工学论文:探讨智能燃气表IC卡的信息安全管理
1、概述
燃气表是实现燃气计量管理的重要设备。其中,膜式燃气表因具有计量准确、量程比宽、结构简单、安装方便以及价格便宜等诸多优点,在世界民用燃气计量管理方面得到了广泛应用。我国早期燃气计量管理采用机械式膜式燃气表,存在入户难、抄表难、收费难的问题。为解决此问题,市场上出现了IC卡燃气表,通过IC卡实现了燃气的预付费管理。目前,IC卡燃气表是我国民用燃气计量管理中使用的主流产品。虽然IC卡燃气表解决了传统的机械式膜式燃气表入户难、抄表难、收费难的问题,但是燃气信息安全又成了燃气计量管理的新问题[1-3]。
本文针对IC卡燃气表的信息安全管理问题,介绍一种由笔者及团队开发的具有信息安全管理功能的IC卡智能燃气表。该IC卡智能燃气表通过嵌入信息安全管理模块,并采用3DES信息加密、信息校验、ID管理等技术手段,使其具有可靠的信息安全管理功能。该技术已获得国家发明专利[4]。
2、IC卡燃气表的信息安全管理问题分析
信息安全是燃气计量管理的重要环节,直接关乎燃气公司和燃气用户的切身利益。对于IC卡燃气表的信息安全管理,国家标准GB/T6968-2011《膜式燃气表》以及城镇建设行业标准CJ/T112-2008《IC卡膜式燃气表》中均未作相关的规定,而各燃气表生产厂商的信息安全管理技术参差不齐,这就造成市场上有许多类型的IC卡燃气表的信息安全得不到保障,给燃气公司和燃气用户的经济利益带来了不同程度的损失和安全隐患。IC卡燃气表的信息安全主要受IC卡燃气表的安全性、IC卡的安全性以及信息交换的安全性等因素的共同影响和制约。
2.1、IC卡燃气表的安全性
①相同技术设计方案的IC卡燃气表可以用各自的售气管理系统进行相互售气。若不同的生产厂家采用相同的电路板装配IC卡燃气表,则技术参数是相同的,会导致售气管理系统可以通用,即IC卡燃气表可以用各自的售气管理系统进行相互售气,造成IC卡燃气表脱离燃气公司的掌控。
②同一生产厂家的IC卡燃气表在不同燃气公司的售气管理系统可以进行相互售气。若IC卡燃气表存在一表一卡密码对应设计不严密、加密方式有缺陷,或者IC卡协议不合理的问题时,燃气用户在一家燃气公司开户购气后,可以再到另一家不同的燃气公司网点购气并上表使用;甚至某一家燃气公司制作的工具卡,可以对其他燃气公司管理的同一品牌IC卡燃气表进行操作,导致燃气公司业务管理混乱。
③使用IC卡燃气表对应的售气管理系统,可以脱离燃气公司任意售气。若IC卡燃气表售气管理系统的设计存在缺陷,售气管理系统数据一旦泄露后,可以被随意复制,然后给燃气用户进行违法降价售气。
④破译加密算法和IC卡数据协议后,可以脱离燃气公司售气管理系统任意售气。IC卡燃气表通常采用密文加密方式。对于这种加密方式,别人能通过相应的技术手段,获取IC卡中数据进行分析,破译加密算法和IC卡数据协议后,编写出相应配合IC卡燃气表使用的程序进行制卡售气,即可脱离燃气公司售气管理系统进行任意售气。
⑤通过转存卡可以私下变更IC卡预付费控制装置的数据,给管理造成不便。由于部分IC卡燃气表质量控制得不到保障,电路板容易出现故障,在这种情况下设计了转存卡。而不法分子可以不通过售气管理系统,私下将一只表上的数据通过转存卡直接转到另外一只表或控制电路板上,导致燃气公司管理不便。
⑥其他用户的用户卡可以在初始化状态的IC卡燃气表上使用。部分IC卡燃气表的设计存在缺陷,当IC卡燃气表处于初始状态时,使用其他用户的用户卡可以将用户卡上的气量信息输入该IC卡燃气表中,造成一卡多表的现象。
2.2、IC卡的安全性
IC卡燃气表的IC卡类型有接触式和非接触式两种。接触式IC卡因具有与燃气表连接安全可靠、抗干扰能力强、保密性好、功耗低等优点而成为市场上的主流产品。非接触式IC卡则因抗电磁干扰能力差、功耗大等缺点而基本不再使用。接触式IC卡按照嵌入芯片的不同,分为接触式存储卡、接触式逻辑加密存储卡和接触式CPU卡三种,它们在信息安全防护上具有不同的等级。
2.2.1、接触式存储卡
接触式存储卡一般由存储芯片制成,可以向其中写入任何信息,也可以从其中读出所有信息。接触式存储卡功能简单,没有或很少有安全保护逻辑,能够被随意地复制和改写。接触式存储卡由于价格低廉、开发使用简便而在某些简单应用场所、内部信息无须保密或不允许加密的场所(如急救卡)有较广泛的应用。在燃气计量管理方面,接触式存储卡显然不能满足信息安全性的要求,因此,基本不采用。
2.2.2、接触式逻辑加密存储卡
接触式逻辑加密存储卡由逻辑加密存储器芯片制成,包含安全逻辑控制单元和非遗失逻辑存储器。逻辑加密存储器芯片的加工过程和运输过程均采取较好的安全保护措施,不像接触式存储卡那样可以被任意地复制或改写,具有一定的安全保密性。因此,许多生产厂家的IC卡燃气表选择使用接触式逻辑加密存储卡。
接触式逻辑加密存储卡虽然能够满足燃气计量管理基本的信息安全要求,但是仍然存在一些安全缺陷。例如,该类型的存储卡具有"无须核对密码,全部数据可读,不可改写"的特性。该特性决定了可以不需要密码即可以将存储卡中所有的数据读出,这虽然方便了读卡操作,减少了错卡的概率,但是也方便了其他人获取IC卡信息,大大地降低了信息被破译难度,增加了信息被破译的风险。此外,接触式逻辑加密存储卡的数据没有进行分区,不能对所写的数据进行写保护,这就可能导致在快速插拔时回写数据出现位置错误,致使售气管理系统写入的购气数据发生改变,最终导致错卡或将错误的购气信息充入IC卡燃气表中。
2.2.3、接触式CPU卡
接触式CPU卡的集成电路中包括中央处理器、只读存储器、随机存取存储器、电可擦除可编程只读存储器等主要部分,含有随机数发生器和硬件数据加密算法(DES)、三重数据加密算法(3DES)。在硬件结构、操作系统以及加工制作工艺等方面采取多层安全措施,保证了极强的安全防伪能力,不仅可以验证卡和持卡人的合法性,而且可以鉴别读写终端。该类型的IC卡主要使用在安全保密性特别敏感的场所,例如金融信用卡、手机SIM卡等方面。随着燃气信息安全管理的发展需要,一些IC卡燃气表生产厂商也开始使用接触式CPU卡作为IC卡燃气表的信息传输媒介,希望通过这种方法来保证燃气信息的安全性。但是,在IC卡燃气表方面,IC卡本身已是信息相对最安全的环节,若只是一味地提高IC卡的安全性,而没有提高IC卡燃气表、信息交换过程等环节的安全性,则对整个IC卡燃气表计量管理系统的燃气信息安全的保障没有实质意义。
2.3、信息交换的安全性
①IC卡数据交换错误,导致IC卡燃气表通过IC卡获取的数据与售气管理系统数据不相符。
若售气管理系统与IC卡燃气表在设计上存在缺陷,没有对IC卡上的数据进行数据校验和回读验证,则可能导致写入IC卡的数据或从IC卡上读出的数据与实际数据不相符,出现IC卡燃气表充值数据与实际数据不相符的故障现象。
②售气管理系统数据写入错误(例如,多写或少写等现象),导致IC卡上的数据与售气管理系统上的数据不一致,造成报表数据错误。若售气管理系统写卡不科学或者数据库设计存在缺陷,则可能导致写入IC卡上的数据正确,但是写入数据库的数据多写或少写,出现售气管理系统的报表数据与实际数据不相符的现象。
③若数据协议设计有缺陷,没有购气量和购气次数等验证技术,则可能导致如下后果:
a.补气(例如,用户在IC卡充值后未及时将购气量充入IC卡燃气表,IC卡便丢失,此时用户要求燃气公司补气)时,气量能随意充值,产生严重的安全漏洞,操作员可以利用免费补气进行私下售气。
b.在对IC卡燃气表进行充值时,快速插拔IC卡,可能使购气信息充入IC卡燃气表中,而IC卡中的数据信息仍然全部或部分存在,从而导致已经完成向IC卡燃气表充值的IC卡还可以继续向其他的IC卡燃气表进行重复充值,造成燃气公司的经济损失。
c.一旦IC卡密码被破译,则在不需要进行数据破译的情况下,就可以大量地复制购气信息到其他IC卡上,所有复制的IC卡均可以将购气信息充入IC卡燃气表中。
④若使用具有较弱加密方式的IC卡作为信息载体,购气信息以明文进行传递,购气信息被截获后不用破解就能够很容易篡改购气信息。
⑤若售气管理系统采用一般密文算法对数据进行加密,虽然具有一定的安全防范措施,但是在近几年,只需要付出很小的代价就可以进行破解。
⑥在售气管理系统与IC卡燃气表安全措施做得较好,采用高级密钥加密算法的情况下,虽然加密信息不容易被破解,但是如果密钥固化到表端,当加密工具和密钥被偷盗后,则可以在外售气。当燃气公司发现异常后,无法对现有市场上的存量IC卡燃气表更换密码,只能全部更换新的IC卡燃气表,这将给燃气公司造成巨大的经济损失。
3、IC卡燃气表的信息安全管理技术措施
为解决IC卡燃气表的信息安全管理问题,笔者及团队研发了一种具有信息安全管理功能的IC卡智能燃气表。该IC卡智能燃气表的功能结构原理见图1。它主要由计量单元、燃气表终端控制器、信息安全管理模块、IC卡信息交换模块、控制阀控制电路、信号预处理电路、液晶显示电路等部分组成。
其中,计量单元中安装有机电信号转换单元和控制阀,并且机电信号转换单元通过信号预处理电路与燃气表终端控制器连接,控制阀则通过控制阀控制电路与燃气表终端控制器连接。
图1IC卡智能燃气表功能结构原理
从图1可以看到,IC卡智能燃气表中的信息安全管理模块安装于燃气表终端控制器和IC卡信息交换模块之间,燃气表终端控制器在与外部进行信息交换时,必须通过信息安全管理模块才能实现,从而保证了IC卡智能燃气表的信息安全。
3.1、信息安全管理模块
3.1.1、功能结构设计与原理
IC卡智能燃气表信息安全管理模块的功能结构原理见图2。该模块主要包括信息安全管理模块中央处理器(以下简称CPU)以及均分别接入CPU的第一数据接口、第二数据接口、Flash存储器、EEP-ROM存储器、RAM存储器、加密模块、程序下载口等部分。
①CPU
CPU是信息安全管理模块的核心,接收来自第一数据接口的外部数据,并对写入外部数据的售气管理系统进行身份认证,判断是否获取该外部数据中的加密数据包;对外部数据进行解密并依次对数据完整性、数据有效性进行验证;对外部数据中包含的事务进行预处理,通过第二数据接口从IC卡智能燃气表终端控制器获取相应的返回信息,并将返回信息加密后通过第一数据接口返回给IC卡信息交换模块,当得到有效确认后,则认可预处理结果,且储存相关的操作信息,并向燃气表终端控制器发送相应的操作指令。CPU在对外部数据进行验证的过程中,若数据完整性或数据有效性验证不能通过,则恢复数据的初始状态,不再进行后续处理。在外部数据预处理过程中,若CPU得不到IC卡信息交换模块的有效确认信息,则将放弃预处理结果或作缓存处理。
②第一数据接口
第一数据接口接入IC卡信息交换模块,是燃气表终端控制器与外部信息交换的唯一通信路径。
③第二数据接口
第二数据接口接入燃气表终端控制器,用于执行CPU与燃气表终端控制器之间的数据通信。
④Flash存储器
Flash存储器用于储存信息安全管理模块中的控制及文件管理程序。在Flash存储器中预置了协议限制条件和多个不同的密钥程序,当信息安全管理模块分别与售气管理系统中不同等级的子系统进行数据交换时,CPU根据外部数据的加密密钥与Flash存储器预置的多个密钥程序进行比较,对售气管理系统的身份进行认证,并在加密数据包解密及完整性校验通过后,根据协议限制条件验证数据在当前身份下的有效性,判断是否对数据中的事务进行预处理。
⑤RAM存储器
RAM存储器是与CPU直接交换数据的内部存储器,可以随时读写,用于储存模块运行中的临时数据。
⑥EEPROM存储器
EEPROM存储器用于储存CPU对IC卡燃气表终端控制器的相关操作信息以及CPU对外部数据中的事务的预处理结果。
⑦加密模块
加密模块用于对信息安全管理模块与售气管理系统、燃气表终端控制器数据交换的多级加密、解密,并辅助CPU获取售气管理系统的数据加密密钥、进行身份认证。
⑧程序下载口
程序下载口用于将相关程序录入CPU中,实时升级密钥程序。
3.1.2、信息安全管理模块的有益效果
①IC卡智能燃气表终端控制器必须通过信息安全管理模块才能与外部通信,使IC卡智能燃气表在与售气管理系统进行数据交换时必须进行身份认证,保证了两者通信的合法性。
②利用不同的密钥可实现燃气公司分级管理的权限设置,且采用多级加密方式,使得密钥具有较高的安全性;同时,可以通过信息安全管理模块上的程序下载口实时升级密钥,避免密钥泄露所带来的安全风险。
③通过内置的数据校验程序,保证了IC卡智能燃气表所传输的数据真实、准确、完整、有效、合法。
④信息安全管理模块与售气管理系统形成了可靠连接,IC卡智能燃气表与售气管理系统之间的所有通信数据都通过信息安全管理模块进行加密、解密后转发,而信息安全管理模块的程序是唯一的。
因此,售气管理系统可以将信息安全管理模块作为终端,以实现对IC卡智能燃气表的分散制造和统一管理,即一个售气管理系统可以兼容不同品牌、不同类型的IC卡智能燃气表,并进行统一管理。信息安全管理模块的应用,保证了燃气公司在IC卡燃气表控制上的独立性,将有效地降低燃气公司对区域内不同品牌、不同类型的IC卡燃气表进行统一管理的难度。
3.2、信息加密技术
信息加密技术是保证IC卡燃气表信息安全的关键技术。其不仅可以保证信息的机密性,同时也可以保证信息的完整性、有效性、真实性,防止信息被篡改、伪造、复制和假冒。对于信息加密方法,由于普通的加密、解密算法通过明文和密文对照,在大量数据的支持下,能够比较容易地推算出加密、解密算法,从而导致加密、解密算法失效。因此,为了有效地保证燃气信息的安全,本文采用了安全性极高的三重数据加密算法(3DES)。
数据加密算法(DES)是美国国家标准研究所的数据加密算法,是近代密码算法中的高级算法。在安全性方面,DES算法的密钥长度有56位,其穷举空间达到了256。即使一台计算机以检测100×104个/s的速度对密钥进行搜索,也需要将近2285a的时间才能全部搜索完成。到目前为止,除了用穷举搜索法对DES算法进行攻击外,尚未发现更有效的办法。显然,破解DES算法具有很大的难度。而3DES是在DES算法基础上的三重数据加密算法,是DES的一个更安全的变形,其密钥长度是DES算法的3倍,因此,它能够大大地增加被破解的难度。
3.3、信息校验技术
IC卡燃气表在与燃气公司管理系统进行信息交换的过程中,有可能出现信息读取不完整、信息交换不真实以及交换的信息不合法等问题。因此,为了保证信息的完整、真实、有效、合法,进行信息校验是信息交换过程中的必要手段。
本文在燃气信息校验方面主要采取了消息认证码(MessageAuthenticationCode,MAC)信息校验技术、循环冗余校验(CyclicRedundancyCheck,CRC)信息校验技术、历史追溯信息校验技术。通过MAC信息校验技术和CRC信息校验技术,能够有效地保证信息读取、交换的完整性和准确性,防止信息在交换过程中由于交换链路本身所造成的错误信息以及被篡改后的错误信息被正常交换。历史追溯信息校验技术则通过对历史数据的核对、分析来判断数据的合法性、有效性,只有当前数据符合历史数据相应的延续设计要求,才能被判断为合法、有效的数据而被使用,这样,可以有效地防止被篡改、伪造、复制后的不合法信息被正常交换。
3.4、ID管理技术
IC卡燃气表是以IC卡作为信息传递媒介的燃气表。在信息交换过程中,若IC卡燃气表与IC卡未做到一一对应,则可能出现一表多卡、一卡多表等信息安全问题。因此,在IC卡燃气表的信息安全管理方面,还应采取相应的ID管理技术,以避免上述问题的出现。
本文在IC卡燃气表的ID管理方面,设计了一种有效、可靠的办法:首先在IC卡燃气表表端制造阶段固定IC卡燃气表的ID号,开户时通过表端将IC卡燃气表的ID号写入用户IC卡,实现IC卡燃气表与IC卡的绑定。然后,在初次充值时,由用户IC卡将表端的ID号写入售气管理系统,实现与用户号的绑定。通过以上操作,最终实现了IC卡燃气表、用户IC卡、用户号的一一对应,并在试验验证和后续应用中,IC卡燃气表能够完成对IC卡的准确判定,有效地确保了ID使用的唯一性和安全性。
4、结语
IC卡燃气表的信息安全管理技术是保障燃气公司与燃气用户利益不受损害的必要手段。本文通过设计并在IC卡燃气表中嵌入相应的信息安全管理模块,使IC卡燃气表具有信息安全管理的功能,有效保障IC卡燃气表与外部通信的合法性。通过采用3DES信息加密技术,防止了信息被窃取和篡改,确保了信息本身的安全性。通过MAC信息校验技术、CRC信息校验技术、历史追溯信息校验技术,保证了信息读取、交换过程中的完整性、有效性和合法性。通过ID管理技术,实现了IC卡燃气表、用户IC卡和用户号的一一对应,有效地确保ID使用的唯一性和安全性,防止了一表多卡或一卡多表等现象的出现。
参考文献:
[2]赵振中,廖红春.智能燃气表现状及发展方向[J].煤气与热力,2014,34(7):B29-B31.
[4]邵泽华,吴岳飞.嵌有信息安全管理模块的IC卡智能燃气表:201310038977.8[P].2014-09-24.
编辑推荐:
温馨提示:因考试政策、内容不断变化与调整,长理培训网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准! (责任编辑:长理培训)
点击加载更多评论>>