引言
逻辑加密卡技术成熟、价格低廉,在传统的城市交通智能卡应用中占据了绝大部分市场份额。按交通智能卡“一卡多用、多卡互通”的发展趋势,电子钱包资金存量必将越来越高,逻辑加密卡的安全隐患已在业内引起高度关注。CPU卡的安全性大幅优于逻辑加密卡,但高昂的价格严重制约了其推广应用。近来随着非接触CPU卡的推出,其价格接近逻辑加密卡,技术也日趋成熟,这使全面推广应用CPU卡取代逻辑加密卡成为可能。为此,国家建设部明确要求跨行业及互联互通的IC卡应用应采用安全性高的CPU卡,并组织编制CPU卡芯片技术要求和COS技术要求等行业标准,致力推广CPU卡技术在交通智能卡领域的应用。
主流方案分析
目前我国绝大部分城市交通智能卡应用均基于逻辑加密卡技术,全国已发行逻辑加密卡上亿张,安装刷卡终端几十万台。推广CPU卡时,如何才能既保护已有投资,也方便老百姓使用,实现平稳过渡?业内目前对此主要有三种意见。
意见一:一步到位推广CPU卡
技术方案:CPU卡无需兼容逻辑加密卡。
系统改造:全面升级原有逻辑加密卡系统,将原来只能读写逻辑加密卡的交易终端(下称M1终端)全部改造或更换成可读写CPU卡的交易终端(下称CPU终端),CPU终端应同时支持逻辑加密卡的读写,实现向下兼容。
运营模式:新布设的交易终端全采用CPU终端,新发行的卡片全采用CPU卡。CPU卡支持跨行业及互联互通应用,已发行的逻辑加密卡限制在原应用领域使用,由市场逐步淘汰。
利弊浅析:由于推广CPU卡应用不产生直接的经济效益,而此方案要求运营商对原有系统进行全面升级改造,一次性投入很大,运营商难以承受,缺乏积极性,推广难度很大,可操作性值得商榷。
意见二:双钱包同步
技术方案:CPU卡划出部份空间由硬件模拟逻辑加密卡功能,CPU卡本身带有符合PBOC标准的电子钱包(下称CPU钱包),所模拟的逻辑加密卡功能也带有电子钱包(下称M1钱包)。每次交易时,由卡片COS对两个钱包进行校验和数据同步,确保两个钱包余额一致。
系统改造:无需对已经布设的M1消费终端进行升级,仅须将充值终端改造或更换成CPU终端,以提高CPU卡充值安全性,对逻辑加密卡仍采用原充值流程,充值上限额较低。
运营模式:新布设的交易终端全部采用CPU终端,新发行的卡片全部采用CPU卡。在过渡期,M1消费终端对所有卡片均使用逻辑加密卡消费流程,CPU消费终端应能自动识别卡片类型,采用对应的消费流程,CPU卡消费时由COS自动实现CPU钱包与M1钱包的同步。随着M1终端逐步折旧完毕、更换成CPU终端,以及大部分逻辑加密卡超过有效年限,过渡期结束,应用的各个环节均采用CPU卡技术,不再兼容逻辑加密卡。
利弊浅析:此方案系统改造量少,使运营商在过渡期资金投入大幅度减少,可有效提高运营商的积极性,有利于CPU卡推广。但CPU卡在过渡期内,由于每次交易都需要由COS对两个电子钱包进行同步,增加了交易的复杂度,影响交易效率和稳定性。许多卡商表示,以目前的技术条件,增加电子钱包同步操作后,难以保证交易在300ms内完成。交通智能卡应用以快速消费为主,如交易时间超过300ms,将严重影响持卡人使用的便利性。此外,增加电子钱包同步操作也使交易异常的几率大大增加,存在一定的技术障碍。
意见三:双钱包异步
技术方案:CPU卡支持CPU和M1双钱包,但交易时COS不对两个钱包进行同步。
系统改造:本方案对系统的改造要求与意见二一致。
运营模式:新布设的交易终端全采用CPU终端,新发行的卡片全部采用CPU卡,运营商提供将CPU钱包部份或全部资金“圈存”到M1钱包的服务。在过渡期,M1终端对所有卡片均使用逻辑加密卡消费流程,CPU终端自动识别卡片类型,采用对应的消费流程。由于CPU钱包和M1钱包不同步,需对两个钱包独立管理,这就要求持卡人熟知各种消费对应扣除哪个钱包的资金,及时“圈存”以保证两个钱包都有足够的余额,否则很容易出现卡内有钱,但由于对应的钱包资金不足而无法消费的情况。过渡期结束后,本方案营运模式与意见二一致。
利弊浅析:此方案规避了电子钱包同步的技术障碍,但要求持卡人熟知各种消费对应哪个钱包并不现实,持卡人使用十分不便,运营商也难以解释原因。失去了用户将失去应用的根基,这样的应用方式难以在市场立足,存在过渡期夭折的风险,运营商自会权衡。
解决方案
上述三个方案各有利弊,如何克服推广、技术和应用三方面的障碍、取得平衡点,成为近来业内专家争论最为激烈的课题。经分析研究,提出以下方案供业界参考。
技术选择:仍采用双钱包的方案。CPU卡划出部份空间由硬件模拟逻辑加密卡功能,实现CPU和M1双电子钱包。卡片COS应保证只有CPU钱包可通过外部指令充值,M1钱包不能通过外部指令充值,只能由COS自动从CPU钱包转入资金,确保逻辑加密卡充值密钥不在交易中与终端传递,保证M1钱包的充值安全。
本方案的关键技术在于要求卡片COS支持2种充值指令,指令A(下同)向CPU钱包充值,指令B(下同)通过CPU钱包向M1钱包充值。指令A采用符合PBOC标准的CPU卡充值流程;指令B的基本流程为:接收指令后COS先采用CPU卡充值流程对CPU钱包充值,充值成功后,由COS自动对CPU钱包进行全额消费操作,将所有资金“圈存”到M1钱包。充值完成后,CPU钱包余额应为零,M1钱包余额应为原余额加充值额。
系统改造:本方案对系统的改造要求与意见二基本一致,特别要求充值终端支持指令A和指令B流程,并可通过参数控制使用;CPU消费终端无需自动识别卡片类型,由参数控制统一采用逻辑加密卡消费流程或CPU卡消费流程。
运营模式:新布设的交易终端全采用CPU终端,新发行的卡片全部采用CPU卡。在过渡期,CPU卡充值全部采用指令B,即充值后所有资金转入M1钱包,CPU消费终端无论对CPU卡或逻辑加密卡,全部统一按逻辑加密卡消费流程操作,持卡人就如同使用单一的M1钱包一样。
交通智能卡交易终端和逻辑加密卡的“服役”年限一般为5年,随着已经布设的M1终端逐步折旧完毕、更换成CPU终端,以及大部分逻辑加密片超过有效年限,过渡期结束。运营商通过参数下载,充值终端统一采用指令A进行充值,而消费终端统一应用CPU卡流程,应用的各个环节均采用CPU卡技术,不再兼容逻辑加密卡。运营商应提供“移资”服务,将M1钱包余额充入CPU钱包中,流程为:对M1钱包进行全额消费,再通过指令A进行对CPU钱包全额充值。
方案分析:
本方案同时克服了上述三种意见的弊端:
1. 系统改造量少,过渡期资金投入少,有利于提高运营商推广CPU卡的的积极性。
2. 无需每次交易都进行电子钱包同步,只在过渡期CPU卡充值时由COS进行资金转移。由于充值对交易速度要求不高,使用频率也远低于消费,故对交易效率和稳定性的影响极小。
3. 对持卡人而言只有1个钱包,过渡期全部用逻辑加密卡钱包消费,正式启用后全部使用CPU卡钱包消费,不会造成使用不便。
有争议认为,CPU终端对CPU卡也采用逻辑加密卡的消费流程,这是技术的倒退,系统安全性没有得到提高,浪费了投资。
笔者认为,交通智能卡的安全性主要在充值方面,因为伪造充值使卡片资金增加会造成运营商的损失,而伪造消费只能使卡内资金减少,损失的是伪造者自己,运营商反而增加了收益。本方案要求CPU卡充值采取符合PBOC标准的CPU卡安全认证机制,由硬件禁止CPU卡虚拟的M1钱包充值;对于已发行的逻辑加密卡,可由运营商通过降低充值上限额来控制风险,从最主要的方面提高了系统安全性。在过渡期,所有消费统一采取逻辑加密卡流程,是方便使用者,保证平稳过渡的手段,还可减少过渡期对中央结算系统的改造量和升级投入,可在一定程度上提高运营商的积极性,所谓一举两得。诚然,由于逻辑加密卡自身无法产生验证交易唯一性和有效性的TAC码,会对互联互通应用的清算有一定影响。然而,只要逻辑加密卡仍在使用,该影响就无法避免,当前的主流方案也只是尽量减少逻辑加密卡交易,不能根本解决这个问题。过渡期结束后,将统一采用CPU卡消费流程,该问题即不复存在。因此,在过渡期统一使用逻辑加密卡消费流程对系统安全性影响很小,不失为可行的解决方案。
结束语
本方案克服了CPU卡推广、技术和应用三方面的障碍,可有效促进CPU卡技术推广,提升交通智能卡系统安全性,实现平稳过渡。希望本方案能起到抛砖引玉、引发共鸣的效果。只要业界人士群策群力,充分发挥中国人的聪明才智,携手合作、积极推广,相信CPU卡应用的春天很快就将来临。 (fengminxing) |
