“城市一卡通”公用事业智能卡应用系统解决方案

　　一、建设事业“城市一卡通”发展概况

　　建设事业采用IC卡收费管理，实施“城市一卡通“项目，在许多国内城市已经进行试点，并逐渐得到管理部门和老百姓的认可。“城市一卡通”包括纵向应用和横向发展的一卡通含义，纵向应用一卡通解决地区分割的某个行业一卡通问题，比如公共交通行业；横向应用一卡通实现同一地区不同行业一卡多用。目前，城市一卡通的试点主要侧重于公共交通的收费管理。

　　发展的需求越来越迫切，如何保证城市一卡通横向发展的顺利进行，已成为管理部门关心的重要课题。

　　建设部作为国家建设事业IC卡应用信息化建设行业主管部门和协调机构，一直重视行业的健康顺利发展，多次组织有关专家、行业应用管理部门和企业进行论证，相应制定有关规范和标准，并建立了建设事业IC卡密钥管理系统。这为城市一卡通的顺利实施和市场健康发展提供了有效的组织保证。

　　IC卡是实施城市一卡通的重要信息载体，IC卡的选型和应用规划是项目能否成功的关键技术环节。

　　1．卡片选型

　　IC卡根据内部芯片结构和功能不同，分为存储器卡（包括逻辑加密卡）和微处理器卡（俗称CPU卡、智能卡等）。

　　存储器卡内部芯片只是一个存储器，最多增加一个逻辑电路保护，应用于一卡通项目具有如下存在如下技术隐患：

• 安全性较差，甚至没有任何安全保护，卡内数据很容易被修改和伪造。

• 读写可靠性较差，自身无法知道卡内的数据读写和存储是否正确，在用户插拔卡不规范或其他不确定因素下，可能造成数据混乱。

• 可兼容性和可扩展性较差。非智能IC卡表技术平台是局限于国外某个

　　半导体厂商的特定型号的半导体芯片技术，同一半导体厂商的不同型号芯片技术互不兼容，不同半导体厂商的芯片技术更是互不兼容。这样就使得非智能IC卡表技术只是局限于某个半导体厂商的特定型号的半导体芯片技术，而国外半导体厂商芯片的生产规模和价格是根据全球对这种特定芯片的需求来决定。因此，基于非智能IC卡技术不仅存在兼容性问题，更严重的威胁在于后续技术产品的生存。

• 无法解决研制生产单位和使用单位的安全脱钩技术问题，系统安全性从技术上无法摆脱研制生产单位的技术人员或管理人员，这对应用部门的利益构成严重的威胁。

• 从国际IC卡技术发展趋势看，非智能IC卡技术已趋于萎缩，而智能卡技术应用处于方兴未艾。因此，我们在产品设计上应跟上国际形势发展。

　　智能卡芯片具备微型电脑的软硬件配置：CPU、RAM、ROM、EEPROM、操作系统（COS），同时还具有用于信息安全保护的加密器、随机数发生器以及物理攻击自毁电路。而非智能卡的芯片上只是一个简单存储器逻辑电路。因此，从可靠性、安全性和智能性而言，智能卡具有天生的优势。

　
图1 智能卡芯片内部结构示意图

　　智能卡芯片内的物理资源由贮存在ROM内的芯片操作系统（COS）来进行统一管理和调度，我们可以根据具体应用要求设计卡片应用规则和规范、建立卡片应用安全结构体系，并通过芯片操作系统（COS）实现智能卡的具体应用功能。因而，智能卡具有灵活性较强的、开放式的应用设计平台。

　　智能卡芯片操作系统（COS）包括四大部分功能：通讯管理、文件管理、安全管理和命令管理。通讯管理负责卡片和外界卡终端的通讯协议处理、通讯检错处理和纠错处理，保证卡片读写传输数据正确可靠；文件管理为用户提供灵活的、方便的、多种格式的信息存储管理，以适应多种应用要求；安全管理使得应用单位可以根据自身应用需求对卡内信息进行灵活的权限分割、权限设置和权限认证设计，建立信息防火墙，抵御外界逻辑攻击；命令管理为应用设计功能实现提供驱动管道。

1. 部级总控卡

   由建设部几位主管领导生成，存储建设事业IC卡应用总控密钥。

2. 部级主密钥卡

   由部级总控卡和相应业务密钥代码生成部级业务主密钥，如公交行业消费主密钥、TAC主密钥、应用维护主密钥等。

3. 城市主密钥卡

   由部级主密钥卡和各地区行政编号生成各地区的城市主密钥卡。

4. 城市总控卡

   存储由各城市主管领导生成的地方总控密钥。

5. 城市密钥母卡

   存储由城市主密钥卡和城市总控卡生成的城市应用主密钥

6. ISAM卡

   即充值权限认证卡，嵌入POS机内，用于城市各充值销售网点的充值授权和认证。

7. ESAM卡（或ESAM模块）

   即安全模块，安置在表具终端内，用于存储表具运营参数，并实现用户卡和表具交易安全认证和信息交换安全保护。

8. 用户卡

　　发放给城市居民用户，作为用户充值和消费的电子信息介质。

　　智能卡的一个重要技术特征是能够通过统一技术规划实现一卡多用技术功能。

　　在用户卡设计上，我们可以进行不同应用分区，并对不同的应用分区定义独立行业应用名称。不同应用分区存储不同的应用信息，并建立不同的密钥安全系统，使得卡内不同应用分区独立受控于不同的应用提供方，保证各个应用提供方的利益互不干涉。

图2 用户卡一卡多用分区规划示意图

三、系统结构和组成

1．系统结构

图3 系统结构示意图

　　2．系统组成

　　如上图所示，整个由下列组成：密钥管理子系统、发卡和充值管理子系统、业务信息管理子系统、用户信息管理子系统和用户卡及表具终端。

　　1）密钥管理子系统

　　密钥管理子系统完成整个系统的各种密钥生成、分配、装载和更新功能。通过密钥管理子系统，实现管理部门能够对整个系统的进行安全布控，从而使得整个系统运行置于管理部门的安全控管，消除了研制、生产单位对系统的安全构成的威胁。这样，从根本上保护了应用管理部门的利益不受侵害。

　　密钥管理子系统通过逐级发卡初始化实现密钥生成、分配、装载。各城市首先由主管领导生成城市总控卡，并结合建设部发放的城市主密钥卡生成城市密钥母卡。由城市密钥母卡生成并装载ISAM卡、ESAM模块和用户卡密钥。

　　实施密钥管理系统的目标功能

• 实施对整个系统的安全布控和监控

• 实现对系统的管理权限分割和分配

• 抵御外界安全攻击，防范系统崩溃

• 实现开发人员和生产厂家的安全脱钩

• 保证应用系统正常安全运营

• 保护应用提供方利益不受侵犯

　　密钥管理系统必须能够保证：

• 密钥生成只受控于应用提供方

• 开发人员和生产厂家不能掌握应用密钥

• 密钥调制和生成过程必须是安全的

• 密钥的装载过程必须是安全的

• 密钥的存储必须是安全的

• 某个个体密钥被侦破不能造成系统崩溃

• 密钥的工作必须是安全的

• 密钥的更新是必须安全的

　　2）发卡和充值管理子系统

　　发卡和充值管理子系统实现对空白用户卡的开户发卡，并完成对用户卡的充值功能。

　　发卡和充值管理子系统安装在发卡和充值代理网点，应用管理部门通过配备ISAM卡授权代理网点进行发卡和充值。

　
图4 发卡和充值管理子系统

　　网点进行发卡或充值时，发卡和充值管理子系统使用ISAM卡对用户卡进行身份合法认证，并对用户卡发卡或充值操作进行权限认证，认证通过后才能有权限往用户卡写入相应的开户信息或充值交易处理。

　　在进行充值交易前，开户发卡和充值管理子系统自动读入用户卡内的抄表数据，存入相应的数据库，供应用管理部门进行数据统计和分析。

　　应用管理部门同时可以把某些卡表运行设置参数在充值时写入用户卡，通过用户卡插入卡表终端时自动更新卡表的某些运行设置参数。

　　3）用户信息管理子系统

　　用户信息管理子系统实现对用户进行开户登记，并完成对用户的登记信息、进行各种查询、统计、报表生成和打印等功能。

　　登记信息管理功能包括：开户登记、开户单打印、登记修改、用户冻结、用户注销、登记查询、统计和报表生成等

　　用户信息管理子系统必须根据应用管理部门的具体业务需求进行设计。

　　4）业务信息管理子系统

　　业务管理子系统实现对应用管理部门日常运营管理，并通过和代理银行联网实现数据共享。一方面，为银行代理网点提供用户开户信息，作为网点开户和充值依据；另一方面，银行把充值交易明细以及抄表数据传送给应用管理部门，供业务管理部门分析统计。具体设计必须在对应用管理部门进行详细的系统调研和需求分析后，才能确定设计方案。

　　5）表具终端

　　根据建设部〈建设事业IC卡管理技术〉要求，表具内部必须安装安全模块 — ESAM模块，而且，用户卡和表具交易流程必须符合交易规范。

　　安全模块（ESAM模块）是一种具有特殊密钥管理功能、特殊封装形式智能卡，其内核芯片和智能卡芯片一样。

　　安全模块是表具终端最核心部件，储存卡表内有关应用数据，以及装载用户卡的各种权限密钥，并完成和用户卡的各种权限认证。

图5 安全模块内部功能结构示意图

　　四、系统建设规划

　　1、建立统一的技术管理规范和平台

　　2、建立相应的业务管理规范和模式

　　3、制定相应的政策和法规

　　4、符合国内外行业标准或应用规范

　　5、建立安全体系结构和密钥管理系统

　　6、实现一卡多用，保证城市一卡通

　　7、建立完善的应用业务信息管理系统

　　8、实现和银行业务管理系统的联网

　　9、建立完善的售后服务管理系统

　　10、保证系统具有较高的安全性和可靠性

　　11、能够提供较好的可扩展性和可维护性

　　五、系统实施建议