建設事業IC卡的升級淺析

文章出處：http://www.xujuanpiju.com 作者：陳向榮 雷迭生   人氣： 發表時間：2011年09月27日

    目前國內建設事業IC卡的應用現狀是以邏輯加密卡為主，伴隨行業對IC卡應用的安全和多應用產生的更高需求，基于CPU卡的更高的安全性以及更強大的計算和存儲能力，建設事業IC卡從邏輯加密卡升級為CPU卡已成為必然的趨勢。

    十余年來，IC卡的應用在建設領域得以快速發展。目前，絕大部分城市發行的IC卡都是非接觸式邏輯加密卡。眾所周知，邏輯加密IC卡在安全、存儲空間以及多應用拓展等方面都存在著一定的局限性。隨著IC卡應用在建設領域的不斷深入和拓展，行業對IC卡的安全和多應用提出了更高的要求，邏輯加密卡升級為 CPU卡已成為建設事業IC卡應用發展的必然趨勢。

    一、建設事業IC卡升級的必要性

    （一）安全性需求

    建設事業IC卡從最初單一的公交應用逐步拓展到城市一卡通多領域小額支付應用，交易的總額在不斷擴大，這就要求建設事業IC卡應用系統具備更高的安全性。IC卡作為直接的支付工具，其本身的安全特性很大程度上決定了整個應用系統的安全性。

    下面我們從幾個方面對CPU卡與邏輯加密卡的安全特性做一個比較。

    1.交易安全性上：

    當交易雙方在完成交易之后，收單方有可能擅自修改或偽造交易流水來達到獲利目的，為了防止終端偽造交易流水，系統要求卡片能夠產生由交易要素生成的交易驗證碼，在后臺清算時來對交易的有效性進行驗證。邏輯加密卡由于不具有運算能力，就不可能產生交易的驗證碼。

    而非接觸式CPU卡則可以在交易結束時產生個交易驗證碼TAC，用來防止偽造交易，從而使得整個交易系統的安全性更加完整。

    2.安全認證的實現上：

    邏輯加密卡在進行安全認證時，由卡片對終端機具送的KeyA(KeyB)進行核對一致后方可進行交易，雖然現在的系統都要求是一卡一密，但畢竟是一個致命的弱點。

    而CPU具有很強的運算能力，在安全認證時并不直接使用密鑰來進行計算，通常是經過隨機數處理之后產生的工作密鑰，來進行加解密實現安全的認證。最大限度上的保護了密鑰本身。

    3.交易完整性上

    由于邏輯加密在整個交易過程中，只是簡單的提供了交易信息的存儲功能，當發生斷電時完全需要終端來對其相關信息進行維護和恢復等操作，從而使得終端的交易軟件更加復雜。

    非接觸式CPU卡則完全可以由內部COS來實現斷電保護功能，可以將扣款、寫交易信息、交易明細等作為一個原子事件來操作，從而保證交易能夠完整的做完，并提供專門的命令來用于查詢交易是否完成（當有斷電發生時）。從上面的分析可以看出來，CPU卡在安全上具備邏輯加密卡無法比擬的優勢。所以，從安全性的角度來看，建設事業IC卡從邏輯加密卡升級到CPU卡是一種必然的選擇。

    （二）一卡多用、優化資源需求

    隨著社會信息化程度不斷的深入，IC卡事業不斷的向前推進，發卡種類和數量也越來越多，同時一卡多應用的成功應用案例也在國內不斷涌現。
    一卡多應用包括，行業內一卡多應用，跨行業的一卡多應用，兩者區別主要在于，前者采用同一個行業標準規范，且使用的屬于同行業的密鑰管理體系，后者必須要同時符合多個行業的標準規范并且要跨多個密鑰體系。

    從合理利用社會資源和方便民眾的角度出發，一卡多應用將會是未來的發展趨勢。在一卡多應用實現方面，CPU卡在存儲空間以及運算能力方面都比邏輯加密卡更具有優勢，建設事業IC卡的升級也是一卡多應用，合理優化社會資源的需求和契機。

    目前已經有同時符合多個行業的建設事業非接觸式CPU卡產品，為建設IC卡升級提供了有利條件。

    （三）交易復雜性需求

    建設領域IC卡應用已從單一的公交應用發展到目前包含公共交通（公交、軌道交通、出租車等）、燃氣、自來水、供暖、數字社區、路橋收費、停車場管理、公園景點等多領域的應用。

    隨著應用領域的擴展，收費方式也在原有一次性收費方式的基礎上擴充了計次、計時、計程等多種方式來實現分段收費、停車收費等應用需求。
    分段收費、停車收費的復雜性，遠大于一次性收費，由于邏輯加密卡不具備運算功能，無法在卡內實現相應的復合交易功能。如果繼續采用邏輯加密的話實現起來肯定要求終端做更多的事情，甚至有可能不能實現。這時如果卡片端能夠做更多的事情，那么實現起來就容易得多了。

    采用非接觸式CPU卡則可以針對分段收費、停車收費的應用功能特點，在卡內COS增加相應的復合錢包處理功能，為實現這些功能提供更好的卡片平臺。 所以，建設事業IC卡從邏輯加密卡升級到CPU卡，可以更好地實現跨行業多應用的功能實現。

    二、建設事業IC卡升級的可行性

    （一）行業標準上可行

    為規范CPU卡在建設領域的應用，推動非接觸CPU卡的創新和科學發展，提升CPU卡行業整體技術和應用水平，建設部于2007年5月下達了《建設事業非接觸式CPU卡芯片技術要求》和《建設事業非接觸式CPU卡COS技術要求》國家行業標準的編寫任務，標準由建設部信息中心和建設部IC卡應用服務中心共同主編完成。針對標準編寫，建設部IC卡應用服務中心在北京組織參編單位召開標準編寫工作會議，對非接觸式CPU卡芯片規范、接觸式CPU卡芯片規范、非接觸式CPU卡兼容M1卡設計、非接觸式CPU卡COS規范、兼容MI卡設計要求、復合電子錢包交易等內容進行了深入探討。

    （二）產品技術上可行

    為了促進建設事業非接觸CPU卡的推廣與應用，建設部于2006年6月成立了“建設事業CPU卡產業與應用聯盟”。“聯盟”于2007年召開了三次工作會議，對建設事業CPU卡的研發、操作系統COS設計、交易時間等方面進行了工作部署，以推進會員單位對CPU卡的自主研發。 

    目前，聯盟各理事成員單位已相繼推出符合聯盟要求的產品，在建設部IC卡應用服務中心的組織安排下，東信和平等聯盟理事會成員的產品已通過第三方權威檢測機構的物理測試以及建設部的交易功能測試。

    （三）產品成本上可行

    由于建設事業IC卡的發行量一般都比較大，各地在大規模發行建設事業IC卡時，卡片的成本必然是發行單位必須重點考慮的因素，尤其是一些經濟不太發達的城市。

    之前建設事業IC卡普遍采用邏輯加密卡，一個很重要的原因就是CPU卡的成本相對邏輯加密卡比較高。

    隨著芯片工藝和技術的發展，芯片的成本在不斷降低，非接觸CPU卡的成本也相應的不斷下降。雖然CPU卡的成本比邏輯加密卡的還是略高，但和以前相比，成本的差距已經不是那么不可逾越。

    伴隨建設事業IC卡應用功能的不斷拓寬，以及項目運營模式的不斷完善，項目的增值點也不斷增多，卡片成本的影響在收益增加的條件下會越來越小。

    三、建設事業IC卡升級的兼容性問題

    各地發行的建設事業IC卡從邏輯加密卡升級到CPU卡，都不可避免的面臨一個同樣的問題：原有的系統軟件和機具如果同時全面升級，建設費用和建設周期都難以承受，而且已經發放的邏輯加密卡也需要一個比較長的過渡期來實現更換。

    基于上述原因，建設部在推廣非接觸CPU卡的同時，也要求各廠家在卡片COS的設計上實現CPU卡片模擬邏輯加密卡交易。
卡片實現兼容的方式一般包括以下兩種，下面對兩種方式的大概原理和安全性進行介紹：

    1、錢包同步方式

    類似于CPU錢包的一種電子錢包，本身并不存儲金額。對復合錢包進行消費、充值或讀取余額時，復合錢包根據Ka和Kb來對邏輯加密卡的相應錢包地址發送相應指令，然后根據邏輯加密卡返回的數值返給機具。并計算和返回CPU錢包的應該返回的TAC和MAC2。

    其支持的指令集和CPU錢包完全一致。也就是說，對CPU機具來說，無論是復合錢包還是CPU錢包，其消費流程和消費指令都是一樣的。

    在發行卡片的時候，需要在應用目錄中，同時建立復合錢包和CPU錢包，在邏輯加密卡和CPU兼容期間，機具對卡片發送CPU指令，只是復合錢包響應。到以后全部機具都升級到CPU之后，需要關閉復合錢包。此時需要有一個轉換指令來保證復合錢包的錢正確轉到了CPU錢包中。

    這種方案的優點是：CPU錢包和邏輯加密卡的錢包永遠是一致的；避免了CPU錢包和邏輯加密卡錢包不是真正意義上的同步。缺點是：其實CPU復合錢包維護的是邏輯加密卡錢包，有安全隱患。

    2、錢包不同步方式

    類似于CPU錢包的一種電子錢包，本身存儲金額。對復合錢包進行消費、充值或讀取余額時，復合錢包在更新自身金額的同時并根據Ka和Kb來對邏輯加密卡的相應錢包地址發送相應指令，然后根據自身數值返給機具，并計算和返回CPU錢包的應該返回的TAC和MAC2。Ka和Kb可放在Key文件中，作特殊的應用標識即可。

    其支持的指令集和CPU錢包完全一致。也就是說，對CPU機具來說，無論是復合錢包還是CPU錢包，其消費流程和消費指令都是一樣的。 

    邏輯加密卡的錢包不支持充值，即采用CPU卡方式充值。[這部分是最關鍵的，也是邏輯加密卡的主要被攻擊點之一]同時邏輯加密卡錢包中的金額不得大于CPU錢包中的金額。

    在發行卡片的時候，需要在應用目錄中建立復合錢包，在邏輯加密卡和CPU兼容期間，機具對卡片發送CPU指令，只是復合錢包響應。到以后全部機具都升級到CPU之后，需要取消邏輯加密卡的錢包和復合錢包的掛鉤。

    這種方案的缺點是：CPU錢包和邏輯加密卡的錢包不總是一致的。在CPU消費后，兩者是一致的，在邏輯加密卡消費后，邏輯加密卡的錢包金額小于CPU錢包金額。

    優點是：安全級別比上一種方案高，而且不允許邏輯加密卡充值，所以充值方面的安全級別類似于CPU卡。

    非接觸式CPU卡是具備更高安全性和更強大功能的產品，必然會在建設事業領域逐步替代邏輯加密卡成為主流產品。近兩年，非接觸CPU卡產品的推廣和應用也取得了卓越成效。一方面，建設部在標準制定和產品符合性測試等工作組織上取得了實質性的進展；另一方面，一些試點城市也陸續開始實施應用建設事業非接觸式 CPU卡，還有許多城市在新的一卡通項目上規劃采用非接觸式CPU卡產品。總之，CPU卡替代邏輯加密卡已成為建設事業IC卡應用發展的必然趨勢。

    本文作者：東信和平智能卡股份有限公司 陳向榮 雷迭生