我國交通智能卡行業(yè)CPU卡技術(shù)應(yīng)用探討

引言 

　　邏輯加密卡技術(shù)成熟、價格低廉，在傳統(tǒng)的城市交通智能卡應(yīng)用中占據(jù)了絕大部分市場份額。按交通智能卡“一卡多用、多卡互通”的發(fā)展趨勢，電子錢包資金存量必將越來越高，邏輯加密卡的安全隱患已在業(yè)內(nèi)引起高度關(guān)注。CPU卡的安全性大幅優(yōu)于邏輯加密卡，但高昂的價格嚴(yán)重制約了其推廣應(yīng)用。近來隨著非接觸CPU卡的推出，其價格接近邏輯加密卡，技術(shù)也日趨成熟，這使全面推廣應(yīng)用CPU卡取代邏輯加密卡成為可能。為此，國家建設(shè)部明確要求跨行業(yè)及互聯(lián)互通的IC卡應(yīng)用應(yīng)采用安全性高的CPU卡，并組織編制CPU卡芯片技術(shù)要求和COS技術(shù)要求等行業(yè)標(biāo)準(zhǔn)，致力推廣CPU卡技術(shù)在交通智能卡領(lǐng)域的應(yīng)用。 

主流方案分析 

　　目前我國絕大部分城市交通智能卡應(yīng)用均基于邏輯加密卡技術(shù)，全國已發(fā)行邏輯加密卡上億張，安裝刷卡終端幾十萬臺。推廣CPU卡時，如何才能既保護已有投資，也方便老百姓使用，實現(xiàn)平穩(wěn)過渡？業(yè)內(nèi)目前對此主要有三種意見。

    意見一：一步到位推廣CPU卡 

　　技術(shù)方案：CPU卡無需兼容邏輯加密卡。 
　　系統(tǒng)改造：全面升級原有邏輯加密卡系統(tǒng)，將原來只能讀寫邏輯加密卡的交易終端（下稱M1終端）全部改造或更換成可讀寫CPU卡的交易終端（下稱CPU終端），CPU終端應(yīng)同時支持邏輯加密卡的讀寫，實現(xiàn)向下兼容。 
　　運營模式：新布設(shè)的交易終端全采用CPU終端，新發(fā)行的卡片全采用CPU卡。CPU卡支持跨行業(yè)及互聯(lián)互通應(yīng)用，已發(fā)行的邏輯加密卡限制在原應(yīng)用領(lǐng)域使用，由市場逐步淘汰。 
　　利弊淺析：由于推廣CPU卡應(yīng)用不產(chǎn)生直接的經(jīng)濟效益，而此方案要求運營商對原有系統(tǒng)進行全面升級改造，一次性投入很大，運營商難以承受，缺乏積極性，推廣難度很大，可操作性值得商榷。

    意見二：雙錢包同步 

　　技術(shù)方案：CPU卡劃出部份空間由硬件模擬邏輯加密卡功能，CPU卡本身帶有符合PBOC標(biāo)準(zhǔn)的電子錢包（下稱CPU錢包），所模擬的邏輯加密卡功能也帶有電子錢包（下稱M1錢包）。每次交易時，由卡片COS對兩個錢包進行校驗和數(shù)據(jù)同步，確保兩個錢包余額一致。 
　　系統(tǒng)改造：無需對已經(jīng)布設(shè)的M1消費終端進行升級，僅須將充值終端改造或更換成CPU終端，以提高CPU卡充值安全性，對邏輯加密卡仍采用原充值流程，充值上限額較低。 
　　運營模式：新布設(shè)的交易終端全部采用CPU終端，新發(fā)行的卡片全部采用CPU卡。在過渡期，M1消費終端對所有卡片均使用邏輯加密卡消費流程，CPU消費終端應(yīng)能自動識別卡片類型，采用對應(yīng)的消費流程，CPU卡消費時由COS自動實現(xiàn)CPU錢包與M1錢包的同步。隨著M1終端逐步折舊完畢、更換成CPU終端，以及大部分邏輯加密卡超過有效年限，過渡期結(jié)束，應(yīng)用的各個環(huán)節(jié)均采用CPU卡技術(shù)，不再兼容邏輯加密卡。 
　　利弊淺析：此方案系統(tǒng)改造量少，使運營商在過渡期資金投入大幅度減少，可有效提高運營商的積極性，有利于CPU卡推廣。但CPU卡在過渡期內(nèi)，由于每次交易都需要由COS對兩個電子錢包進行同步，增加了交易的復(fù)雜度，影響交易效率和穩(wěn)定性。許多卡商表示，以目前的技術(shù)條件，增加電子錢包同步操作后，難以保證交易在300ms內(nèi)完成。交通智能卡應(yīng)用以快速消費為主，如交易時間超過300ms，將嚴(yán)重影響持卡人使用的便利性。此外，增加電子錢包同步操作也使交易異常的幾率大大增加，存在一定的技術(shù)障礙。

    意見三：雙錢包異步 

　　技術(shù)方案：CPU卡支持CPU和M1雙錢包，但交易時COS不對兩個錢包進行同步。 
　　系統(tǒng)改造：本方案對系統(tǒng)的改造要求與意見二一致。 
　　運營模式：新布設(shè)的交易終端全采用CPU終端，新發(fā)行的卡片全部采用CPU卡，運營商提供將CPU錢包部份或全部資金“圈存”到M1錢包的服務(wù)。在過渡期，M1終端對所有卡片均使用邏輯加密卡消費流程，CPU終端自動識別卡片類型，采用對應(yīng)的消費流程。由于CPU錢包和M1錢包不同步，需對兩個錢包獨立管理，這就要求持卡人熟知各種消費對應(yīng)扣除哪個錢包的資金，及時“圈存”以保證兩個錢包都有足夠的余額，否則很容易出現(xiàn)卡內(nèi)有錢，但由于對應(yīng)的錢包資金不足而無法消費的情況。過渡期結(jié)束后，本方案營運模式與意見二一致。 
　　利弊淺析：此方案規(guī)避了電子錢包同步的技術(shù)障礙，但要求持卡人熟知各種消費對應(yīng)哪個錢包并不現(xiàn)實，持卡人使用十分不便，運營商也難以解釋原因。失去了用戶將失去應(yīng)用的根基，這樣的應(yīng)用方式難以在市場立足，存在過渡期夭折的風(fēng)險，運營商自會權(quán)衡。 

解決方案 

　　上述三個方案各有利弊，如何克服推廣、技術(shù)和應(yīng)用三方面的障礙、取得平衡點，成為近來業(yè)內(nèi)專家爭論最為激烈的課題。經(jīng)分析研究，提出以下方案供業(yè)界參考。 

　　技術(shù)選擇：仍采用雙錢包的方案。CPU卡劃出部份空間由硬件模擬邏輯加密卡功能，實現(xiàn)CPU和M1雙電子錢包。卡片COS應(yīng)保證只有CPU錢包可通過外部指令充值，M1錢包不能通過外部指令充值，只能由COS自動從CPU錢包轉(zhuǎn)入資金，確保邏輯加密卡充值密鑰不在交易中與終端傳遞，保證M1錢包的充值安全。 
　　本方案的關(guān)鍵技術(shù)在于要求卡片COS支持2種充值指令，指令A(yù)（下同）向CPU錢包充值，指令B（下同）通過CPU錢包向M1錢包充值。指令Ａ采用符合PBOC標(biāo)準(zhǔn)的CPU卡充值流程；指令B的基本流程為：接收指令后COS先采用CPU卡充值流程對CPU錢包充值，充值成功后，由COS自動對CPU錢包進行全額消費操作，將所有資金“圈存”到M1錢包。充值完成后，CPU錢包余額應(yīng)為零，M1錢包余額應(yīng)為原余額加充值額。 

　　系統(tǒng)改造：本方案對系統(tǒng)的改造要求與意見二基本一致，特別要求充值終端支持指令A(yù)和指令B流程，并可通過參數(shù)控制使用；CPU消費終端無需自動識別卡片類型，由參數(shù)控制統(tǒng)一采用邏輯加密卡消費流程或CPU卡消費流程。 
　　運營模式：新布設(shè)的交易終端全采用CPU終端，新發(fā)行的卡片全部采用CPU卡。在過渡期，CPU卡充值全部采用指令B，即充值后所有資金轉(zhuǎn)入M1錢包，CPU消費終端無論對CPU卡或邏輯加密卡，全部統(tǒng)一按邏輯加密卡消費流程操作，持卡人就如同使用單一的M1錢包一樣。 

　　交通智能卡交易終端和邏輯加密卡的“服役”年限一般為5年，隨著已經(jīng)布設(shè)的M1終端逐步折舊完畢、更換成CPU終端，以及大部分邏輯加密片超過有效年限，過渡期結(jié)束。運營商通過參數(shù)下載，充值終端統(tǒng)一采用指令A(yù)進行充值，而消費終端統(tǒng)一應(yīng)用CPU卡流程，應(yīng)用的各個環(huán)節(jié)均采用CPU卡技術(shù)，不再兼容邏輯加密卡。運營商應(yīng)提供“移資”服務(wù)，將M1錢包余額充入CPU錢包中，流程為：對M1錢包進行全額消費，再通過指令A(yù)進行對CPU錢包全額充值。 

方案分析：

    本方案同時克服了上述三種意見的弊端： 

　　1. 系統(tǒng)改造量少，過渡期資金投入少，有利于提高運營商推廣CPU卡的的積極性。 
　　2. 無需每次交易都進行電子錢包同步，只在過渡期CPU卡充值時由COS進行資金轉(zhuǎn)移。由于充值對交易速度要求不高，使用頻率也遠低于消費，故對交易效率和穩(wěn)定性的影響極小。 
　　3. 對持卡人而言只有1個錢包，過渡期全部用邏輯加密卡錢包消費，正式啟用后全部使用CPU卡錢包消費，不會造成使用不便。 

　　有爭議認為，CPU終端對CPU卡也采用邏輯加密卡的消費流程，這是技術(shù)的倒退，系統(tǒng)安全性沒有得到提高，浪費了投資。 

　　筆者認為，交通智能卡的安全性主要在充值方面，因為偽造充值使卡片資金增加會造成運營商的損失，而偽造消費只能使卡內(nèi)資金減少，損失的是偽造者自己，運營商反而增加了收益。本方案要求CPU卡充值采取符合PBOC標(biāo)準(zhǔn)的CPU卡安全認證機制，由硬件禁止CPU卡虛擬的M1錢包充值；對于已發(fā)行的邏輯加密卡，可由運營商通過降低充值上限額來控制風(fēng)險，從最主要的方面提高了系統(tǒng)安全性。在過渡期，所有消費統(tǒng)一采取邏輯加密卡流程，是方便使用者，保證平穩(wěn)過渡的手段，還可減少過渡期對中央結(jié)算系統(tǒng)的改造量和升級投入，可在一定程度上提高運營商的積極性，所謂一舉兩得。誠然，由于邏輯加密卡自身無法產(chǎn)生驗證交易唯一性和有效性的TAC碼，會對互聯(lián)互通應(yīng)用的清算有一定影響。然而，只要邏輯加密卡仍在使用，該影響就無法避免，當(dāng)前的主流方案也只是盡量減少邏輯加密卡交易，不能根本解決這個問題。過渡期結(jié)束后，將統(tǒng)一采用CPU卡消費流程，該問題即不復(fù)存在。因此，在過渡期統(tǒng)一使用邏輯加密卡消費流程對系統(tǒng)安全性影響很小，不失為可行的解決方案。 

結(jié)束語 

　　本方案克服了CPU卡推廣、技術(shù)和應(yīng)用三方面的障礙，可有效促進CPU卡技術(shù)推廣，提升交通智能卡系統(tǒng)安全性，實現(xiàn)平穩(wěn)過渡。希望本方案能起到拋磚引玉、引發(fā)共鳴的效果。只要業(yè)界人士群策群力，充分發(fā)揮中國人的聰明才智，攜手合作、積極推廣，相信CPU卡應(yīng)用的春天很快就將來臨。

    作者簡介：廣東聯(lián)合電子收費股份有限公司 陳喆