公共交通系统中的非接触CPU智能卡的开发研究

    为了加快城市建设步伐, 提高城市现代文明程度, 适应现代科技时代发展需求, 加速国内城市向国际化大都市发展。利用现代先进的非接触射频技术管理公交车辆、地铁、停车场、公园以及旅游景点等拥挤的公共场所, 能够迅速、有效地疏导人流。对金融交易而言, 具有独特的高度安全性和可靠性, 有效地防止仿冒以及其它非法操作。开发研究公交系统非接触智能卡( Smart Cards) 票务管理系统, 是对现有公交票务体制的完善和补充, 能够减少运营成本, 增加运营收入, 提高安全性, 降低欺诈率, 可以及时准确地统计出各路车、各个班次的运营情况, 从而有效地提高公共交通系统科学管理水平及运营效率。

    1 　智能卡管理系统基本组成
 
    非接触CPU 智能卡管理系统是基于网络支持的智能卡的应用, 其硬件组成如图1 所示, 软件管理部分示意图如图2 所示 。从总体上可分为5 个功能单元: 发行系统、终端系统、查询系统、结算中心和安全系统, 这5 个功能单元分别组成总台和终端两个部分。总台包括发行系统、结算中心以及安全系统和查询系统的一部分功能模块; 终端主要包括终端系统、安全系统和查询系统的另外一部分的功能; 网络用于联系总台和终端, 其应用系统结构框图如图3 所示。

图1 　非接触CPU 智能卡管理系统硬件组成框图 

图2 　非接触CPU 智能卡管理系统软件管理示意图

图3 　非接触CPU 智能卡应用系统结构示意图

    1.1.1 　发行系统
 
    非接触CPU 智能卡的发行就是指白卡, 即仅含出厂信息的智能卡个人化, 发给用户。非接触智能卡个人化指设置卡的读写模式, 将系统信息和用户信息初始化到白卡的过程。发行系统就是完成非接触智能卡发行的一些服务工作, 包括保存、换卡、退卡等功能。发行系统利用一个发行数据库记录用户的开户信息, 该系统由以下部分组成: 

    (1) 新卡发行模块　
    接受用户的卡申请, 记录用户的身份信息, 接受用户的密码输入, 把系统的密码、用户密码连同用户的存款金额一同个人化到新卡中, 同时在发行数据库为用户追加一条帐户记录。
 
    (2) 储值模块　
    完成卡发行后的资金继存。
 
    (3) 挂失和换卡模块　
    受理用户的卡挂失。挂失后该卡流水号补入各消费终端的废卡数据库。换卡通常有两个原因: 一是挂失后换卡, 此时需给用户重新分配流水号(帐户号) , 然后通过各消费终端的消费明细库和总台的发行数据库计算出剩余金额, 因此必须等到系统帐目汇总后方能换卡; 二是发卡单位出于安全性需要, 更换卡的格式或系统密码而换卡, 此时只需根据原卡重新个人化一张新卡。
 
    (4) 退卡模块　
    接受用户退卡申请, 把卡中余额退还用户, 此模块还要完成在检查收支平衡后注销该用户在发行数据库和消费明细库中的记录。
 
    (5) 系统维护模块　
    用于维护系统数据库, 包括查询和增、删、改等功能。
 
    1.1.2 　终端系统
 
    终端系统完成用户的消费管理和消费记帐管理,主要包括以下几个模块: 

    (1) 用户界面　
    由于用户通常不是专业人员, 所以用户界面务求简明, 美观大方。就目前软件开发技术而言, 采用图形用户界面较佳。
 
    (2) 消费管理模块　
    根据智能卡中剩余金额控制用户的消费金额, 限制透支幅度。
 
    (3) 消费记帐管理模块　
    记录用户消费情况, 形成明细帐。
 
    (4) 网络通讯模块　
    负责与总台的网络通讯。
 
    1.1.3 　结算中心
 
    结算中心对智能卡消费汇总系统, 检查收支平衡情况, 按特定格式形成帐目, 其主要包括如下模块: 

    (1) 帐目建立模块　
    根据发行的数据库、消费明细数据库按特定的格式建立收支帐目。
 
    (2) 终端管理模块　
    负责与各终端网络通讯, 从各终端收集数据。
 
    1.1.4 　查询系统
 
    查询系统嵌入在发行系统、终端系统和结算中心之中, 包括以下模块: 

    (1) 卡内容查询模块　
    主要用于查询卡中的余额。

    (2) 消费明细查询模块　
    支持用户对一段时间内具体消费情况的查询。

    (3) 帐目查询　
    查询结算中心产生的帐目报表,检查收支平衡情况。
 
    1.1.5 　安全系统

    由于在非接触智能卡应用系统中, 完全根据智能卡中内容决定用户的消费, 因此有效的安全机制将是整个系统赖以成功的关键。非接触式智能卡应用系统中, 安全系统是嵌入到多个系统中的。其中任何操作都必须经过安全性认可方可执行。其管理系统中的安全系统主要包括如下几个部分: 

    (1) 安全机制设置模块　
    用于产生系统安全信息(各级系统密码、加密解密密钥等) , 对不同的操作人员设置各个级别的操作权限, 设置网络中保密信息的传输方式, 实现系统信息的安全存储及更新。
 
    (2) 操作保护模块　
    根据操作者权限, 对各种操作申请做合法性检查, 嵌入到各功能单元中。
 
    (3) 实体确认模块　
    确认卡的真实性, 识别伪卡及非法侵袭并报警。
 
    1.1.6 　网络
 
    在非接触智能卡应用系统中, 各终端与结算中心通过网络以密文形式传送信息。终端机依据卡内发行信息直接确认用户的合法性, 不需通过网络向总台确认, 因此对网络实时性要求不高, 可采用电话线路建网, 这也是考虑到网络在我国发展的实际情况。
 
    2 　系统基本配置
 
    公共交通系统中的非接触智能卡管理系统的硬件

    3 　智能卡的基本特性及安全措施
 
    3.1.1 　智能卡的基本特性
 
    公交智能卡是一种非接触式CPU 智能卡, 卡和终端之间有高速射频通讯接口, 具有传输速率高, 处理时间短的特点。智能卡在一个硅片上集成有8 位设备主要有以下几种, 可根据情况选择配置。
 
    (1) 网络服务器
    在网络环境下为使用本系统的各站点提供实时数据信息的共享、安全及网络服务功能。
 
    (2) 486 以上档次的微机
    在制卡　售卡、签到、汇总以及统计与报表等方面, 实现计算机管理。
 
    (3) 通讯、查询型智能卡读写器配置
    在制卡与售卡、签到与汇总处实现对智能卡的读写与查询操作。
 
    (4) 车载型智能卡读写器
     在公交车上实现对持卡乘客的验卡、减额以及对司机运量与收入的分类统计。
 
    (5) 验卡、密码型智能卡读写器用于验卡及洗卡并加入密码。
 
    (6) 激光打印机
    用于打印对制卡与售卡、车队、线路及司机运量与收入的各类统计报表。
 
    上述硬件设备的安装位置和选配数量可根据实际情况进行选择配置。整个公共交通系统中的非接触智能卡票务管理系统在系统配置上的结构示意图如图4所示。

图4 　系统硬件配置示意图

    CPU (用户可根据需要选用MOTORLA、INTET 和ATMEL 公司等的芯片) , 8 K 字节E2PROM , 512 字节的RAM 及存放程序的22 K 字节ROM , 一个将能量与数据进行非接触传输的模拟接口, 一个随机数发生器、DES 协处理器管理单元。其卡内操作系统是一种成功的多应用分区操作系统, 这种管理方式是动态的, 即对分区数、文件和记录大小均可以弹性处理。操作系统支持ISO7816 文件结构, 支持多应用,还具有异常中断后的数据自动恢复功能。卡的专用的射频技术, 最大限度地抵抗电磁干扰, 并有防碰撞设计, 卡感应距离为10cm 左右, 其天线接口是编程设计的, 符合现时通用的国际标准, 还能适应以后新的国际标准, 这使得系统非常适合于公交领域的应用和其它需要快速验证和检索数据的应用。卡内进行标准的DES 和RSA 加密运算, 卡内数据及数据交易具有极高安全性, 同时卡上操作系统具有宏指令操作系统, 使得安全性大大增强, 而且速度也大大提高。
 
    非接触智能卡是多应用卡, 卡内的操作系统支持不同类型的应用, 并确保应用之间有防火墙。非接触智能卡防冲突协议描述多张卡片同时出现在终端的读写距离之内时的处理方法。防冲突协议基于ISO14443B 规范, 允许终端与读写距离内的多张卡片同时通讯, 通过使用一种算法, 可以逐一选择每一张卡。当卡被选中后, 终端与卡片进行相互验证, 然后应用程序开始处理交易。如果一次交易被意外终止,未完成的交易会在下一次交易开始之前自动恢复。非接触智能卡上都带有加密算法, 虽然系统能够处理读写区内可能出现多张卡时的交易, 其解决方案是将终端的软件设置为, 当多张卡同时出现在读写距离之内时, 发出表示有错的信号。
 
    3.1.2 　系统安全措施
 
    由于公共交通的非接触式智能卡的内容, 存在车载读写器内的交易数据以及传送给主机的交易数据都是当作金钱来流通的, 因此数据的防伪性和安全性非常重要。系统安全管理包括对卡的动态认证功能在内, 以防止非法复制卡和非法操作; 系统还包括附加的安全机制, 如: 数字签名、密钥管理、设备注册和黑名单管理, 以防止敲诈交易。该系统的安全管理机制的目的就是为了保护公交系统运营者、持卡人和服务承包商的权益不受到数据丢失、敲诈、蓄意破坏和不当消费的侵害, 同时保证系统的正常运作受到侵害的影响极小, 整个系统总的安全措施为: 

    (1) 明确划分系统功能, 进行模块化程序设计;
    (2) 根据系统操作人员的不同职责, 严格限制操作范围, 设定系统密码;
    (3) 利用网络功能对与系统相关人员进行用户权限划分, 设置用户口令;
    (4) 选配具有防振、防尘、防磁以及耐高低温功能的各型智能卡读写器, 保证在各种复杂环境下对公交智能卡的正确读写。
    (5) 选用具有防磁、防水、防静电而且数据可长久保留的符合国际标准的智能卡, 通过读写卡器非接触式的读写, 以确保卡上数据的准确可靠。
 
    4 　结算中心管理系统
 
    结算中心管理系统收集公共交通系统发行的每张卡的销售和使用的交易记录。系统运行一个数据库来维护所有发行的卡, 并跟踪这些卡的使用情况及卡内余额。该数据库也可用来产生各种报表, 以便从系统获取加载交易信息与资金收集系统的帐目保持平衡,同时该系统也管理和维护卡及设备的最新黑名单以防敲诈行为。所有交易数据会安全地从车载终端传送到结算中心, 结算中心对每张卡进行结算以确保没有敲诈行为发生。结算中心能够提供每张的交易报表以及每月和年度的结算、清算结果和报表。
 
    结算中心采用16 位或32 位的应用程序, 系统运行在可扩展的服务器平台上, 结算中心管理系统能够使运营公司管理自动收费的各个方面, 能够提供简单快捷易懂的中文及图形界面。所有设备的操作数据均由结算中心维护, 操作参数、黑名单的更新、价目表及其它设备图形都通过结算中心管理。设备的操作数据由结算中心发送到总站计算机, 再由总站计算机发送给车载终端, 同时车载终端将数据传送给总站计算机。结算中心也是系统安全的管理和评估中心。
 
    结算中心为该系统操作人员提供十几种综合管理汇总报表, 公交运营公司从这些报表中选择所需的报表。报表可以是日报表或月报表, 可以是总结式的报表, 也可以是使用的详细资料统计报表。这些报表可以用来进行系统财务平账, 也能够对系统中所有线路的运作进行广泛的统计分析, 各线路运营情况可通过各种有关乘客及卡的类型等详细报表而监测。乘客数量报表能够给出任何时刻车上的人数, 也可以给出关于某个车次、某条线路上的所有车次或者整个系统中的所有车次的统计表。如果公交运营公司还需要其它报表, 结算中心可以为其服务供应商提供原始交易数据。
 
    5 　数据传输
 
    由于几条线路的公交车共用1 个公交总站, 那么就需要设置多个工作台以提供足够的机座, 确保每个总站计算机与结算中心的通信。而这些工作台都是通过1 个电话线共享器连接到1 个MODEM 上, 并设置在总站的工作人员办公室内, 屋内应有电源插座和至少1 条电话线。

    5.1.1 　通讯网络
 
    在这样一个经济实用的公交管理系统中, 通过本地公共电话交换网来传输交易数据和系统配置数据。结算中心输入需要若干条本地电话线, 因此在结算中心中需要安装相应个数的调制解调器。对于规模小的公交总站, 总站计算机和结算中心之间的通讯需要1条电话线、1 个调制解调器和1 个工作台。而对于规模大的公交车总站则需要设置两条电话线、两个调制解调器和几个工作台。车载终端和总站计算机之间的通讯通过通讯接口进行。结算中心所有设备连接成一个局域网。发行服务点的设备与结算中心之间也通过公共电话交换网来传输数据。
 
    5.1.2 　数据传送
 
    车载终端和总站计算机之间的数据传输可以按照公交运营公司确定的传输日程进行, 传输5 000 次交易数据大概需要30s , 这样下载和上载时间的安排就可以非常灵活。例如, 可以安排在每天的运营结束后, 或者在每次交班结束后, 或者汽车在其终点站停车期间。同样, 总站计算机和结算中心之间的数据传输也可以按照公交运营公司确定的日程进行。对一般规模的总站而言, 日常数据传输时间约为25min。因此既可在每天工作结束后, 也可在一天中的任何时间进行数据传输。
 
    5.1.3 　数据保护
 
    该管理系统对交易数据、系统管理数据和维护数据提供保护功能。
 
    1.1 数据保密性　

    需要保密的数据通过加密算法来实现。总站和结算中心之间的调制解调器通讯采用数据加密方式。
 
    2.1 数据的完整性　

    防止数据被非法篡改的功能,在公交管理和支付系统中通过验证和校验来实现数据的完整性。

    3.1 数据的保持　

    在结算中心对收据和数据进行核实处理前, 数据记录将一直保存而不删除。一般公交智能卡上至少保存3 条交易记录, 这样持卡人就可以及时了解卡的使用状况。在卡交易数据从车载终端传送到总站计算机后, 总站计算机将一直保留这些数据, 直到从结算中心收到删除该数据的通知才能清除。
 
    公共交通系统中的非接触CPU 智能卡计算机管理系统的使用不仅在经济上效益明显, 同时在社会上也将为提高公民的文明素质, 实现公共交通的自动化管理, 展示现代都市的精神风貌, 起到良好的促进作用。随着非接触智能卡应用技术的日益成熟和生产成本的不断下降, 相信非接触智能卡在公交管理领域中应用将越来越广泛, 应用前景十分可观。