预付费分时电能表及其系统安全性的探讨

    预付费分时电能表是一种具有IC卡通讯接口的分时计费的有功电能计量仪表，可以按照协议好的不同计费时段的用电量及单价、预付金额或预购电量付费方式完成电能计量、数据处理以及用户用电控制。 

    预付费分时电能表及预付费售电管理系统作为电能计量和用电结算的特殊的计量产品，应该保证表计和系统在任何情况下都具有极高的安全性。包括精确、稳定的计量功能，极强的抗电磁干扰、抗攻击、耐恶劣环境的能力，以及在数据解密、交换过程中的高度安全，确保用电信息、结算方式正确可靠，保证用电、供电双方的利益不受损害。 

    预付费分时电能表作为这一系统的重要组成部分，与预付费分时售电管理系统、预付费表计密钥管理系统（发卡），共同构成一个有机整体，其安全性设计是技术关键。所以必须从卡片的安全性、表计生产过程的安全性、运行管理的安全性等方面考验整个系统的安全性。

    卡片的安全性

    由于预付费分时电能表用户群体庞大，并且表计安装后是通过IC卡进行数据传递交换，管理系统无法实时监控，因此必须要求用户卡片具有较高的安全性。所以预付费分时电表应选用带有密钥控制的CPU卡。CPU卡在对数据进行读写时必须要经过密钥认证，由于密钥是不可读取的并且在实际操作中不可截获的，因此CPU卡相对于其它类型IC卡而言，具有非常高的安全性。在卡片的发行过程中，对用户卡中的密钥进行分散处理，最大限度地减少被黑客攻击破译系统密钥的可能性，同时在用户卡中传递的关键数据进行加密保护处理，以防止非法篡改数据的可能性。 

    智能卡(CPU卡)比逻辑加密卡有如下优势： 

    智能卡比逻辑加密卡具有更高的安全性 

    智能卡的安全性是建立在专用、安全的微处理器硬件平台和安全、可靠的软件操作系统（COS）基础之上。逻辑加密卡只靠逻辑电路实现数据保护。智能卡除了能实现一般逻辑加密卡的密码校验之外，还有建立在密钥和安全算法基础上更为安全的认证机制，认证过程以随机数为载体，认证码无法重复和跟踪，可以防止通过在线测试对相关数据进行分析、篡改和重放。一般逻辑加密卡的密码校验过程没有随机性，密码传输过程是明文的，可以测试并分析出卡片的密码。智能卡支持非常灵活的密钥系统设计，可以根据需求设计多种逻辑组合的文件访问权限，例如对于电子钱包，很容易把消费和充值由不同的密钥控制。一般的逻辑加密卡如果用来做电子钱包，消费和充值可能由一个密码保护，安全性很差。 

    智能卡比逻辑加密卡具有更大的灵活性 

    智能卡由操作系统管理芯片的硬件资源，可以根据需求，自由设计不同应用文件的密钥系统，在逻辑上和物理上保证了一卡多用在安全性、灵活性方面的要求。 

    智能卡比逻辑加密卡具有更好的标准性 

    智能卡在通讯协议、文件和命令等方面有深入、全面的国际标准可以遵循。而且其外部特性可以通过操作系统进行扩充和修改，实现更好的兼容性和功能扩展性。逻辑加密卡在通讯协议、读写特性和存储区划分等方面没有严格的标准，不同型号的产品不能通用，限制了产品的选择空间和产品供应的连续性，在很大程度上缩短了系统的生命周期。

    表计生产、运行过程的安全性

    严格区分表计的生产过程和运行管理过程，保证表计一旦安装运行，对其中任何数据的修改都应该在运行管理系统的控制下进行，坚决杜绝生产厂家或管理部门工作人员持有特殊工具卡可以不经过管理系统，而对表计数据进行改写。为保证这一点，应在电卡表中安装ESAM安全认证模块。 

    ESAM（Embedded Secure Access Module）嵌入式安全控制模块采用现成的产品(如将CPU卡操作系统COS----置入带封装的同类芯片内，此COS系统和卡上COS系统有个别差异), 具有完善的安全机制、标准的加密算法、可根据分散因子产生子密钥等特点。 

    ESAM特殊的安全属性使它可以嵌入到其他任何具有安全要求的智能设备中，完成文件的安全存储、数字签名、数据加密解密、双向身份认证、内部分散密钥、电子钱包、通讯线路保护等多种功能。 

    ESAM安全认证模块用来存储表中的数据和安全密钥，在运行过程中由用户卡和ESAM安全模块进行安全认证和数据传输，ESAM安全模块由运行管理系统管理。在卡表生产完毕测试合格后用管理系统提供的修改密钥卡将ESAM安全模块中的密钥修改为运行密钥，这样未经授权，表计生产厂任何人都不可以对表里的数据进行修改。 

    ESAM安全模块可由电能表运行管理部门制作,然后发给电能表生产厂商。

    运行管理的安全性

    在预付费分时售电管理系统中，系统的安全主要取决于密钥的发行和管理，因此必须有一套合适的卡片以及ESAM安全模块密钥发行和传递方式。由于系统的组成环节中有银行、城市公用事业（水、电、气、热）管理部门、表计生产厂、卡片供应商和系统集成商等，各个环节都涉及到密钥管理，如果密钥在传递过程中被窃取，系统的安全性将受到极大影响，所以必须要有卡片发行和密钥管理机构。密钥发行传递采用总控卡、一级母卡、二级母卡、应用卡的多级方式，每一级在向下传递时采用密文线路保护方式或密钥密文导出方式。 

    因此,在预付费分时售电管理系统中，有专门的密钥管理系统和售电管理系统,两个系统各自独立运行。密钥管理系统由电能表运行管理部门控制，售电管理系统接受密钥管理系统控制，其各个子系统根据各自的功能和权限完成各自的日常工作，系统运行数据由中心计算机专用数据库管理，系统和电能表所使用的卡只能接受特定的密钥管理系统发行的卡。可参考附图。