引言
逻辑加密卡技术成熟,价格低廉,占据了传统城市交通智能卡应用的绝大部分市场份额。根据交通智能卡一卡多用、多卡交换的发展趋势,电子钱包的资本存量将越来越高,逻辑加密卡的安全风险在行业中引起了高度关注。CPU卡的安全性明显优于逻辑加密卡,但高价严重制约了其推广应用。最近非接触CPU随着卡的推出,其价格接近逻辑加密卡,技术日益成熟,全面推广应用CPU有可能取代逻辑加密卡。为此,建设部明确要求跨行业、互联互通IC卡应用安全性高CPU并组织编制卡片CPU卡芯片技术要求及COS致力于推广技术要求等行业标准CPU卡技术在交通智能卡领域的应用。
主流方案分析
目前,我国大部分城市的交通智能卡应用都是基于逻辑加密卡技术,我国已发行了数亿张逻辑加密卡,并安装了数十万个信用卡终端。CPU卡时,如何保护现有投资,方便人们使用,实现平稳过渡?目前,业内有三种主要意见。
意见一:一步到位推广CPU卡
技术方案:CPU卡不需要与逻辑加密卡兼容。
系统改造:全面升级原逻辑加密卡系统,只读写逻辑加密卡的交易终端(以下简称M1终端全部转换或替换为可读写)CPU卡交易终端(以下简称CPU终端),CPU同时支持逻辑加密卡的读写,实现向下兼容。
运营模式:新布置的交易终端均采用CPU终端,新发行的所有卡都使用CPU卡。CPU该卡支持跨行业和互联互通的应用程序,发行的逻辑加密卡仅限于原始应用程序,并逐渐被市场淘汰。
利弊分析:由于推广CPU卡应用程序不产生直接的经济效益,该方案要求运营商对原系统进行全面升级,一次性投资大,运营商难以承受,缺乏热情,推广困难,可操作性值得讨论。
意见二:双钱包同步
技术方案:CPU用硬件模拟逻辑加密卡功能划出部分空间。CPU卡本身是一致的PBOC标准电子钱包(以下简称CPU钱包),模拟的逻辑加密卡功能也有电子钱包(以下简称M1钱包)。每笔交易都有卡片COS验证两个钱包,同步数据,确保两个钱包余额一致。
系统改造:无需对已布置的系统进行改造M1消费终端升级,只需将充值终端改造或更换为CPU为了终端CPU卡充值安全,逻辑加密卡仍采用原充值流程,充值限额较低。
运营模式:所有新布置的交易终端均采用CPU终端,所有新发行的卡都使用CPU卡。在过渡期,M消费终端使用逻辑加密卡消费所有卡,CPU采用相应的消费流程,消费终端应能够自动识别卡片类型,CPU卡消费时由COS自动实现CPU钱包与M同步钱包。随着M1终端逐渐折旧并更换CPU终端,以及大多数超过有效年限的逻辑加密卡,过渡期结束,应用程序的所有环节都使用CPU卡技术不再与逻辑加密卡兼容。
利弊分析:该方案系统改造量少,大大降低了运营商在过渡期的资本投资,有效提高了运营商的积极性CPU卡推广。但CPU卡在过渡期,因为每笔交易都需要COS同步两个电子钱包,增加了交易的复杂性,影响了交易的效率和稳定性。许多卡经销商表示,在增加电子钱包同步操作后,很难保证300笔交易ms内完成。如果交易时间超过300速消费,如交易时间超过300ms,严重影响持卡人使用的便利性。此外,电子钱包同步操作的增加也大大增加了交易异常的概率,存在一定的技术障碍。
意见三:双钱包异步
技术方案:CPU卡支持CPU和M一双钱包,但交易时COS两个钱包不同步。
系统改造:本方案对系统改造的要求与意见二一致。
运营模式:新布置的交易终端均采用CPU终端,所有新发行的卡都使用CPU卡,运营商提供CPU钱包部分或全部资金圈存M服务1钱包。在过渡期,M1终端使用逻辑加密卡消费流程对所有卡片,CPU采用相应的消费流程,终端自动识别卡类型。由于CPU钱包和M1钱包不同步,需要独立管理两个钱包,钱包,这就要求持卡人熟悉各种消费对应扣除哪个钱包的资金,并及时圈存,以确保两个钱包都有足够的余额。否则,卡里很容易有钱,但由于相应的钱包资金不足,无法消费。过渡期结束后,本方案的运行模式与意见二一致。
利弊分析:该方案避免了电子钱包同步的技术障碍,但要求持卡人知道哪个钱包对应于各种消费是不现实的。持卡人使用非常不方便,运营商难以解释原因。如果用户失去了应用程序的基础,这种应用程序很难在市场上站稳脚跟,并且存在过渡期死亡的风险,运营商将权衡它。
解决方案
以上三种方案各有优缺点。如何克服推广、技术和应用的障碍,实现平衡,已成为业内专家最具争议的话题。经分析研究,提出以下方案供业内参考。
技术选择:仍采用双钱包方案。CPU用硬件模拟逻辑加密卡功能划出部分空间CPU和M一双电子钱包。卡片COS应保证只有CPU钱包可以通过外部指令充值,M1.钱包不能通过外部指令充值,只能通过外部指令充值COS自动从CPU钱包转入资金,确保逻辑加密卡充值密钥不与交易中的终端传输,确保M钱包充值安全。
本方案的关键技术是要求卡片COS支持两个充值指令A(下同)向CPU钱包充值,指令B(下同)通过CPU钱包向M1钱包充值。符合指令APBOC标准的CPU卡充值流程;指令B的基本流程是:接收指令后COS先采用CPU卡充值流程对CPU钱包充值,充值成功后,由COS自动对CPU钱包全额消费,所有资金圈存到M1钱包。充值完成后,CPU钱包余额为零,M1.钱包余额为原余额加充值。
系统改造:本方案对系统改造的要求与意见二基本一致,特别要求充值终端支持指令A和指令B流程,并可通过参数控制使用;CPU消费终端不需要自动识别卡类型,逻辑加密卡消费流程或由参数控制CPU卡消费流程。
运营模式:新布置的交易终端均采用CPU终端,所有新发行的卡都使用CPU卡。在过渡期,CPU所有充值卡都使用指令B,充值后,所有资金转入M1钱包,CPU无论消费终端是否正确CPU所有的卡或逻辑加密卡都按照逻辑加密卡的消费流程统一操作,持卡人就像使用单一的卡M1钱包一样。
交通智能卡交易终端和逻辑加密卡的服务年限一般为5年,已布置M1终端逐渐折旧并更换CPU过渡期结束,以及大多数超过有效年限的逻辑加密片。运营商通过参数下载,充值终端统一使用指令A充值,消费终端统一使用CPU卡流程和应用的各个环节都采用CPU卡技术不再与逻辑加密卡兼容。运营商应提供移资服务M1.钱包余额充足CPU在钱包里,流程是:对M1钱包全额消费,然后通过指令A进行CPU全额充值钱包。
方案分析:
该方案还克服了上述三种意见的缺点:
1. 系统转型少,过渡期资金投入少,有利于提高运营商的推广CPU卡的热情。
2. 电子钱包不需要每次交易都同步,只是在过渡期CPU卡充值时由COS转移资金。由于充值对交易速度要求不高,使用频率远低于消费,对交易效率和稳定性影响不大。
3. 对于持卡人来说,只有一个钱包,所有的过渡期都是用逻辑加密卡钱包消费的,正式使用后全部使用CPU消费卡钱包不会造成使用不便。
争议认为,CPU终端对CPU该卡还采用了逻辑加密卡的消费过程,这是技术的倒退,系统安全性没有提高,浪费了投资。
笔者认为,交通智能卡的安全性主要在充值方面,因为伪造充值会增加卡资金,给运营商造成损失,而伪造消费只能减少卡资金。损失是伪造者本身,但运营商增加了收入。本方案要求CPU卡充值符合要求PBOC标准的CPU硬件禁止卡安全认证机制CPU卡虚拟的M1钱包充值;对于已发行的逻辑加密卡,运营商可以通过降低充值限额来控制风险,从最重要的方面提高系统安全性。在过渡期,所有消费者都采用逻辑加密卡流程,方便用户,确保过渡平稳,减少过渡期中央结算系统的转型升级投资,在一定程度上提高运营商的积极性。诚然,逻辑加密卡本身无法验证交易的唯一性和有效性TAC代码会对互联互通应用的清算产生一定的影响。然而,只要逻辑加密卡仍在使用中,这种影响是不可避免的。目前的主流解决方案只是尽量减少逻辑加密卡交易,不能从根本上解决这个问题。过渡期结束后,统一采用CPU这个问题在卡消费过程中不复存在。因此,逻辑加密卡消费流程在过渡期的统一使用对系统安全影响不大,是一种可行的解决方案。
结束语
克服了这个计划CPU卡推广、技术和应用的障碍可以有效促进CPU卡技术推广,提高交通智能卡系统安全,实现平稳过渡。我希望这个计划能吸引玉石和共鸣。只要业内人士齐心协力,充分发挥中国人民的智慧,携手合作,积极推广,我相信CPU卡片应用的春天即将来临。
作者简介:广东联合电子收费有限公司 陈喆