来源:天津市通卡公用网络系统有限公司 作者:吴昊 发布时间:2010-08-27 10:46:31 字体:[大 中 小]
摘 要:本文根据多年系统研发、开发、施工的经验,针对当前IC卡市场出现的安全性问题和升级改造的问题进行探讨,供广大的IC卡运营商和IC卡领域的系统集成商参考。
本文根据多年系统研发、开发、施工的经验,针对当前IC卡市场出现的安全性问题和升级改造的问题进行探讨,供广大的IC卡运营商和IC卡领域的系统集成商参考。
一、CPU卡升级改造的意义
1. M1卡被破解,给中国的IC卡市场带来冲击
逻辑加密卡的安全性问题越来越引起各地IC卡主管部门及各运营单位的高度重视,住房和城乡建设部IC卡应用服务中心、工业和信息化部、相关省市政府部门均下发了专门的通知,对当前大量使用M1芯片的非接触式逻辑加密卡的IC卡发行与应用单位的IC卡情况进行调查,同时,相关部门也提出了各应用单位根据实际情况逐渐实现IC卡从逻辑加密卡向CPU卡升级的相关要求。
作为城市IC卡收费系统,从本质上属于一个准金融的系统。它直接面对的是钱。充值和消费环节的安全性,直接影响到公司的生存、发展、声誉。
2. 采用非接触CPU卡是技术发展趋势,CPU更适合于一卡通应用
作为M1逻辑加密卡替代产品的CPU卡芯片内部都有双重安全机制,第一重是芯片本身集成的加密算法模块,芯片设计公司通常都会将经实践检验最安全的几种加密算法集成入芯片,目前比较常见的安全算法有RSA,3-DES等。第二重保护则是CPU卡芯片特有的COS(Card Operation System)系统,COS可以为芯片设立多个相互独立的密码,密钥以目录为单位存放,每个目录下的密钥相互之间独立。同时COS内部还设立密码最大重试次数以防止恶意攻击。由此可见,非接触式CPU卡比非接触式逻辑加密卡具有更高的安全性。
除此以外,CPU卡可以实现真正意义上的“一卡多用”,每个应用相互独立并受控于各自的密钥管理系统。不同应用可以共享一个“钱包”,也可以分别拥有各自的“钱包”。服务商可以通过使用CPU卡进行更加灵活有效的管理,用户也能使用CPU卡实现多功能应用的需求。
3. 市场上旧有的车载机面临升级换代的需求
鉴于城市IC卡收费系统中所采用的早期型号的车载机,已经运营很多年的时间,作为精密电子设备,在目前车辆的实际运行环境下,由于颠簸、振动、灰尘等其它外界环境的因素,同时由于车辆运行状况的不断恶化,车载机长期工作在相对比较恶劣的电磁环境下,导致车载收费机部分元器件的基本参数下降,再者电子元器件本身也存在自然老化的现象,综合这些因素使得车载机性能出现下降。由于元器件老化所造成的车载机性能下降的趋势在逐步增加,车载机本身的故障率也有所提高,维护量在不断上升。由于车载机性能的下降,也必将会造成持卡人与司乘人员之间的纠纷上升。同时车载收费机的性能下降将导致将来的清算划拨出现问题。
二、城市IC卡收费系统升级为CPU卡过程中存在的问题研究
1. 明确需求、统一标准、加强合作
作为系统软件的升级,面临的首要问题就是需求分析,只有做好仔细、深入的调研分析工作,才能为系统平稳、安全的升级奠定基础。从系统的角度出发,在需求调研和分析中对收集到的用户需求进行分类和优化,结合行业标准进行系统抽象化并通用化。
目前住房和城乡建设部于2009年颁布的《建设事业CPU卡操作系统技术要求》和《建设事业非接触式CPU卡芯片技术要求》是我们遵循的行业标准。该标准的发布和实施为城市IC卡收费系统升级CPU卡提供了依据。相关的软件、硬件开发商需要对这些标准进行有效的贯彻和实施,制定CPU卡结构、交易流程、充值和消费数据结构等相关技术文档,统一的标准有助于未来城市间互联互通的实现。我们相信《城市互联互通通用技术要求》、《城市互联互通卡清分清算技术要求》、《城市互联互通卡密钥及安全技术要求》系列标准的颁布将会规范和推动城市一卡通互联互通。
在需求调研和分析过程中,要坚决避免仓促上马,调研不充分现象的发生。城市IC卡收费系统CPU卡的升级,面临着部IC卡中心、IC卡运营单位、软件开发厂商、车载机生产厂商、POS机生产厂商、合作单位开发商等多家供应商之间的合作,因此,统一领导和制定统一的执行规范变得尤为重要。同时为了防止在升级过程中的稳定性,我们建议尽量不要增加新的开发单位,以避免扯皮、推诿现象的发生。
2. M1卡与CPU卡共存的问题
现在全国大部分的城市已经开通了城市一卡通或者公交IC卡收费系统,并且具有了一定的M1卡保有量,如何使得系统进行平稳升级,是各个城市面临的实际问题。
从数据的角度上来讲,将M1卡数据和CPU卡数据进行区分是一个更好的解决方法。它既兼顾了数据的独立性、安全性,同时为未来取消M1卡后,数据的维护奠定了基础。
从清算的角度上来讲,将M1卡数据和CPU卡数据进行区分,将有助于数据的明确划分和对账,也便于对问题数据的定位。
从系统的角度上来讲,同时进行系统软件和硬件中嵌入式软件的开发,并且在系统正式使用前进行充分的测试,将有效的避免M1卡和CPU卡共存的情况下,系统发生冲突的问题。
从应用的角度上来讲,尽量维持原有操作界面,将更多的代码变化放在程序内部完成,这样避免二次培训的问题。
从实施的角度上来讲,实行先更新硬件设备软件,再升级系统软件的执行策略,这样有助于系统平稳过渡。
3. 车载机终端等的设备升级问题
目前在所有城市IC卡收费系统项目上使用的配套机具(车载机、脱机充值机、小额消费机、发卡充值机等)在硬件上是兼容符合国际标准的非接触CPU卡的读写操作的,但由于早期型号的车载机在产品硬件上的本身限制,实现非接触CPU卡的应用,需要解决:由于M1卡和非接触CPU卡兼容所导致的车载机程序容量不足的问题、刷卡速度下降的问题、以及由此造成车载机具整体效率下降的问题等。针对这些问题,我们提出以下3个在公交IC卡车载机终端上应用非接触CPU卡的方案:
方案一:M1、CPU两种卡片兼容的机具软件改造升级方案
1) 对城市IC卡收费系统使用的车载机、发卡充值机、脱机充值机等专用读写机具进行新的整体规划,按照兼容M1和CPU两种卡的要求规划机具硬件资源,重新分配存储空间,根据原有M1卡和非接触CPU两种卡的消费流程,优化程序结构,保证机具的程序空间能满足升级需要。
2) 更换/升级所有的ISAM卡/PSAM卡,ISAM/PSAM卡中保留原先的密钥体系中支持M1卡的所有功能,同时由部IC卡中心在密钥卡中加装非接触CPU卡密钥,逐步发行非接触CPU卡来替换系统现有的M1卡,在一定时期内保持非接触CPU卡和M1卡的兼容,待根据部IC卡中心规定的M1卡的密钥失效期前完成全部M1卡向非接触CPU卡的迁移。也可保留原先的PSAM卡支持M1卡的所有功能,在车载机中加装新发行的支持非接触CPU卡的PSAM卡,系统新增卡片和新发行的卡片使用非接触CPU卡,然后逐步将M1卡升级为CPU卡,待时机成熟时,逐步淘汰M1卡。
3) 精心设计机具的软件,保证M1卡和CPU卡的完全兼容,并改善刷卡速度,尽量减少因兼容2种卡而产生的刷卡速度下降。
4) 重新规划通讯协议,提高采集补采集及黑名单下载速度,使采集下载速度提高2倍以上。
方案二:将原有M1卡全部更换为CPU卡的机具软件改造升级方案
1) 对城市IC卡收费系统使用的所有机具进行新的整体规划,按照系统发行非接触CPU卡的要求重新规划卡结构、机具硬件资源,重新分配存储空间,设计非接触CPU卡的消费流程,优化程序结构,保证机具的程序空间能满足升级需要。
2) 向住房和城乡建设部申请支持非接触CPU卡的密钥管理系统,更换现有专用配套读写机具中的ISAM、PSAM卡,实现CPU卡的硬密钥方式,最终完成全部升级。在发行新的非接触CPU卡的同时,对系统中原有的M1卡进行清算、退卡和换卡。
3) 精心设计机具的软件,并改善刷卡速度。
4) 重新规划通讯协议,提高采集补采集及黑名单下载速度,使采集下载速度提高2倍以上。
方案三:机具设备换代升级方案
随着电子技术的不断发展,车载机本身的性能也在不断的更新换代,处理速度、存储容量、接口性能、采集速度等等的性能指标也在不断地提升。为了有效地保证整个系统的数据完整和准确性,特建议目前系统中早期的车载收费机进行逐步的更换和升级,从而在提高车载收费机性能的同时,逐步提高工作效率。
1) 机具改造、施工方案
第一种情况:对于实施软密钥的IC卡终端机具,在改造工程中需要拆下车载机,并在车间将车载机终端打开,装上PSAM卡后,再装回运营车辆。
第二种情况:对于使用原建设部密钥的城市,同样要拆下机具,并在车间将车载机终端打开,装上支持CPU卡的新的PSAM卡,再装回运营车辆。
改造中按照线路为单位,逐步升级,批量的替换设备这样可以保证在不影响公交正常运营的原则上施工改造。
2) 项目实施计划
步骤1:由软件工程师修改调试可以兼容M1卡和CPU卡的程序,并在实验室测试合格后,交与改造项目施工负责人。
步骤2:由施工负责人带领高级技工并携带调试好的程序和必要的工具到达现场(如果有必要软件工程师也可以到达改造现场)。
步骤3:根据现场情况修订升级改造计划,包括需要公交给予的配合要求和进度计划。
步骤4:根据制定计划实施升级改造。
步骤5:改造升级完毕交由使用方验收。
4. 系统安全性问题
多数城市的IC卡收费系统,多数采用的是离线充值和在线充值并存的方式,而且离线充值占大多数,这样对于充值密钥的保存、保管、使用的安全性都存在着一定的隐患。特别是充值密钥卡的丢失,将给IC卡系统安全性带来隐患,甚至需要更换密钥的严重后果。
随着通讯费用的不断下降和通讯技术的成熟,采用在线充值方式替代离线充值方式是解决密钥安全性的有效途径。采用加密机代替充值SAM卡进行密钥的计算,更符合金融系统的安全性要求。在加密机与应用终端之间增加中间层,将显著的提高系统的抗攻击能力,有效的保护系统的安全性。
在线充值方式占大多数的情况下,允许存在少量的离线充值方式,以满足通讯不畅时,业务不间断的问题。
5. 系统拓展的问题
作为城市IC卡收费系统的运营者来说,单单凭借自己的力量进行网点的扩充,势必造成较大的资金压力和维护成本的压力。随着发卡量的不断扩大,借助第三方的力量进行网点的扩充,是一个较好的选择。
采用专用的读写设备进行IC卡的操作,将有效的保护卡片的安全性。同时在专用的读写设备上,不再存放充值或消费密钥卡,转而采用安装通讯密钥卡的方式,对卡片的交易过程进行加解密,保证密钥传输的安全性。
针对银行ATM、查询终端、柜面系统、邮局、超市、互联网等不同应用的需求,开发不同接口、种类的读写设备,将使得IC卡的应用拓展到各个领域。提供第三方SDK,将有助于解决系统拓展的需要。
综上所述,逻辑加密卡向CPU卡迁移是大势所趋,各地IC卡运营机构应根据当地需求和运营特点,选择最佳的升级方案,确保系统的平稳过渡。
推荐文章
论坛热帖