使用CPU卡表建议书

使用CPU卡表建议书
——谨以此文献给使用和有计划使用IC卡表的水、电、气、暖行业用户
前言
随着改革开放和社会主义市场经济的不断发展，公共事业行业的传统观念和发展现状发生了很大变化。

一方面水、电、气、热资源由原来取自之不尽、用之不竭变为一种面临匮乏而且具有一定经营成本的特殊市场产品。

传统的收费模式已经不能适应新形势的发展，经常造成严重拖欠和流失，并不时产生纠纷，给管理工作带来很大的困难和压力。

为此CPU卡表应运而生，给新形势下的收费管理模式带来重大突破，被水、电、气行业用户广泛接受。

由于CPU卡表涉及到了资金支付，数据安全、系统可靠性变得尤为重要，如何让行业领导放心使用卡表是摆在我们面前的课题。

我们的服务
我们为电、水、燃气、暖气行业提供支持CPU卡表运行的整体解决方案及相关产品，它们包括：
●CPU卡表的规范、标准；
●CPU卡表内嵌入式安全模块ESAM和CPU卡；
●低成本、低功耗表具专用非接触读写模块；
●卡表设计、卡表电子模块；
●CPU卡表的密钥系统、发卡系统；
●CPU卡表银行联网售电（水、气）系统平台软件；
特色服务
●为用户提供一卡通（一卡多表）解决方案；
●协助用户开发银行联网售电（水、气）系统；
●提供英文、法文版CPU卡表全套软件及整体方案，配合表厂中标国际市
场；
●为表厂提供定制的规范和系统；
●为城市一卡通用户提供接入三表的方案；
●为已有售电（水、气）系统的用户提供密钥、发卡软件及售电（水、气）
的接口。

收费模式的比较
自改革开放以来，最早传统的人工查表方式在城市住宅条件极大提高的大环境下，本身存在的弊端越来越突出，而且公用事业也逐步由国家补贴向独立企业行为过渡，因此，许多传统的收费模式受到冲击，收费难已成了水电气供应部门经营管理上的难题。

我们将几种收费模式作比较：
人工抄表收费方式：
优点：计量仪表成本低。

缺点：管理人员多、成本大、工作量大，欠费严重，舞弊严重，无催收控制手段。

自动抄表收费方式：
优点：自动化程度高，节省人力，系统实时监控、便于生产管理。

缺点：技术难度高，通讯网络建设及维护成本大，无法解决欠费问题。

IC卡预付费方式：
优点：
彻底杜绝了欠费现象的发生,资金回笼明显加快
管理人员和管理费用少
收费员工基本上不接触现金，避免营私舞弊
用户可以方便的交纳水、电、气费
能实现阶梯水价、分时电价
老百姓容易接受收费模式
缺点：信息传输有一定的滞后
以水费收缴为例，传统方式都是居民用完水而后相关部门上门查表收费，有的甚至是集体均摊水费，这些方式造成了许多麻烦与矛盾。

而且尤为值得注意的是由于收费的不及时和收费的不准确给国家造成了严重的经济损失。

这样的现象在电、煤气等费用的收缴都普遍存在。

在这样的背景下，IC卡智能仪表应运而生了，不仅有效的解决了收费问题，也使相关企事业单位的服务水平得到了提高，方便了广大居民的生活又解决收费问题上的各种争议。

同时也为我们这个本身就
能源缺乏，却浪费严重（每年有近20％被白白浪费）的国家一定程度的紧缩了用量，社会
“节能”意识大大提高。

因此可以在某种层次上说，IC卡智能仪表的不断发展，保证城市了经济、社会、环境和科技的协调发展，前景无限。

同时，随着近两年人民生活水平的提高，社会对提高市政水、电等供应的企事业单位的服务质量要求呼声越来越强烈。

促使以电、水、燃气以及暖气热力表中采用IC卡作为抄表收费、控制以及数据管理媒介为核心解决方案的“一户一表，按户收费”成为当前应用市场新宠儿，引起了各地政府的高度重视。

“一户一表”工作的开展，是对传统营销方式的突破，不仅顺应了时代潮流，同时也有利于企事业单位自身的发展，它的优势是显而易见的。

IC卡表除了不必亲自上门挨家挨户抄表，减少入户抄表难、催费收费难的问题，也解决了企业和用户一些纠纷问题；不仅提高人民群众的生活质量，维护消费者的合法权益，也有利于企业经营管理的不断改善。

现在，这种方式已经成为大势所驱。

IC卡表发展历史
IC卡片在卡表的实际应用中是作为信息的载体，实现数据信息的传递和存储，是智能仪表重要硬件组成部分，因此我们有必要了解它的历史。

1995年以前市场主要是采用一般存储卡、钥匙卡。

1995年至1998年市场上主要是存储卡如AT24C01、AT24C02或者是逻辑加密
卡如SLE4442、SLE4428。

1999年至2005年市场出现了以CPU卡和ESAM模块方式为加密介质的更加
安全的第一代CPU卡表，并在北京电力推广了300万只。

2005年至今 CPU卡在全国三表行业内出现大规模应用，2009年，《智
能电能表信息交换安全认证技术规范》颁布，至此全国大
部分地方开始实施CPU卡表项目。

IC卡表的使用表面上看增加了表具的成本，其实总体上未必是这样。

譬如北京电力300万只表，按7年使用寿命计算，卡表成本比机械表成本每只高出160元，成本共高出4.8亿；未上卡表之前的抄表工是按2000户一个的配置，每人每年平均10万元的成本，抄表工成本为1.5亿，上卡表后管理人员只需450人，每年节省1.05亿元，7年共计节省7.35亿元。

这还不包括管理、资金沉淀带来的好处。

CPU卡表发展趋势
根据卡表的多年应用经验，业内人士认为，智能仪表用IC采取CPU卡是未来的方向， CPU卡安全性、兼容性的特点必将取代原有卡型，逐步形成统一。

而且根据国家有关主管部门的要求和有关文件精神来引导、促进城市公用事业IC卡的应用。

建设部有关部门在着眼未来技术和应用发展的前提下，要求各地、各单位在实施IC卡应用项目时要遵循“统筹规划、国家主导、统一标准、统一发卡、加强管理”的指导方针。

提出了建设事业IC卡的应用应遵循“统一发卡、一卡多用、确保安全”的基本应用原则。

强调各地建设行政主管部门是“统一发卡”的职能部门，遵循“一卡多用”的应用原则。

而作为公用事业卡主要的重要部分，IC卡智能仪表也在倡导“一卡多用”。

下面我们分几个方面分析一下CPU卡为什么能成为大势所趋：
安全性：CPU卡采用密钥管理机制，认证过程通过加密算法运算动态进行，在实际应用中被破译和攻击的可能性极小；表中安装SAM模块后，安全性由IC卡片和SAM模块进行相互认证，就与IC卡表内的微控制器无关。

这样就突破了存储卡、逻辑加密卡密钥安全掌控在表厂的巨大漏洞，CPU卡表的密钥由行业用户（水、电、气、暖）2个以上的领导输入，安全掌控在行业用户手上，再通过国家商密委、建设部等权威部门认证过的密钥系统生成各种使用密钥，从而保证卡片交易全过程的安全。

兼容性：CPU卡+ESAM能使不同厂家的表具统一在一个平台上，卡片可以在不同表厂的表具中通用，彻底解决了使用存储卡和逻辑加密卡表不能兼容的问题，解除了行业用户每使用一家卡表就得多使用一套系统的烦恼。

可扩展性：CPU卡采用文件方式对数据进行存储，用密钥进行管理，这样就容易实现一卡多用的方案，做到水、电等表一卡通用。

规范性：CPU卡的COS操作系统一般都满足金融卡规范。

这样就可以很方便地实现银行联网收费。

CPU卡表是发展方向在电力行业得到了验证，北京、新疆、华北、河北、内蒙、厦门等地区的大规模应用标志着IC卡电表进入成熟期。

同时IC卡水表和IC卡燃气表逐渐进入高速发展期，并逐渐向CPU卡和SAM模块方式过渡。

一卡通的概念开始出现并引起国家行业管理部门（建设部）的关注。

自来水行业的信息化程度和应用经验低于电力行业，水司通常认为对安全性的要求不能与银行系统相比。

并无切实的安全隐患，如果单纯是讲安全规范，采用CPU卡，每块水表要增加十几元的成本，对于水表来是一笔不小的数字。

要说服他们，必须要他们看到更现实的、明确的好处。

CPU卡表少量推广体现不出优点，比如一个城市有1千块水表没有什么意义？多了就要算一笔帐。

就按叁十万块CPU卡水表计算，卡片比逻辑加密卡水表要多投入近五百万元资金，但由于在统一平台下招标，激烈的竞争会使卡表价格下降20%左右，每只下降近80元，总体成本下降两千四百万元，这还不包括管理、使用带来的好处。

逻辑加密卡表由于通常是表厂提供系统，表被系统绑死，现实中降价空间几乎没有。

国家政策适时颁布对整个卡表行业的发展起到了积极因素。

如：
➢缺水城市分量计费、定额供水，超定额用户端强制关断
➢国家相关政策要求一户一表普及率要达到100％，快速过渡到不准入户抄表
➢企业个人外资均可以投资新建自来水厂、自来水公司，智能水表成为收回投资的有利工具
➢现有自来水公司下属水表厂必须限期与所属自来水公司脱钩
➢水表国家强检（共6项），现有水表超过6年必须限期更换
➢老房产权改造，新房物业管理，大企业分户计量收费
➢南水北调，有偿使用国策出台
国家在燃气表，水表，电表，热量表行业方面的有相关的政策引导：
煤气表方面：国家要求相关的煤气部门改善现有经营模式，逐步实现自主经营、自负盈亏、自我约束、自我发展的要求难以实现，现在的收费方式已严重影响了这些企业的正常营运。

这些问题已引起了政府的高度重视，国家科委和建设
部的文件中都十分明确地提出了要改变这种传统查表收费方式。

在《中国住宅产品发展纲要》中也曾明确地提出，实现方便查表，不干扰住户。

使大量人工查表工作逐步过渡到数据化传递，开发智能化（智能卡式、磁卡式）煤气计量装置及接口箱柜。

智能化计量装置的开发要达到准确计量（二级精度），抗干扰能力强、稳定性与耐久性可靠、使用安全、防盗等基本技术性能要求。

同时，在《2000年小康型城乡住宅科技产业工程示范小区规划设计导则》中作为设计要求更为明确地提出要求：解决入室查表问题。

在《中国城市燃气行业2000年技术进步发展规划》中提出要在
2000年起逐步解决煤气入室查表收费问题，由上所述我国在今后许多涉及住宅的总体目标、发展政策、发展纲目提出要采用先进的智能卡等技术解决入户查表收费问题，这既是社会文明的需要，也是煤气部门改善传统的经营方式，适应社会主义市场经济的需要。

水表方面：在政府召开的专业讨论会上，有关领导指出：社会、经济和技术的迅速发展，必然要带动自来水管理体制的变革。

传统的人工抄表——计费——收费——催费管理模式，只能适应城市人口相对较少的情况，而随着城市人口及高层建筑的增加，这种人工抄表所带来的管理部门费用增多、抄表工劳动强度增加，以及漏抄、少抄、欠费等种种弊端就日益突出，已严重阻碍了行业的发展，同时表现出管理效率极低，社会效益极差。

引进现代高新技术，提高自来水行业的管理效益，是必由之路。

自来水行业的管理模式是基于计量表具而建立起来的，因此，变革管理模式，必然首先要变革计量表具，再结合计算机技术、网络技术、信息技术，才能从根本上变革管理模式，提高管理效益。

就国内目前面临的主要问题来看，首先应解决抄表与收费难、工作量大的问题，国内目前最适宜采用的表具应该是预付费卡式表具，特别是在中、小城市，应该建立基于预付费卡式表具的限额供水、预先收费的管理模式。

电表方面：经过多年的发展，电力已经成为国家最重要能源之一，并逐步满足了工业用电和居民用电的需求，解决了电力能源的供需矛盾。

国家要求在电度表改造方面要实现了供电部门和用电部门、居委会或物业管理部门在供用电管理的规范化、自动化和收费网络化。

ＩＣ卡智能电表解决了传统手工抄表方法存在的速度慢、可靠性差、自动化程度低等问题。

经过几年的实际应用，收到了较好的效果，已成为我国用电管理的主流。

政府也肯定了近几年，IC卡智能电表
呈现出健康、稳定的发展态势。

同水表一样国内目前最适宜采用的表具应该是预付费卡式表具，特别是在中、小城市，应该建立基于预付费卡式表具的限额供电、预先收费的管理模式。

热量表方面：中华人民共和国建设部76号令《民用建筑节能管理规定》第四条第四款规定：国家鼓励发展供热采暖系统温度控制技术和分户热计量技术与装置。

《建筑节能"九•五"计划和2010年规划》的发展目标中明确指出：对采暖中供暖的民用建筑安装热表及有关调节设备并按表计量收费的工作，1998年通过试点取得成效，开始推广，2000年在重点城市成片推行，2010年基本完成。

由建设部、财政部等六部委共同制定的《城市供热收费制度改革实施意见》也将出台。

建筑采暖收费制度的改革已经成为各级政府供热企业和热用户关注的问题。

改革开放以来，特别是近几年，国家实施积极的财政政策，建设事业出现快速发展的新局面，住宅建设在不断改善人们居住条件的同时，对拉动国家经济起到了重要作用，已经成为国民经济的新的增长点和社会消费热点，民用热量表行业可依附住宅建设的持续发展而发展这一新兴产业。

鉴于以上居多政策、技术、应用管理等方面的优势和用户对IC卡表的现实需求，建议负责城市或省级水、电、气、暖行业的领导及时制定所辖区域的CPU 卡表规范，统一系统，避免所辖区域日积月累的使用非统一标准的卡表积重难返，使行业用户无法统一管理、统一招标，维护困难，给最终统一时造成巨大损失。

CPU卡表的实用不仅能提高企业效率，还能促进城市的经济、社会、环境和科技的协调发展。

CPU卡与逻辑加密卡安全比较
存储卡：存储卡是直接将EEPROM芯片封装在卡片上，外部设备可以直接访问到EEPROM中的任何一个单元，如下图所示：
由于存储卡中只有EEPROM一个芯片，因此IC卡的对外接口实际上就是EEPROM 的对个接口，这样外部读写设备就可以十分方便地对EEPROM进行数据读写操作，作为IC卡而言，无法对合法或非法的读写设备进行判断和识别，非常容易进行攻击。

用于水、电、气表做用户卡时，很容易被攻击者非法写入水、电、气量给行业用户带来经济损失。

存储卡只是用来对数据进行存储，而无法对数据进行安全性保护，因此存储卡不具备数据安全性保护措施，数据安全级别很低。

逻辑加密卡：逻辑加密卡是在将带有硬件逻辑电路的EEPROM芯片封装在卡片上，外部读写设备必须通过硬件逻辑电路的判断后才能访问到EEPROM中的数据单元，如下图所示：
由于在IC卡中存在一组硬件逻辑加密电路，EEPROM芯片的接口并不直接对外，在初始状态IC卡芯片中的数据开关处于断开状态。

外部读写设备在访问IC 卡芯片中的EEPROM单元之前，必须首先发一级数据级硬件逻辑电路，硬件逻辑电路在判断数据的合法性后（即密码校验），才决定是否将IC卡内的开关闭合。

只有密码校验正确后，硬件逻辑电路才能将开关闭合，这时外部读写设备才能对EEPROM中的数据进行读写操作，这样逻辑加密卡就可以对外部合法和非法的读写设备进行识别判断。

通过这种方式，逻辑加密卡对内部EEPROM中的数据进行安全性保护，因此逻辑加密卡具备数据安全性保护措施。

但逻辑加密卡的安全性级别并不是很高，有两种攻击方式可以对其进行攻击测试，一种是当合法读写设备在发送数据进行密码校验时，非法设备可以跟踪到校验密码，这样今后非法设备通过重放也可以通过密码校验，从而对逻辑加密卡进行数据攻击；另一种方法是非法设备在跟踪到合法设备已经通过逻辑加密卡的密码校验，IC卡内部开关闭合后，再通过数据线对逻辑加密卡中的EEPROM的数据进行攻击破坏。

因此逻辑加密卡虽然具备一定的数据安全性保护，但它的安全级别依然较低，具备一定的手段仍然是可以攻破的。

造成这种情况出现的原因是因为逻辑加密卡中的安全性是依赖一组硬件逻辑电路，这种电路只有判断能力，但不具备分析处理能力，因此不能及时发现和处理变化的环境。

用逻辑加密卡做水、电、气用户卡时，由于卡要和表内的主控芯片交换数据，控制硬件逻辑开关的密钥表厂必须知道，这样水、电、气行业用户的资金安全实际已经外泄给了表厂。

智能卡（CPU卡）
智能卡是在将EEPROM芯片封装在卡片上的同时，将微处理器芯片（CPU）也封装在卡处下，外部读写设备只能通过CPU与IC卡内的EEPROM进行数据交换，在任何情况下都不能再访问到EEPROM中的任何一个单元，如下图所示：
由于在智能卡中封装了微处理芯片（CPU），这样EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。

外部读写设备在与智能卡进行数据交换时，首先必须发指令给CPU，由CPU根据其内部的ROM中存储的卡片操作系统（COS）对指令进行解释，并进行分析判断，在确认读写设备的合法性后，允许外部读写设备与智能卡建立连接。

之后的数据操作仍然要由外部读写设备发出相应的指令，并用CPU对指令进行正确解释后，允许外部读写设备和智能卡中的数据存储区（RAM）进行数据交换，数据交换成功后，在CPU的控制下，利用智能卡中的内部数据总线，再将内部RAM中的数据与EEPROM中的数据进行交换。

可以看到，在数据处理过程中，外部读写设备只是和CPU打交道，同时数据交换也只能和数据缓存区RAM进行，根本无法实现对智能卡中的EEPROM数据的直接访问。

这样就实现了对智能卡EEPROM中数据的安全保护，因此智能卡也具备数据安全性保护措施。

与逻辑加密卡相比，由于智能卡内部具有CPU芯片，在具有数据判断能力的同时，也具备了数据分析处理能力，因此智能卡可以随时区别合法和非法读写设备，并且由于有了CPU芯片，具备数据运算能力，还可以对数据进行加密解密处理，因此具备非常高的安全性，其安全级别很高。

从对攻击方式的分析可以看到，保证IC卡内数据的安全性是最基本的要求，如果非法设备可以容易地与IC卡进行数据信息交换，进而进行分析处理，智能卡表及系统就不再具备任何安全性。

因此提高IC卡的安全性是设计好的智能卡表及系统的关键。

在实际应用中，如果是物业小区管理系统，对安全性的要求不高，为简化设计和降低成本，可以选用逻辑加密卡或存储卡； 但如果是行业管理部门或在大中城市推广智能卡管理系统，数据的安全性将是一个非常重要的指标，这时必须选择CPU 卡作为管理系统的数据信息载体。

攻击IC 卡智能表的几种手段
1、截取信道中的信息：通过非法设备以及相关技术手段读取IC 卡中存储的数据
信息以及在IC 卡与智能卡表进行操作时截取数据交换信息，见下图所示： 在左图所示为非法设备直接从IC 卡读取数据信息，右图所示为非法设备在IC 卡与合法设备在进行数据交换时对数据信息进行截获。

这两种攻击方法是不可控制的，前者用来攻击存储卡，后者用来攻击逻辑加密卡基本就可以得手。

2、破译IC 卡中的信息：攻击都在采用上述两种方式截获数据信息后，根据IC
卡中数据信息的变化情况以及数据交换过程中数据流的变化，对数据进行分析，从而确认IC 卡中的所有数据的含义以及数据流的变化规则，完成对IC 卡以及智能卡表中的数据信息的破译，进而达到非法改变数据信息的目的。

3、复现IC 卡中的数据信息：攻击者在截获数据信息后，并不对数据进行分析破
译，而是记录在特定操作中数据流的变化情况，在需要时，将记录的数据流直接复制发送到IC 卡或智能卡表，从而达到非法改变数据信息的目的。

这种情况经常发生在当IC 卡与智能卡表之间进行数据交换采用加密处理的时候。

4、在交易的过程中增加报文鉴别码（MAC ）的参与可以解决以上问题，MAC 是交
易数据的完整性保证，MAC 的原理即只要对交易数据哪怕改变一个位（Bit
）,都会对MAC造成改动。

MAC是由用户卡计算的并且是根据从用户卡读出的数据计算的，普通用户不知道MAC的计算密钥是无法计算MAC的，MAC的验证是由ESAM来完成的。

如果攻击者试图截取交易数据并试图对其中的某些数据进行改动，因为攻击者无法计算相应改动所造成的MAC变化，而只能采用原来的MAC，则在ESAM上对MAC的验证就不会成功，也就避免了通过截取交易数据并进行改动来完成攻击变为不可能。

另外MAC的计算有随机数的参与，即每次从卡片取的随机数不同，就会造成MAC也每次都不一样，使攻击者每次得到的MAC值都不一样，这样就保证了交易过程的安全性。

报文鉴别是一个过程，它使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。

在上述所描述的攻击方法中，第一种方式是手段，由于IC卡和智能卡表全部由用户掌握和使用，管理方无法做到实现实时跟踪，因此在现实中是无法阻止攻击者进行这种尝试的。

第二、三种方式是数据分析处理，是攻击的目的所在。

如果对IC卡和智能卡表之间的数据进行安全保护处理或者采用较为简单的安全保护，攻击是非常容易达到交易的。

为此在设计智能卡表及其相关管理系统时，必须对数据的安全性给予高度的重视，从某种角度来说，一个智能卡表及系统设计是否成功，关键在于其对数据安全性的处理。

（注：可编辑下载，若有不当之处，请指正，谢谢!）。