1　概述
　　北京燃?xì)饧瘓F(tuán)現(xiàn)有人工煤氣和天然氣管道家庭用戶180萬，其中IC邏輯加密卡燃?xì)獗砑s20萬戶左右。目前每年新增用戶約9萬戶。隨著首都現(xiàn)代化的發(fā)展、人民生活的不斷提高及燃?xì)馐聵I(yè)的發(fā)展等多方面的需求，北京燃?xì)饧瘓F(tuán)依照統(tǒng)一規(guī)劃，按區(qū)域成片集中實(shí)施的方式對(duì)現(xiàn)有民用普通燃?xì)獗磉M(jìn)行改造，預(yù)計(jì)10年內(nèi)完成CPU卡燃?xì)獗砀赂脑旃ぷ?。最終智能化燃?xì)獗碛脩魯?shù)可能達(dá)到200多萬戶。民用燃?xì)獗淼臄?shù)字化、智能化、信息化正在成為當(dāng)前與今后一個(gè)較長(zhǎng)時(shí)期內(nèi)發(fā)展的一個(gè)主流方向，并有可能逐步取代目前普通燃?xì)獗淼闹鲗?dǎo)地位。采用科技手段，改變傳統(tǒng)的收費(fèi)方式是解決目前查表收費(fèi)中存在的一些難題，如查表人戶不便，收費(fèi)困難，人工費(fèi)用投入高，收費(fèi)單據(jù)處理流程中環(huán)節(jié)多且工作量大效率低等問題的一種較好的可行方式。
　　CPU卡燃?xì)獗眄?xiàng)目是一個(gè)綜合了計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)通訊技術(shù)、智能卡技術(shù)、卡表生產(chǎn)制造、密鑰保密安全技術(shù)等多個(gè)技術(shù)領(lǐng)域的系統(tǒng)工程項(xiàng)目。項(xiàng)目的目標(biāo)是提升計(jì)量、收費(fèi)、維修服務(wù)等管理水平；提高數(shù)據(jù)真實(shí)性、完整性、可靠性、及時(shí)性；增強(qiáng)查詢、統(tǒng)計(jì)分析能力?，F(xiàn)將從7個(gè)方面簡(jiǎn)述如下。
2 簡(jiǎn)述IC卡
2.1　IC卡分類
　　IC卡又稱集成電路卡(Integrated Circuit Card)。從數(shù)據(jù)信息傳輸接口方式劃分，有接觸式和非接觸式兩種；從卡的界面劃分，有單界面和雙界面兩種形式；按卡的內(nèi)部結(jié)構(gòu)劃分為三類，存儲(chǔ)器卡：存儲(chǔ)器卡是電擦除可編程只讀存儲(chǔ)器E2PROM，它僅有數(shù)據(jù)存儲(chǔ)功能；邏輯加密卡：邏輯加密卡是由內(nèi)低層次邏輯加密讀寫保護(hù)電路和電擦除可編程只讀存儲(chǔ)器E2PROM構(gòu)成；智能卡(Smart Card)：俗稱CPU卡，卡內(nèi)包括中央微處理器、電擦除可編程只讀存儲(chǔ)器E2PROM、隨機(jī)存儲(chǔ)器RAM以及固化在芯片內(nèi)的操作系統(tǒng)COS(Chip Operating System)。存儲(chǔ)器又可以分成若干應(yīng)用區(qū)，各分區(qū)可設(shè)置各自獨(dú)立的訪問權(quán)限，相互隔離，便于一卡多用。接觸式IC卡主要遵循的國(guó)際標(biāo)準(zhǔn)為ISO-7816系列。非接觸IC卡主要遵循的國(guó)際標(biāo)準(zhǔn)為ISO-14443系列。
　　CPU卡內(nèi)COS操作系統(tǒng)(Chip Operating System)由傳輸管理、文件管理、安全體系、命令解釋4個(gè)功能模塊組成。讀寫操作、密鑰管理都是通過卡內(nèi)芯片操作系統(tǒng)COS監(jiān)控、管理和執(zhí)行，并受發(fā)卡方對(duì)卡片個(gè)人化時(shí)向卡內(nèi)加載的密鑰及安全認(rèn)證機(jī)制的控制。
　　上述各種類型的IC卡有各自不同的作用和功能，不同場(chǎng)合不同的應(yīng)用條件，應(yīng)選用相應(yīng)的IC卡。
2.2　IC邏輯加密卡表存在的問題
　　目前IC卡表多數(shù)IC為邏輯加密卡表，無論是表具還是應(yīng)用系統(tǒng)的密鑰算法安全級(jí)別低，且均未經(jīng)過權(quán)威部門認(rèn)證，產(chǎn)品供應(yīng)商的密鑰算法不向應(yīng)用方公開，即使向應(yīng)用方公開密鑰算法，應(yīng)用方的系統(tǒng)安全也永遠(yuǎn)系于廠家及廠家有關(guān)個(gè)別人員身上，無法實(shí)現(xiàn)應(yīng)用單位的安全與開發(fā)生產(chǎn)企業(yè)完全脫鉤，無法獨(dú)自掌握核心安全，安全性只能被動(dòng)的依賴廠家。IC邏輯加密卡不同型號(hào)芯片的互不兼容，不同廠商的芯片更不易兼容，應(yīng)用方在使用多家卡表時(shí)會(huì)帶來多種密鑰及密鑰算法管理上的復(fù)雜化，且密鑰更新困難。IC邏輯加密卡因自身無法識(shí)別讀寫和存儲(chǔ)的數(shù)據(jù)正確與否，因不規(guī)范的插拔易造成數(shù)據(jù)混亂，引發(fā)與用戶的糾紛同時(shí)也增大了維護(hù)工作量。對(duì)IC邏輯加密卡應(yīng)用的后臺(tái)發(fā)卡售氣系統(tǒng)一般都設(shè)計(jì)有非正常用戶的監(jiān)測(cè)管理程序，雖然該監(jiān)測(cè)的功能可以向管理者提示用戶購(gòu)氣出現(xiàn)異常。但并不能從根本上解決或杜絕偽卡流通，這在技術(shù)和實(shí)踐都是可證且有其先例的。制造一張偽卡的成本3元—6元，而售出一張偽卡則可獲得幾十倍甚至上百倍的高額利潤(rùn)。對(duì)于大中型城市，燃?xì)夤芫W(wǎng)用戶達(dá)到幾十萬戶以上時(shí)，高額利潤(rùn)的誘導(dǎo)下，一旦出現(xiàn)偽卡或加密失效，因偽卡的傳播擴(kuò)散較為隱蔽，更新密鑰及密鑰算法困難，而很難得到及時(shí)有效控制。這將會(huì)給燃?xì)饨?jīng)營(yíng)企業(yè)造成巨大的經(jīng)濟(jì)損失。同時(shí)還將嚴(yán)重的影響到IC卡表的繼續(xù)使用，會(huì)使整個(gè)IC卡表項(xiàng)目的前期巨大投資失敗。因此在應(yīng)用IC邏輯加密卡表(水、電、氣)時(shí)，特別注意以下幾點(diǎn)：(1)應(yīng)采取使用幾個(gè)不同廠商的卡表；(2)在一定的范圍或區(qū)域內(nèi)控制同種類卡表使用的數(shù)量，盡量提高應(yīng)用分布的離散度或混合程度；(3)在卡的使用上，構(gòu)筑起一個(gè)流通市場(chǎng)狹小或不暢的環(huán)境，不利于偽卡大面擴(kuò)散。(4)應(yīng)用規(guī)模不宜太大。但這并不能從根本上解決實(shí)質(zhì)問題，同時(shí)將會(huì)使系統(tǒng)多樣化、離散化以及不兼容性帶給系統(tǒng)復(fù)雜化及管理不便。因此管理者將面臨一個(gè)如何制止或杜絕偽卡、解決現(xiàn)存或已經(jīng)流通的偽卡等非常復(fù)雜的局面。因此在大范圍推廣使用比邏輯加密卡表時(shí)一定要十分慎重。應(yīng)用部門在對(duì)卡型的選擇和加密的管理上應(yīng)引起極高的重視。
2.3　我們選用CPU卡的一些考慮
　　通過以上IC卡的對(duì)比，IC邏輯加密的方式來保護(hù)卡內(nèi)數(shù)據(jù)信息的安全可靠受到了卡特性的限制，易受到某些特殊方式的攻擊。IC邏輯加密卡的安全等級(jí)較安裝有ESAM安全認(rèn)證模塊的CPU卡表安全等級(jí)低很多。根據(jù)我們?nèi)細(xì)饧瘓F(tuán)的應(yīng)用規(guī)模，高新技術(shù)應(yīng)用環(huán)境等方面的實(shí)際情況，為確?？ū硭婕熬揞~資金的長(zhǎng)期交易安全，我們摒棄邏輯加密卡。為確保安全性，我們從整體上，包括IC卡、卡表、軟硬件及網(wǎng)絡(luò)系統(tǒng)、信息傳輸交流、組織管理、規(guī)章制度等各方面，全面的考慮和設(shè)計(jì)。
　　我們嚴(yán)格限制IC邏輯加密卡表大規(guī)模應(yīng)用，同時(shí)確定與銀行合作，采用銀行發(fā)行的金融卡CPU卡為主要發(fā)展方向。其一、能夠在符合人民銀行金融卡的規(guī)范標(biāo)準(zhǔn)條件下，基本保證我們這個(gè)項(xiàng)目與未來發(fā)展的大方向和主流趨勢(shì)同步且一致，保證今后我們能夠較長(zhǎng)期穩(wěn)定的發(fā)展，克服了一些CPU卡無法實(shí)現(xiàn)其金融功能的制約與限制問題；其二、銀行發(fā)行具有金融功能的CPU卡，有高級(jí)別的安全等級(jí)，具有權(quán)威機(jī)構(gòu)認(rèn)證的安全機(jī)制，同時(shí)可增強(qiáng)對(duì)非法攻擊IC卡的威懾力，保證長(zhǎng)期交易中資金安全可靠；其三、可避免獨(dú)立發(fā)行多功能卡所帶來的一些其他環(huán)節(jié)上審批協(xié)調(diào)的工作，加快我們?cè)擁?xiàng)目的工作進(jìn)程；其四、智能卡的成本雖高于邏輯加密卡，但性能價(jià)格比遠(yuǎn)高于邏輯加密卡，使用銀行發(fā)行的金融CPU卡，使我們成為金融卡中多項(xiàng)應(yīng)用的一個(gè)中介應(yīng)用項(xiàng)，真正實(shí)現(xiàn)了一卡多用這一智能卡最獨(dú)特的功能，并因多項(xiàng)綜合應(yīng)用而分?jǐn)偭丝ǖ膽?yīng)用成本。CPU卡成本將隨著技術(shù)的發(fā)展逐年下降。其五、由于我們?yōu)殂y行方面推廣CPU卡項(xiàng)目提供了理想切人點(diǎn)，有效的推動(dòng)銀行自身的發(fā)展，為銀行方面拓展了在該行業(yè)及其它相關(guān)行業(yè)領(lǐng)域的業(yè)務(wù)能力或模式；同時(shí)可為銀行帶來可觀的潛在的客戶群體和大量的沉淀資金，使我們可以充分利用銀行現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，減免收費(fèi)網(wǎng)點(diǎn)及網(wǎng)絡(luò)建設(shè)以及CPU卡的發(fā)行費(fèi)用。
　　我們采用銀行發(fā)行的金融卡CPU卡，第一個(gè)在國(guó)內(nèi)金融CPU卡上率先實(shí)現(xiàn)了多功能應(yīng)用。金融CPU卡是由銀行發(fā)行的符合有關(guān)標(biāo)準(zhǔn)和金融規(guī)范，具有存儲(chǔ)及消費(fèi)電子錢包功能的CPU卡?？ǖ拿荑€及文件結(jié)構(gòu)既要符合人民銀行PBOC規(guī)范，保證金融卡的金融應(yīng)用功能及安全特性，同時(shí)在PBOC規(guī)范的基本原則或框架范圍內(nèi)保證金融與中介業(yè)務(wù)分開，相互獨(dú)立互不于涉，使銀行的金融業(yè)務(wù)和各種(如水、電、氣、熱等)中介收費(fèi)服務(wù)業(yè)務(wù)正常運(yùn)行。在金融業(yè)務(wù)的基礎(chǔ)上開展中介業(yè)務(wù)，使CPU卡實(shí)現(xiàn)一卡多用功能，這是一個(gè)重大突破。
　　雖然金融CPU卡與非金融CPU卡都可實(shí)現(xiàn)一卡多用，但在多個(gè)行業(yè)部門或不同企業(yè)之間使用同一個(gè)CPU卡時(shí)，金融CPU卡主發(fā)行商以及密鑰與各應(yīng)用方的密鑰及發(fā)行管理較容易確定和實(shí)施，一卡多用中卡本身出現(xiàn)的一些問題也較容易解決，而一卡多用非金融CPU卡的主發(fā)行商如何確定，如何協(xié)調(diào)主密鑰與各應(yīng)用方的密鑰及發(fā)行管理，一卡多用的非金融CPU卡在使用過程中卡本身出現(xiàn)的一些問題如何解決等，目前都尚未有統(tǒng)一的政策規(guī)范，還都有待政策明確或探討。
　　目前通行采用單界面CPU卡。雙界面形式的CPU卡大致可分為CPU與磁條復(fù)合界面卡、兩面均為接觸式CPU的雙界面CPU卡、一面接觸式與另一面為非接觸式的雙界面CPU卡這三種形式的雙界面CPU卡模式?？紤]到目前銀行終端設(shè)備大多數(shù)是磁卡讀寫終端設(shè)備，要使終端設(shè)備具有CPU卡接口，需要一定改造時(shí)間周期，從實(shí)際出發(fā)的一種過度形式，我們與銀行合作采用的是復(fù)合界面CPU卡，即CPU與磁條復(fù)合界面卡(有信息表明2005年起歐洲的銀行磁條卡將轉(zhuǎn)為IC卡)。只要銀行終端設(shè)備接口支持CPU卡，有關(guān)金融應(yīng)用將通過CPU卡接口完成。
2.4　CPU卡應(yīng)用種類
　　我們?cè)诜桨钢胁捎瞄_放性設(shè)計(jì)，兼容所有符合《中國(guó)金融集成電路(1C)卡規(guī)范》的卡片。
　　我們將卡的應(yīng)用分為3類，簡(jiǎn)述如下：
　　a、種子卡、主控卡、母卡、密鑰傳輸卡；
　　b、應(yīng)用卡：用戶卡、應(yīng)急卡、ESAM模塊；
　　c、功能卡：設(shè)置卡、轉(zhuǎn)移卡、操作員卡、PSAM卡、檢測(cè)卡等，主要用于生產(chǎn)、檢測(cè)、安裝、日常運(yùn)行及維護(hù)維修等過程中的需要。
3 CPU卡燃?xì)獗?br>3.1　CPU卡與CPU卡表的對(duì)應(yīng)關(guān)系
　　CPU卡將CPU卡表、后臺(tái)系統(tǒng)、生產(chǎn)、維護(hù)及管理相互之間緊密的聯(lián)系起來，構(gòu)成一個(gè)大系統(tǒng)。在CPU卡與CPU卡表的對(duì)應(yīng)關(guān)系上，我們確定一臺(tái)CPU卡表對(duì)應(yīng)三張CPU卡，一張CPU卡依然只對(duì)應(yīng)一臺(tái)CPU卡表。這是一種全新的不同于原邏輯加密卡表，與持卡人個(gè)體無關(guān)、卡表與邏輯加密卡一表一卡的對(duì)應(yīng)關(guān)系。采用銀行發(fā)行的金融卡后，卡與持卡人的關(guān)聯(lián)度隨著持卡人金融應(yīng)用程度的提高而大大提高，所持金融CPU卡的個(gè)性化、個(gè)人化大大增強(qiáng)，因此原來只對(duì)應(yīng)于家庭，一臺(tái)卡表只對(duì)應(yīng)一張卡的關(guān)系發(fā)生了變化，可能需要一臺(tái)卡表對(duì)應(yīng)多張卡。以解決家庭某一成員在異地持有金融CPU卡時(shí)，保證其他家庭成員購(gòu)買燃?xì)獾男枰?br>3.2　CPU卡燃?xì)獗韮?nèi)的ESAM模塊
　　CPU卡是CPU卡燃?xì)獗砼c計(jì)量收費(fèi)管理系統(tǒng)之間唯一的數(shù)據(jù)信息交換傳遞媒介，為確保使用中所涉及巨額資金長(zhǎng)期交易的安全，使用CPU卡后，CPU卡燃?xì)獗韮?nèi)應(yīng)有一個(gè)相對(duì)應(yīng)的ESAM安全認(rèn)證模塊?？ū韮?nèi)ESAM安全認(rèn)證模塊的主要功能是實(shí)現(xiàn)卡表與卡之間的相互認(rèn)證，并按照規(guī)定的不同安全等級(jí)存儲(chǔ)或傳輸數(shù)據(jù)信息。
　　ESAM模塊中裝載有燃?xì)饨?jīng)營(yíng)企業(yè)自己的多個(gè)密鑰。燃?xì)饨?jīng)營(yíng)企業(yè)把由自己密鑰系統(tǒng)生成的生產(chǎn)過程密鑰載人ESAM模塊，并發(fā)行給CPU卡燃?xì)獗砩a(chǎn)制造商，由生產(chǎn)制造商將ESAM模塊安裝在表內(nèi)。在卡表安裝到用戶后，進(jìn)行通氣驗(yàn)收時(shí)，燃?xì)饨?jīng)營(yíng)企業(yè)將卡表內(nèi)的生產(chǎn)過程密鑰更新成運(yùn)行密鑰。這樣既保證了卡表廠商的生產(chǎn)、檢測(cè)等工藝過程的需要，又保證了卡表內(nèi)的密鑰與卡表商無關(guān)。
3.3　CPU卡燃?xì)獗韮?nèi)密鑰的更新
　　密鑰有約定的使用有效期限，不能無限長(zhǎng)期使用。CPU卡燃?xì)獗硎情L(zhǎng)期脫機(jī)獨(dú)立運(yùn)行終端機(jī)，為保證CPU卡燃?xì)獗砑罢麄€(gè)系統(tǒng)長(zhǎng)期運(yùn)行的安全可靠，CPU卡燃?xì)獗淼腅SAM模塊內(nèi)的密鑰，在使用到規(guī)定期限后需通過某種方式更換。CPU卡燃?xì)獗硪蛎摍C(jī)獨(dú)立運(yùn)行，沒有聯(lián)機(jī)網(wǎng)絡(luò)，無法通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行更新。CPU卡燃?xì)獗砻荑€更新方式，完全不同于目前廣泛應(yīng)用的POS終端機(jī)通過聯(lián)機(jī)的網(wǎng)絡(luò)系統(tǒng)及時(shí)進(jìn)行密鑰更新。我們經(jīng)過多次反復(fù)充分對(duì)密鑰更新技術(shù)及一整套實(shí)施解決方案深入細(xì)致的研究分析，最終解決了如何安全有效、方便易行且經(jīng)濟(jì)的對(duì)千家萬戶在用CPU卡燃?xì)獗韮?nèi)密鑰更新這一技術(shù)難題，實(shí)現(xiàn)了CPU卡燃?xì)獗韮?nèi)密鑰更新技術(shù)重大突破。保證了卡表及系統(tǒng)運(yùn)行的長(zhǎng)期安全性。
3.4　CPU卡燃?xì)獗斫Y(jié)構(gòu)
　　CPU卡表結(jié)構(gòu)：①基表、②計(jì)量信息采集傳感器、③微處理器操作控制系統(tǒng)、④安全認(rèn)證模塊、⑤閥門及閥門控制驅(qū)動(dòng)電路、⑥LED顯示、⑦電源電路、⑧聲光報(bào)警電路、⑨卡座等構(gòu)成。(圖略)
3.5　CPU卡民用膜式燃?xì)獗響?yīng)主要考慮的幾個(gè)方面
　　基表計(jì)量準(zhǔn)確穩(wěn)定可靠；
　　傳感器和卡座性能穩(wěn)定可靠，滿足使用壽命以及控制系統(tǒng)的要求；
　　閥門及執(zhí)行機(jī)構(gòu)在安全性(防爆抗攻擊)、氣密性、壓力損失、開關(guān)閥門穩(wěn)定可靠性；
　　IC卡的不規(guī)范插拔是否會(huì)造成數(shù)據(jù)的丟失或混亂；
　　整機(jī)的電磁輻射及抗電磁干擾能力；
　　滿足使用環(huán)境要求(溫度、濕度)；
　　靜態(tài)功耗和動(dòng)態(tài)功耗要小；
　　電源電池更換方便。
　　卡表的基本功能(略)
4 建立售氣站點(diǎn)或服務(wù)窗口
　　基本原則和總體規(guī)劃要認(rèn)真考慮以下問題：方便用戶，設(shè)立站點(diǎn)和分布服務(wù)網(wǎng)點(diǎn)，降低投資額，便于日常運(yùn)營(yíng)和管理，提高效率和效益，是否建立計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，采用何種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，建立怎樣的組織管理體系。
4.1　具體考慮和做法
　　從宏觀經(jīng)濟(jì)角度或企業(yè)經(jīng)濟(jì)效益角度去觀察思考。依靠銀行現(xiàn)有終端及網(wǎng)絡(luò)系統(tǒng)進(jìn)行收費(fèi)結(jié)算，是有效合理配置資源的一種方式，可避免行業(yè)及部門間各自分別設(shè)立終端及相關(guān)網(wǎng)絡(luò)所造成資源配置的重復(fù)投資或不合理。若與銀行合作，CPU卡燃?xì)獗硎褂糜摄y行發(fā)行的金融CPU卡，直接納入并充分利用現(xiàn)有的銀行系統(tǒng)，大大減少自身售氣網(wǎng)點(diǎn)建設(shè)投資、日常運(yùn)營(yíng)、管理維護(hù)、窗口服務(wù)成本及人工費(fèi)用。直接納入規(guī)定的銀行系統(tǒng)，進(jìn)人指定的銀行帳號(hào)，縮短現(xiàn)金交易及流通環(huán)節(jié)。較好的解決在收費(fèi)結(jié)算、現(xiàn)金保管及儲(chǔ)運(yùn)等一系列實(shí)際具體問題。
　　利用銀行網(wǎng)絡(luò)及系統(tǒng)，雖然解決了售氣網(wǎng)點(diǎn)問題，但仍需建立與銀行網(wǎng)絡(luò)及系統(tǒng)相應(yīng)自己的計(jì)量收費(fèi)管理及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)的中央系統(tǒng)將與銀行的中央系統(tǒng)之間建立點(diǎn)對(duì)點(diǎn)專用網(wǎng)絡(luò)，用于安全認(rèn)證、時(shí)實(shí)數(shù)據(jù)和非時(shí)實(shí)數(shù)據(jù)的傳輸。
4.2　項(xiàng)目的組織與實(shí)施
　　計(jì)量收費(fèi)管理系統(tǒng)，在對(duì)各項(xiàng)需求經(jīng)過多方論證分析的基礎(chǔ)上，充分考慮和保證設(shè)計(jì)的前瞻性，以成熟先進(jìn)、穩(wěn)定可靠安全、易用易擴(kuò)展、貼近實(shí)際為原則。滿足以下基本功能要求：計(jì)量與收費(fèi)管理、數(shù)據(jù)信息傳輸、數(shù)據(jù)流量及處理能力等特性。
　　整個(gè)項(xiàng)目主體框架分為卡表、操作管理系統(tǒng)軟硬件、密鑰系統(tǒng)這三大部分，涉及卡表、卡、計(jì)算機(jī)、網(wǎng)絡(luò)、系統(tǒng)、密鑰安全和軟件等多方面的專業(yè)技術(shù)，相互間彼此交叉滲透融合，使項(xiàng)目具有一定難度。我們?yōu)楸ＷC整個(gè)項(xiàng)目質(zhì)量，將該項(xiàng)目作為一個(gè)系統(tǒng)工程，分解成幾個(gè)部分，由幾個(gè)在專項(xiàng)技術(shù)領(lǐng)域方面相互獨(dú)立，但各自更具專業(yè)水平的不同參與方來承擔(dān)系統(tǒng)的專項(xiàng)工作，各司其職，彼此之間相互檢驗(yàn)和監(jiān)督，有利于系統(tǒng)內(nèi)在隱性問題的及時(shí)發(fā)現(xiàn)和解決，保證系統(tǒng)未來運(yùn)營(yíng)的穩(wěn)定可靠。我們負(fù)責(zé)統(tǒng)一組織協(xié)調(diào)好各方的工作，重點(diǎn)是將相關(guān)行業(yè)相關(guān)專業(yè)間有機(jī)的聯(lián)接起來，組織好參與各方進(jìn)行細(xì)致深入分析研究，遵循或參照現(xiàn)有規(guī)范標(biāo)準(zhǔn)及有關(guān)草案，擬訂需要各方共同遵守統(tǒng)一的技術(shù)標(biāo)準(zhǔn)、協(xié)議或規(guī)范，并盡量使之標(biāo)準(zhǔn)化、規(guī)范化，保證最大限度的兼容性或通用性。在確定協(xié)議及規(guī)范標(biāo)準(zhǔn)的基礎(chǔ)上依照目標(biāo)和功能要求對(duì)實(shí)施過程中對(duì)各部分的核心或要點(diǎn)進(jìn)行把關(guān)，保證各方任務(wù)的實(shí)施和完成。
4.3　項(xiàng)目投資
　　目前項(xiàng)目已進(jìn)行到試運(yùn)行階段。我集團(tuán)項(xiàng)目一期配套投資預(yù)計(jì)約160萬元左右，主要包含調(diào)研、需求分析、方案論證與規(guī)劃、技術(shù)支持、大系統(tǒng)檢測(cè)審核、密鑰系統(tǒng)開發(fā)、DDN／ISDN／PSDN線路、機(jī)房、相應(yīng)配套設(shè)備及工程等。
5 計(jì)量收費(fèi)管理系統(tǒng)
5.1　網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)平臺(tái)
　　如圖1所示，網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)平臺(tái)分為燃?xì)饧瘓F(tuán)和銀行兩個(gè)部分。其中燃?xì)饧瘓F(tuán)的平臺(tái)分為三級(jí)：集團(tuán)、銷售分公司和下屬管理所／站。
 

5.2　系統(tǒng)組成和功能
　　在已經(jīng)建立的銀行網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)平臺(tái)基礎(chǔ)上，銀行內(nèi)部網(wǎng)絡(luò)及系統(tǒng)能夠有效支持下屬各個(gè)網(wǎng)點(diǎn)的信息實(shí)時(shí)上傳匯總到銀行自己的信息中心。合作行將針對(duì)燃?xì)饧瘓F(tuán)的CPU卡燃?xì)獗碛?jì)量收費(fèi)管理項(xiàng)目，負(fù)責(zé)對(duì)其內(nèi)部系統(tǒng)、網(wǎng)絡(luò)及前臺(tái)終端的軟硬件進(jìn)行相應(yīng)的更新改造。保證滿足銀行與燃?xì)饧瘓F(tuán)之間數(shù)據(jù)信息定時(shí)或?qū)崟r(shí)傳輸?shù)囊蟆?br>　　燃?xì)饧瘓F(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)構(gòu)建在ISDN／PSTN／DDN／幀終繼等基礎(chǔ)通信設(shè)施之上，為計(jì)算機(jī)系統(tǒng)提供基礎(chǔ)的通信平臺(tái)。燃?xì)饧瘓F(tuán)的計(jì)算機(jī)系統(tǒng)平臺(tái)包括計(jì)算機(jī)硬件和系統(tǒng)軟件兩部分。計(jì)算機(jī)系統(tǒng)硬件設(shè)備主要包括：WEB／應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、防火墻、加密機(jī)、網(wǎng)絡(luò)及安全管理服務(wù)器以及PC終端等。系統(tǒng)軟件主要包括：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、WEB／應(yīng)用服務(wù)器軟件、開發(fā)工具、計(jì)量收費(fèi)管理軟件、安全認(rèn)證軟件、防火墻軟件、網(wǎng)管軟件以及防病毒軟件等。
　　從物理分布看，CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)是一個(gè)覆蓋燃?xì)饧瘓F(tuán)、分公司、管理所／站以及銀行的各級(jí)機(jī)構(gòu)的網(wǎng)絡(luò)信息管理系統(tǒng)。從系統(tǒng)功能看，CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)主要包含以下子系統(tǒng)，而每個(gè)子系統(tǒng)同樣是由分布在多個(gè)結(jié)點(diǎn)上的子模塊構(gòu)成。
　　(1)銀行收費(fèi)管理子系統(tǒng)
　　(2)燃?xì)庥脩粜畔⒐芾碜酉到y(tǒng)
　　(3)燃?xì)饧瘓F(tuán)計(jì)量收費(fèi)管理子系統(tǒng)
　　(4)維修管理子系統(tǒng)(由二期工程根據(jù)實(shí)際進(jìn)一步補(bǔ)充完善)
　　(5)手持POS機(jī)子系統(tǒng)(由二期工程實(shí)施)
　　(6)系統(tǒng)維護(hù)和幫助子系統(tǒng)(其中包含用戶查詢系統(tǒng)由二期工程補(bǔ)充完善)
　　(7)密鑰及管理系統(tǒng)(應(yīng)急卡和ESAM模塊發(fā)行系統(tǒng)由二期工程進(jìn)一步完善)
6密鑰系統(tǒng)
6.1系統(tǒng)概述
　　科學(xué)完善的安全機(jī)制應(yīng)是密鑰管理系統(tǒng)設(shè)計(jì)的指導(dǎo)思想。密鑰貫穿于整個(gè)系統(tǒng)，密鑰的安全控制和管理是保證北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)安全性的關(guān)鍵，是數(shù)據(jù)信息安全的保證。密鑰管理系統(tǒng)的安全性將直接影響整個(gè)系統(tǒng)的安全，密鑰系統(tǒng)也因此必然成為整個(gè)大系統(tǒng)的核心。
　　北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)所采用的密鑰管理體制完全符合中國(guó)人民銀行發(fā)布的《中國(guó)金融集成電路(IC)卡安全管理規(guī)范》的要求，設(shè)立北京市燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)密鑰管理中心，統(tǒng)一進(jìn)行密鑰的生成、傳遞、分發(fā)和使用的監(jiān)管，使各種應(yīng)用功能CPU卡、ESAM模塊、后臺(tái)系統(tǒng)加密機(jī)內(nèi)密鑰認(rèn)證和應(yīng)用管理系統(tǒng)等整個(gè)系統(tǒng)完全置于企業(yè)的安全控制和有效監(jiān)管之下，保證其過程的可靠性和安全性，防止惡意攻擊和欺詐行為，實(shí)現(xiàn)對(duì)整個(gè)燃?xì)怃N售的安全控制和管理的目的。
6.1.1密鑰系統(tǒng)平臺(tái)
　　燃?xì)饧瘓F(tuán)密鑰管理系統(tǒng)見圖2。

　計(jì)量收費(fèi)管理系統(tǒng)主要是實(shí)現(xiàn)CPU卡燃?xì)獗砗褪召M(fèi)管理的功能，而密鑰安全管理系統(tǒng)主要是保證計(jì)量收費(fèi)管理系統(tǒng)中交易信息的安全，它是一個(gè)建立在計(jì)量收費(fèi)管理系統(tǒng)基礎(chǔ)之上運(yùn)行的涉及交易數(shù)據(jù)安全保障的系統(tǒng)，是根據(jù)燃?xì)饧瘓F(tuán)的運(yùn)營(yíng)特點(diǎn)，由燃?xì)饧瘓F(tuán)對(duì)整個(gè)MIS系統(tǒng)進(jìn)行安全制約和管理控制的獨(dú)立系統(tǒng)。
　　計(jì)量收費(fèi)管理系統(tǒng)和密鑰安全管理系統(tǒng)這兩大系統(tǒng)均作用于用戶卡和燃?xì)饪ū?，最終實(shí)現(xiàn)收費(fèi)交易的安全可靠。
　　加密機(jī)是構(gòu)成該系統(tǒng)的核心。應(yīng)具備以下幾個(gè)基本特征：加密算法由硬件實(shí)現(xiàn)；支持DES、3DES、RSA或經(jīng)過權(quán)威組織機(jī)構(gòu)認(rèn)證其它標(biāo)準(zhǔn)算法；算法不可讀出，密鑰保存在加密機(jī)內(nèi)部，密鑰無明文輸出，防止數(shù)據(jù)被非法竊取或篡改，能確保產(chǎn)生真隨機(jī)數(shù)；具有防檢測(cè)抗攻擊，內(nèi)部電磁輻射不可偵聽，自身有防拆、防撬、密鑰自毀等特性，任何人無法用物理手段或邏輯手段來獲取密鑰。
6.1.2系統(tǒng)總體結(jié)構(gòu)
　　見圖3。
 

6.2系統(tǒng)安全策略
　　安全機(jī)制是整個(gè)密鑰管理系統(tǒng)的核心，從系統(tǒng)的整體性上考慮其安全策略，并以此來制約密鑰的使用和操作權(quán)限受到嚴(yán)格的控制。在充分保證密鑰系統(tǒng)安全性的基礎(chǔ)上，實(shí)現(xiàn)密鑰的生成、注入、導(dǎo)出、備份、恢復(fù)、更新、服務(wù)等功能，實(shí)現(xiàn)密鑰的安全管理。
6.2.1密鑰管理中心主密鑰的安全產(chǎn)生
　　在密鑰管理中心。種子密鑰以密鑰卡和密碼信封的形式分別安全保管，以備將來更新或恢復(fù)主密鑰時(shí)使用。加密算法的選擇由密鑰管理中心決定。
6.2.1.1生成密鑰
　　種子密鑰：在密鑰管理中心，由大于兩個(gè)的特定或主管人員分別輸入一組或N組種子數(shù)值，通過密鑰生成系統(tǒng)的加密算法軟件對(duì)特定代碼Ni處理，生成所需的根密鑰或種子密鑰——中心主密鑰。
　　主密鑰：由種子密鑰和特定的離散因子通過密鑰生成系統(tǒng)進(jìn)行加密運(yùn)算生成主密鑰組。一個(gè)主密鑰組由各種不同功能用途的主密鑰構(gòu)成。
　　密鑰：由主密鑰與離散因子通過加密算法離散后得到相應(yīng)功能用途的密鑰。不同密鑰由不同主密鑰離散后生成。
　　密鑰種類：主控、外部認(rèn)證、內(nèi)部認(rèn)證、錢包圈存密鑰、線路保護(hù)、密鑰更新等8種密鑰。
6.2.1.2傳遞密鑰
　　在整個(gè)密鑰系統(tǒng)中，為保證系統(tǒng)的安全性，密鑰的導(dǎo)入、導(dǎo)出傳遞均要采用安全報(bào)文傳輸?shù)姆绞剑疵芪?MAC的方式，密鑰卡中用于主密鑰導(dǎo)入、導(dǎo)出的密鑰可以不同，必要時(shí)在一些特定環(huán)境使用密鑰傳輸卡，以提高密鑰傳遞或下載的安全性。
6.2.2主密鑰卡和主密鑰控制卡配合使用
　　主密鑰卡由主密鑰控制卡保護(hù)，使用主密鑰卡前，必須用控制卡對(duì)主密鑰卡進(jìn)行外部認(rèn)證，只有外部認(rèn)證成功后，主密鑰卡才能被正常使用。主密鑰卡和主密鑰卡控制卡要分別嚴(yán)格保管，這是保證密鑰系統(tǒng)安全性重要關(guān)鍵環(huán)節(jié)。
6.2.3存儲(chǔ)和備份密鑰
　　密鑰管理系統(tǒng)中密鑰采用密鑰卡或硬件加密機(jī)的形式存儲(chǔ)，而備份采用密鑰卡和密碼信封的形式進(jìn)行密鑰備份，并分別安全存放在不同的地點(diǎn)。
6.2.4更新密鑰
　　確定密鑰版本和索引有效使用期和更換條件，在用各種卡的密鑰版本或索引將根據(jù)需要隨時(shí)更新。
　　密鑰系統(tǒng)由密鑰的生成、發(fā)行及管理三部分構(gòu)成。密鑰涉及CPU卡燃?xì)獗韮?nèi)程序、ESAM安全模塊、用戶卡、各種不同功能CPU卡、卡表的生產(chǎn)流程、計(jì)量收費(fèi)管理系統(tǒng)、后臺(tái)安全認(rèn)證、新表安裝、舊表維護(hù)更換及日常應(yīng)用等諸多方面，是涉及整個(gè)系統(tǒng)收費(fèi)安全的核心。從安全特性上考慮，要求密鑰必須獨(dú)立設(shè)計(jì)，系統(tǒng)開發(fā)商及卡表生產(chǎn)商不直接參與密鑰系統(tǒng)設(shè)計(jì)。密鑰的安全特性要基本保持在同一個(gè)安全等級(jí)水平，否則將因某一部分的安全問題發(fā)生木桶效應(yīng)而使整體安全特性下降。安全機(jī)制要保證在一個(gè)合理適當(dāng)水平上，在同一安全特性條件下盡量降低綜合成本。不要追求過高的安全機(jī)制，這將會(huì)大大提高成本。
6.2.5建章立制
　　我們針對(duì)密鑰系統(tǒng)擬訂了相應(yīng)配套的規(guī)章管理制度。在發(fā)行CPU卡初始化時(shí)，由企業(yè)自己的密鑰發(fā)行系統(tǒng)將相應(yīng)的母卡內(nèi)的密鑰如：主控密鑰、外部認(rèn)證、內(nèi)部認(rèn)證、線路保護(hù)密鑰等載入CPU卡和ESAM模塊及其它功能卡中，發(fā)行給有關(guān)單位部門或人員使用。發(fā)行數(shù)量、種類及過程由密鑰管理系統(tǒng)進(jìn)行管理。
7 管理框架及業(yè)務(wù)基本流程
　　(1)由燃?xì)饧瘓F(tuán)建立統(tǒng)一計(jì)量收費(fèi)管理中心。用戶燃?xì)饧瘓F(tuán)CPU卡燃?xì)獗碛?jì)量收費(fèi)管理系統(tǒng)與銀行計(jì)算機(jī)中央系統(tǒng)的CPU卡燃?xì)獗碛?jì)量收費(fèi)系統(tǒng)子系統(tǒng)間建立相應(yīng)的連接，負(fù)責(zé)與銀行間數(shù)據(jù)信息交換及辦理日常業(yè)務(wù)工作。
　　(2)兩個(gè)銷售分公司下屬所、站將新發(fā)展用戶和更新改造用戶的有關(guān)信息錄入并傳送至CPU卡表計(jì)量收費(fèi)管理中心(隸屬用戶計(jì)量收費(fèi)管理中心)，同時(shí)向用戶開具發(fā)卡通知。
　　(3)CPU卡表計(jì)量收費(fèi)管理中心將有關(guān)信息傳送至銀行。銀行根據(jù)新發(fā)展用戶和更新改造用戶等有關(guān)信息，向持有開卡憑證的客戶發(fā)用戶卡和首次收費(fèi)，并負(fù)責(zé)以后收費(fèi)。銀行將用戶領(lǐng)卡、付費(fèi)及卡內(nèi)的相關(guān)信息傳送至燃?xì)饧瘓F(tuán)CPU卡表計(jì)量收費(fèi)管理中心，進(jìn)行校核結(jié)算(銀行與客戶交易過程始終處于我們的加密機(jī)認(rèn)證體系控制之下進(jìn)行)。
　　(4)CPU卡表計(jì)量收費(fèi)管理中心將相關(guān)信息分別反饋給有關(guān)銷售分公司。下屬的管理所(或營(yíng)業(yè)站)可在銷售分公司獲取相關(guān)信息。
　　(5)用戶用氣實(shí)行預(yù)收費(fèi)，先持卡在銀行購(gòu)氣，再將已購(gòu)氣的卡插入CPU卡燃?xì)獗恚砼c卡相對(duì)應(yīng)一卡一表(但一表三卡)，不可互換。CPU卡表自動(dòng)檢測(cè)識(shí)別卡，下載卡內(nèi)購(gòu)氣量和有關(guān)數(shù)據(jù)，并將表內(nèi)有關(guān)數(shù)據(jù)信息寫入卡內(nèi)后CPU卡可與表相互脫離，燃?xì)獗砑茨茏詣?dòng)開閥，正常用氣。插卡時(shí)燃?xì)獗韮?nèi)有關(guān)的運(yùn)行狀態(tài)信息可反饋到卡內(nèi)，銀行在售氣的同時(shí)，可將所要的卡內(nèi)關(guān)于燃?xì)獗磉\(yùn)行狀態(tài)信息傳送到燃?xì)饧瘓F(tuán)用戶管理系統(tǒng)，以方便管理用戶。
　　(6)用戶向管理所申請(qǐng)卡表的維護(hù)維修業(yè)務(wù)。換表／變更、卡表故障，經(jīng)管理人員確認(rèn)，并上傳信息至系統(tǒng)或銀行。涉及銀行方面業(yè)務(wù)可到銀行辦理相關(guān)手續(xù)。
　　(7)管理所負(fù)責(zé)接收燃?xì)獗砉收仙陥?bào)，上門維修，將維修報(bào)告上傳到管理系統(tǒng)。