智能卡在联网收费中的安全性设计和实现
非接触IC卡系统是高速公路封闭式收费的主流技术,而ETC系统能有效解决中心城市高速公路出入口交通瓶颈问题,因此,选择一种可兼容ETC全自动收费与IC卡半自动收费的联网收费技术成为必然。
在以人工收费车道(MTC车道)为主,以电子不停车收费车道(ETC车道)为辅助的广东省高速公路联网收费中,通行券作为车辆通行信息的传递介质,其可靠性和惟一性是至关重要的,由于非接触式智能卡具有寿命长、不易损坏,安全保密性好、操作速度快、读写可靠性高等优点, 目前已经基本取代了纸券、磁卡、磁券、光电卡、条码卡等通行券,成为广东省当前高速公路联网收费车辆通行券的主流。随着联网收费的推广,广东省区域联网收费的范围与道路通达密度、营运管理的里程、车流量等都在增长,使得区域网内需要投入大量的非接触式智能卡。
智能卡的产品形式与使用
非接触逻辑加密卡产品形式
1、现金支付卡
现金支付卡即通行卡,采用非接触逻辑加密卡,用以记录车辆入口及标志站信息并作为出口收费依据的可多次重复使用非接触IC卡。
2、管理员卡
营运管理卡称为身份卡,采用非接触逻辑加密卡,发放给与操作、运行收费系统有关的工作人员并用于身份鉴别管理的非接触IC卡。
3、公务卡
采用非接触逻辑加密卡,由营运单位核发给车辆,用于免费使用该段高速公路的非接触IC卡。
非接触逻辑加密卡产品的使用
现金支付方式用通行卡,入口发卡,出口收回,以通行卡上记录的入口信息、标志站信息作为收费依据。
双界面CPU卡的产品形式
1、非现金支付卡
在联网收费系统中,专门用于代替现金缴纳通行费的双界面cPU卡,在广东省联网收费项目中也称为粤通卡。分为两种:储值卡和记账卡。
2、储值卡
安全可靠的电子钱包,申请简便。
卡内记录资金信息的I C卡。在联网收费系统中,采用双界面CPU卡,卡中设有安全可靠的电子钱包,兼作支付卡与通行券使用。用户可对其进行充值,使用时,用户的消费金额直接在卡内的储值金额中扣除。
储值卡申请简便,仅需在客服中心或代理点直接购买,无需任何手续,方便、快捷。
3、记账卡
“先消费,后结算” ,为大公司和信誉人士度身定做。卡内记录用户信息(不记录资金信息)的IC卡。在联网收费系统中,采用双界面CPU卡,卡中不设电子钱包,兼作支付卡与通行券使用。使用时,用户的消费金额从用户的银行账户中扣除。
双界面CPU卡的产品(粤通卡)的使用
1、人工收费车道使用
MTC入口发卡操作流程:开始一输入车型及车牌号后几位一刷粤通卡一判断卡片有效性一入口信息写入IC卡一图像抓拍一入口数据人流水一抬杆一结束
MTC出口粤通卡收费流程:开始一输入车型及车牌号后几位一刷粤通卡一判断卡片有效性一计费一出口信息写入I c卡一扣款一图像抓拍一出口数据入流水一抬杆一结束
2、电子不停车收费车道使用
ETC入口车道交易流程:开始一OB U有效性判断一读OB U参数和粤通卡基本信息文件一判断卡片有效性一人口信息写人IC卡一图像抓拍一入口数据入流水一抬杆一结束
ETC出口车道交易流程:
开始一0 B U有效性判断一读O B U参数和粤通卡基本信息文件一判断卡片有效性一读人口信息计费一写出口信 glC卡一扣款一图像抓拍一出口数据人流水一抬杆一结束
系统安全性分析
如何保障系统既具有可用性、开放性,又具有足够的安全保障,是系统设计的关键问题。
总体上说来,系统的安全包括:
1、安全算法
卡片中操作系统的安全算法、卡片与机具认证的安全算法、数据交换安全算法。
2、卡片安全
选用符合人民银行规范的操作系统的卡片、卡片生产运输中的安全保障、设计合理的卡片结构、设计卡片间的认证流程。
3、交易设备安全
交易设备完成卡片的消费、充值等功能,应具有很高的安全性,应能防止数据丢失、窃取和篡改。
4、应用安全
应用安全主要是考虑卡片应用中的安全保障机制,主要有:黑名单管理、挂失、解挂等等。
5、网络安全
系统的构造依赖于电子数据的传送,必须有一个安全、可靠的网络传输机制。
6、保障安全的管理措施
建立卡片密钥管理系统和密钥管理机制。
安全算法设计
加密算法的加密是利用加密子(即密钥)对被加密的数据按一定的方式进行运算而得到一个新数据的过程。在加密的过程中被加密的数据是明文,具有可读性(例如I C卡的卡号),而加密得到的结果数据是密文,不具有可读性。利用该密钥对加密的结果值进行反加密又可以得到明文的被加密数据。见下面图示:
正加密过程:
由此可以看出加密的关键在密钥,符合加密学原理:安全存在于密钥之中。
目前的加密算法主要是国际通用的DES加密及RSAJJI密,加密算法过程是公开透明的。
双界面CPU卡支持Single DES (单DES)、Triple DES(3DES)算法,支持非对称(FAC)式的密码算法,系统可以根据密钥的长度自动选择Single DES、Triple DES算法。
卡片安全设计
双界面的高安全性
1、芯片安全:采用内带随机数发生器的芯片,能够防止物理、逻辑上的各种攻击;芯片中的程序代码COS,一经写入,即不可再现;每个芯片具有惟一的出厂代码。
2、卡操作系统安全:支持singleDES和TripleDES算法,可自动根据密钥长度选择singleDES或TripleDES算法;支持线路加密、线路保护功能,防止通讯数据被非法窃取或篡改;多种密钥类型支持密钥的不同使用方式。
3、卡片安全:具有传输密钥管理,卡片生产遵循安全的生产管理模式。
4、应用安全:安全的交易流程设计。支持卡片的内部认证、外部认证,在金融标准的交易流程中,需要同时进行内、外部认证,完成卡与系统的有效识别;支持个人识别码PIN的灵活应用,完成持卡人的识别;支持非对称式的密钥算法FAC,必要时可用于持卡人的电子签名等。
严密的卡片交易认证流程
1、消费交易认证流程
粤通卡的消费交易是用户在高速公路出口时进行的,系统首先对粤通卡进行有效性校验,校验通过,计算粤通卡的通行费用,如为储值卡则需要检测卡片的余额是否足够,如果足够则利用粤通卡中的密钥与终端设备中PSAM卡密钥相验证,验证成功则扣款消费,并将卡片的脱机交易序号增加1。
消费交易认证的过程如下:
◇充值终端向认证主机请求充值服务
◇认证主机验证充值终端的合法性
◇ 由加密机进行加密运算
◇认证主机将计算结果返回充值终端
采用脱机认证的方式,利用终端设备中的PSAM卡中的密钥对粤通卡中的密钥进行认证,包括消费密钥认证和外部认证密钥的验证,如三次认证不通过,则卡片自动锁定,可防止人为作弊行为。
交易设备安全设计
IC卡车道专用交易设备需能完成对Mifare 1卡和双界面CPU卡的密码验证、双向认证、数据读写、文件管理等操作。目前高速公路收费系统中在用的IC卡收费机具绝大多数已经具有此项功能,仅需要加入联网收费统一发行的PSAM卡。
储值卡的充值必须经联机的交易认证,中心的充值认证模块接收到充值终端发送的充值认证请求后,将此请求转发给加密机,加密机进行运算后回送结果, 充值认证模块将结果传送回充值终端,计算结果正确则充值成功。充值认证的过程如下:
◇充值终端向认证主机请求充值服务
◇认证主机验证充值终端的合法性
◇ 由加密机进行加密运算
◇认证主机将计算结果返回充值终端
采用联机认证的方式,认证主机只接受经授权的充值终端的充值请求,每次充值系统均作记录,并由加密机完成加密运算,保证了充值的安全性。
加密机与卡片进行双向认证,任何一方非法都不能完成充值过程,防止对任何伪卡进行充值的企图。在每笔交易过程中,加密机通过随机数产生过程密钥验证交易的合法性,交易结束后过程密钥自动失效,可防止人为作弊行为。
应用安全设计
应用安全主要是卡片应用中的安全保障机制,主要有黑名单管理、卡片的挂失、解挂等等。
黑名单管理
黑名单机制是I C卡应用中的重要内容,有效的黑名单机制可以防止I C卡非预期的使用。主要功能包括黑名单的生成、解除和维护。
储值卡应用安全
1、注册
用户可通过回邮信封或凭正确的储值卡卡号及密码在客户服务中心进行注册,登记用户资料,成为储值卡正式注册用户,即可享受重设密码、凭有效身份证明挂失/换卡、邮寄通行费发票和凭有效身份证明查询等服务。
2、挂失
用户如果遗失储值卡,可以凭储值卡编码和密码(注册用户还可以凭有效证件)到服务网点或通过语音服务电话、Internetg~务网站办理挂失。挂失在受理后24小时后生效,该卡在此24小时内发生的任何消费, 由用户承担。
通过热线电话、IFiternet服务网站办理的挂失业务具有有效期(暂定10工作日),在挂失有效期内,用户必须到服务网点办理正式挂失或解挂,超过有效期挂失自动失效。
3、解挂
储值卡挂失后,用户可随时凭储值卡编码和密码或挂失回执到服务网点办理解挂。解挂在受理后24小时内生效。
4、补领
为防止他人盗用用户密码进行恶意挂失,造成用户的损失,补领新卡必须在挂失争议期(暂定5工作日)结束后才可办理。如果挂失卡在补领前没有发生任何争议,用户即可凭储值卡编码和密码或挂失回执到服务网点补领新卡。补领时用户须支付新卡的成本费,补领后,挂失卡自动注销。
5、换卡
用户可凭旧卡和用户密码(注册用户可凭卡号与有效证件)到冈点办理换卡,网点回收旧卡并发放新卡,旧卡余额和相关客户资料自动转移到新卡。如果旧卡不符合免费更换的条件,用户必须支付新卡的发行成本费。
如果储值卡接触式/非接触式界面均不可读,需进行无卡换卡,卡内资金在换卡资金争议期(暂定10工作日)内不可转移到新卡中。换卡资金争议期内,新卡可充值使用,换卡资金争议期结束后,如无争议,用户可到服务网点办理换卡资金转移,将原卡余额转入新卡内。
6、终止使用
用户可携储值卡和密码(注册用户可凭卡号与有效证件)到服务网点办理终止使用。业务员将该卡注销。如储值卡可读,且余额低于50元,系统锁卡,业务员将余额即时回退用户;如果储值卡可读但余额超过50元或储值卡接触式/非接触式界面均不可读,可进行无卡注销,卡内资金在注销资金争议期(暂定10工作日)内不可回退,注销资金争议期结束后,如无争议,用户可到服务网点领取余额。
储值卡重设密码后,密码安全争议期(暂定30日)内不可终止使用。
记账卡应用安全
1、挂失
用户如果遗失记账卡,可以凭记账卡编码和密码或有效证明到服务网点或通过语音服务电话、Internet服务网站办理挂失。
如果用户遗忘了记账卡编码,可以凭有效证明到服务网点请求查询遗忘的记账卡编码。挂失在受理后24小时后生效,该卡在此24小时内发生的任何消费,由用户承担。
通过热线电话、I1"1ternet办理的挂失业务具有有效期(暂定10工作日),在挂失有效期内,用户必须到服务网点办理正式挂失或解挂,超过有效期挂失自动失效。
2、解挂
记账卡挂失后,用户可随时凭储值卡编码和密码或挂失回执到服务网点办理解挂。解挂在受理后24小时内生效。
3、换卡
用户可凭旧卡和用户密码或有效证件到网点办理换卡,网点回收旧卡并发放新卡。如果旧卡不符合免费更换的条件,用户必须支付新卡的发行成本费。
4、补领
记账卡挂失生效后,用户即可凭记账卡编码和用户证明资料随时到服务网点办理补领。补领时用户须支付新卡的发行成本费。
5、过户
当用户银行账户发生改变或时,可凭新旧账户资料、有效证件(或证明材料)到客户服务网点办理过户业务。
卡片密钥管理系统设计
密钥管理系统是整个系统安全的核心部分。智能IC卡的主要优点,就是其内部可以装载持卡人的基本资料和使用密码、账户余额等重要信息,而上述信息的安全保护和使用,就是基于其装载的各种密钥,因此密钥的生成、发行、更新是系统的一个核心问题, 占有非常重要的地位,直接关系到整个系统的安全控制。因此发行智能IC卡的首要工作,就是建立起一套密钥管理机制和智能IC卡的密钥管理及IC卡初始化子系统,这是智能IC卡应用不同于传统磁条卡的应用首要区别。
因此,为了广东省联网收费项目更好地建立起上述管理制度和管理系统,加强对全省范围内高速公路收费的消费管理力度,广东省高速公路专营公司基于中国人民银行关于金融集成电路(IC)卡的有关规范,开发了一套IC卡密钥管理系统,以便项目营运中能够对IC卡管理系统使用IC卡进行严格控制,提高IC卡密钥管理及IC卡初始化子系统的安全性能。
上述系统遵从对I C卡的密钥进行统一、分级管理的指导思想,具有管理严谨,操作性、实用性强,系统充分模块化,可方便地与广东省联网收费业务系统交换数据等优点。其根密钥可由广东省高速公路专营公司掌握,方便密钥的集中控制和管理,密钥管理采取由二级管理体制。
使用上述系统,由广东省高速公路专营公司统一发卡,可以有效地解决不同业主单位,共享机具,实现跨路段、跨区域一卡通用的问题。
结论与展望
先进的智能卡技术在广东省高速公路联网收费系统中得到了充分的应用,非接触式逻辑加密卡和双界面C P U卡共存于同一系统中,尤其是兼容半自动收费(MTC)系统和电子不停车电子收费(ETC)系统的非现金缴费的双界面CPU卡技术,更是体现了智能卡交易速度快、存储容量大、安全性高、便于携带、使用简单等特点。
对于高速公路管理部门来说,采用智能卡替代人工收费,减少人力收费工作,大大提高管理方的效率,使得管理更现代化。对于持卡人来说,采用智能卡收费方式可减少车辆在收费口因交费,找零等动作而引起的排队等候,提高了电子不停车收费车道的通行能力,比人工收费车道提高4-6倍;并同时减少车辆因怠速等候时的耗油和废气排放,节省能源,提高环保质量。
(文/广东联合电子收费股份有限公司 黄春花 王慧平)