一、項(xiàng)目需求
如果在一個(gè)城市實(shí)施“一戶(hù)一表���,抄表出戶(hù)”的改造工程,目前比較可行的方案是:在自來(lái)水用戶(hù)中推廣使用IC卡式水表,用戶(hù)持卡繳費(fèi)購(gòu)水�,然后插入IC卡,水表開(kāi)始用水��,當(dāng)所購(gòu)水量用完后,IC卡水表將自動(dòng)關(guān)閉閥門(mén)禁止用戶(hù)繼續(xù)用水,必須再次持卡到銀行購(gòu)水才能恢復(fù)使用�����。由于一個(gè)城市的改造工程涉及的用戶(hù)不僅數(shù)量多���,而且分布面很廣�,這樣該項(xiàng)目在實(shí)施過(guò)程中必須重點(diǎn)考慮安全性和可操作性。
1�����、安全性:
安全性的考慮可以分為三個(gè)方面:卡片介質(zhì)的安全性��、表計(jì)生產(chǎn)過(guò)程的安全性����、運(yùn)行管理的安全性���。
卡片介質(zhì)的安全性:由于用戶(hù)群體龐大����,并且表計(jì)安裝后IC卡數(shù)據(jù)向表計(jì)傳遞管理過(guò)程系統(tǒng)無(wú)法監(jiān)控�,因此必須要求用戶(hù)卡片具有較高的安全性。
表計(jì)生產(chǎn)過(guò)程的安全性:嚴(yán)格區(qū)分表計(jì)的生產(chǎn)過(guò)程和運(yùn)行管理過(guò)程���,保證IC卡水表一旦安裝運(yùn)行,對(duì)水表中任何數(shù)據(jù)的修改都應(yīng)該在運(yùn)行管理系統(tǒng)的控制下進(jìn)行��,堅(jiān)決杜絕生產(chǎn)廠(chǎng)家或管理部門(mén)工作人員持有特殊工具卡不經(jīng)管理系統(tǒng)而對(duì)水表數(shù)據(jù)進(jìn)行改寫(xiě)的行為。
運(yùn)行管理的安全性:在IC卡水表系統(tǒng)中�,系統(tǒng)的安全主要取決于密鑰的發(fā)行和管理��,因此必須有一套合適的IC卡以及ESAM模塊密鑰發(fā)行和傳遞方式。
2�、居民用戶(hù)繳費(fèi)的可操作性:
由于居民用戶(hù)的群體較大��,戶(hù)表改造工程的時(shí)間較長(zhǎng),為了方便用戶(hù)的繳費(fèi)購(gòu)水工作�,單靠自來(lái)水公司建立營(yíng)業(yè)網(wǎng)點(diǎn)運(yùn)營(yíng)管理費(fèi)用較高并且服務(wù)效率較低�����,比較好的方式是利用現(xiàn)有的銀行網(wǎng)點(diǎn)完成繳費(fèi)購(gòu)水工作。用戶(hù)在安裝了IC卡水表并且從自來(lái)水公司領(lǐng)到IC卡后��,就可以直接到銀行進(jìn)行繳費(fèi)購(gòu)水��,同時(shí)自來(lái)水公司也能夠非常方便地和銀行建立水費(fèi)的結(jié)算和轉(zhuǎn)帳等業(yè)務(wù)�����,這樣自來(lái)水公司就能夠非常容易借助銀行完成水費(fèi)的征收工作。
網(wǎng)絡(luò)收費(fèi)管理系統(tǒng)的結(jié)構(gòu)如下所示:
3��、用戶(hù)卡的可操作性:
用戶(hù)卡的可操作性考慮體現(xiàn)在四個(gè)方面:用戶(hù)卡開(kāi)戶(hù)過(guò)程��、用戶(hù)卡操作過(guò)程��、補(bǔ)卡過(guò)程、故障表維護(hù)過(guò)程��。
用戶(hù)卡開(kāi)戶(hù)過(guò)程:用戶(hù)卡開(kāi)戶(hù)過(guò)程要完成用戶(hù)信息���、水表信息��、水價(jià)信息和用戶(hù)卡的對(duì)應(yīng)。這個(gè)過(guò)程應(yīng)盡量流程簡(jiǎn)便����,以避免用戶(hù)在銀行和自來(lái)水公司多次往返�����。
用戶(hù)卡操作過(guò)程:考慮到用戶(hù)使用過(guò)程中,插拔用戶(hù)卡的隨意性����,應(yīng)該盡量使用戶(hù)卡與IC卡水表進(jìn)行數(shù)據(jù)交換的時(shí)間降到最短�����,以避免由于用戶(hù)在數(shù)據(jù)處理過(guò)程中將卡拔出而造成的數(shù)據(jù)錯(cuò)誤,給用戶(hù)購(gòu)水過(guò)程造成不方便�。
用戶(hù)在使用過(guò)程中�,如果由于購(gòu)水量用完造成不能繼續(xù)用水��,而當(dāng)時(shí)用戶(hù)又不能方便地購(gòu)水���,應(yīng)該考慮允許用戶(hù)采用應(yīng)急賒欠的方式暫時(shí)繼續(xù)用水����,可以根據(jù)需要設(shè)定賒欠門(mén)限����,在用戶(hù)下次購(gòu)水時(shí)將賒欠值扣除。
考慮到IC卡水表在應(yīng)用過(guò)程中存在參數(shù)修改的可能性�����,可以將某些參數(shù)通過(guò)用戶(hù)卡進(jìn)行傳遞���,在用戶(hù)購(gòu)水過(guò)程中對(duì)IC卡水表進(jìn)行修改��。
補(bǔ)卡過(guò)程:當(dāng)用戶(hù)卡遺失后,應(yīng)該能夠重新給用戶(hù)補(bǔ)發(fā)用戶(hù)卡。最簡(jiǎn)單的方式是直接補(bǔ)給用戶(hù)一張卡片����,對(duì)用戶(hù)遺失卡片中的購(gòu)水?dāng)?shù)據(jù)不再補(bǔ)發(fā)�����,損失部分用戶(hù)自己負(fù)責(zé)�����,這樣用戶(hù)補(bǔ)完卡的同時(shí)就可以進(jìn)行下次購(gòu)水。
故障表維護(hù)過(guò)程:在IC卡水表安裝過(guò)程或在運(yùn)行時(shí)由于某種原因都有可能造成需要對(duì)現(xiàn)場(chǎng)IC卡水表中的數(shù)據(jù)進(jìn)行修改,這時(shí)需要有工具卡對(duì)IC卡水表進(jìn)行操作,這種操作應(yīng)該有別于IC卡水表生產(chǎn)廠(chǎng)家在生產(chǎn)過(guò)程中修改IC卡水表數(shù)據(jù)的操作����。要杜絕生產(chǎn)卡未經(jīng)授權(quán)可以在運(yùn)行現(xiàn)場(chǎng)使用����。應(yīng)該設(shè)計(jì)一種現(xiàn)場(chǎng)數(shù)據(jù)設(shè)置卡��,這種卡使用運(yùn)行密鑰�����,里面的設(shè)置參數(shù)可以靈活設(shè)置,插卡一次就應(yīng)該將IC卡水表數(shù)據(jù)修改完畢��。
4����、自來(lái)水公司管理的可操作性
不同的生產(chǎn)廠(chǎng)家由于掌握的需求不一樣��,所制訂的設(shè)計(jì)規(guī)范也是不同的����,這樣就導(dǎo)致在自來(lái)水公司安裝的不同生產(chǎn)廠(chǎng)家的IC卡水表的功能以及數(shù)據(jù)交換協(xié)議是互不相同的�����。
同時(shí)�,由于市場(chǎng)需求的不斷變化以及新的設(shè)計(jì)技術(shù)的不斷應(yīng)用�,即使是同一個(gè)生產(chǎn)廠(chǎng)家在不同時(shí)期制訂的設(shè)計(jì)規(guī)范也有可能是不相同的,從而導(dǎo)致自來(lái)水公司在不同時(shí)期安裝的同一家IC卡水表生產(chǎn)廠(chǎng)家的水表功能和數(shù)據(jù)交換協(xié)議也有可能是互不相同的�����。當(dāng)現(xiàn)場(chǎng)表計(jì)出現(xiàn)故障時(shí)��,不同的表要采用不同的維修更換方法也增加了自來(lái)水公司維修服務(wù)的難度�。
二���、城市范圍實(shí)施IC卡水表改造的幾個(gè)技術(shù)要求
1��、選用CPU智能卡作為IC卡水表設(shè)計(jì)的卡片介質(zhì)
由于在IC卡水表及系統(tǒng)中���,IC卡是數(shù)據(jù)存儲(chǔ)和傳遞的載體�,因此IC卡的數(shù)據(jù)存儲(chǔ)安全性是需要著重予以考慮的����。
IC卡根據(jù)對(duì)EEPROM讀寫(xiě)處理方式的不同����,可以分為存儲(chǔ)卡、邏輯加密卡以及智能卡(CPU卡)三大類(lèi)�����,它們具有不同的數(shù)據(jù)保護(hù)安全級(jí)別���。
由于智能卡內(nèi)部具有CPU芯片���,在具有數(shù)據(jù)判斷能力的同時(shí)��,也具備了數(shù)據(jù)分析處理能力���,因此智能卡可以隨時(shí)區(qū)別合法和非法讀寫(xiě)設(shè)備�,并且由于有了CPU芯片���,具備數(shù)據(jù)運(yùn)算能力,還可以對(duì)數(shù)據(jù)進(jìn)行加密解密處理��,因此具備非常高的安全性�,其安全級(jí)別很高。
從對(duì)攻擊方式的分析可以看到��,保證IC卡內(nèi)數(shù)據(jù)的安全性是最基本的要求�,如果非法設(shè)備可以容易地與IC卡進(jìn)行數(shù)據(jù)信息交換,進(jìn)而進(jìn)行分析處理���,IC卡水表及系統(tǒng)就不再具備任何安全性。因此提高IC卡的安全性是設(shè)計(jì)好的IC卡水表及系統(tǒng)的關(guān)鍵����。
根據(jù)上面的分析����,如果IC卡水表及系統(tǒng)對(duì)數(shù)據(jù)的安全性非常重視��,應(yīng)該選用安全級(jí)別高的IC卡,從發(fā)展趨勢(shì)看�,應(yīng)盡量選用CPU卡做為IC卡水表信息傳遞的介質(zhì)����。
2��、在IC卡水表中安裝嵌入式ESAM安全模塊
由于CPU中的程序是需要生產(chǎn)廠(chǎng)家(或第三方)的設(shè)計(jì)人員進(jìn)行設(shè)計(jì)的��,這部分程序的功能和處理流程可以是由IC卡水表使用方提出需求而委托設(shè)計(jì)的,需求本身也是公開(kāi)的。但如果要在CPU的控制下存儲(chǔ)密鑰和進(jìn)行加密運(yùn)算�,出于安全性的考慮����,密鑰值應(yīng)該是不公開(kāi)的��,因此這部分程序編制是不能委托開(kāi)發(fā)設(shè)計(jì)的����,必須掌握在IC卡水表使用方手里���。換言之��,IC卡水表的功能�����、數(shù)據(jù)操作流程和數(shù)據(jù)的安全性是兩個(gè)不同的概念,應(yīng)該由不同的功能模塊去完成����。解決這個(gè)問(wèn)題最好的方案就是在IC卡水表中增加嵌入式安全模塊(ESAM模塊)�����。
在IC卡水表中使用ESAM模塊技術(shù)可以實(shí)現(xiàn)IC卡水表數(shù)據(jù)流程和數(shù)據(jù)安全的分離��,便于實(shí)現(xiàn)產(chǎn)品的兼容和升級(jí)����,可以不斷推動(dòng)技術(shù)進(jìn)步���,是規(guī)范IC卡水表技術(shù)發(fā)展的有效技術(shù)手段���。為此自來(lái)水公司應(yīng)在新安裝的IC卡水表中一律使用嵌入式ESAM安全模塊���,以實(shí)現(xiàn)投入安裝運(yùn)行的IC卡水表的安全性完全由自來(lái)水公司掌握��。
3�����、制訂統(tǒng)一的IC卡水表設(shè)計(jì)規(guī)范
在IC卡水表的設(shè)計(jì)過(guò)程中,都需要有一個(gè)設(shè)計(jì)規(guī)范用來(lái)描述IC卡水表的功能,IC卡水表中的數(shù)據(jù)項(xiàng)定義���、IC卡水表和CPU卡進(jìn)行數(shù)據(jù)交換的流程以及CPU卡和收費(fèi)管理系統(tǒng)進(jìn)行數(shù)據(jù)交換的流程。
城市自來(lái)水公司在新安裝的IC卡水表項(xiàng)目中�,必須由自來(lái)水公司出面�����,集合IC卡表生產(chǎn)廠(chǎng)家��,IC卡廠(chǎng)商以及銀行、系統(tǒng)集成商統(tǒng)一制訂IC卡水表及收費(fèi)管理系統(tǒng)的設(shè)計(jì)規(guī)范,并要求參與該項(xiàng)目的各方提供的產(chǎn)品和系統(tǒng)都必須滿(mǎn)足規(guī)范要求����,通過(guò)技術(shù)測(cè)試驗(yàn)收后才能夠提供產(chǎn)品和系統(tǒng)。
4�����、委托銀行和系統(tǒng)集成商統(tǒng)一設(shè)計(jì)收費(fèi)管理系統(tǒng)
以往的單機(jī)運(yùn)行的收費(fèi)管理系統(tǒng)都是由IC卡水表生產(chǎn)廠(chǎng)家根據(jù)自己的設(shè)計(jì)規(guī)范獨(dú)立進(jìn)行編程設(shè)計(jì)維護(hù)�����。但城市級(jí)的網(wǎng)絡(luò)收費(fèi)管理系統(tǒng)還采用這種方式運(yùn)行是存在問(wèn)題的:
IC卡生產(chǎn)廠(chǎng)家的設(shè)計(jì)人員的重點(diǎn)主要集中在相關(guān)表計(jì)產(chǎn)品設(shè)計(jì)上��,對(duì)大型數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)編程等技術(shù)的掌握上能力相對(duì)不足,這樣設(shè)計(jì)的收費(fèi)管理系統(tǒng)可能會(huì)在技術(shù)上存在缺陷�,從而對(duì)系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)障礙����。銀行和專(zhuān)業(yè)的系統(tǒng)集成商一方面具有專(zhuān)業(yè)的收費(fèi)管理系統(tǒng)設(shè)計(jì)所需的各項(xiàng)技術(shù)和經(jīng)驗(yàn)�,同時(shí)他們不會(huì)參與IC卡水表生產(chǎn)廠(chǎng)家之間的商業(yè)利益,所以能夠獨(dú)立地保持技術(shù)的中立性����,最大程度地為自來(lái)水公司提供優(yōu)質(zhì)的服務(wù)�����,使自來(lái)水公司運(yùn)行的收費(fèi)管理系統(tǒng)能夠長(zhǎng)時(shí)間地保證安全和穩(wěn)定。
三�、城市自來(lái)水公司IC卡水表項(xiàng)目實(shí)施辦法
實(shí)施過(guò)程如下:
1���、 為了保持統(tǒng)一設(shè)計(jì)規(guī)范的公正性���,自來(lái)水公司決定委托一家系統(tǒng)集成商作為IC卡水表及收費(fèi)管理系統(tǒng)設(shè)計(jì)規(guī)范的制訂者����。
2��、 為了能夠使新設(shè)計(jì)的CPU卡水表的功能更能夠與現(xiàn)有IC卡生產(chǎn)廠(chǎng)家的產(chǎn)品接近,首先入圍的IC卡生產(chǎn)廠(chǎng)家將向自來(lái)水公司提供現(xiàn)在各自的IC卡水表設(shè)計(jì)規(guī)范�����,在此基礎(chǔ)上��,一方面自來(lái)水公司將規(guī)劃對(duì)現(xiàn)有運(yùn)行的IC卡水表的管理����,另一方面將在此基礎(chǔ)上匯總形成統(tǒng)一的設(shè)計(jì)規(guī)范中的水表功能��。
3�����、 統(tǒng)一的CPU卡水表規(guī)范草案制訂完畢后,自來(lái)水公司將召集IC卡生產(chǎn)廠(chǎng)家��、銀行����、系統(tǒng)集成商對(duì)方案進(jìn)行討論修改,并最終確認(rèn)形成正式的CPU卡水表及收費(fèi)管理系統(tǒng)的設(shè)計(jì)規(guī)范�。
4��、 在統(tǒng)一規(guī)范的基礎(chǔ)上,各個(gè)IC卡生產(chǎn)廠(chǎng)家修改各自CPU卡水表的設(shè)計(jì)���。
5、 在統(tǒng)一規(guī)范的基礎(chǔ)上�����,自來(lái)水公司委托系統(tǒng)集成商制訂測(cè)試驗(yàn)收大綱,并編制測(cè)試軟件�����。
6�、 在統(tǒng)一規(guī)范的基礎(chǔ)上���,自來(lái)水公司委托銀行和系統(tǒng)集成商共同設(shè)計(jì)自來(lái)水公司CPU卡收費(fèi)管理系統(tǒng)��。
7�、 由自來(lái)水公司主持�,分別用測(cè)試軟件對(duì)IC卡生產(chǎn)廠(chǎng)家設(shè)計(jì)完畢的CPU卡水表進(jìn)行測(cè)試要求,只有通過(guò)功能測(cè)試的IC卡生產(chǎn)廠(chǎng)家才能夠進(jìn)行批量生產(chǎn)����。
8��、 由自來(lái)水公司主持,用測(cè)試軟件對(duì)CPU卡收費(fèi)管理系統(tǒng)軟件進(jìn)行測(cè)試��。
9���、 由自來(lái)水公司主持�����,召集IC卡生產(chǎn)廠(chǎng)家�、銀行和系統(tǒng)集成商共同對(duì)整個(gè)CPU卡水表及收費(fèi)管理系統(tǒng)進(jìn)行聯(lián)調(diào)測(cè)試并最終驗(yàn)收�。
10、自來(lái)水公司建立發(fā)卡密鑰管理系統(tǒng),IC卡生產(chǎn)廠(chǎng)家在自來(lái)水公司領(lǐng)取嵌入式ESAM安全模塊組織CPU卡水表的批量生產(chǎn)和供貨��。
11�、 自來(lái)水公司向銀行提供PSAM認(rèn)證卡,為居民用戶(hù)發(fā)行有運(yùn)行密鑰的用戶(hù)卡,系統(tǒng)投入正式運(yùn)行�����。
四����、IC卡水表具開(kāi)發(fā)進(jìn)度
卡式IC卡水表具的開(kāi)發(fā)應(yīng)該經(jīng)歷以下幾個(gè)過(guò)程:
關(guān)于CPU卡以及TIMECOS操作系統(tǒng)的技術(shù)培訓(xùn)��,需要組織表廠(chǎng)��、系統(tǒng)集成商對(duì)有關(guān)CPU卡片、TIMECOS指令、IC卡讀寫(xiě)設(shè)備等內(nèi)容進(jìn)行培訓(xùn)���。
討論確定卡式IC卡水表的總體方案,包括卡片結(jié)構(gòu)和操作流程、表計(jì)功能和操作流程����、銀行交易操作流程以及卡片和ESAM模塊發(fā)行管理流程�。
表廠(chǎng)開(kāi)始表具電路設(shè)計(jì)����,微控制器編程、調(diào)試����,卡片供應(yīng)商提供必要的技術(shù)支持�。
系統(tǒng)集成商開(kāi)始設(shè)計(jì)編制整個(gè)管理系統(tǒng)軟件以及卡片發(fā)行密鑰管理程序���,卡片供應(yīng)商進(jìn)行必要的技術(shù)支持����。
表廠(chǎng)作出功能樣表與管理系統(tǒng)進(jìn)行聯(lián)合調(diào)試,并對(duì)出現(xiàn)的問(wèn)題進(jìn)行修改���。
表廠(chǎng)和系統(tǒng)集成商對(duì)產(chǎn)品進(jìn)行完善,進(jìn)入小批試運(yùn)行考察�����。
定型驗(yàn)收,組織正式生產(chǎn)和運(yùn)行。
初步測(cè)算,表廠(chǎng)完成樣機(jī)試制需要兩個(gè)月左右的時(shí)間�����,系統(tǒng)調(diào)試完畢需要三個(gè)月左右的時(shí)間����,聯(lián)調(diào)及試運(yùn)行至少應(yīng)該需要兩個(gè)月左右的時(shí)間。為此完成整個(gè)開(kāi)發(fā)過(guò)程估計(jì)需要四到五個(gè)月左右的時(shí)間����。
1
