1 概述
北京燃?xì)饧瘓F(tuán)現(xiàn)有人工煤氣和天然氣管道家庭用戶180萬,其中IC邏輯加密卡燃?xì)獗砑s20萬戶左右。目前每年新增用戶約9萬戶。隨著首都現(xiàn)代化的發(fā)展、人民生活的不斷提高及燃?xì)馐聵I(yè)的發(fā)展等多方面的需求,北京燃?xì)饧瘓F(tuán)依照統(tǒng)一規(guī)劃,按區(qū)域成片集中實施的方式對現(xiàn)有民用普通燃?xì)獗磉M(jìn)行改造,預(yù)計10年內(nèi)完成CPU卡燃?xì)獗砀赂脑旃ぷ鳌W罱K智能化燃?xì)獗碛脩魯?shù)可能達(dá)到200多萬戶。民用燃?xì)獗淼臄?shù)字化、智能化、信息化正在成為當(dāng)前與今后一個較長時期內(nèi)發(fā)展的一個主流方向,并有可能逐步取代目前普通燃?xì)獗淼闹鲗?dǎo)地位。采用科技手段,改變傳統(tǒng)的收費(fèi)方式是解決目前查表收費(fèi)中存在的一些難題,如查表人戶不便,收費(fèi)困難,人工費(fèi)用投入高,收費(fèi)單據(jù)處理流程中環(huán)節(jié)多且工作量大效率低等問題的一種較好的可行方式。
CPU卡燃?xì)獗眄椖渴且粋€綜合了計算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)、智能卡技術(shù)、卡表生產(chǎn)制造、密鑰保密安全技術(shù)等多個技術(shù)領(lǐng)域的系統(tǒng)工程項目。項目的目標(biāo)是提升計量、收費(fèi)、維修服務(wù)等管理水平;提高數(shù)據(jù)真實性、完整性、可靠性、及時性;增強(qiáng)查詢、統(tǒng)計分析能力。現(xiàn)將從7個方面簡述如下。
2 簡述IC卡
2.1 IC卡分類
IC卡又稱集成電路卡(Integrated Circuit Card)。從數(shù)據(jù)信息傳輸接口方式劃分,有接觸式和非接觸式兩種;從卡的界面劃分,有單界面和雙界面兩種形式;按卡的內(nèi)部結(jié)構(gòu)劃分為三類,存儲器卡:存儲器卡是電擦除可編程只讀存儲器E2PROM,它僅有數(shù)據(jù)存儲功能;邏輯加密卡:邏輯加密卡是由內(nèi)低層次邏輯加密讀寫保護(hù)電路和電擦除可編程只讀存儲器E2PROM構(gòu)成;智能卡(Smart Card):俗稱CPU卡,卡內(nèi)包括中央微處理器、電擦除可編程只讀存儲器E2PROM、隨機(jī)存儲器RAM以及固化在芯片內(nèi)的操作系統(tǒng)COS(Chip Operating System)。存儲器又可以分成若干應(yīng)用區(qū),各分區(qū)可設(shè)置各自獨(dú)立的訪問權(quán)限,相互隔離,便于一卡多用。接觸式IC卡主要遵循的國際標(biāo)準(zhǔn)為ISO-7816系列。非接觸IC卡主要遵循的國際標(biāo)準(zhǔn)為ISO-14443系列。
CPU卡內(nèi)COS操作系統(tǒng)(Chip Operating System)由傳輸管理、文件管理、安全體系、命令解釋4個功能模塊組成。讀寫操作、密鑰管理都是通過卡內(nèi)芯片操作系統(tǒng)COS監(jiān)控、管理和執(zhí)行,并受發(fā)卡方對卡片個人化時向卡內(nèi)加載的密鑰及安全認(rèn)證機(jī)制的控制。
上述各種類型的IC卡有各自不同的作用和功能,不同場合不同的應(yīng)用條件,應(yīng)選用相應(yīng)的IC卡。
2.2 IC邏輯加密卡表存在的問題
目前IC卡表多數(shù)IC為邏輯加密卡表,無論是表具還是應(yīng)用系統(tǒng)的密鑰算法安全級別低,且均未經(jīng)過權(quán)威部門認(rèn)證,產(chǎn)品供應(yīng)商的密鑰算法不向應(yīng)用方公開,即使向應(yīng)用方公開密鑰算法,應(yīng)用方的系統(tǒng)安全也永遠(yuǎn)系于廠家及廠家有關(guān)個別人員身上,無法實現(xiàn)應(yīng)用單位的安全與開發(fā)生產(chǎn)企業(yè)完全脫鉤,無法獨(dú)自掌握核心安全,安全性只能被動的依賴廠家。IC邏輯加密卡不同型號芯片的互不兼容,不同廠商的芯片更不易兼容,應(yīng)用方在使用多家卡表時會帶來多種密鑰及密鑰算法管理上的復(fù)雜化,且密鑰更新困難。IC邏輯加密卡因自身無法識別讀寫和存儲的數(shù)據(jù)正確與否,因不規(guī)范的插拔易造成數(shù)據(jù)混亂,引發(fā)與用戶的糾紛同時也增大了維護(hù)工作量。對IC邏輯加密卡應(yīng)用的后臺發(fā)卡售氣系統(tǒng)一般都設(shè)計有非正常用戶的監(jiān)測管理程序,雖然該監(jiān)測的功能可以向管理者提示用戶購氣出現(xiàn)異常。但并不能從根本上解決或杜絕偽卡流通,這在技術(shù)和實踐都是可證且有其先例的。制造一張偽卡的成本3元—6元,而售出一張偽卡則可獲得幾十倍甚至上百倍的高額利潤。對于大中型城市,燃?xì)夤芫W(wǎng)用戶達(dá)到幾十萬戶以上時,高額利潤的誘導(dǎo)下,一旦出現(xiàn)偽卡或加密失效,因偽卡的傳播擴(kuò)散較為隱蔽,更新密鑰及密鑰算法困難,而很難得到及時有效控制。這將會給燃?xì)饨?jīng)營企業(yè)造成巨大的經(jīng)濟(jì)損失。同時還將嚴(yán)重的影響到IC卡表的繼續(xù)使用,會使整個IC卡表項目的前期巨大投資失敗。因此在應(yīng)用IC邏輯加密卡表(水、電、氣)時,特別注意以下幾點(diǎn):(1)應(yīng)采取使用幾個不同廠商的卡表;(2)在一定的范圍或區(qū)域內(nèi)控制同種類卡表使用的數(shù)量,盡量提高應(yīng)用分布的離散度或混合程度;(3)在卡的使用上,構(gòu)筑起一個流通市場狹小或不暢的環(huán)境,不利于偽卡大面擴(kuò)散。(4)應(yīng)用規(guī)模不宜太大。但這并不能從根本上解決實質(zhì)問題,同時將會使系統(tǒng)多樣化、離散化以及不兼容性帶給系統(tǒng)復(fù)雜化及管理不便。因此管理者將面臨一個如何制止或杜絕偽卡、解決現(xiàn)存或已經(jīng)流通的偽卡等非常復(fù)雜的局面。因此在大范圍推廣使用比邏輯加密卡表時一定要十分慎重。應(yīng)用部門在對卡型的選擇和加密的管理上應(yīng)引起極高的重視。
2.3 我們選用CPU卡的一些考慮
通過以上IC卡的對比,IC邏輯加密的方式來保護(hù)卡內(nèi)數(shù)據(jù)信息的安全可靠受到了卡特性的限制,易受到某些特殊方式的攻擊。IC邏輯加密卡的安全等級較安裝有ESAM安全認(rèn)證模塊的CPU卡表安全等級低很多。根據(jù)我們?nèi)細(xì)饧瘓F(tuán)的應(yīng)用規(guī)模,高新技術(shù)應(yīng)用環(huán)境等方面的實際情況,為確??ū硭婕熬揞~資金的長期交易安全,我們摒棄邏輯加密卡。為確保安全性,我們從整體上,包括IC卡、卡表、軟硬件及網(wǎng)絡(luò)系統(tǒng)、信息傳輸交流、組織管理、規(guī)章制度等各方面,全面的考慮和設(shè)計。
我們嚴(yán)格限制IC邏輯加密卡表大規(guī)模應(yīng)用,同時確定與銀行合作,采用銀行發(fā)行的金融卡CPU卡為主要發(fā)展方向。其一、能夠在符合人民銀行金融卡的規(guī)范標(biāo)準(zhǔn)條件下,基本保證我們這個項目與未來發(fā)展的大方向和主流趨勢同步且一致,保證今后我們能夠較長期穩(wěn)定的發(fā)展,克服了一些CPU卡無法實現(xiàn)其金融功能的制約與限制問題;其二、銀行發(fā)行具有金融功能的CPU卡,有高級別的安全等級,具有權(quán)威機(jī)構(gòu)認(rèn)證的安全機(jī)制,同時可增強(qiáng)對非法攻擊IC卡的威懾力,保證長期交易中資金安全可靠;其三、可避免獨(dú)立發(fā)行多功能卡所帶來的一些其他環(huán)節(jié)上審批協(xié)調(diào)的工作,加快我們該項目的工作進(jìn)程;其四、智能卡的成本雖高于邏輯加密卡,但性能價格比遠(yuǎn)高于邏輯加密卡,使用銀行發(fā)行的金融CPU卡,使我們成為金融卡中多項應(yīng)用的一個中介應(yīng)用項,真正實現(xiàn)了一卡多用這一智能卡最獨(dú)特的功能,并因多項綜合應(yīng)用而分?jǐn)偭丝ǖ膽?yīng)用成本。CPU卡成本將隨著技術(shù)的發(fā)展逐年下降。其五、由于我們?yōu)殂y行方面推廣CPU卡項目提供了理想切人點(diǎn),有效的推動銀行自身的發(fā)展,為銀行方面拓展了在該行業(yè)及其它相關(guān)行業(yè)領(lǐng)域的業(yè)務(wù)能力或模式;同時可為銀行帶來可觀的潛在的客戶群體和大量的沉淀資金,使我們可以充分利用銀行現(xiàn)有的網(wǎng)絡(luò)系統(tǒng),減免收費(fèi)網(wǎng)點(diǎn)及網(wǎng)絡(luò)建設(shè)以及CPU卡的發(fā)行費(fèi)用。
我們采用銀行發(fā)行的金融卡CPU卡,第一個在國內(nèi)金融CPU卡上率先實現(xiàn)了多功能應(yīng)用。金融CPU卡是由銀行發(fā)行的符合有關(guān)標(biāo)準(zhǔn)和金融規(guī)范,具有存儲及消費(fèi)電子錢包功能的CPU卡??ǖ拿荑€及文件結(jié)構(gòu)既要符合人民銀行PBOC規(guī)范,保證金融卡的金融應(yīng)用功能及安全特性,同時在PBOC規(guī)范的基本原則或框架范圍內(nèi)保證金融與中介業(yè)務(wù)分開,相互獨(dú)立互不于涉,使銀行的金融業(yè)務(wù)和各種(如水、電、氣、熱等)中介收費(fèi)服務(wù)業(yè)務(wù)正常運(yùn)行。在金融業(yè)務(wù)的基礎(chǔ)上開展中介業(yè)務(wù),使CPU卡實現(xiàn)一卡多用功能,這是一個重大突破。
雖然金融CPU卡與非金融CPU卡都可實現(xiàn)一卡多用,但在多個行業(yè)部門或不同企業(yè)之間使用同一個CPU卡時,金融CPU卡主發(fā)行商以及密鑰與各應(yīng)用方的密鑰及發(fā)行管理較容易確定和實施,一卡多用中卡本身出現(xiàn)的一些問題也較容易解決,而一卡多用非金融CPU卡的主發(fā)行商如何確定,如何協(xié)調(diào)主密鑰與各應(yīng)用方的密鑰及發(fā)行管理,一卡多用的非金融CPU卡在使用過程中卡本身出現(xiàn)的一些問題如何解決等,目前都尚未有統(tǒng)一的政策規(guī)范,還都有待政策明確或探討。
目前通行采用單界面CPU卡。雙界面形式的CPU卡大致可分為CPU與磁條復(fù)合界面卡、兩面均為接觸式CPU的雙界面CPU卡、一面接觸式與另一面為非接觸式的雙界面CPU卡這三種形式的雙界面CPU卡模式。考慮到目前銀行終端設(shè)備大多數(shù)是磁卡讀寫終端設(shè)備,要使終端設(shè)備具有CPU卡接口,需要一定改造時間周期,從實際出發(fā)的一種過度形式,我們與銀行合作采用的是復(fù)合界面CPU卡,即CPU與磁條復(fù)合界面卡(有信息表明2005年起歐洲的銀行磁條卡將轉(zhuǎn)為IC卡)。只要銀行終端設(shè)備接口支持CPU卡,有關(guān)金融應(yīng)用將通過CPU卡接口完成。
2.4 CPU卡應(yīng)用種類
我們在方案中采用開放性設(shè)計,兼容所有符合《中國金融集成電路(1C)卡規(guī)范》的卡片。
我們將卡的應(yīng)用分為3類,簡述如下:
a、種子卡、主控卡、母卡、密鑰傳輸卡;
b、應(yīng)用卡:用戶卡、應(yīng)急卡、ESAM模塊;
c、功能卡:設(shè)置卡、轉(zhuǎn)移卡、操作員卡、PSAM卡、檢測卡等,主要用于生產(chǎn)、檢測、安裝、日常運(yùn)行及維護(hù)維修等過程中的需要。
3 CPU卡燃?xì)獗?br>3.1 CPU卡與CPU卡表的對應(yīng)關(guān)系
CPU卡將CPU卡表、后臺系統(tǒng)、生產(chǎn)、維護(hù)及管理相互之間緊密的聯(lián)系起來,構(gòu)成一個大系統(tǒng)。在CPU卡與CPU卡表的對應(yīng)關(guān)系上,我們確定一臺CPU卡表對應(yīng)三張CPU卡,一張CPU卡依然只對應(yīng)一臺CPU卡表。這是一種全新的不同于原邏輯加密卡表,與持卡人個體無關(guān)、卡表與邏輯加密卡一表一卡的對應(yīng)關(guān)系。采用銀行發(fā)行的金融卡后,卡與持卡人的關(guān)聯(lián)度隨著持卡人金融應(yīng)用程度的提高而大大提高,所持金融CPU卡的個性化、個人化大大增強(qiáng),因此原來只對應(yīng)于家庭,一臺卡表只對應(yīng)一張卡的關(guān)系發(fā)生了變化,可能需要一臺卡表對應(yīng)多張卡。以解決家庭某一成員在異地持有金融CPU卡時,保證其他家庭成員購買燃?xì)獾男枰?br>3.2 CPU卡燃?xì)獗韮?nèi)的ESAM模塊
CPU卡是CPU卡燃?xì)獗砼c計量收費(fèi)管理系統(tǒng)之間唯一的數(shù)據(jù)信息交換傳遞媒介,為確保使用中所涉及巨額資金長期交易的安全,使用CPU卡后,CPU卡燃?xì)獗韮?nèi)應(yīng)有一個相對應(yīng)的ESAM安全認(rèn)證模塊??ū韮?nèi)ESAM安全認(rèn)證模塊的主要功能是實現(xiàn)卡表與卡之間的相互認(rèn)證,并按照規(guī)定的不同安全等級存儲或傳輸數(shù)據(jù)信息。
ESAM模塊中裝載有燃?xì)饨?jīng)營企業(yè)自己的多個密鑰。燃?xì)饨?jīng)營企業(yè)把由自己密鑰系統(tǒng)生成的生產(chǎn)過程密鑰載人ESAM模塊,并發(fā)行給CPU卡燃?xì)獗砩a(chǎn)制造商,由生產(chǎn)制造商將ESAM模塊安裝在表內(nèi)。在卡表安裝到用戶后,進(jìn)行通氣驗收時,燃?xì)饨?jīng)營企業(yè)將卡表內(nèi)的生產(chǎn)過程密鑰更新成運(yùn)行密鑰。這樣既保證了卡表廠商的生產(chǎn)、檢測等工藝過程的需要,又保證了卡表內(nèi)的密鑰與卡表商無關(guān)。
3.3 CPU卡燃?xì)獗韮?nèi)密鑰的更新
密鑰有約定的使用有效期限,不能無限長期使用。CPU卡燃?xì)獗硎情L期脫機(jī)獨(dú)立運(yùn)行終端機(jī),為保證CPU卡燃?xì)獗砑罢麄€系統(tǒng)長期運(yùn)行的安全可靠,CPU卡燃?xì)獗淼腅SAM模塊內(nèi)的密鑰,在使用到規(guī)定期限后需通過某種方式更換。CPU卡燃?xì)獗硪蛎摍C(jī)獨(dú)立運(yùn)行,沒有聯(lián)機(jī)網(wǎng)絡(luò),無法通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行更新。CPU卡燃?xì)獗砻荑€更新方式,完全不同于目前廣泛應(yīng)用的POS終端機(jī)通過聯(lián)機(jī)的網(wǎng)絡(luò)系統(tǒng)及時進(jìn)行密鑰更新。我們經(jīng)過多次反復(fù)充分對密鑰更新技術(shù)及一整套實施解決方案深入細(xì)致的研究分析,最終解決了如何安全有效、方便易行且經(jīng)濟(jì)的對千家萬戶在用CPU卡燃?xì)獗韮?nèi)密鑰更新這一技術(shù)難題,實現(xiàn)了CPU卡燃?xì)獗韮?nèi)密鑰更新技術(shù)重大突破。保證了卡表及系統(tǒng)運(yùn)行的長期安全性。
3.4 CPU卡燃?xì)獗斫Y(jié)構(gòu)
CPU卡表結(jié)構(gòu):①基表、②計量信息采集傳感器、③微處理器操作控制系統(tǒng)、④安全認(rèn)證模塊、⑤閥門及閥門控制驅(qū)動電路、⑥LED顯示、⑦電源電路、⑧聲光報警電路、⑨卡座等構(gòu)成。(圖略)
3.5 CPU卡民用膜式燃?xì)獗響?yīng)主要考慮的幾個方面
基表計量準(zhǔn)確穩(wěn)定可靠;
傳感器和卡座性能穩(wěn)定可靠,滿足使用壽命以及控制系統(tǒng)的要求;
閥門及執(zhí)行機(jī)構(gòu)在安全性(防爆抗攻擊)、氣密性、壓力損失、開關(guān)閥門穩(wěn)定可靠性;
IC卡的不規(guī)范插拔是否會造成數(shù)據(jù)的丟失或混亂;
整機(jī)的電磁輻射及抗電磁干擾能力;
滿足使用環(huán)境要求(溫度、濕度);
靜態(tài)功耗和動態(tài)功耗要?。?br> 電源電池更換方便。
卡表的基本功能(略)
4 建立售氣站點(diǎn)或服務(wù)窗口
基本原則和總體規(guī)劃要認(rèn)真考慮以下問題:方便用戶,設(shè)立站點(diǎn)和分布服務(wù)網(wǎng)點(diǎn),降低投資額,便于日常運(yùn)營和管理,提高效率和效益,是否建立計算機(jī)網(wǎng)絡(luò)系統(tǒng),采用何種計算機(jī)網(wǎng)絡(luò)系統(tǒng),建立怎樣的組織管理體系。
4.1 具體考慮和做法
從宏觀經(jīng)濟(jì)角度或企業(yè)經(jīng)濟(jì)效益角度去觀察思考。依靠銀行現(xiàn)有終端及網(wǎng)絡(luò)系統(tǒng)進(jìn)行收費(fèi)結(jié)算,是有效合理配置資源的一種方式,可避免行業(yè)及部門間各自分別設(shè)立終端及相關(guān)網(wǎng)絡(luò)所造成資源配置的重復(fù)投資或不合理。若與銀行合作,CPU卡燃?xì)獗硎褂糜摄y行發(fā)行的金融CPU卡,直接納入并充分利用現(xiàn)有的銀行系統(tǒng),大大減少自身售氣網(wǎng)點(diǎn)建設(shè)投資、日常運(yùn)營、管理維護(hù)、窗口服務(wù)成本及人工費(fèi)用。直接納入規(guī)定的銀行系統(tǒng),進(jìn)人指定的銀行帳號,縮短現(xiàn)金交易及流通環(huán)節(jié)。較好的解決在收費(fèi)結(jié)算、現(xiàn)金保管及儲運(yùn)等一系列實際具體問題。
利用銀行網(wǎng)絡(luò)及系統(tǒng),雖然解決了售氣網(wǎng)點(diǎn)問題,但仍需建立與銀行網(wǎng)絡(luò)及系統(tǒng)相應(yīng)自己的計量收費(fèi)管理及計算機(jī)網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)的中央系統(tǒng)將與銀行的中央系統(tǒng)之間建立點(diǎn)對點(diǎn)專用網(wǎng)絡(luò),用于安全認(rèn)證、時實數(shù)據(jù)和非時實數(shù)據(jù)的傳輸。
4.2 項目的組織與實施
計量收費(fèi)管理系統(tǒng),在對各項需求經(jīng)過多方論證分析的基礎(chǔ)上,充分考慮和保證設(shè)計的前瞻性,以成熟先進(jìn)、穩(wěn)定可靠安全、易用易擴(kuò)展、貼近實際為原則。滿足以下基本功能要求:計量與收費(fèi)管理、數(shù)據(jù)信息傳輸、數(shù)據(jù)流量及處理能力等特性。
整個項目主體框架分為卡表、操作管理系統(tǒng)軟硬件、密鑰系統(tǒng)這三大部分,涉及卡表、卡、計算機(jī)、網(wǎng)絡(luò)、系統(tǒng)、密鑰安全和軟件等多方面的專業(yè)技術(shù),相互間彼此交叉滲透融合,使項目具有一定難度。我們?yōu)楸WC整個項目質(zhì)量,將該項目作為一個系統(tǒng)工程,分解成幾個部分,由幾個在專項技術(shù)領(lǐng)域方面相互獨(dú)立,但各自更具專業(yè)水平的不同參與方來承擔(dān)系統(tǒng)的專項工作,各司其職,彼此之間相互檢驗和監(jiān)督,有利于系統(tǒng)內(nèi)在隱性問題的及時發(fā)現(xiàn)和解決,保證系統(tǒng)未來運(yùn)營的穩(wěn)定可靠。我們負(fù)責(zé)統(tǒng)一組織協(xié)調(diào)好各方的工作,重點(diǎn)是將相關(guān)行業(yè)相關(guān)專業(yè)間有機(jī)的聯(lián)接起來,組織好參與各方進(jìn)行細(xì)致深入分析研究,遵循或參照現(xiàn)有規(guī)范標(biāo)準(zhǔn)及有關(guān)草案,擬訂需要各方共同遵守統(tǒng)一的技術(shù)標(biāo)準(zhǔn)、協(xié)議或規(guī)范,并盡量使之標(biāo)準(zhǔn)化、規(guī)范化,保證最大限度的兼容性或通用性。在確定協(xié)議及規(guī)范標(biāo)準(zhǔn)的基礎(chǔ)上依照目標(biāo)和功能要求對實施過程中對各部分的核心或要點(diǎn)進(jìn)行把關(guān),保證各方任務(wù)的實施和完成。
4.3 項目投資
目前項目已進(jìn)行到試運(yùn)行階段。我集團(tuán)項目一期配套投資預(yù)計約160萬元左右,主要包含調(diào)研、需求分析、方案論證與規(guī)劃、技術(shù)支持、大系統(tǒng)檢測審核、密鑰系統(tǒng)開發(fā)、DDN/ISDN/PSDN線路、機(jī)房、相應(yīng)配套設(shè)備及工程等。
5 計量收費(fèi)管理系統(tǒng)
5.1 網(wǎng)絡(luò)和計算機(jī)系統(tǒng)平臺
如圖1所示,網(wǎng)絡(luò)和計算機(jī)系統(tǒng)平臺分為燃?xì)饧瘓F(tuán)和銀行兩個部分。其中燃?xì)饧瘓F(tuán)的平臺分為三級:集團(tuán)、銷售分公司和下屬管理所/站。
5.2 系統(tǒng)組成和功能
在已經(jīng)建立的銀行網(wǎng)絡(luò)和計算機(jī)系統(tǒng)平臺基礎(chǔ)上,銀行內(nèi)部網(wǎng)絡(luò)及系統(tǒng)能夠有效支持下屬各個網(wǎng)點(diǎn)的信息實時上傳匯總到銀行自己的信息中心。合作行將針對燃?xì)饧瘓F(tuán)的CPU卡燃?xì)獗碛嬃渴召M(fèi)管理項目,負(fù)責(zé)對其內(nèi)部系統(tǒng)、網(wǎng)絡(luò)及前臺終端的軟硬件進(jìn)行相應(yīng)的更新改造。保證滿足銀行與燃?xì)饧瘓F(tuán)之間數(shù)據(jù)信息定時或?qū)崟r傳輸?shù)囊蟆?br> 燃?xì)饧瘓F(tuán)的計算機(jī)網(wǎng)絡(luò)平臺構(gòu)建在ISDN/PSTN/DDN/幀終繼等基礎(chǔ)通信設(shè)施之上,為計算機(jī)系統(tǒng)提供基礎(chǔ)的通信平臺。燃?xì)饧瘓F(tuán)的計算機(jī)系統(tǒng)平臺包括計算機(jī)硬件和系統(tǒng)軟件兩部分。計算機(jī)系統(tǒng)硬件設(shè)備主要包括:WEB/應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、防火墻、加密機(jī)、網(wǎng)絡(luò)及安全管理服務(wù)器以及PC終端等。系統(tǒng)軟件主要包括:操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、WEB/應(yīng)用服務(wù)器軟件、開發(fā)工具、計量收費(fèi)管理軟件、安全認(rèn)證軟件、防火墻軟件、網(wǎng)管軟件以及防病毒軟件等。
從物理分布看,CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)是一個覆蓋燃?xì)饧瘓F(tuán)、分公司、管理所/站以及銀行的各級機(jī)構(gòu)的網(wǎng)絡(luò)信息管理系統(tǒng)。從系統(tǒng)功能看,CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)主要包含以下子系統(tǒng),而每個子系統(tǒng)同樣是由分布在多個結(jié)點(diǎn)上的子模塊構(gòu)成。
(1)銀行收費(fèi)管理子系統(tǒng)
(2)燃?xì)庥脩粜畔⒐芾碜酉到y(tǒng)
(3)燃?xì)饧瘓F(tuán)計量收費(fèi)管理子系統(tǒng)
(4)維修管理子系統(tǒng)(由二期工程根據(jù)實際進(jìn)一步補(bǔ)充完善)
(5)手持POS機(jī)子系統(tǒng)(由二期工程實施)
(6)系統(tǒng)維護(hù)和幫助子系統(tǒng)(其中包含用戶查詢系統(tǒng)由二期工程補(bǔ)充完善)
(7)密鑰及管理系統(tǒng)(應(yīng)急卡和ESAM模塊發(fā)行系統(tǒng)由二期工程進(jìn)一步完善)
6密鑰系統(tǒng)
6.1系統(tǒng)概述
科學(xué)完善的安全機(jī)制應(yīng)是密鑰管理系統(tǒng)設(shè)計的指導(dǎo)思想。密鑰貫穿于整個系統(tǒng),密鑰的安全控制和管理是保證北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)安全性的關(guān)鍵,是數(shù)據(jù)信息安全的保證。密鑰管理系統(tǒng)的安全性將直接影響整個系統(tǒng)的安全,密鑰系統(tǒng)也因此必然成為整個大系統(tǒng)的核心。
北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)所采用的密鑰管理體制完全符合中國人民銀行發(fā)布的《中國金融集成電路(IC)卡安全管理規(guī)范》的要求,設(shè)立北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)密鑰管理中心,統(tǒng)一進(jìn)行密鑰的生成、傳遞、分發(fā)和使用的監(jiān)管,使各種應(yīng)用功能CPU卡、ESAM模塊、后臺系統(tǒng)加密機(jī)內(nèi)密鑰認(rèn)證和應(yīng)用管理系統(tǒng)等整個系統(tǒng)完全置于企業(yè)的安全控制和有效監(jiān)管之下,保證其過程的可靠性和安全性,防止惡意攻擊和欺詐行為,實現(xiàn)對整個燃?xì)怃N售的安全控制和管理的目的。
6.1.1密鑰系統(tǒng)平臺
燃?xì)饧瘓F(tuán)密鑰管理系統(tǒng)見圖2。
計量收費(fèi)管理系統(tǒng)主要是實現(xiàn)CPU卡燃?xì)獗砗褪召M(fèi)管理的功能,而密鑰安全管理系統(tǒng)主要是保證計量收費(fèi)管理系統(tǒng)中交易信息的安全,它是一個建立在計量收費(fèi)管理系統(tǒng)基礎(chǔ)之上運(yùn)行的涉及交易數(shù)據(jù)安全保障的系統(tǒng),是根據(jù)燃?xì)饧瘓F(tuán)的運(yùn)營特點(diǎn),由燃?xì)饧瘓F(tuán)對整個MIS系統(tǒng)進(jìn)行安全制約和管理控制的獨(dú)立系統(tǒng)。
計量收費(fèi)管理系統(tǒng)和密鑰安全管理系統(tǒng)這兩大系統(tǒng)均作用于用戶卡和燃?xì)饪ū?,最終實現(xiàn)收費(fèi)交易的安全可靠。
加密機(jī)是構(gòu)成該系統(tǒng)的核心。應(yīng)具備以下幾個基本特征:加密算法由硬件實現(xiàn);支持DES、3DES、RSA或經(jīng)過權(quán)威組織機(jī)構(gòu)認(rèn)證其它標(biāo)準(zhǔn)算法;算法不可讀出,密鑰保存在加密機(jī)內(nèi)部,密鑰無明文輸出,防止數(shù)據(jù)被非法竊取或篡改,能確保產(chǎn)生真隨機(jī)數(shù);具有防檢測抗攻擊,內(nèi)部電磁輻射不可偵聽,自身有防拆、防撬、密鑰自毀等特性,任何人無法用物理手段或邏輯手段來獲取密鑰。
6.1.2系統(tǒng)總體結(jié)構(gòu)
見圖3。
6.2系統(tǒng)安全策略
安全機(jī)制是整個密鑰管理系統(tǒng)的核心,從系統(tǒng)的整體性上考慮其安全策略,并以此來制約密鑰的使用和操作權(quán)限受到嚴(yán)格的控制。在充分保證密鑰系統(tǒng)安全性的基礎(chǔ)上,實現(xiàn)密鑰的生成、注入、導(dǎo)出、備份、恢復(fù)、更新、服務(wù)等功能,實現(xiàn)密鑰的安全管理。
6.2.1密鑰管理中心主密鑰的安全產(chǎn)生
在密鑰管理中心。種子密鑰以密鑰卡和密碼信封的形式分別安全保管,以備將來更新或恢復(fù)主密鑰時使用。加密算法的選擇由密鑰管理中心決定。
6.2.1.1生成密鑰
種子密鑰:在密鑰管理中心,由大于兩個的特定或主管人員分別輸入一組或N組種子數(shù)值,通過密鑰生成系統(tǒng)的加密算法軟件對特定代碼Ni處理,生成所需的根密鑰或種子密鑰——中心主密鑰。
主密鑰:由種子密鑰和特定的離散因子通過密鑰生成系統(tǒng)進(jìn)行加密運(yùn)算生成主密鑰組。一個主密鑰組由各種不同功能用途的主密鑰構(gòu)成。
密鑰:由主密鑰與離散因子通過加密算法離散后得到相應(yīng)功能用途的密鑰。不同密鑰由不同主密鑰離散后生成。
密鑰種類:主控、外部認(rèn)證、內(nèi)部認(rèn)證、錢包圈存密鑰、線路保護(hù)、密鑰更新等8種密鑰。
6.2.1.2傳遞密鑰
在整個密鑰系統(tǒng)中,為保證系統(tǒng)的安全性,密鑰的導(dǎo)入、導(dǎo)出傳遞均要采用安全報文傳輸?shù)姆绞?,即密?MAC的方式,密鑰卡中用于主密鑰導(dǎo)入、導(dǎo)出的密鑰可以不同,必要時在一些特定環(huán)境使用密鑰傳輸卡,以提高密鑰傳遞或下載的安全性。
6.2.2主密鑰卡和主密鑰控制卡配合使用
主密鑰卡由主密鑰控制卡保護(hù),使用主密鑰卡前,必須用控制卡對主密鑰卡進(jìn)行外部認(rèn)證,只有外部認(rèn)證成功后,主密鑰卡才能被正常使用。主密鑰卡和主密鑰卡控制卡要分別嚴(yán)格保管,這是保證密鑰系統(tǒng)安全性重要關(guān)鍵環(huán)節(jié)。
6.2.3存儲和備份密鑰
密鑰管理系統(tǒng)中密鑰采用密鑰卡或硬件加密機(jī)的形式存儲,而備份采用密鑰卡和密碼信封的形式進(jìn)行密鑰備份,并分別安全存放在不同的地點(diǎn)。
6.2.4更新密鑰
確定密鑰版本和索引有效使用期和更換條件,在用各種卡的密鑰版本或索引將根據(jù)需要隨時更新。
密鑰系統(tǒng)由密鑰的生成、發(fā)行及管理三部分構(gòu)成。密鑰涉及CPU卡燃?xì)獗韮?nèi)程序、ESAM安全模塊、用戶卡、各種不同功能CPU卡、卡表的生產(chǎn)流程、計量收費(fèi)管理系統(tǒng)、后臺安全認(rèn)證、新表安裝、舊表維護(hù)更換及日常應(yīng)用等諸多方面,是涉及整個系統(tǒng)收費(fèi)安全的核心。從安全特性上考慮,要求密鑰必須獨(dú)立設(shè)計,系統(tǒng)開發(fā)商及卡表生產(chǎn)商不直接參與密鑰系統(tǒng)設(shè)計。密鑰的安全特性要基本保持在同一個安全等級水平,否則將因某一部分的安全問題發(fā)生木桶效應(yīng)而使整體安全特性下降。安全機(jī)制要保證在一個合理適當(dāng)水平上,在同一安全特性條件下盡量降低綜合成本。不要追求過高的安全機(jī)制,這將會大大提高成本。
6.2.5建章立制
我們針對密鑰系統(tǒng)擬訂了相應(yīng)配套的規(guī)章管理制度。在發(fā)行CPU卡初始化時,由企業(yè)自己的密鑰發(fā)行系統(tǒng)將相應(yīng)的母卡內(nèi)的密鑰如:主控密鑰、外部認(rèn)證、內(nèi)部認(rèn)證、線路保護(hù)密鑰等載入CPU卡和ESAM模塊及其它功能卡中,發(fā)行給有關(guān)單位部門或人員使用。發(fā)行數(shù)量、種類及過程由密鑰管理系統(tǒng)進(jìn)行管理。
7 管理框架及業(yè)務(wù)基本流程
(1)由燃?xì)饧瘓F(tuán)建立統(tǒng)一計量收費(fèi)管理中心。用戶燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛嬃渴召M(fèi)管理系統(tǒng)與銀行計算機(jī)中央系統(tǒng)的CPU卡燃?xì)獗碛嬃渴召M(fèi)系統(tǒng)子系統(tǒng)間建立相應(yīng)的連接,負(fù)責(zé)與銀行間數(shù)據(jù)信息交換及辦理日常業(yè)務(wù)工作。
(2)兩個銷售分公司下屬所、站將新發(fā)展用戶和更新改造用戶的有關(guān)信息錄入并傳送至CPU卡表計量收費(fèi)管理中心(隸屬用戶計量收費(fèi)管理中心),同時向用戶開具發(fā)卡通知。
(3)CPU卡表計量收費(fèi)管理中心將有關(guān)信息傳送至銀行。銀行根據(jù)新發(fā)展用戶和更新改造用戶等有關(guān)信息,向持有開卡憑證的客戶發(fā)用戶卡和首次收費(fèi),并負(fù)責(zé)以后收費(fèi)。銀行將用戶領(lǐng)卡、付費(fèi)及卡內(nèi)的相關(guān)信息傳送至燃?xì)饧瘓F(tuán)CPU卡表計量收費(fèi)管理中心,進(jìn)行校核結(jié)算(銀行與客戶交易過程始終處于我們的加密機(jī)認(rèn)證體系控制之下進(jìn)行)。
(4)CPU卡表計量收費(fèi)管理中心將相關(guān)信息分別反饋給有關(guān)銷售分公司。下屬的管理所(或營業(yè)站)可在銷售分公司獲取相關(guān)信息。
(5)用戶用氣實行預(yù)收費(fèi),先持卡在銀行購氣,再將已購氣的卡插入CPU卡燃?xì)獗恚砼c卡相對應(yīng)一卡一表(但一表三卡),不可互換。CPU卡表自動檢測識別卡,下載卡內(nèi)購氣量和有關(guān)數(shù)據(jù),并將表內(nèi)有關(guān)數(shù)據(jù)信息寫入卡內(nèi)后CPU卡可與表相互脫離,燃?xì)獗砑茨茏詣娱_閥,正常用氣。插卡時燃?xì)獗韮?nèi)有關(guān)的運(yùn)行狀態(tài)信息可反饋到卡內(nèi),銀行在售氣的同時,可將所要的卡內(nèi)關(guān)于燃?xì)獗磉\(yùn)行狀態(tài)信息傳送到燃?xì)饧瘓F(tuán)用戶管理系統(tǒng),以方便管理用戶。
(6)用戶向管理所申請卡表的維護(hù)維修業(yè)務(wù)。換表/變更、卡表故障,經(jīng)管理人員確認(rèn),并上傳信息至系統(tǒng)或銀行。涉及銀行方面業(yè)務(wù)可到銀行辦理相關(guān)手續(xù)。
(7)管理所負(fù)責(zé)接收燃?xì)獗砉收仙陥螅祥T維修,將維修報告上傳到管理系統(tǒng)。