浅谈智能IC卡在城市轨道交通和小额支付中的技术研究和应用

　　智能IC卡应用目前已深入到银行、电信、医保、智能交通、工商税务、公共事业、加油、烟草、小额支付等多个应用领域。其中城市轨道交通和小额支付在智能IC卡方面的应用越来越广泛，为乘客提供了快捷方便和优质的服务，因此智能IC卡在城市轨道交通和小额支付中的技术研究和应用也成为一种必然趋势。 

　　一、智能IC卡应用在各个领域的概况 

　　目前智能IC卡被广泛应用于数据储存、小额支付、电子钱包、身份认证、移动通信等领域，尤其是身份认证，中国的身份证系统已经改为智能IC卡系统，有些国家已成熟应用电子护照系统。近年来，为了数据的安全性，银行卡也在逐步实现EMV迁移，即转向金融智能IC卡，为此，Visa和Master已经设立了相应的应用标准，中国人民银行也确立了专门应用于金融智能IC卡的PBOC 2.0标准。在PBOC 2.0的基础之上，其他应用行业也设立了一些行业的标准，如劳动和社会保障部的医保智能IC卡标准、中石油的加油卡标准、建设部的建设事业集成电路(IC)卡应用技术标准等，这些行业标准已在实际应用中，虽然还没有形成强制性标准，但是会被所涉及的行业用于参考。另外，如电信行业的电话卡和SIM卡、公共事业中的水电和煤气缴费、政府部门和社团机构内部的信息化管理、电子钱包的应用等等都在逐步使用智能IC卡。         作为快速增长的细分市场，接触或非接触CPU银行卡已经使用两三年了，基于芯片的信用卡增强了交易的安全性，之后发展的双界面或非接触卡得以创造了一个全新的、令人兴奋的商业模式。尽管市场潜力非常诱人，而真正成功的关键在于很好地规范与明确发卡者，银行与商户的利益分配， 以使得用户最终受益。 安全，再一次，成为主要的考虑因素，特别是银行卡承载了第三方的应用。不难想象，只有一个高安全并被认证的CPU平台是最适合这个市场的，同时需要一个开放的卡操作系统来支持银行与交通运营商的合作， 在一个更长的时期内享受多小额支付应用给彼此带来的收益。
　　移动支付在AFC智能公共交通上是一个未来的发展方向。例如日本，两年前人们就靠手机支付火车票，同样的多应用也把电信带入了智能公共交通领域。全球主要的电信供应商，例如手机生产商、SIM卡技术提供商都已在移动支付领域进行了大量投资。基于SWP-单一通信协议的NFC解决方案，以及采用现有双界面技术，对天线进行特殊设计的双界面SIM卡对用户来讲都是可能采用的技术平台，电信和交通运营商正在积极地推动这一市场。 

　　1、智能IC卡在城市公共设施中的应用 

　　全球的交通运营商都已经关注到了非接触式CPU卡的便利性，例如：低廉的维护成本，更高的处理能力，广告收益等等。非接触式CPU卡对票/卡来讲并不是一项新的技术，很多在北美，南美，欧洲和亚太的国家都已经把非接触式CPU卡应用在自动售检票系统（AFC）上， 并用Mifare 卡作为介质，这一基本的交通解决方案已经历经十年的历史，但仍不失为一个实用而有效的小额支付技术方案。近年来，很多的交通系统发展得更加复杂和多用，增加了站内网络和运营商之间的合作，公交车站与停车场之间的相联性，小额支付也带来了新的盈利点，同时需要与个人身份认证相结合等等。这些应用都对智能卡技术提出了便利性与安全性的要求，以满足不断增长的小额支付服务需求。
　　在中国，智能卡的多应用是人们常常讨论的话题，不仅如此，受益于安全的微处理器平台，很多城市已经开始实行一卡通，比如交通加社保卡，城市一卡通，小额支付，可用于交通的学生证等等，还有多种模式的交通，比如出租，轮渡，火车和地铁/轻轨。同时收益于先进的卡操作系统，发卡方得以更加便捷地从跨行业的应用中获取合作收益。
　　智能IC卡在城市公交系统中的应用，是除身份证系统外，最为广泛的应用。从最早期的公交储值卡，到后期的城市一卡通，几乎是人手一张。由于公交储值卡的普遍使用，也相应推动了非接触式卡技术的快速发展，目前智能非接触式技术的不断更新，公交系统技术进步的推动可以说是功不可没。加上近年来城市轨道交通的发展，针对自动售检票AFC系统的单程票卡应用在各个城市也在逐步铺开。相信在未来的数年内，城市公交系统智能IC卡及其应用，会是一个相当热门的话题，这些都为智能IC卡在城市公共设施中的应用创造了条件。 

　　2、智能IC卡在地铁自动售检票系统中的应用及其发展趋势 

　　地铁自动售检票系统（AFC）是展现地铁形象的窗口，是地铁实现计程计时制合理收费的重要手段，是地铁现代化运营管理的重要组成部分。车票不仅是乘车的凭证，亦是地铁运营管理重要信息的载体。地铁车票根据乘车次数划分，可有单程票及多程储值票。目前，储值票的方案已由传统的磁卡逐渐被非接触式智能IC卡所取代。根据智能IC卡中所镶嵌的集成电路的不同可以分成三类：存储卡、逻辑加密卡、CPU卡。目前非接触式智能IC卡是各国地铁储值票的首选方案，在香港、韩国、上海、南京地铁的自动售检票系统（AFC）中储值票就选用了非接触式智能IC卡。
　　逻辑加密卡是存储卡与CPU卡的中间过渡产品，它是利用特定的逻辑函数关系来防止非授权人员对数据的读取或修改，卡的加密方式是在芯片设计过程中通过电路实现的，一旦芯片制造完成，其加密形式也就固定下来，不容易对其进行修改。在公交系统中作为小金额的储值卡，应用很广，其非接触式代表芯片是philips的Mifare1。但是在地铁应用中，随着非接触式技术的发展，CPU卡的成本大幅降低，选择逻辑加密卡作为储值卡的地铁项目很少，所以普通逻辑加密卡在AFC系统中的应用已经基本消失。
　　非接触式CPU卡主要应用于储值卡系统中，它是通过内置的中央处理器完成对数据的保护和管理，通过内置的芯片操作系统COS，发行商可以方便地修改文件系统以及加密算法等等，这些是逻辑加密卡无法做到的。因为储值卡涉及金额较高，其金融智能IC卡的特征已经很明显，符合电子钱包、小额支付的使用规范，所以现在各地地铁AFC系统应用中，一般都考虑选择满足PBOC2.0的非接触式CPU卡作为储值卡。有些地方，还参照建设部的标准，对卡片COS的少量操作指令，作一些行业的特殊要求。但是因为建设部本身的标准目前没有公开颁布，在加上各地的地铁项目上马有先后，有的系统已经运行了几年，所以建设部的标准目前只是作为参考，还没有实现强制性。 安全是非接触式CPU卡的关键词，不仅仅指存储在卡内的现金安全，那些新增的应用比如身份认证和小额支付都要求对个人信息予以保护。介于现在大量使用的非接触存储卡的安全性被人们高度关注，运营商们想尽办法在交易流程和数据存储上增加安全措施。但真正能够去除这些隐患，并增强公众对于运营商安全管理信心的，就是采用更加强大与稳定的安全控制器（CPU）平台。
　　介于CPU卡和逻辑加密卡功能之间，还有一种准CPU卡，其满足CPU卡的基本功能，也带有算法和简单的操作系统，数据传输也是通过双向认证，但是其操作系统已经固化在芯片内部，无法实现升级，而且不符合PBOC 2.0的标准。这种卡我们称之为准CPU卡，如Philips的Desfire等芯片。因为非接触式CPU卡快速发展以及相应标准确立还是近期的事情，早期的地铁、小额支付应用项目，很多城市选择的都是准CPU卡。 

　　二、智能IC卡的安全技术 

　　智能IC卡(Integrated Circuit Card)又称集成电路卡或智能卡(Smart Card)，智能IC卡用芯片是一种集成电路芯片，其安全性是智能IC卡安全性的基础，在芯片的设计阶段应提供完善的安全保护措施。一般来说，对智能IC卡用芯片的攻击主要有以下几种：通过电子显微镜对存储器或芯片内部逻辑进行扫描，直接进行分析读；通过测试探头读取存储器内容；通过从外部获取的接口直接对存储器或处理器进行数据存取；再激活智能IC卡用芯片的测试功能。
　　为了防止对IC 卡用芯片的攻击，智能IC卡的安全由三个不同层次的安全保障环节组成，一是芯片的物理安全技术；二是卡片制造的安全技术；三是卡的通信安全技术。这三个方面共同形成卡的安全体系，保证卡片从生产到使用的安全。下面通过对智能IC卡内部结构等进行分析，进一步说明智能IC卡安全是具体如何实现的。 

　　1、智能IC卡的内部基本结构组成以及各组成部分的功能 

　　智能IC卡的内部结构主要取决于芯片结构，根据卡片种类不同其结构也略有差异，其他不同类型的卡片，根据其分类分别减少相应的功能块。其中EEPROM区相当于PC上的硬盘空间，是卡片COS和应用的数据区。EEPROM属于电擦除存储器，基本操作包括擦除、读和写三种。 

　　2、智能IC卡的安全分析和安全机制 

　　智能IC卡的安全体系是智能IC卡最核心的模块，高层次的安全保护也是智能IC卡得到广泛使用的基础。智能IC卡的安全性，也就是指对卡片内数据对象访问的安全控制能力。 安全机制一般是指在智能IC卡中与安全相关的所有元素，在智能IC卡完成安全操作以及安全信息传递所需要的一系列安全机制的集合是智能IC卡的整体安全环境。安全环境指定了操作智能IC卡片时命令中所要执行的加密算法、执行操作的类型、所使用的密钥和安全机制中所需要的其他额外数据。换句话说，安全环境决定了卡片本身的安全级别，而这些都和卡片后续的操作指令以及卡片本身的应用定义相关。智能IC卡的安全性是可以通过选择不同安全性能设计的芯片以及不同的芯片操作系统（COS）来实现。
　　至于逻辑加密卡和CPU卡的不同安全性，取决于两种卡片本身不同的结构机制，其区别显而易见。而CPU卡之间的安全性比较，那就需要具体卡片具体分析，和卡片本身的所要执行的加密算法、执行操作的类型、所使用的密钥和安全机制中所需要的其他额外数据都有关联。
　　目前和智能IC卡可做安全性比对的也只有磁条卡。磁条卡是可以一对一复制的，其安全性主要是靠庞大的后台系统来保证；而智能IC卡，从逻辑加密卡开始，本身带有控制逻辑，在访问存储区之前需要核对密码，至少需要单向认证；到安全性更高的CPU卡，其带有的算法单元和操作系统，需要几乎无法破解的双向认证，安全性和磁条卡的应用安全性不可相提并论。 

　　三、智能IC卡在地铁自动售检票系统中的应用介绍 

　　安全微处理器（CPU）应用于AFC智能交通在全球范围内稳步增长。欧洲许多国家，已经长期使用符合CALYPSO标准的卡片，韩国的“T- Money”，一种支付交通及小额支付的非接触式CPU卡已经在首尔发行两千多万张。在中国的大连，苏州和深圳等城市已经率先采用了非接触式CPU卡进行小额支付。新加坡引进了一个新版本的“EZLink”卡片做小额支付，同样也是基于安全微处理器平台。现在我们以南京地铁的自动售检票系统运营现状和将来发展趋势作为分析的范例。 

　　1、南京地铁自动售检票系统中智能IC卡的种类和实现功能 

　　南京地铁自动售检票系统中智能IC卡的应用主要分为单程票和方卡两种：
　　（1）南京地铁自动售检票系统的单程票有Ultralight Token,主要用于普通单程票、出站票和纪念单程票。对于单程票和出站票来说，可在车站内循环使用，可回收到中央编码系统进行重新编码和分拣；纪念单程票除了具有单程票的乘车功能外，不回收，给乘客带出站，有一定的收藏价值。
　　（2）南京地铁自动售检票系统的方卡使用的是Mifare DesFire卡和Mifare Standard 1K卡，主要用于南京地铁专用储值卡，包含计次卡、储值卡、纪念卡、员工票以及南京公用事业智能IC卡公司发行的一卡通票卡。计次卡按照乘坐的次数进行扣减，并且使用完后可在半自动售票机上进行充值；储值卡按照乘坐的里程数根据系统设定的费率来进行扣减，并可以在半自动售票机上进行充值；纪念卡包含计次和储值两种类型，除具备计次和储值卡的功能外具有一定的收藏价值，而且使用完后也不可以充值；员工票主要用于地铁内部员工进行乘车、设备维护和操作等；一卡通票卡主要是南京公用事业智能IC卡公司发行的票卡，使用功能和地铁专用储值卡一样，并且是可以乘坐除地铁外的各种公共交通工具如公交、轮渡等等。 

　　2、南京地铁自动售检票系统中各种票卡的处理过程 

　　南京地铁自动售检票系统中的票卡处理流程大致分两种，一种是单程票处理流程，另一种是方卡的处理流程。      对于方卡的处理流程包括卡初始化、发售、进站、出站、票卡分析调整、票卡调整后根据票务规定发售出站票、出站票出站、票卡挂失、票卡解锁。由于一卡通票卡是南京公用事业智能IC卡公司发行的票卡，它的处理流程由南京公用事业智能IC卡公司发行的票卡统一管理，在此不做描述。
　　单程票的处理流程：初始化（编码）――自动售票（收款，后台记录数据）――入闸（票卡、后台记录数据）――出闸（收回票卡，票卡记录部分数据并清除入闸记录，后台记录数据）――清分――循环投入使用 

　　3、南京地铁自动售检票系统中智能IC卡应用需要解决的问题 

　　作为国内最早的智能IC卡自动售检票系统，南京地铁从开始运行到现在，已经超过三年了。随着时间的推移，地铁人流量的增加，设备的使用越来越频繁。相对于智能IC卡系统对设备较为精确的要求，少量读写机具的逐步老化问题也是需要列入考虑范畴了。同时，这么长时间运营下来，票卡的重复使用已经使得部分智能IC卡的生命周期快到了，怎样通过有效的方式和手段分析出这些票卡也成为关键问题。
　　另一方面，南京地铁一号线AFC系统建设初期由于没有经验，采用的IC卡读卡器都包含供应商特有的加密芯片，而且外形尺寸也不标准，后一阶段考虑采用标准IC卡读卡器来替换现有的IC卡读卡器也将是重要的技术攻关。 

　　4、南京地铁自动售检票系统中智能IC卡应用的发展趋势 

　　南京地铁自动售检票系统中智能IC卡在现有的使用基础上，根据客流情况以及营销情况，将发行更多的票种并且逐步开始使用非接触式CPU卡，实现更多的功能，极大的满足乘客和南京地铁公司的需求；与此同时，保证一卡通票在地铁的正常使用，实现公交、轮渡等小额支付消费系统无缝对接，更加方便南京市民的出行，单程票的非接触式智能IC卡技术的使用更加能满足外地乘客的乘车方便。这些都要求南京地铁系统中智能IC卡向着多票种、多种计费方式相结合的方式发展成为必然趋势，相信智能IC卡小额支付的普遍应用更加有利于提高南京地铁的服务质量。 

　　 结束语 

　　智能IC卡行业应用系统建设是一个复杂的系统工程，建设一个技术先进、实用性、可操作性强、安全性高、建设成本适中的智能IC卡行业应用系统是各个行业和领域都需要探讨和研究的，为了广大老百姓的利益和方便，这项应用的标准化也越来越重要，最终的目标应该是一卡多用，一卡多用并不只是在一个行业或领域通用，更值得我们研究的是在多个行业和领域的通用性，因为这种应用在给老百姓提供便利的同时，节约了智能IC卡系统工程的整体投资并增强完善了整个系统的通用性和可管理性。

　　开放的标准规范使得在智能交通领域多应用拓展的发展前景是光明的，对运营商来说，一个开放的标准或规范是支持这一发展的必不可少的条件。早期对标准的忽略是因为非接触式CPU卡对于运营商来说是一项新的技术。随着对这一技术更加深入的了解，运营商开始制定自己的应用规范，以支持互操作性，多应用和其他AFC的需求。 

　　这个公开的标准也给了互相竞争的供应商同样的机会，去验证其卡片的品质和实用性。参照这一规范，运营商可以选择相对低成本和高性能的非接触式CPU卡供应商。相反，如果没有相应的标准，运营商只能去适应现存的技术和标准，这样就很容易在一个较小的范围内进行选择。           制定AFC智能交通卡规范并不是一件轻松的工作，尤其要与现存的无论是磁条卡还是Mifare 卡兼容，同时又带来更安全、更有效的新技术。所带来的挑战不仅是防伪造，还要有更强大的处理能力以满足未来的需要。比如小额支付和身份认证。因为发卡方、运营者与商户的关系变得更加紧密与复杂，所需的安全性与智能化都相应增加，后台系统的数据处理也因此更加复杂，同时需要AFC、零售业务、政府的财政政策以及清算中心都能统一协调起来，确保小额支付交易的安全与准确性。 

　　在系统方面，运营商和发卡者还面临着原有IC卡读写器机具的升级与更新问题。有些应用需要适当或特殊的IC卡读写器机具，这无疑提高了CPU卡的迁移成本，也限制了应用的拓展与安全提升。所以运营商和发卡者都希望有一个开放的基础平台，以把迁移的成本降到最低。 

　　综上所述，我们相信智能交通的参与者们都看到了对高安全与互操作性强的非接触CPU 卡的需求，无论是单一的交通卡还是多应用卡，其给运营和发卡者所带来的收益是无限的，也是向用户提供更好、更便捷小额支付服务的保障。