建设事业IC卡的升级浅析
已有 135 次阅读 2011-10-13 09:19一、建设事业IC卡升级的必要性
(一)安全性需求
建设事业IC卡从最初单一的公交应用逐步拓展到城市一卡通多领域小额支付应用,交易的总额在不断扩大,这就要求建设事业IC卡应用系统具备更高的安全性。IC卡作为直接的支付工具,其本身的安全特性很大程度上决定了整个应用系统的安全性。
下面我们从几个方面对CPU卡与逻辑加密卡的安全特性做一个比较。
1.交易安全性上:
当交易双方在完成交易之后,收单方有可能擅自修改或伪造交易流水来达到获利目的,为了防止终端伪造交易流水,系统要求卡片能够产生由交易要素生成的交易验证码,在后台清算时来对交易的有效性进行验证。逻辑加密卡由于不具有运算能力,就不可能产生交易的验证码。
而非接触式CPU卡则可以在交易结束时产生个交易验证码TAC,用来防止伪造交易,从而使得整个交易系统的安全性更加完整。
2.安全认证的实现上:
逻辑加密卡在进行安全认证时,由卡片对终端机具送的KeyA(KeyB)进行核对一致后方可进行交易,虽然现在的系统都要求是一卡一密,但毕竟是一个致命的弱点。
而CPU具有很强的运算能力,在安全认证时并不直接使用密钥来进行计算,通常是经过随机数处理之后产生的工作密钥,来进行加解密实现安全的认证。最大限度上的保护了密钥本身。
3.交易完整性上
由于逻辑加密在整个交易过程中,只是简单的提供了交易信息的存储功能,当发生断电时完全需要终端来对其相关信息进行维护和恢复等操作,从而使得终端的交易软件更加复杂。
非接触式CPU卡则完全可以由内部COS来实现断电保护功能,可以将扣款、写交易信息、交易明细等作为一个原子事件来操作,从而保证交易能够完整的做完,并提供专门的命令来用于查询交易是否完成(当有断电发生时)。从上面的分析可以看出来,CPU卡在安全上具备逻辑加密卡无法比拟的优势。所以,从安全性的角度来看,建设事业IC卡从逻辑加密卡升级到CPU卡是一种必然的选择。
(二)一卡多用、优化资源需求
随着社会信息化程度不断的深入,IC卡事业不断的向前推进,发卡种类和数量也越来越多,同时一卡多应用的成功应用案例也在国内不断涌现。
一卡多应用包括,行业内一卡多应用,跨行业的一卡多应用,两者区别主要在于,前者采用同一个行业标准规范,且使用的属于同行业的密钥管理体系,后者必须要同时符合多个行业的标准规范并且要跨多个密钥体系。
从合理利用社会资源和方便民众的角度出发,一卡多应用将会是未来的发展趋势。在一卡多应用实现方面,CPU卡在存储空间以及运算能力方面都比逻辑加密卡更具有优势,建设事业IC卡的升级也是一卡多应用,合理优化社会资源的需求和契机。
目前已经有同时符合多个行业的建设事业非接触式CPU卡产品,为建设IC卡升级提供了有利条件。
(三)交易复杂性需求
建设领域IC卡应用已从单一的公交应用发展到目前包含公共交通(公交、轨道交通、出租车等)、燃气、自来水、供暖、数字社区、路桥收费、停车场管理、公园景点等多领域的应用。
随着应用领域的扩展,收费方式也在原有一次性收费方式的基础上扩充了计次、计时、计程等多种方式来实现分段收费、停车收费等应用需求。
分段收费、停车收费的复杂性,远大于一次性收费,由于逻辑加密卡不具备运算功能,无法在卡内实现相应的复合交易功能。如果继续采用逻辑加密的话实现起来肯定要求终端做更多的事情,甚至有可能不能实现。这时如果卡片端能够做更多的事情,那么实现起来就容易得多了。
采用非接触式CPU卡则可以针对分段收费、停车收费的应用功能特点,在卡内COS增加相应的复合钱包处理功能,为实现这些功能提供更好的卡片平台。
所以,建设事业IC卡从逻辑加密卡升级到CPU卡,可以更好地实现跨行业多应用的功能实现。
二、建设事业IC卡升级的可行性
(一)行业标准上可行
为规范CPU卡在建设领域的应用,推动非接触CPU卡的创新和科学发展,提升CPU卡行业整体技术和应用水平,建设部于2007年5月下达了《建设事业非接触式CPU卡芯片技术要求》和《建设事业非接触式CPU卡COS技术要求》国家行业标准的编写任务,标准由建设部信息中心和建设部IC卡应用服务中心共同主编完成。针对标准编写,建设部IC卡应用服务中心在北京组织参编单位召开标准编写工作会议,对非接触式CPU卡芯片规范、接触式CPU卡芯片规范、非接触式CPU卡兼容M1卡设计、非接触式CPU卡COS规范、兼容MI卡设计要求、复合电子钱包交易等内容进行了深入探讨。
(二)产品技术上可行
为了促进建设事业非接触CPU卡的推广与应用,建设部于2006年6月成立了“建设事业CPU卡产业与应用联盟”。“联盟”于2007年召开了三次工作会议,对建设事业CPU卡的研发、操作系统COS设计、交易时间等方面进行了工作部署,以推进会员单位对CPU卡的自主研发。
目前,联盟各理事成员单位已相继推出符合联盟要求的产品,在建设部IC卡应用服务中心的组织安排下,东信和平等联盟理事会成员的产品已通过第三方权威检测机构的物理测试以及建设部的交易功能测试。
(三)产品成本上可行
由于建设事业IC卡的发行量一般都比较大,各地在大规模发行建设事业IC卡时,卡片的成本必然是发行单位必须重点考虑的因素,尤其是一些经济不太发达的城市。
之前建设事业IC卡普遍采用逻辑加密卡,一个很重要的原因就是CPU卡的成本相对逻辑加密卡比较高。
随着芯片工艺和技术的发展,芯片的成本在不断降低,非接触CPU卡的成本也相应的不断下降。虽然CPU卡的成本比逻辑加密卡的还是略高,但和以前相比,成本的差距已经不是那么不可逾越。
伴随建设事业IC卡应用功能的不断拓宽,以及项目运营模式的不断完善,项目的增值点也不断增多,卡片成本的影响在收益增加的条件下会越来越小。
三、建设事业IC卡升级的兼容性问题
各地发行的建设事业IC卡从逻辑加密卡升级到CPU卡,都不可避免的面临一个同样的问题:原有的系统软件和机具如果同时全面升级,建设费用和建设周期都难以承受,而且已经发放的逻辑加密卡也需要一个比较长的过渡期来实现更换。
基于上述原因,建设部在推广非接触CPU卡的同时,也要求各厂家在卡片COS的设计上实现CPU卡片模拟逻辑加密卡交易。
卡片实现兼容的方式一般包括以下两种,下面对两种方式的大概原理和安全性进行介绍:
1、钱包同步方式
类似于CPU钱包的一种电子钱包,本身并不存储金额。对复合钱包进行消费、充值或读取余额时,复合钱包根据Ka和Kb来对逻辑加密卡的相应钱包地址发送相应指令,然后根据逻辑加密卡返回的数值返给机具。并计算和返回CPU钱包的应该返回的TAC和MAC2。
其支持的指令集和CPU钱包完全一致。也就是说,对CPU机具来说,无论是复合钱包还是CPU钱包,其消费流程和消费指令都是一样的。
在发行卡片的时候,需要在应用目录中,同时建立复合钱包和CPU钱包,在逻辑加密卡和CPU兼容期间,机具对卡片发送CPU指令,只是复合钱包响应。到以后全部机具都升级到CPU之后,需要关闭复合钱包。此时需要有一个转换指令来保证复合钱包的钱正确转到了CPU钱包中。
这种方案的优点是:CPU钱包和逻辑加密卡的钱包永远是一致的;避免了CPU钱包和逻辑加密卡钱包不是真正意义上的同步。缺点是:其实CPU复合钱包维护的是逻辑加密卡钱包,有安全隐患。
2、钱包不同步方式
类似于CPU钱包的一种电子钱包,本身存储金额。对复合钱包进行消费、充值或读取余额时,复合钱包在更新自身金额的同时并根据Ka和Kb来对逻辑加密卡的相应钱包地址发送相应指令,然后根据自身数值返给机具,并计算和返回CPU钱包的应该返回的TAC和MAC2。Ka和Kb可放在Key文件中,作特殊的应用标识即可。
其支持的指令集和CPU钱包完全一致。也就是说,对CPU机具来说,无论是复合钱包还是CPU钱包,其消费流程和消费指令都是一样的。
逻辑加密卡的钱包不支持充值,即采用CPU卡方式充值。[这部分是最关键的,也是逻辑加密卡的主要被攻击点之一]同时逻辑加密卡钱包中的金额不得大于CPU钱包中的金额。
在发行卡片的时候,需要在应用目录中建立复合钱包,在逻辑加密卡和CPU兼容期间,机具对卡片发送CPU指令,只是复合钱包响应。到以后全部机具都升级到CPU之后,需要取消逻辑加密卡的钱包和复合钱包的挂钩。
这种方案的缺点是:CPU钱包和逻辑加密卡的钱包不总是一致的。在CPU消费后,两者是一致的,在逻辑加密卡消费后,逻辑加密卡的钱包金额小于CPU钱包金额。
优点是:安全级别比上一种方案高,而且不允许逻辑加密卡充值,所以充值方面的安全级别类似于CPU卡。
非接触式CPU卡相对来说是具备更高安全性和更强大功能的产品,所以在建设事业领域逐步替代逻辑加密卡必然会成为主流产品。近两年,非接触CPU卡产品的推广和应用也取得了卓越成效。一方面,建设部在标准制定和产品符合性测试等工作组织上取得了实质性的进展;并且在另一方面,一些试点城市也陆续开始实施应用建设事业非接触式CPU卡,与此同时还有许多城市在新的一卡通项目上规划采用非接触式CPU卡产品。总之,逻辑加密卡被CPU卡替代已成为建设事业IC卡应用发展的必然趋势。
发表评论 评论 (0 个评论)