，运营商难以承受，缺乏积极性，推广难度很大，可操作性值得商榷。

    意见二：双钱包同步

    技术方案：CPU卡划出部份空间由硬件模拟逻辑加密卡功能，CPU卡本身带有符合PBOC标准的电子钱包（下称CPU钱包），所模拟的逻辑加密卡功能也带有电子钱包（下称M1钱包）。每次交易时，由卡片COS对两个钱包进行校验和数据同步，确保两个钱包余额一致。 
    系统改造：无需对已经布设的M1消费终端进行升级，仅须将充值终端改造或更换成CPU终端，以提高CPU卡充值安全性，对逻辑加密卡仍采用原充值流程，充值上限额较低。
    运营模式：新布设的交易终端全部采用CPU终端，新发行的卡片全部采用CPU卡。在过渡期，M1消费终端对所有卡片均使用逻辑加密卡消费流程，CPU消费终端应能自动识别卡片类型，采用对应的消费流程，CPU卡消费时由COS自动实现CPU钱包与M1钱包的同步。随着M1终端逐步折旧完毕、更换成CPU终端，以及大部分逻辑加密卡超过有效年限，过渡期结束，应用的各个环节均采用CPU卡技术，不再兼容逻辑加密卡。
    利弊浅析：此方案系统改造量少，使运营商在过渡期资金投入大幅度减少，可有效提高运营商的积极性，有利于CPU卡推广。但CPU卡在过渡期内，由于每次交易都需要由COS对两个电子钱包进行同步，增加了交易的复杂度，影响交易效率和稳定性。许多卡商表示，以目前的技术条件，增加电子钱包同步操作后，难以保证交易在300ms内完成。交通智能卡应用以快速消费为主，如交易时间超过300ms，将严重影响持卡人使用的便利性。此外，增加电子钱包同步操作也使交易异常的几率大大增加，存在一定的技术障碍。

    意见三：双钱包异步 

    技术方案：CPU卡支持CPU和M1双钱包，但交易时COS不对两个钱包进行同步。
    系统改造：本方案对系统的改造要求与意见二一致。
    运营模式：新布设的交易终端全采用CPU终端，新发行的卡片全部采用CPU卡，运营商提供将CPU钱包部份或全部资金“圈存”到M1钱包的服务。在过渡期，M1终端对所有卡片均使用逻辑加密卡消费流程，CPU终端自动识别卡片类型，采用对应的消费流程。由于CPU钱包和M1钱包不同步，需对两个钱包独立管理，这就要求持卡人熟知各种消费对应扣除哪个钱包的资金，及时“圈存”以保证两个钱包都有足够的余额，否则很容易出现卡内有钱，但由于对应的钱包资金不足而无法消费的情况。过渡期结束后，本方案营运模式与意见二一致。
    利弊浅析：此方案规避了电子钱包同步的技术障碍，但要求持卡人熟知各种消费对应哪个钱包并不现实，持卡人使用十分不便，运营商也难以解释原因。失去了用户将失去应用的根基，这样的应用方式难以在市场立足，存在过渡期夭折的风险，运营商自会权衡。

    ■ 解决方案

    上述三个方案各有利弊，如何克服推广、技术和应用三方面的障碍、取得平衡点，成为近来业内专家争论最为激烈的课题。经分析研究，提出以下方案供业界参考。

    技术选择：仍采用双钱包的方案。CPU卡划出部份空间由硬件模拟逻辑加密卡功能，实现CPU和M1双电子钱包。卡片COS应保证只有CPU钱包可通过外部指令充值，M1钱包不能通过外部指令充值，只能由COS自动从CPU钱包转入资金，确保逻辑加密卡充值密钥不在交易中与终端传递，保证M1钱包的充值安全。