建設(shè)事業(yè)IC卡的升級(jí)淺析
文章出處:http://m.luckydriving.com 作者:陳向榮 雷迭生 人氣: 發(fā)表時(shí)間:2011年09月27日
目前國(guó)內(nèi)建設(shè)事業(yè)IC卡的應(yīng)用現(xiàn)狀是以邏輯加密卡為主,伴隨行業(yè)對(duì)IC卡應(yīng)用的安全和多應(yīng)用產(chǎn)生的更高需求,基于CPU卡的更高的安全性以及更強(qiáng)大的計(jì)算和存儲(chǔ)能力,建設(shè)事業(yè)IC卡從邏輯加密卡升級(jí)為CPU卡已成為必然的趨勢(shì)。
十余年來(lái),IC卡的應(yīng)用在建設(shè)領(lǐng)域得以快速發(fā)展。目前,絕大部分城市發(fā)行的IC卡都是非接觸式邏輯加密卡。眾所周知,邏輯加密IC卡在安全、存儲(chǔ)空間以及多應(yīng)用拓展等方面都存在著一定的局限性。隨著IC卡應(yīng)用在建設(shè)領(lǐng)域的不斷深入和拓展,行業(yè)對(duì)IC卡的安全和多應(yīng)用提出了更高的要求,邏輯加密卡升級(jí)為 CPU卡已成為建設(shè)事業(yè)IC卡應(yīng)用發(fā)展的必然趨勢(shì)。
一、建設(shè)事業(yè)IC卡升級(jí)的必要性
(一)安全性需求
建設(shè)事業(yè)IC卡從最初單一的公交應(yīng)用逐步拓展到城市一卡通多領(lǐng)域小額支付應(yīng)用,交易的總額在不斷擴(kuò)大,這就要求建設(shè)事業(yè)IC卡應(yīng)用系統(tǒng)具備更高的安全性。IC卡作為直接的支付工具,其本身的安全特性很大程度上決定了整個(gè)應(yīng)用系統(tǒng)的安全性。
下面我們從幾個(gè)方面對(duì)CPU卡與邏輯加密卡的安全特性做一個(gè)比較。
1.交易安全性上:
當(dāng)交易雙方在完成交易之后,收單方有可能擅自修改或偽造交易流水來(lái)達(dá)到獲利目的,為了防止終端偽造交易流水,系統(tǒng)要求卡片能夠產(chǎn)生由交易要素生成的交易驗(yàn)證碼,在后臺(tái)清算時(shí)來(lái)對(duì)交易的有效性進(jìn)行驗(yàn)證。邏輯加密卡由于不具有運(yùn)算能力,就不可能產(chǎn)生交易的驗(yàn)證碼。
而非接觸式CPU卡則可以在交易結(jié)束時(shí)產(chǎn)生個(gè)交易驗(yàn)證碼TAC,用來(lái)防止偽造交易,從而使得整個(gè)交易系統(tǒng)的安全性更加完整。
2.安全認(rèn)證的實(shí)現(xiàn)上:
邏輯加密卡在進(jìn)行安全認(rèn)證時(shí),由卡片對(duì)終端機(jī)具送的KeyA(KeyB)進(jìn)行核對(duì)一致后方可進(jìn)行交易,雖然現(xiàn)在的系統(tǒng)都要求是一卡一密,但畢竟是一個(gè)致命的弱點(diǎn)。
而CPU具有很強(qiáng)的運(yùn)算能力,在安全認(rèn)證時(shí)并不直接使用密鑰來(lái)進(jìn)行計(jì)算,通常是經(jīng)過(guò)隨機(jī)數(shù)處理之后產(chǎn)生的工作密鑰,來(lái)進(jìn)行加解密實(shí)現(xiàn)安全的認(rèn)證。最大限度上的保護(hù)了密鑰本身。
3.交易完整性上
由于邏輯加密在整個(gè)交易過(guò)程中,只是簡(jiǎn)單的提供了交易信息的存儲(chǔ)功能,當(dāng)發(fā)生斷電時(shí)完全需要終端來(lái)對(duì)其相關(guān)信息進(jìn)行維護(hù)和恢復(fù)等操作,從而使得終端的交易軟件更加復(fù)雜。
非接觸式CPU卡則完全可以由內(nèi)部COS來(lái)實(shí)現(xiàn)斷電保護(hù)功能,可以將扣款、寫(xiě)交易信息、交易明細(xì)等作為一個(gè)原子事件來(lái)操作,從而保證交易能夠完整的做完,并提供專門的命令來(lái)用于查詢交易是否完成(當(dāng)有斷電發(fā)生時(shí))。從上面的分析可以看出來(lái),CPU卡在安全上具備邏輯加密卡無(wú)法比擬的優(yōu)勢(shì)。所以,從安全性的角度來(lái)看,建設(shè)事業(yè)IC卡從邏輯加密卡升級(jí)到CPU卡是一種必然的選擇。
(二)一卡多用、優(yōu)化資源需求
隨著社會(huì)信息化程度不斷的深入,IC卡事業(yè)不斷的向前推進(jìn),發(fā)卡種類和數(shù)量也越來(lái)越多,同時(shí)一卡多應(yīng)用的成功應(yīng)用案例也在國(guó)內(nèi)不斷涌現(xiàn)。
一卡多應(yīng)用包括,行業(yè)內(nèi)一卡多應(yīng)用,跨行業(yè)的一卡多應(yīng)用,兩者區(qū)別主要在于,前者采用同一個(gè)行業(yè)標(biāo)準(zhǔn)規(guī)范,且使用的屬于同行業(yè)的密鑰管理體系,后者必須要同時(shí)符合多個(gè)行業(yè)的標(biāo)準(zhǔn)規(guī)范并且要跨多個(gè)密鑰體系。
從合理利用社會(huì)資源和方便民眾的角度出發(fā),一卡多應(yīng)用將會(huì)是未來(lái)的發(fā)展趨勢(shì)。在一卡多應(yīng)用實(shí)現(xiàn)方面,CPU卡在存儲(chǔ)空間以及運(yùn)算能力方面都比邏輯加密卡更具有優(yōu)勢(shì),建設(shè)事業(yè)IC卡的升級(jí)也是一卡多應(yīng)用,合理優(yōu)化社會(huì)資源的需求和契機(jī)。
目前已經(jīng)有同時(shí)符合多個(gè)行業(yè)的建設(shè)事業(yè)非接觸式CPU卡產(chǎn)品,為建設(shè)IC卡升級(jí)提供了有利條件。
(三)交易復(fù)雜性需求
建設(shè)領(lǐng)域IC卡應(yīng)用已從單一的公交應(yīng)用發(fā)展到目前包含公共交通(公交、軌道交通、出租車等)、燃?xì)狻⒆詠?lái)水、供暖、數(shù)字社區(qū)、路橋收費(fèi)、停車場(chǎng)管理、公園景點(diǎn)等多領(lǐng)域的應(yīng)用。
隨著應(yīng)用領(lǐng)域的擴(kuò)展,收費(fèi)方式也在原有一次性收費(fèi)方式的基礎(chǔ)上擴(kuò)充了計(jì)次、計(jì)時(shí)、計(jì)程等多種方式來(lái)實(shí)現(xiàn)分段收費(fèi)、停車收費(fèi)等應(yīng)用需求。
分段收費(fèi)、停車收費(fèi)的復(fù)雜性,遠(yuǎn)大于一次性收費(fèi),由于邏輯加密卡不具備運(yùn)算功能,無(wú)法在卡內(nèi)實(shí)現(xiàn)相應(yīng)的復(fù)合交易功能。如果繼續(xù)采用邏輯加密的話實(shí)現(xiàn)起來(lái)肯定要求終端做更多的事情,甚至有可能不能實(shí)現(xiàn)。這時(shí)如果卡片端能夠做更多的事情,那么實(shí)現(xiàn)起來(lái)就容易得多了。
采用非接觸式CPU卡則可以針對(duì)分段收費(fèi)、停車收費(fèi)的應(yīng)用功能特點(diǎn),在卡內(nèi)COS增加相應(yīng)的復(fù)合錢包處理功能,為實(shí)現(xiàn)這些功能提供更好的卡片平臺(tái)。 所以,建設(shè)事業(yè)IC卡從邏輯加密卡升級(jí)到CPU卡,可以更好地實(shí)現(xiàn)跨行業(yè)多應(yīng)用的功能實(shí)現(xiàn)。
二、建設(shè)事業(yè)IC卡升級(jí)的可行性
(一)行業(yè)標(biāo)準(zhǔn)上可行
為規(guī)范CPU卡在建設(shè)領(lǐng)域的應(yīng)用,推動(dòng)非接觸CPU卡的創(chuàng)新和科學(xué)發(fā)展,提升CPU卡行業(yè)整體技術(shù)和應(yīng)用水平,建設(shè)部于2007年5月下達(dá)了《建設(shè)事業(yè)非接觸式CPU卡芯片技術(shù)要求》和《建設(shè)事業(yè)非接觸式CPU卡COS技術(shù)要求》國(guó)家行業(yè)標(biāo)準(zhǔn)的編寫(xiě)任務(wù),標(biāo)準(zhǔn)由建設(shè)部信息中心和建設(shè)部IC卡應(yīng)用服務(wù)中心共同主編完成。針對(duì)標(biāo)準(zhǔn)編寫(xiě),建設(shè)部IC卡應(yīng)用服務(wù)中心在北京組織參編單位召開(kāi)標(biāo)準(zhǔn)編寫(xiě)工作會(huì)議,對(duì)非接觸式CPU卡芯片規(guī)范、接觸式CPU卡芯片規(guī)范、非接觸式CPU卡兼容M1卡設(shè)計(jì)、非接觸式CPU卡COS規(guī)范、兼容MI卡設(shè)計(jì)要求、復(fù)合電子錢包交易等內(nèi)容進(jìn)行了深入探討。
(二)產(chǎn)品技術(shù)上可行
為了促進(jìn)建設(shè)事業(yè)非接觸CPU卡的推廣與應(yīng)用,建設(shè)部于2006年6月成立了“建設(shè)事業(yè)CPU卡產(chǎn)業(yè)與應(yīng)用聯(lián)盟”。“聯(lián)盟”于2007年召開(kāi)了三次工作會(huì)議,對(duì)建設(shè)事業(yè)CPU卡的研發(fā)、操作系統(tǒng)COS設(shè)計(jì)、交易時(shí)間等方面進(jìn)行了工作部署,以推進(jìn)會(huì)員單位對(duì)CPU卡的自主研發(fā)。
目前,聯(lián)盟各理事成員單位已相繼推出符合聯(lián)盟要求的產(chǎn)品,在建設(shè)部IC卡應(yīng)用服務(wù)中心的組織安排下,東信和平等聯(lián)盟理事會(huì)成員的產(chǎn)品已通過(guò)第三方權(quán)威檢測(cè)機(jī)構(gòu)的物理測(cè)試以及建設(shè)部的交易功能測(cè)試。
(三)產(chǎn)品成本上可行
由于建設(shè)事業(yè)IC卡的發(fā)行量一般都比較大,各地在大規(guī)模發(fā)行建設(shè)事業(yè)IC卡時(shí),卡片的成本必然是發(fā)行單位必須重點(diǎn)考慮的因素,尤其是一些經(jīng)濟(jì)不太發(fā)達(dá)的城市。
之前建設(shè)事業(yè)IC卡普遍采用邏輯加密卡,一個(gè)很重要的原因就是CPU卡的成本相對(duì)邏輯加密卡比較高。
隨著芯片工藝和技術(shù)的發(fā)展,芯片的成本在不斷降低,非接觸CPU卡的成本也相應(yīng)的不斷下降。雖然CPU卡的成本比邏輯加密卡的還是略高,但和以前相比,成本的差距已經(jīng)不是那么不可逾越。
伴隨建設(shè)事業(yè)IC卡應(yīng)用功能的不斷拓寬,以及項(xiàng)目運(yùn)營(yíng)模式的不斷完善,項(xiàng)目的增值點(diǎn)也不斷增多,卡片成本的影響在收益增加的條件下會(huì)越來(lái)越小。
三、建設(shè)事業(yè)IC卡升級(jí)的兼容性問(wèn)題
各地發(fā)行的建設(shè)事業(yè)IC卡從邏輯加密卡升級(jí)到CPU卡,都不可避免的面臨一個(gè)同樣的問(wèn)題:原有的系統(tǒng)軟件和機(jī)具如果同時(shí)全面升級(jí),建設(shè)費(fèi)用和建設(shè)周期都難以承受,而且已經(jīng)發(fā)放的邏輯加密卡也需要一個(gè)比較長(zhǎng)的過(guò)渡期來(lái)實(shí)現(xiàn)更換。
基于上述原因,建設(shè)部在推廣非接觸CPU卡的同時(shí),也要求各廠家在卡片COS的設(shè)計(jì)上實(shí)現(xiàn)CPU卡片模擬邏輯加密卡交易。
卡片實(shí)現(xiàn)兼容的方式一般包括以下兩種,下面對(duì)兩種方式的大概原理和安全性進(jìn)行介紹:
1、錢包同步方式
類似于CPU錢包的一種電子錢包,本身并不存儲(chǔ)金額。對(duì)復(fù)合錢包進(jìn)行消費(fèi)、充值或讀取余額時(shí),復(fù)合錢包根據(jù)Ka和Kb來(lái)對(duì)邏輯加密卡的相應(yīng)錢包地址發(fā)送相應(yīng)指令,然后根據(jù)邏輯加密卡返回的數(shù)值返給機(jī)具。并計(jì)算和返回CPU錢包的應(yīng)該返回的TAC和MAC2。
其支持的指令集和CPU錢包完全一致。也就是說(shuō),對(duì)CPU機(jī)具來(lái)說(shuō),無(wú)論是復(fù)合錢包還是CPU錢包,其消費(fèi)流程和消費(fèi)指令都是一樣的。
在發(fā)行卡片的時(shí)候,需要在應(yīng)用目錄中,同時(shí)建立復(fù)合錢包和CPU錢包,在邏輯加密卡和CPU兼容期間,機(jī)具對(duì)卡片發(fā)送CPU指令,只是復(fù)合錢包響應(yīng)。到以后全部機(jī)具都升級(jí)到CPU之后,需要關(guān)閉復(fù)合錢包。此時(shí)需要有一個(gè)轉(zhuǎn)換指令來(lái)保證復(fù)合錢包的錢正確轉(zhuǎn)到了CPU錢包中。
這種方案的優(yōu)點(diǎn)是:CPU錢包和邏輯加密卡的錢包永遠(yuǎn)是一致的;避免了CPU錢包和邏輯加密卡錢包不是真正意義上的同步。缺點(diǎn)是:其實(shí)CPU復(fù)合錢包維護(hù)的是邏輯加密卡錢包,有安全隱患。
2、錢包不同步方式
類似于CPU錢包的一種電子錢包,本身存儲(chǔ)金額。對(duì)復(fù)合錢包進(jìn)行消費(fèi)、充值或讀取余額時(shí),復(fù)合錢包在更新自身金額的同時(shí)并根據(jù)Ka和Kb來(lái)對(duì)邏輯加密卡的相應(yīng)錢包地址發(fā)送相應(yīng)指令,然后根據(jù)自身數(shù)值返給機(jī)具,并計(jì)算和返回CPU錢包的應(yīng)該返回的TAC和MAC2。Ka和Kb可放在Key文件中,作特殊的應(yīng)用標(biāo)識(shí)即可。
其支持的指令集和CPU錢包完全一致。也就是說(shuō),對(duì)CPU機(jī)具來(lái)說(shuō),無(wú)論是復(fù)合錢包還是CPU錢包,其消費(fèi)流程和消費(fèi)指令都是一樣的。
邏輯加密卡的錢包不支持充值,即采用CPU卡方式充值。[這部分是最關(guān)鍵的,也是邏輯加密卡的主要被攻擊點(diǎn)之一]同時(shí)邏輯加密卡錢包中的金額不得大于CPU錢包中的金額。
在發(fā)行卡片的時(shí)候,需要在應(yīng)用目錄中建立復(fù)合錢包,在邏輯加密卡和CPU兼容期間,機(jī)具對(duì)卡片發(fā)送CPU指令,只是復(fù)合錢包響應(yīng)。到以后全部機(jī)具都升級(jí)到CPU之后,需要取消邏輯加密卡的錢包和復(fù)合錢包的掛鉤。
這種方案的缺點(diǎn)是:CPU錢包和邏輯加密卡的錢包不總是一致的。在CPU消費(fèi)后,兩者是一致的,在邏輯加密卡消費(fèi)后,邏輯加密卡的錢包金額小于CPU錢包金額。
優(yōu)點(diǎn)是:安全級(jí)別比上一種方案高,而且不允許邏輯加密卡充值,所以充值方面的安全級(jí)別類似于CPU卡。
非接觸式CPU卡是具備更高安全性和更強(qiáng)大功能的產(chǎn)品,必然會(huì)在建設(shè)事業(yè)領(lǐng)域逐步替代邏輯加密卡成為主流產(chǎn)品。近兩年,非接觸CPU卡產(chǎn)品的推廣和應(yīng)用也取得了卓越成效。一方面,建設(shè)部在標(biāo)準(zhǔn)制定和產(chǎn)品符合性測(cè)試等工作組織上取得了實(shí)質(zhì)性的進(jìn)展;另一方面,一些試點(diǎn)城市也陸續(xù)開(kāi)始實(shí)施應(yīng)用建設(shè)事業(yè)非接觸式 CPU卡,還有許多城市在新的一卡通項(xiàng)目上規(guī)劃采用非接觸式CPU卡產(chǎn)品。總之,CPU卡替代邏輯加密卡已成為建設(shè)事業(yè)IC卡應(yīng)用發(fā)展的必然趨勢(shì)。
本文作者:東信和平智能卡股份有限公司 陳向榮 雷迭生