城市自來水公司IC卡水表收費管理方案

　摘　要：本文對城市自來水公司進(jìn)行IC卡水表改造中所涉及到的安全性、用戶繳費、系統(tǒng)管理進(jìn)行了分析，提出了城市自來水公司IC卡水表改造的技術(shù)要求，并給出了具體的操作步驟。



　　一、項目需求
　　如果在一個城市實施“一戶一表，抄表出戶”的改造工程，目前比較可行的方案是：在自來水用戶中推廣使用IC卡式水表，用戶持卡繳費購水，然后插入IC卡,水表開始用水，當(dāng)所購水量用完后，IC卡水表將自動關(guān)閉閥門禁止用戶繼續(xù)用水，必須再次持卡到銀行購水才能恢復(fù)使用。由于一個城市的改造工程涉及的用戶不僅數(shù)量多，而且分布面很廣，這樣該項目在實施過程中必須重點考慮安全性和可操作性。
　　1、安全性：
　　安全性的考慮可以分為三個方面：卡片介質(zhì)的安全性、表計生產(chǎn)過程的安全性、運行管理的安全性。
　　卡片介質(zhì)的安全性：由于用戶群體龐大，并且表計安裝后IC卡數(shù)據(jù)向表計傳遞管理過程系統(tǒng)無法監(jiān)控，因此必須要求用戶卡片具有較高的安全性。
　　表計生產(chǎn)過程的安全性：嚴(yán)格區(qū)分表計的生產(chǎn)過程和運行管理過程，保證IC卡水表一旦安裝運行，對水表中任何數(shù)據(jù)的修改都應(yīng)該在運行管理系統(tǒng)的控制下進(jìn)行，堅決杜絕生產(chǎn)廠家或管理部門工作人員持有特殊工具卡不經(jīng)管理系統(tǒng)而對水表數(shù)據(jù)進(jìn)行改寫的行為。
　　運行管理的安全性：在IC卡水表系統(tǒng)中，系統(tǒng)的安全主要取決于密鑰的發(fā)行和管理，因此必須有一套合適的IC卡以及ESAM模塊密鑰發(fā)行和傳遞方式。

　　2、居民用戶繳費的可操作性：
　　由于居民用戶的群體較大，戶表改造工程的時間較長，為了方便用戶的繳費購水工作，單靠自來水公司建立營業(yè)網(wǎng)點運營管理費用較高并且服務(wù)效率較低，比較好的方式是利用現(xiàn)有的銀行網(wǎng)點完成繳費購水工作。用戶在安裝了IC卡水表并且從自來水公司領(lǐng)到IC卡后，就可以直接到銀行進(jìn)行繳費購水，同時自來水公司也能夠非常方便地和銀行建立水費的結(jié)算和轉(zhuǎn)帳等業(yè)務(wù)，這樣自來水公司就能夠非常容易借助銀行完成水費的征收工作。
　　網(wǎng)絡(luò)收費管理系統(tǒng)的結(jié)構(gòu)如下所示：

　　3、用戶卡的可操作性：
　　用戶卡的可操作性考慮體現(xiàn)在四個方面：用戶卡開戶過程、用戶卡操作過程、補(bǔ)卡過程、故障表維護(hù)過程。
　　用戶卡開戶過程：用戶卡開戶過程要完成用戶信息、水表信息、水價信息和用戶卡的對應(yīng)。這個過程應(yīng)盡量流程簡便，以避免用戶在銀行和自來水公司多次往返。
　　用戶卡操作過程：考慮到用戶使用過程中，插拔用戶卡的隨意性，應(yīng)該盡量使用戶卡與IC卡水表進(jìn)行數(shù)據(jù)交換的時間降到最短，以避免由于用戶在數(shù)據(jù)處理過程中將卡拔出而造成的數(shù)據(jù)錯誤，給用戶購水過程造成不方便。
　　用戶在使用過程中，如果由于購水量用完造成不能繼續(xù)用水，而當(dāng)時用戶又不能方便地購水，應(yīng)該考慮允許用戶采用應(yīng)急賒欠的方式暫時繼續(xù)用水，可以根據(jù)需要設(shè)定賒欠門限，在用戶下次購水時將賒欠值扣除。
　　考慮到IC卡水表在應(yīng)用過程中存在參數(shù)修改的可能性，可以將某些參數(shù)通過用戶卡進(jìn)行傳遞，在用戶購水過程中對IC卡水表進(jìn)行修改。
　　補(bǔ)卡過程：當(dāng)用戶卡遺失后，應(yīng)該能夠重新給用戶補(bǔ)發(fā)用戶卡。最簡單的方式是直接補(bǔ)給用戶一張卡片，對用戶遺失卡片中的購水?dāng)?shù)據(jù)不再補(bǔ)發(fā)，損失部分用戶自己負(fù)責(zé)，這樣用戶補(bǔ)完卡的同時就可以進(jìn)行下次購水。
　　故障表維護(hù)過程：在IC卡水表安裝過程或在運行時由于某種原因都有可能造成需要對現(xiàn)場IC卡水表中的數(shù)據(jù)進(jìn)行修改，這時需要有工具卡對IC卡水表進(jìn)行操作，這種操作應(yīng)該有別于IC卡水表生產(chǎn)廠家在生產(chǎn)過程中修改IC卡水表數(shù)據(jù)的操作。要杜絕生產(chǎn)卡未經(jīng)授權(quán)可以在運行現(xiàn)場使用。應(yīng)該設(shè)計一種現(xiàn)場數(shù)據(jù)設(shè)置卡，這種卡使用運行密鑰，里面的設(shè)置參數(shù)可以靈活設(shè)置，插卡一次就應(yīng)該將IC卡水表數(shù)據(jù)修改完畢。

　　4、自來水公司管理的可操作性
　　不同的生產(chǎn)廠家由于掌握的需求不一樣，所制訂的設(shè)計規(guī)范也是不同的，這樣就導(dǎo)致在自來水公司安裝的不同生產(chǎn)廠家的IC卡水表的功能以及數(shù)據(jù)交換協(xié)議是互不相同的。
　　同時，由于市場需求的不斷變化以及新的設(shè)計技術(shù)的不斷應(yīng)用，即使是同一個生產(chǎn)廠家在不同時期制訂的設(shè)計規(guī)范也有可能是不相同的，從而導(dǎo)致自來水公司在不同時期安裝的同一家IC卡水表生產(chǎn)廠家的水表功能和數(shù)據(jù)交換協(xié)議也有可能是互不相同的。當(dāng)現(xiàn)場表計出現(xiàn)故障時，不同的表要采用不同的維修更換方法也增加了自來水公司維修服務(wù)的難度。
　　二、城市范圍實施IC卡水表改造的幾個技術(shù)要求
　　1、選用CPU智能卡作為IC卡水表設(shè)計的卡片介質(zhì)
　　由于在IC卡水表及系統(tǒng)中，IC卡是數(shù)據(jù)存儲和傳遞的載體，因此IC卡的數(shù)據(jù)存儲安全性是需要著重予以考慮的。
　　IC卡根據(jù)對EEPROM讀寫處理方式的不同，可以分為存儲卡、邏輯加密卡以及智能卡（CPU卡）三大類，它們具有不同的數(shù)據(jù)保護(hù)安全級別。
　　由于智能卡內(nèi)部具有CPU芯片，在具有數(shù)據(jù)判斷能力的同時，也具備了數(shù)據(jù)分析處理能力，因此智能卡可以隨時區(qū)別合法和非法讀寫設(shè)備，并且由于有了CPU芯片，具備數(shù)據(jù)運算能力，還可以對數(shù)據(jù)進(jìn)行加密解密處理，因此具備非常高的安全性，其安全級別很高。
　　從對攻擊方式的分析可以看到，保證IC卡內(nèi)數(shù)據(jù)的安全性是最基本的要求，如果非法設(shè)備可以容易地與IC卡進(jìn)行數(shù)據(jù)信息交換，進(jìn)而進(jìn)行分析處理，IC卡水表及系統(tǒng)就不再具備任何安全性。因此提高IC卡的安全性是設(shè)計好的IC卡水表及系統(tǒng)的關(guān)鍵。
　　根據(jù)上面的分析，如果IC卡水表及系統(tǒng)對數(shù)據(jù)的安全性非常重視，應(yīng)該選用安全級別高的IC卡，從發(fā)展趨勢看，應(yīng)盡量選用CPU卡做為IC卡水表信息傳遞的介質(zhì)。

　　2、在IC卡水表中安裝嵌入式ESAM安全模塊
　　由于CPU中的程序是需要生產(chǎn)廠家（或第三方）的設(shè)計人員進(jìn)行設(shè)計的，這部分程序的功能和處理流程可以是由IC卡水表使用方提出需求而委托設(shè)計的，需求本身也是公開的。但如果要在CPU的控制下存儲密鑰和進(jìn)行加密運算，出于安全性的考慮，密鑰值應(yīng)該是不公開的，因此這部分程序編制是不能委托開發(fā)設(shè)計的，必須掌握在IC卡水表使用方手里。換言之，IC卡水表的功能、數(shù)據(jù)操作流程和數(shù)據(jù)的安全性是兩個不同的概念，應(yīng)該由不同的功能模塊去完成。解決這個問題最好的方案就是在IC卡水表中增加嵌入式安全模塊（ESAM模塊）。
　　在IC卡水表中使用ESAM模塊技術(shù)可以實現(xiàn)IC卡水表數(shù)據(jù)流程和數(shù)據(jù)安全的分離，便于實現(xiàn)產(chǎn)品的兼容和升級，可以不斷推動技術(shù)進(jìn)步，是規(guī)范IC卡水表技術(shù)發(fā)展的有效技術(shù)手段。為此自來水公司應(yīng)在新安裝的IC卡水表中一律使用嵌入式ESAM安全模塊，以實現(xiàn)投入安裝運行的IC卡水表的安全性完全由自來水公司掌握。

　　3、制訂統(tǒng)一的IC卡水表設(shè)計規(guī)范
　　在IC卡水表的設(shè)計過程中，都需要有一個設(shè)計規(guī)范用來描述IC卡水表的功能，IC卡水表中的數(shù)據(jù)項定義、IC卡水表和CPU卡進(jìn)行數(shù)據(jù)交換的流程以及CPU卡和收費管理系統(tǒng)進(jìn)行數(shù)據(jù)交換的流程。
　　城市自來水公司在新安裝的IC卡水表項目中，必須由自來水公司出面，集合IC卡表生產(chǎn)廠家，IC卡廠商以及銀行、系統(tǒng)集成商統(tǒng)一制訂IC卡水表及收費管理系統(tǒng)的設(shè)計規(guī)范，并要求參與該項目的各方提供的產(chǎn)品和系統(tǒng)都必須滿足規(guī)范要求，通過技術(shù)測試驗收后才能夠提供產(chǎn)品和系統(tǒng)。

　　4、委托銀行和系統(tǒng)集成商統(tǒng)一設(shè)計收費管理系統(tǒng)
　　以往的單機(jī)運行的收費管理系統(tǒng)都是由IC卡水表生產(chǎn)廠家根據(jù)自己的設(shè)計規(guī)范獨立進(jìn)行編程設(shè)計維護(hù)。但城市級的網(wǎng)絡(luò)收費管理系統(tǒng)還采用這種方式運行是存在問題的：
　　IC卡生產(chǎn)廠家的設(shè)計人員的重點主要集中在相關(guān)表計產(chǎn)品設(shè)計上，對大型數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)編程等技術(shù)的掌握上能力相對不足，這樣設(shè)計的收費管理系統(tǒng)可能會在技術(shù)上存在缺陷，從而對系統(tǒng)的穩(wěn)定運行帶來障礙。銀行和專業(yè)的系統(tǒng)集成商一方面具有專業(yè)的收費管理系統(tǒng)設(shè)計所需的各項技術(shù)和經(jīng)驗，同時他們不會參與IC卡水表生產(chǎn)廠家之間的商業(yè)利益，所以能夠獨立地保持技術(shù)的中立性，最大程度地為自來水公司提供優(yōu)質(zhì)的服務(wù)，使自來水公司運行的收費管理系統(tǒng)能夠長時間地保證安全和穩(wěn)定。

　　三、城市自來水公司IC卡水表項目實施辦法
　　實施過程如下：
　　1、 為了保持統(tǒng)一設(shè)計規(guī)范的公正性，自來水公司決定委托一家系統(tǒng)集成商作為IC卡水表及收費管理系統(tǒng)設(shè)計規(guī)范的制訂者。
　　2、 為了能夠使新設(shè)計的CPU卡水表的功能更能夠與現(xiàn)有IC卡生產(chǎn)廠家的產(chǎn)品接近，首先入圍的IC卡生產(chǎn)廠家將向自來水公司提供現(xiàn)在各自的IC卡水表設(shè)計規(guī)范，在此基礎(chǔ)上，一方面自來水公司將規(guī)劃對現(xiàn)有運行的IC卡水表的管理，另一方面將在此基礎(chǔ)上匯總形成統(tǒng)一的設(shè)計規(guī)范中的水表功能。
　　3、 統(tǒng)一的CPU卡水表規(guī)范草案制訂完畢后，自來水公司將召集IC卡生產(chǎn)廠家、銀行、系統(tǒng)集成商對方案進(jìn)行討論修改，并最終確認(rèn)形成正式的CPU卡水表及收費管理系統(tǒng)的設(shè)計規(guī)范。
　　4、 在統(tǒng)一規(guī)范的基礎(chǔ)上，各個IC卡生產(chǎn)廠家修改各自CPU卡水表的設(shè)計。
　　5、 在統(tǒng)一規(guī)范的基礎(chǔ)上，自來水公司委托系統(tǒng)集成商制訂測試驗收大綱，并編制測試軟件。
　　6、 在統(tǒng)一規(guī)范的基礎(chǔ)上，自來水公司委托銀行和系統(tǒng)集成商共同設(shè)計自來水公司CPU卡收費管理系統(tǒng)。
　　7、 由自來水公司主持，分別用測試軟件對IC卡生產(chǎn)廠家設(shè)計完畢的CPU卡水表進(jìn)行測試要求，只有通過功能測試的IC卡生產(chǎn)廠家才能夠進(jìn)行批量生產(chǎn)。
　　8、 由自來水公司主持，用測試軟件對CPU卡收費管理系統(tǒng)軟件進(jìn)行測試。
　　9、 由自來水公司主持，召集IC卡生產(chǎn)廠家、銀行和系統(tǒng)集成商共同對整個CPU卡水表及收費管理系統(tǒng)進(jìn)行聯(lián)調(diào)測試并最終驗收。
　　10、自來水公司建立發(fā)卡密鑰管理系統(tǒng)，IC卡生產(chǎn)廠家在自來水公司領(lǐng)取嵌入式ESAM安全模塊組織CPU卡水表的批量生產(chǎn)和供貨。
　　11、 自來水公司向銀行提供PSAM認(rèn)證卡，為居民用戶發(fā)行有運行密鑰的用戶卡，系統(tǒng)投入正式運行。
　　四、IC卡水表具開發(fā)進(jìn)度
　　卡式IC卡水表具的開發(fā)應(yīng)該經(jīng)歷以下幾個過程：
　　 關(guān)于CPU卡以及TIMECOS操作系統(tǒng)的技術(shù)培訓(xùn)，需要組織表廠、系統(tǒng)集成商對有關(guān)CPU卡片、TIMECOS指令、IC卡讀寫設(shè)備等內(nèi)容進(jìn)行培訓(xùn)。
　　 討論確定卡式IC卡水表的總體方案，包括卡片結(jié)構(gòu)和操作流程、表計功能和操作流程、銀行交易操作流程以及卡片和ESAM模塊發(fā)行管理流程。
　　 表廠開始表具電路設(shè)計，微控制器編程、調(diào)試，卡片供應(yīng)商提供必要的技術(shù)支持。
　　 系統(tǒng)集成商開始設(shè)計編制整個管理系統(tǒng)軟件以及卡片發(fā)行密鑰管理程序，卡片供應(yīng)商進(jìn)行必要的技術(shù)支持。
　　 表廠作出功能樣表與管理系統(tǒng)進(jìn)行聯(lián)合調(diào)試，并對出現(xiàn)的問題進(jìn)行修改。
　　 表廠和系統(tǒng)集成商對產(chǎn)品進(jìn)行完善，進(jìn)入小批試運行考察。
　　 定型驗收，組織正式生產(chǎn)和運行。

　　初步測算，表廠完成樣機(jī)試制需要兩個月左右的時間，系統(tǒng)調(diào)試完畢需要三個月左右的時間，聯(lián)調(diào)及試運行至少應(yīng)該需要兩個月左右的時間。為此完成整個開發(fā)過程估計需要四到五個月左右的時間。