北京燃气集团CPU卡燃气表及系统浅谈作者：申云庭文章来源：北京燃气集团有限责任公司点击数： 1847 更新时间：2008-5-8 21:40:521概述北京燃气集团现有人工煤气和天然气管道家庭用户180万，其中IC逻辑加密卡燃气表约20万户左右。

目前每年新增用户约9万户。

随着首都现代化的发展、人民生活的不断提高及燃气事业的发展等多方面的需求，北京燃气集团依照统一规划，按区域成片集中实施的方式对现有民用普通燃气表进行改造，预计10年内完成CPU卡燃气表更新改造工作。

最终智能化燃气表用户数可能达到200多万户。

民用燃气表的数字化、智能化、信息化正在成为当前与今后一个较长时期内发展的一个主流方向，并有可能逐步取代目前普通燃气表的主导地位。

采用科技手段，改变传统的收费方式是解决目前查表收费中存在的一些难题，如查表人户不便，收费困难，人工费用投入高，收费单据处理流程中环节多且工作量大效率低等问题的一种较好的可行方式。

CPU卡燃气表项目是一个综合了计算机软硬件技术、网络通讯技术、智能卡技术、卡表生产制造、密钥保密安全技术等多个技术领域的系统工程项目。

项目的目标是提升计量、收费、维修服务等管理水平；提高数据真实性、完整性、可靠性、及时性；增强查询、统计分析能力。

现将从7个方面简述如下。

2 简述IC卡2.1IC卡分类IC卡又称集成电路卡(Integrated Circuit Card)。

从数据信息传输接口方式划分，有接触式和非接触式两种；从卡的界面划分，有单界面和双界面两种形式；按卡的内部结构划分为三类，存储器卡：存储器卡是电擦除可编程只读存储器E2PROM，它仅有数据存储功能；逻辑加密卡：逻辑加密卡是由内低层次逻辑加密读写保护电路和电擦除可编程只读存储器E2PROM构成；智能卡(Smart Card)：俗称CPU卡，卡内包括中央微处理器、电擦除可编程只读存储器E2PROM、随机存储器RAM以及固化在芯片内的操作系统COS(Chip Operating System)。

存储器又可以分成若干应用区，各分区可设置各自独立的访问权限，相互隔离，便于一卡多用。

接触式IC卡主要遵循的国际标准为ISO-7816系列。

非接触IC卡主要遵循的国际标准为ISO-14443系列。

CPU卡内COS操作系统(Chip Operating System)由传输管理、文件管理、安全体系、命令解释4个功能模块组成。

读写操作、密钥管理都是通过卡内芯片操作系统COS监控、管理和执行，并受发卡方对卡片个人化时向卡内加载的密钥及安全认证机制的控制。

上述各种类型的IC卡有各自不同的作用和功能，不同场合不同的应用条件，应选用相应的IC卡。

2.2IC逻辑加密卡表存在的问题目前IC卡表多数IC为逻辑加密卡表，无论是表具还是应用系统的密钥算法安全级别低，且均未经过权威部门认证，产品供应商的密钥算法不向应用方公开，即使向应用方公开密钥算法，应用方的系统安全也永远系于厂家及厂家有关个别人员身上，无法实现应用单位的安全与开发生产企业完全脱钩，无法独自掌握核心安全，安全性只能被动的依赖厂家。

IC逻辑加密卡不同型号芯片的互不兼容，不同厂商的芯片更不易兼容，应用方在使用多家卡表时会带来多种密钥及密钥算法管理上的复杂化，且密钥更新困难。

IC逻辑加密卡因自身无法识别读写和存储的数据正确与否，因不规范的插拔易造成数据混乱，引发与用户的纠纷同时也增大了维护工作量。

对IC逻辑加密卡应用的后台发卡售气系统一般都设计有非正常用户的监测管理程序，虽然该监测的功能可以向管理者提示用户购气出现异常。

但并不能从根本上解决或杜绝伪卡流通，这在技术和实践都是可证且有其先例的。

制造一张伪卡的成本3元—6元，而售出一张伪卡则可获得几十倍甚至上百倍的高额利润。

对于大中型城市，燃气管网用户达到几十万户以上时，高额利润的诱导下，一旦出现伪卡或加密失效，因伪卡的传播扩散较为隐蔽，更新密钥及密钥算法困难，而很难得到及时有效控制。

这将会给燃气经营企业造成巨大的经济损失。

同时还将严重的影响到IC卡表的继续使用，会使整个IC卡表项目的前期巨大投资失败。

因此在应用IC逻辑加密卡表(水、电、气)时，特别注意以下几点：(1)应采取使用几个不同厂商的卡表；(2)在一定的范围或区域内控制同种类卡表使用的数量，尽量提高应用分布的离散度或混合程度；(3)在卡的使用上，构筑起一个流通市场狭小或不畅的环境，不利于伪卡大面扩散。

(4)应用规模不宜太大。

但这并不能从根本上解决实质问题，同时将会使系统多样化、离散化以及不兼容性带给系统复杂化及管理不便。

因此管理者将面临一个如何制止或杜绝伪卡、解决现存或已经流通的伪卡等非常复杂的局面。

因此在大范围推广使用比逻辑加密卡表时一定要十分慎重。

应用部门在对卡型的选择和加密的管理上应引起极高的重视。

2.3我们选用CPU卡的一些考虑通过以上IC卡的对比，IC逻辑加密的方式来保护卡内数据信息的安全可靠受到了卡特性的限制，易受到某些特殊方式的攻击。

IC逻辑加密卡的安全等级较安装有ESAM安全认证模块的CPU卡表安全等级低很多。

根据我们燃气集团的应用规模，高新技术应用环境等方面的实际情况，为确保卡表所涉及巨额资金的长期交易安全，我们摒弃逻辑加密卡。

为确保安全性，我们从整体上，包括IC卡、卡表、软硬件及网络系统、信息传输交流、组织管理、规章制度等各方面，全面的考虑和设计。

我们严格限制IC逻辑加密卡表大规模应用，同时确定与银行合作，采用银行发行的金融卡CPU卡为主要发展方向。

其一、能够在符合人民银行金融卡的规范标准条件下，基本保证我们这个项目与未来发展的大方向和主流趋势同步且一致，保证今后我们能够较长期稳定的发展，克服了一些CPU卡无法实现其金融功能的制约与限制问题；其二、银行发行具有金融功能的CPU卡，有高级别的安全等级，具有权威机构认证的安全机制，同时可增强对非法攻击IC卡的威慑力，保证长期交易中资金安全可靠；其三、可避免独立发行多功能卡所带来的一些其他环节上审批协调的工作，加快我们该项目的工作进程；其四、智能卡的成本虽高于逻辑加密卡，但性能价格比远高于逻辑加密卡，使用银行发行的金融CPU卡，使我们成为金融卡中多项应用的一个中介应用项，真正实现了一卡多用这一智能卡最独特的功能，并因多项综合应用而分摊了卡的应用成本。

CPU卡成本将随着技术的发展逐年下降。

其五、由于我们为银行方面推广CPU卡项目提供了理想切人点，有效的推动银行自身的发展，为银行方面拓展了在该行业及其它相关行业领域的业务能力或模式；同时可为银行带来可观的潜在的客户群体和大量的沉淀资金，使我们可以充分利用银行现有的网络系统，减免收费网点及网络建设以及CPU卡的发行费用。

我们采用银行发行的金融卡CPU卡，第一个在国内金融CPU卡上率先实现了多功能应用。

金融CPU卡是由银行发行的符合有关标准和金融规范，具有存储及消费电子钱包功能的CPU卡。

卡的密钥及文件结构既要符合人民银行PBOC规范，保证金融卡的金融应用功能及安全特性，同时在PBOC规范的基本原则或框架范围内保证金融与中介业务分开，相互独立互不于涉，使银行的金融业务和各种(如水、电、气、热等)中介收费服务业务正常运行。

在金融业务的基础上开展中介业务，使CPU卡实现一卡多用功能，这是一个重大突破。

虽然金融CPU卡与非金融CPU卡都可实现一卡多用，但在多个行业部门或不同企业之间使用同一个CPU卡时，金融CPU卡主发行商以及密钥与各应用方的密钥及发行管理较容易确定和实施，一卡多用中卡本身出现的一些问题也较容易解决，而一卡多用非金融CPU卡的主发行商如何确定，如何协调主密钥与各应用方的密钥及发行管理，一卡多用的非金融CPU卡在使用过程中卡本身出现的一些问题如何解决等，目前都尚未有统一的政策规范，还都有待政策明确或探讨。

目前通行采用单界面CPU卡。

双界面形式的CPU卡大致可分为CPU与磁条复合界面卡、两面均为接触式CPU 的双界面CPU卡、一面接触式与另一面为非接触式的双界面CPU卡这三种形式的双界面CPU卡模式。

考虑到目前银行终端设备大多数是磁卡读写终端设备，要使终端设备具有CPU卡接口，需要一定改造时间周期，从实际出发的一种过度形式，我们与银行合作采用的是复合界面CPU卡，即CPU与磁条复合界面卡(有信息表明2005年起欧洲的银行磁条卡将转为IC卡)。

只要银行终端设备接口支持CPU卡，有关金融应用将通过CPU卡接口完成。

2.4CPU卡应用种类我们在方案中采用开放性设计，兼容所有符合《中国金融集成电路(1C)卡规范》的卡片。

我们将卡的应用分为3类，简述如下：a、种子卡、主控卡、母卡、密钥传输卡；b、应用卡：用户卡、应急卡、ESAM模块；c、功能卡：设置卡、转移卡、操作员卡、PSAM卡、检测卡等，主要用于生产、检测、安装、日常运行及维护维修等过程中的需要。

3 CPU卡燃气表3.1CPU卡与CPU卡表的对应关系CPU卡将CPU卡表、后台系统、生产、维护及管理相互之间紧密的联系起来，构成一个大系统。

在CPU卡与CPU卡表的对应关系上，我们确定一台CPU卡表对应三张CPU卡，一张CPU卡依然只对应一台CPU卡表。

这是一种全新的不同于原逻辑加密卡表，与持卡人个体无关、卡表与逻辑加密卡一表一卡的对应关系。

采用银行发行的金融卡后，卡与持卡人的关联度随着持卡人金融应用程度的提高而大大提高，所持金融CPU卡的个性化、个人化大大增强，因此原来只对应于家庭，一台卡表只对应一张卡的关系发生了变化，可能需要一台卡表对应多张卡。

以解决家庭某一成员在异地持有金融CPU卡时，保证其他家庭成员购买燃气的需要。

3.2CPU卡燃气表内的ESAM模块CPU卡是CPU卡燃气表与计量收费管理系统之间唯一的数据信息交换传递媒介，为确保使用中所涉及巨额资金长期交易的安全，使用CPU卡后，CPU卡燃气表内应有一个相对应的ESAM安全认证模块。

卡表内ESAM安全认证模块的主要功能是实现卡表与卡之间的相互认证，并按照规定的不同安全等级存储或传输数据信息。

ESAM模块中装载有燃气经营企业自己的多个密钥。

燃气经营企业把由自己密钥系统生成的生产过程密钥载人ESAM模块，并发行给CPU卡燃气表生产制造商，由生产制造商将ESAM模块安装在表内。

在卡表安装到用户后，进行通气验收时，燃气经营企业将卡表内的生产过程密钥更新成运行密钥。

这样既保证了卡表厂商的生产、检测等工艺过程的需要，又保证了卡表内的密钥与卡表商无关。

3.3CPU卡燃气表内密钥的更新密钥有约定的使用有效期限，不能无限长期使用。

CPU卡燃气表是长期脱机独立运行终端机，为保证CPU卡燃气表及整个系统长期运行的安全可靠，CPU卡燃气表的ESAM模块内的密钥，在使用到规定期限后需通过某种方式更换。