1　概述
　　北京燃氣集團現(xiàn)有人工煤氣和天然氣管道家庭用戶180萬，其中IC邏輯加密卡燃氣表約20萬戶左右。目前每年新增用戶約9萬戶。隨著首都現(xiàn)代化的發(fā)展、人民生活的不斷提高及燃氣事業(yè)的發(fā)展等多方面的需求，北京燃氣集團依照統(tǒng)一規(guī)劃，按區(qū)域成片集中實施的方式對現(xiàn)有民用普通燃氣表進行改造，預(yù)計10年內(nèi)完成CPU卡燃氣表更新改造工作。最終智能化燃氣表用戶數(shù)可能達到200多萬戶。民用燃氣表的數(shù)字化、智能化、信息化正在成為當前與今后一個較長時期內(nèi)發(fā)展的一個主流方向，并有可能逐步取代目前普通燃氣表的主導(dǎo)地位。采用科技手段，改變傳統(tǒng)的收費方式是解決目前查表收費中存在的一些難題，如查表人戶不便，收費困難，人工費用投入高，收費單據(jù)處理流程中環(huán)節(jié)多且工作量大效率低等問題的一種較好的可行方式。
　　CPU卡燃氣表項目是一個綜合了計算機軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)、智能卡技術(shù)、卡表生產(chǎn)制造、密鑰保密安全技術(shù)等多個技術(shù)領(lǐng)域的系統(tǒng)工程項目。項目的目標是提升計量、收費、維修服務(wù)等管理水平；提高數(shù)據(jù)真實性、完整性、可靠性、及時性；增強查詢、統(tǒng)計分析能力?，F(xiàn)將從7個方面簡述如下。
2 簡述IC卡
2.1　IC卡分類
　　IC卡又稱集成電路卡(Integrated Circuit Card)。從數(shù)據(jù)信息傳輸接口方式劃分，有接觸式和非接觸式兩種；從卡的界面劃分，有單界面和雙界面兩種形式；按卡的內(nèi)部結(jié)構(gòu)劃分為三類，存儲器卡：存儲器卡是電擦除可編程只讀存儲器E2PROM，它僅有數(shù)據(jù)存儲功能；邏輯加密卡：邏輯加密卡是由內(nèi)低層次邏輯加密讀寫保護電路和電擦除可編程只讀存儲器E2PROM構(gòu)成；智能卡(Smart Card)：俗稱CPU卡，卡內(nèi)包括中央微處理器、電擦除可編程只讀存儲器E2PROM、隨機存儲器RAM以及固化在芯片內(nèi)的操作系統(tǒng)COS(Chip Operating System)。存儲器又可以分成若干應(yīng)用區(qū)，各分區(qū)可設(shè)置各自獨立的訪問權(quán)限，相互隔離，便于一卡多用。接觸式IC卡主要遵循的國際標準為ISO-7816系列。非接觸IC卡主要遵循的國際標準為ISO-14443系列。
　　CPU卡內(nèi)COS操作系統(tǒng)(Chip Operating System)由傳輸管理、文件管理、安全體系、命令解釋4個功能模塊組成。讀寫操作、密鑰管理都是通過卡內(nèi)芯片操作系統(tǒng)COS監(jiān)控、管理和執(zhí)行，并受發(fā)卡方對卡片個人化時向卡內(nèi)加載的密鑰及安全認證機制的控制。
　　上述各種類型的IC卡有各自不同的作用和功能，不同場合不同的應(yīng)用條件，應(yīng)選用相應(yīng)的IC卡。
2.2　IC邏輯加密卡表存在的問題
　　目前IC卡表多數(shù)IC為邏輯加密卡表，無論是表具還是應(yīng)用系統(tǒng)的密鑰算法安全級別低，且均未經(jīng)過權(quán)威部門認證，產(chǎn)品供應(yīng)商的密鑰算法不向應(yīng)用方公開，即使向應(yīng)用方公開密鑰算法，應(yīng)用方的系統(tǒng)安全也永遠系于廠家及廠家有關(guān)個別人員身上，無法實現(xiàn)應(yīng)用單位的安全與開發(fā)生產(chǎn)企業(yè)完全脫鉤，無法獨自掌握核心安全，安全性只能被動的依賴廠家。IC邏輯加密卡不同型號芯片的互不兼容，不同廠商的芯片更不易兼容，應(yīng)用方在使用多家卡表時會帶來多種密鑰及密鑰算法管理上的復(fù)雜化，且密鑰更新困難。IC邏輯加密卡因自身無法識別讀寫和存儲的數(shù)據(jù)正確與否，因不規(guī)范的插拔易造成數(shù)據(jù)混亂，引發(fā)與用戶的糾紛同時也增大了維護工作量。對IC邏輯加密卡應(yīng)用的后臺發(fā)卡售氣系統(tǒng)一般都設(shè)計有非正常用戶的監(jiān)測管理程序，雖然該監(jiān)測的功能可以向管理者提示用戶購氣出現(xiàn)異常。但并不能從根本上解決或杜絕偽卡流通，這在技術(shù)和實踐都是可證且有其先例的。制造一張偽卡的成本3元—6元，而售出一張偽卡則可獲得幾十倍甚至上百倍的高額利潤。對于大中型城市，燃氣管網(wǎng)用戶達到幾十萬戶以上時，高額利潤的誘導(dǎo)下，一旦出現(xiàn)偽卡或加密失效，因偽卡的傳播擴散較為隱蔽，更新密鑰及密鑰算法困難，而很難得到及時有效控制。這將會給燃氣經(jīng)營企業(yè)造成巨大的經(jīng)濟損失。同時還將嚴重的影響到IC卡表的繼續(xù)使用，會使整個IC卡表項目的前期巨大投資失敗。因此在應(yīng)用IC邏輯加密卡表(水、電、氣)時，特別注意以下幾點：(1)應(yīng)采取使用幾個不同廠商的卡表；(2)在一定的范圍或區(qū)域內(nèi)控制同種類卡表使用的數(shù)量，盡量提高應(yīng)用分布的離散度或混合程度；(3)在卡的使用上，構(gòu)筑起一個流通市場狹小或不暢的環(huán)境，不利于偽卡大面擴散。(4)應(yīng)用規(guī)模不宜太大。但這并不能從根本上解決實質(zhì)問題，同時將會使系統(tǒng)多樣化、離散化以及不兼容性帶給系統(tǒng)復(fù)雜化及管理不便。因此管理者將面臨一個如何制止或杜絕偽卡、解決現(xiàn)存或已經(jīng)流通的偽卡等非常復(fù)雜的局面。因此在大范圍推廣使用比邏輯加密卡表時一定要十分慎重。應(yīng)用部門在對卡型的選擇和加密的管理上應(yīng)引起極高的重視。
2.3　我們選用CPU卡的一些考慮
　　通過以上IC卡的對比，IC邏輯加密的方式來保護卡內(nèi)數(shù)據(jù)信息的安全可靠受到了卡特性的限制，易受到某些特殊方式的攻擊。IC邏輯加密卡的安全等級較安裝有ESAM安全認證模塊的CPU卡表安全等級低很多。根據(jù)我們?nèi)細饧瘓F的應(yīng)用規(guī)模，高新技術(shù)應(yīng)用環(huán)境等方面的實際情況，為確?？ū硭婕熬揞~資金的長期交易安全，我們摒棄邏輯加密卡。為確保安全性，我們從整體上，包括IC卡、卡表、軟硬件及網(wǎng)絡(luò)系統(tǒng)、信息傳輸交流、組織管理、規(guī)章制度等各方面，全面的考慮和設(shè)計。
　　我們嚴格限制IC邏輯加密卡表大規(guī)模應(yīng)用，同時確定與銀行合作，采用銀行發(fā)行的金融卡CPU卡為主要發(fā)展方向。其一、能夠在符合人民銀行金融卡的規(guī)范標準條件下，基本保證我們這個項目與未來發(fā)展的大方向和主流趨勢同步且一致，保證今后我們能夠較長期穩(wěn)定的發(fā)展，克服了一些CPU卡無法實現(xiàn)其金融功能的制約與限制問題；其二、銀行發(fā)行具有金融功能的CPU卡，有高級別的安全等級，具有權(quán)威機構(gòu)認證的安全機制，同時可增強對非法攻擊IC卡的威懾力，保證長期交易中資金安全可靠；其三、可避免獨立發(fā)行多功能卡所帶來的一些其他環(huán)節(jié)上審批協(xié)調(diào)的工作，加快我們該項目的工作進程；其四、智能卡的成本雖高于邏輯加密卡，但性能價格比遠高于邏輯加密卡，使用銀行發(fā)行的金融CPU卡，使我們成為金融卡中多項應(yīng)用的一個中介應(yīng)用項，真正實現(xiàn)了一卡多用這一智能卡最獨特的功能，并因多項綜合應(yīng)用而分攤了卡的應(yīng)用成本。CPU卡成本將隨著技術(shù)的發(fā)展逐年下降。其五、由于我們?yōu)殂y行方面推廣CPU卡項目提供了理想切人點，有效的推動銀行自身的發(fā)展，為銀行方面拓展了在該行業(yè)及其它相關(guān)行業(yè)領(lǐng)域的業(yè)務(wù)能力或模式；同時可為銀行帶來可觀的潛在的客戶群體和大量的沉淀資金，使我們可以充分利用銀行現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，減免收費網(wǎng)點及網(wǎng)絡(luò)建設(shè)以及CPU卡的發(fā)行費用。
　　我們采用銀行發(fā)行的金融卡CPU卡，第一個在國內(nèi)金融CPU卡上率先實現(xiàn)了多功能應(yīng)用。金融CPU卡是由銀行發(fā)行的符合有關(guān)標準和金融規(guī)范，具有存儲及消費電子錢包功能的CPU卡。卡的密鑰及文件結(jié)構(gòu)既要符合人民銀行PBOC規(guī)范，保證金融卡的金融應(yīng)用功能及安全特性，同時在PBOC規(guī)范的基本原則或框架范圍內(nèi)保證金融與中介業(yè)務(wù)分開，相互獨立互不于涉，使銀行的金融業(yè)務(wù)和各種(如水、電、氣、熱等)中介收費服務(wù)業(yè)務(wù)正常運行。在金融業(yè)務(wù)的基礎(chǔ)上開展中介業(yè)務(wù)，使CPU卡實現(xiàn)一卡多用功能，這是一個重大突破。
　　雖然金融CPU卡與非金融CPU卡都可實現(xiàn)一卡多用，但在多個行業(yè)部門或不同企業(yè)之間使用同一個CPU卡時，金融CPU卡主發(fā)行商以及密鑰與各應(yīng)用方的密鑰及發(fā)行管理較容易確定和實施，一卡多用中卡本身出現(xiàn)的一些問題也較容易解決，而一卡多用非金融CPU卡的主發(fā)行商如何確定，如何協(xié)調(diào)主密鑰與各應(yīng)用方的密鑰及發(fā)行管理，一卡多用的非金融CPU卡在使用過程中卡本身出現(xiàn)的一些問題如何解決等，目前都尚未有統(tǒng)一的政策規(guī)范，還都有待政策明確或探討。
　　目前通行采用單界面CPU卡。雙界面形式的CPU卡大致可分為CPU與磁條復(fù)合界面卡、兩面均為接觸式CPU的雙界面CPU卡、一面接觸式與另一面為非接觸式的雙界面CPU卡這三種形式的雙界面CPU卡模式?？紤]到目前銀行終端設(shè)備大多數(shù)是磁卡讀寫終端設(shè)備，要使終端設(shè)備具有CPU卡接口，需要一定改造時間周期，從實際出發(fā)的一種過度形式，我們與銀行合作采用的是復(fù)合界面CPU卡，即CPU與磁條復(fù)合界面卡(有信息表明2005年起歐洲的銀行磁條卡將轉(zhuǎn)為IC卡)。只要銀行終端設(shè)備接口支持CPU卡，有關(guān)金融應(yīng)用將通過CPU卡接口完成。
2.4　CPU卡應(yīng)用種類
　　我們在方案中采用開放性設(shè)計，兼容所有符合《中國金融集成電路(1C)卡規(guī)范》的卡片。
　　我們將卡的應(yīng)用分為3類，簡述如下：
　　a、種子卡、主控卡、母卡、密鑰傳輸卡；
　　b、應(yīng)用卡：用戶卡、應(yīng)急卡、ESAM模塊；
　　c、功能卡：設(shè)置卡、轉(zhuǎn)移卡、操作員卡、PSAM卡、檢測卡等，主要用于生產(chǎn)、檢測、安裝、日常運行及維護維修等過程中的需要。
3 CPU卡燃氣表
3.1　CPU卡與CPU卡表的對應(yīng)關(guān)系
　　CPU卡將CPU卡表、后臺系統(tǒng)、生產(chǎn)、維護及管理相互之間緊密的聯(lián)系起來，構(gòu)成一個大系統(tǒng)。在CPU卡與CPU卡表的對應(yīng)關(guān)系上，我們確定一臺CPU卡表對應(yīng)三張CPU卡，一張CPU卡依然只對應(yīng)一臺CPU卡表。這是一種全新的不同于原邏輯加密卡表，與持卡人個體無關(guān)、卡表與邏輯加密卡一表一卡的對應(yīng)關(guān)系。采用銀行發(fā)行的金融卡后，卡與持卡人的關(guān)聯(lián)度隨著持卡人金融應(yīng)用程度的提高而大大提高，所持金融CPU卡的個性化、個人化大大增強，因此原來只對應(yīng)于家庭，一臺卡表只對應(yīng)一張卡的關(guān)系發(fā)生了變化，可能需要一臺卡表對應(yīng)多張卡。以解決家庭某一成員在異地持有金融CPU卡時，保證其他家庭成員購買燃氣的需要。
3.2　CPU卡燃氣表內(nèi)的ESAM模塊
　　CPU卡是CPU卡燃氣表與計量收費管理系統(tǒng)之間唯一的數(shù)據(jù)信息交換傳遞媒介，為確保使用中所涉及巨額資金長期交易的安全，使用CPU卡后，CPU卡燃氣表內(nèi)應(yīng)有一個相對應(yīng)的ESAM安全認證模塊?？ū韮?nèi)ESAM安全認證模塊的主要功能是實現(xiàn)卡表與卡之間的相互認證，并按照規(guī)定的不同安全等級存儲或傳輸數(shù)據(jù)信息。
　　ESAM模塊中裝載有燃氣經(jīng)營企業(yè)自己的多個密鑰。燃氣經(jīng)營企業(yè)把由自己密鑰系統(tǒng)生成的生產(chǎn)過程密鑰載人ESAM模塊，并發(fā)行給CPU卡燃氣表生產(chǎn)制造商，由生產(chǎn)制造商將ESAM模塊安裝在表內(nèi)。在卡表安裝到用戶后，進行通氣驗收時，燃氣經(jīng)營企業(yè)將卡表內(nèi)的生產(chǎn)過程密鑰更新成運行密鑰。這樣既保證了卡表廠商的生產(chǎn)、檢測等工藝過程的需要，又保證了卡表內(nèi)的密鑰與卡表商無關(guān)。
3.3　CPU卡燃氣表內(nèi)密鑰的更新
　　密鑰有約定的使用有效期限，不能無限長期使用。CPU卡燃氣表是長期脫機獨立運行終端機，為保證CPU卡燃氣表及整個系統(tǒng)長期運行的安全可靠，CPU卡燃氣表的ESAM模塊內(nèi)的密鑰，在使用到規(guī)定期限后需通過某種方式更換。CPU卡燃氣表因脫機獨立運行，沒有聯(lián)機網(wǎng)絡(luò)，無法通過網(wǎng)絡(luò)系統(tǒng)進行更新。CPU卡燃氣表密鑰更新方式，完全不同于目前廣泛應(yīng)用的POS終端機通過聯(lián)機的網(wǎng)絡(luò)系統(tǒng)及時進行密鑰更新。我們經(jīng)過多次反復(fù)充分對密鑰更新技術(shù)及一整套實施解決方案深入細致的研究分析，最終解決了如何安全有效、方便易行且經(jīng)濟的對千家萬戶在用CPU卡燃氣表內(nèi)密鑰更新這一技術(shù)難題，實現(xiàn)了CPU卡燃氣表內(nèi)密鑰更新技術(shù)重大突破。保證了卡表及系統(tǒng)運行的長期安全性。
3.4　CPU卡燃氣表結(jié)構(gòu)
　　CPU卡表結(jié)構(gòu)：①基表、②計量信息采集傳感器、③微處理器操作控制系統(tǒng)、④安全認證模塊、⑤閥門及閥門控制驅(qū)動電路、⑥LED顯示、⑦電源電路、⑧聲光報警電路、⑨卡座等構(gòu)成。(圖略)
3.5　CPU卡民用膜式燃氣表應(yīng)主要考慮的幾個方面
　　基表計量準確穩(wěn)定可靠；
　　傳感器和卡座性能穩(wěn)定可靠，滿足使用壽命以及控制系統(tǒng)的要求；
　　閥門及執(zhí)行機構(gòu)在安全性(防爆抗攻擊)、氣密性、壓力損失、開關(guān)閥門穩(wěn)定可靠性；
　　IC卡的不規(guī)范插拔是否會造成數(shù)據(jù)的丟失或混亂；
　　整機的電磁輻射及抗電磁干擾能力；
　　滿足使用環(huán)境要求(溫度、濕度)；
　　靜態(tài)功耗和動態(tài)功耗要??；
　　電源電池更換方便。
　　卡表的基本功能(略)
4 建立售氣站點或服務(wù)窗口
　　基本原則和總體規(guī)劃要認真考慮以下問題：方便用戶，設(shè)立站點和分布服務(wù)網(wǎng)點，降低投資額，便于日常運營和管理，提高效率和效益，是否建立計算機網(wǎng)絡(luò)系統(tǒng)，采用何種計算機網(wǎng)絡(luò)系統(tǒng)，建立怎樣的組織管理體系。
4.1　具體考慮和做法
　　從宏觀經(jīng)濟角度或企業(yè)經(jīng)濟效益角度去觀察思考。依靠銀行現(xiàn)有終端及網(wǎng)絡(luò)系統(tǒng)進行收費結(jié)算，是有效合理配置資源的一種方式，可避免行業(yè)及部門間各自分別設(shè)立終端及相關(guān)網(wǎng)絡(luò)所造成資源配置的重復(fù)投資或不合理。若與銀行合作，CPU卡燃氣表使用由銀行發(fā)行的金融CPU卡，直接納入并充分利用現(xiàn)有的銀行系統(tǒng)，大大減少自身售氣網(wǎng)點建設(shè)投資、日常運營、管理維護、窗口服務(wù)成本及人工費用。直接納入規(guī)定的銀行系統(tǒng)，進人指定的銀行帳號，縮短現(xiàn)金交易及流通環(huán)節(jié)。較好的解決在收費結(jié)算、現(xiàn)金保管及儲運等一系列實際具體問題。
　　利用銀行網(wǎng)絡(luò)及系統(tǒng)，雖然解決了售氣網(wǎng)點問題，但仍需建立與銀行網(wǎng)絡(luò)及系統(tǒng)相應(yīng)自己的計量收費管理及計算機網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)的中央系統(tǒng)將與銀行的中央系統(tǒng)之間建立點對點專用網(wǎng)絡(luò)，用于安全認證、時實數(shù)據(jù)和非時實數(shù)據(jù)的傳輸。
4.2　項目的組織與實施
　　計量收費管理系統(tǒng)，在對各項需求經(jīng)過多方論證分析的基礎(chǔ)上，充分考慮和保證設(shè)計的前瞻性，以成熟先進、穩(wěn)定可靠安全、易用易擴展、貼近實際為原則。滿足以下基本功能要求：計量與收費管理、數(shù)據(jù)信息傳輸、數(shù)據(jù)流量及處理能力等特性。
　　整個項目主體框架分為卡表、操作管理系統(tǒng)軟硬件、密鑰系統(tǒng)這三大部分，涉及卡表、卡、計算機、網(wǎng)絡(luò)、系統(tǒng)、密鑰安全和軟件等多方面的專業(yè)技術(shù)，相互間彼此交叉滲透融合，使項目具有一定難度。我們?yōu)楸ＷC整個項目質(zhì)量，將該項目作為一個系統(tǒng)工程，分解成幾個部分，由幾個在專項技術(shù)領(lǐng)域方面相互獨立，但各自更具專業(yè)水平的不同參與方來承擔系統(tǒng)的專項工作，各司其職，彼此之間相互檢驗和監(jiān)督，有利于系統(tǒng)內(nèi)在隱性問題的及時發(fā)現(xiàn)和解決，保證系統(tǒng)未來運營的穩(wěn)定可靠。我們負責統(tǒng)一組織協(xié)調(diào)好各方的工作，重點是將相關(guān)行業(yè)相關(guān)專業(yè)間有機的聯(lián)接起來，組織好參與各方進行細致深入分析研究，遵循或參照現(xiàn)有規(guī)范標準及有關(guān)草案，擬訂需要各方共同遵守統(tǒng)一的技術(shù)標準、協(xié)議或規(guī)范，并盡量使之標準化、規(guī)范化，保證最大限度的兼容性或通用性。在確定協(xié)議及規(guī)范標準的基礎(chǔ)上依照目標和功能要求對實施過程中對各部分的核心或要點進行把關(guān)，保證各方任務(wù)的實施和完成。
4.3　項目投資
　　目前項目已進行到試運行階段。我集團項目一期配套投資預(yù)計約160萬元左右，主要包含調(diào)研、需求分析、方案論證與規(guī)劃、技術(shù)支持、大系統(tǒng)檢測審核、密鑰系統(tǒng)開發(fā)、DDN／ISDN／PSDN線路、機房、相應(yīng)配套設(shè)備及工程等。
5 計量收費管理系統(tǒng)
5.1　網(wǎng)絡(luò)和計算機系統(tǒng)平臺
　　如圖1所示，網(wǎng)絡(luò)和計算機系統(tǒng)平臺分為燃氣集團和銀行兩個部分。其中燃氣集團的平臺分為三級：集團、銷售分公司和下屬管理所／站。
 

5.2　系統(tǒng)組成和功能
　　在已經(jīng)建立的銀行網(wǎng)絡(luò)和計算機系統(tǒng)平臺基礎(chǔ)上，銀行內(nèi)部網(wǎng)絡(luò)及系統(tǒng)能夠有效支持下屬各個網(wǎng)點的信息實時上傳匯總到銀行自己的信息中心。合作行將針對燃氣集團的CPU卡燃氣表計量收費管理項目，負責對其內(nèi)部系統(tǒng)、網(wǎng)絡(luò)及前臺終端的軟硬件進行相應(yīng)的更新改造。保證滿足銀行與燃氣集團之間數(shù)據(jù)信息定時或?qū)崟r傳輸?shù)囊蟆?br>　　燃氣集團的計算機網(wǎng)絡(luò)平臺構(gòu)建在ISDN／PSTN／DDN／幀終繼等基礎(chǔ)通信設(shè)施之上，為計算機系統(tǒng)提供基礎(chǔ)的通信平臺。燃氣集團的計算機系統(tǒng)平臺包括計算機硬件和系統(tǒng)軟件兩部分。計算機系統(tǒng)硬件設(shè)備主要包括：WEB／應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、防火墻、加密機、網(wǎng)絡(luò)及安全管理服務(wù)器以及PC終端等。系統(tǒng)軟件主要包括：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、WEB／應(yīng)用服務(wù)器軟件、開發(fā)工具、計量收費管理軟件、安全認證軟件、防火墻軟件、網(wǎng)管軟件以及防病毒軟件等。
　　從物理分布看，CPU卡燃氣表計量收費管理系統(tǒng)是一個覆蓋燃氣集團、分公司、管理所／站以及銀行的各級機構(gòu)的網(wǎng)絡(luò)信息管理系統(tǒng)。從系統(tǒng)功能看，CPU卡燃氣表計量收費管理系統(tǒng)主要包含以下子系統(tǒng)，而每個子系統(tǒng)同樣是由分布在多個結(jié)點上的子模塊構(gòu)成。
　　(1)銀行收費管理子系統(tǒng)
　　(2)燃氣用戶信息管理子系統(tǒng)
　　(3)燃氣集團計量收費管理子系統(tǒng)
　　(4)維修管理子系統(tǒng)(由二期工程根據(jù)實際進一步補充完善)
　　(5)手持POS機子系統(tǒng)(由二期工程實施)
　　(6)系統(tǒng)維護和幫助子系統(tǒng)(其中包含用戶查詢系統(tǒng)由二期工程補充完善)
　　(7)密鑰及管理系統(tǒng)(應(yīng)急卡和ESAM模塊發(fā)行系統(tǒng)由二期工程進一步完善)
6密鑰系統(tǒng)
6.1系統(tǒng)概述
　　科學(xué)完善的安全機制應(yīng)是密鑰管理系統(tǒng)設(shè)計的指導(dǎo)思想。密鑰貫穿于整個系統(tǒng)，密鑰的安全控制和管理是保證北京市燃氣集團CPU卡燃氣表計量收費管理系統(tǒng)安全性的關(guān)鍵，是數(shù)據(jù)信息安全的保證。密鑰管理系統(tǒng)的安全性將直接影響整個系統(tǒng)的安全，密鑰系統(tǒng)也因此必然成為整個大系統(tǒng)的核心。
　　北京市燃氣集團CPU卡燃氣表計量收費管理系統(tǒng)所采用的密鑰管理體制完全符合中國人民銀行發(fā)布的《中國金融集成電路(IC)卡安全管理規(guī)范》的要求，設(shè)立北京市燃氣集團CPU卡燃氣表計量收費管理系統(tǒng)密鑰管理中心，統(tǒng)一進行密鑰的生成、傳遞、分發(fā)和使用的監(jiān)管，使各種應(yīng)用功能CPU卡、ESAM模塊、后臺系統(tǒng)加密機內(nèi)密鑰認證和應(yīng)用管理系統(tǒng)等整個系統(tǒng)完全置于企業(yè)的安全控制和有效監(jiān)管之下，保證其過程的可靠性和安全性，防止惡意攻擊和欺詐行為，實現(xiàn)對整個燃氣銷售的安全控制和管理的目的。
6.1.1密鑰系統(tǒng)平臺
　　燃氣集團密鑰管理系統(tǒng)見圖2。

　計量收費管理系統(tǒng)主要是實現(xiàn)CPU卡燃氣表和收費管理的功能，而密鑰安全管理系統(tǒng)主要是保證計量收費管理系統(tǒng)中交易信息的安全，它是一個建立在計量收費管理系統(tǒng)基礎(chǔ)之上運行的涉及交易數(shù)據(jù)安全保障的系統(tǒng)，是根據(jù)燃氣集團的運營特點，由燃氣集團對整個MIS系統(tǒng)進行安全制約和管理控制的獨立系統(tǒng)。
　　計量收費管理系統(tǒng)和密鑰安全管理系統(tǒng)這兩大系統(tǒng)均作用于用戶卡和燃氣卡表，最終實現(xiàn)收費交易的安全可靠。
　　加密機是構(gòu)成該系統(tǒng)的核心。應(yīng)具備以下幾個基本特征：加密算法由硬件實現(xiàn)；支持DES、3DES、RSA或經(jīng)過權(quán)威組織機構(gòu)認證其它標準算法；算法不可讀出，密鑰保存在加密機內(nèi)部，密鑰無明文輸出，防止數(shù)據(jù)被非法竊取或篡改，能確保產(chǎn)生真隨機數(shù)；具有防檢測抗攻擊，內(nèi)部電磁輻射不可偵聽，自身有防拆、防撬、密鑰自毀等特性，任何人無法用物理手段或邏輯手段來獲取密鑰。
6.1.2系統(tǒng)總體結(jié)構(gòu)
　　見圖3。
 

6.2系統(tǒng)安全策略
　　安全機制是整個密鑰管理系統(tǒng)的核心，從系統(tǒng)的整體性上考慮其安全策略，并以此來制約密鑰的使用和操作權(quán)限受到嚴格的控制。在充分保證密鑰系統(tǒng)安全性的基礎(chǔ)上，實現(xiàn)密鑰的生成、注入、導(dǎo)出、備份、恢復(fù)、更新、服務(wù)等功能，實現(xiàn)密鑰的安全管理。
6.2.1密鑰管理中心主密鑰的安全產(chǎn)生
　　在密鑰管理中心。種子密鑰以密鑰卡和密碼信封的形式分別安全保管，以備將來更新或恢復(fù)主密鑰時使用。加密算法的選擇由密鑰管理中心決定。
6.2.1.1生成密鑰
　　種子密鑰：在密鑰管理中心，由大于兩個的特定或主管人員分別輸入一組或N組種子數(shù)值，通過密鑰生成系統(tǒng)的加密算法軟件對特定代碼Ni處理，生成所需的根密鑰或種子密鑰——中心主密鑰。
　　主密鑰：由種子密鑰和特定的離散因子通過密鑰生成系統(tǒng)進行加密運算生成主密鑰組。一個主密鑰組由各種不同功能用途的主密鑰構(gòu)成。
　　密鑰：由主密鑰與離散因子通過加密算法離散后得到相應(yīng)功能用途的密鑰。不同密鑰由不同主密鑰離散后生成。
　　密鑰種類：主控、外部認證、內(nèi)部認證、錢包圈存密鑰、線路保護、密鑰更新等8種密鑰。
6.2.1.2傳遞密鑰
　　在整個密鑰系統(tǒng)中，為保證系統(tǒng)的安全性，密鑰的導(dǎo)入、導(dǎo)出傳遞均要采用安全報文傳輸?shù)姆绞?，即密?MAC的方式，密鑰卡中用于主密鑰導(dǎo)入、導(dǎo)出的密鑰可以不同，必要時在一些特定環(huán)境使用密鑰傳輸卡，以提高密鑰傳遞或下載的安全性。
6.2.2主密鑰卡和主密鑰控制卡配合使用
　　主密鑰卡由主密鑰控制卡保護，使用主密鑰卡前，必須用控制卡對主密鑰卡進行外部認證，只有外部認證成功后，主密鑰卡才能被正常使用。主密鑰卡和主密鑰卡控制卡要分別嚴格保管，這是保證密鑰系統(tǒng)安全性重要關(guān)鍵環(huán)節(jié)。
6.2.3存儲和備份密鑰
　　密鑰管理系統(tǒng)中密鑰采用密鑰卡或硬件加密機的形式存儲，而備份采用密鑰卡和密碼信封的形式進行密鑰備份，并分別安全存放在不同的地點。
6.2.4更新密鑰
　　確定密鑰版本和索引有效使用期和更換條件，在用各種卡的密鑰版本或索引將根據(jù)需要隨時更新。
　　密鑰系統(tǒng)由密鑰的生成、發(fā)行及管理三部分構(gòu)成。密鑰涉及CPU卡燃氣表內(nèi)程序、ESAM安全模塊、用戶卡、各種不同功能CPU卡、卡表的生產(chǎn)流程、計量收費管理系統(tǒng)、后臺安全認證、新表安裝、舊表維護更換及日常應(yīng)用等諸多方面，是涉及整個系統(tǒng)收費安全的核心。從安全特性上考慮，要求密鑰必須獨立設(shè)計，系統(tǒng)開發(fā)商及卡表生產(chǎn)商不直接參與密鑰系統(tǒng)設(shè)計。密鑰的安全特性要基本保持在同一個安全等級水平，否則將因某一部分的安全問題發(fā)生木桶效應(yīng)而使整體安全特性下降。安全機制要保證在一個合理適當水平上，在同一安全特性條件下盡量降低綜合成本。不要追求過高的安全機制，這將會大大提高成本。
6.2.5建章立制
　　我們針對密鑰系統(tǒng)擬訂了相應(yīng)配套的規(guī)章管理制度。在發(fā)行CPU卡初始化時，由企業(yè)自己的密鑰發(fā)行系統(tǒng)將相應(yīng)的母卡內(nèi)的密鑰如：主控密鑰、外部認證、內(nèi)部認證、線路保護密鑰等載入CPU卡和ESAM模塊及其它功能卡中，發(fā)行給有關(guān)單位部門或人員使用。發(fā)行數(shù)量、種類及過程由密鑰管理系統(tǒng)進行管理。
7 管理框架及業(yè)務(wù)基本流程
　　(1)由燃氣集團建立統(tǒng)一計量收費管理中心。用戶燃氣集團CPU卡燃氣表計量收費管理系統(tǒng)與銀行計算機中央系統(tǒng)的CPU卡燃氣表計量收費系統(tǒng)子系統(tǒng)間建立相應(yīng)的連接，負責與銀行間數(shù)據(jù)信息交換及辦理日常業(yè)務(wù)工作。
　　(2)兩個銷售分公司下屬所、站將新發(fā)展用戶和更新改造用戶的有關(guān)信息錄入并傳送至CPU卡表計量收費管理中心(隸屬用戶計量收費管理中心)，同時向用戶開具發(fā)卡通知。
　　(3)CPU卡表計量收費管理中心將有關(guān)信息傳送至銀行。銀行根據(jù)新發(fā)展用戶和更新改造用戶等有關(guān)信息，向持有開卡憑證的客戶發(fā)用戶卡和首次收費，并負責以后收費。銀行將用戶領(lǐng)卡、付費及卡內(nèi)的相關(guān)信息傳送至燃氣集團CPU卡表計量收費管理中心，進行校核結(jié)算(銀行與客戶交易過程始終處于我們的加密機認證體系控制之下進行)。
　　(4)CPU卡表計量收費管理中心將相關(guān)信息分別反饋給有關(guān)銷售分公司。下屬的管理所(或營業(yè)站)可在銷售分公司獲取相關(guān)信息。
　　(5)用戶用氣實行預(yù)收費，先持卡在銀行購氣，再將已購氣的卡插入CPU卡燃氣表，表與卡相對應(yīng)一卡一表(但一表三卡)，不可互換。CPU卡表自動檢測識別卡，下載卡內(nèi)購氣量和有關(guān)數(shù)據(jù)，并將表內(nèi)有關(guān)數(shù)據(jù)信息寫入卡內(nèi)后CPU卡可與表相互脫離，燃氣表即能自動開閥，正常用氣。插卡時燃氣表內(nèi)有關(guān)的運行狀態(tài)信息可反饋到卡內(nèi)，銀行在售氣的同時，可將所要的卡內(nèi)關(guān)于燃氣表運行狀態(tài)信息傳送到燃氣集團用戶管理系統(tǒng)，以方便管理用戶。
　　(6)用戶向管理所申請卡表的維護維修業(yè)務(wù)。換表／變更、卡表故障，經(jīng)管理人員確認，并上傳信息至系統(tǒng)或銀行。涉及銀行方面業(yè)務(wù)可到銀行辦理相關(guān)手續(xù)。
　　(7)管理所負責接收燃氣表故障申報，上門維修，將維修報告上傳到管理系統(tǒng)。