隨著非接觸IC卡技術(shù)在國(guó)內(nèi)的逐步推廣,，非接觸應(yīng)用以其快捷方便的操作方式，日益深入人心,，并逐漸成為公共交通,、城市通卡建設(shè)的首選技術(shù)。 

    早期投入應(yīng)用的非接觸IC卡技術(shù)多為邏輯加密卡,，比如最為著名的Philips公司（現(xiàn)NXP）的Mifare 1卡片,。非接觸邏輯加密卡技術(shù)以其低廉的成本，簡(jiǎn)明的交易流程,，較簡(jiǎn)單的系統(tǒng)架構(gòu),，迅速得到了用戶的青睞，并得到了快速的應(yīng)用和發(fā)展,。據(jù)不完全統(tǒng)計(jì),，截至 去年年底，國(guó)內(nèi)各領(lǐng)域非接觸邏輯加密卡的發(fā)卡量已經(jīng)達(dá)到數(shù)億張,。

    隨著非接觸邏輯加密卡不斷應(yīng)用的過(guò)程,，非接觸邏輯加密卡技術(shù)的不足之處也日益暴露，難以滿足更高的安全性和更復(fù)雜的多應(yīng)用的需求,。因此,，非接觸CPU卡技術(shù)正成為一種技術(shù)上更新?lián)Q代的選擇。 

    一,、 系統(tǒng)架構(gòu)的變化改造

    非接觸CPU卡與非接觸邏輯加密卡相比,，擁有獨(dú)立的CPU處理器和芯片操作系統(tǒng)，所以可以更靈活的支持各種不同的應(yīng)用需求,，更安全的設(shè)計(jì)交易流程。但同 時(shí),，與非接觸邏輯加密卡系統(tǒng)相比,，非接觸CPU卡的系統(tǒng)顯得更為復(fù)雜，需要進(jìn)行更多的系統(tǒng)改造,，比如密鑰管理,、交易流程、PSAM卡以及卡片個(gè)人化等,。

    1.1 密鑰管理和認(rèn)證機(jī)制

    眾所周知,，密鑰管理系統(tǒng)（Key Management System），也簡(jiǎn)稱KMS,，是IC項(xiàng)目安全的核心,。如何進(jìn)行密鑰的安全管理,，貫穿著IC卡應(yīng)用的整個(gè)生命周期。非接觸邏輯加密卡的安全認(rèn)證依賴于每個(gè) 扇區(qū)獨(dú)立的KEYA和KEYB的校驗(yàn),，可以通過(guò)扇區(qū)控制字對(duì)KEYA和KEYB的不同安全組合，實(shí)現(xiàn)扇區(qū)數(shù)據(jù)的讀寫安全控制,。 

圖1-1 MIFARE I卡片扇區(qū)訪問(wèn)控制

    由于KEYA和KEYB的校驗(yàn)機(jī)制,，只能解決卡片對(duì)終端的認(rèn)證，而無(wú)法解決終端對(duì)卡片的認(rèn)證,，即我們俗稱的“偽卡”的風(fēng)險(xiǎn),，所以通常在采用非接觸邏輯加密卡的時(shí)候，還會(huì)使用卡片認(rèn)證碼的機(jī)制,。

    而非接觸CPU卡可以通過(guò)內(nèi)外部認(rèn)證的機(jī)制,，以及像建設(shè)部定義的電子錢包的交易流程，高可靠的滿足不同的業(yè)務(wù)流程對(duì)安全和密鑰管理的需求,。對(duì)電子錢包圈存 可以使用圈存密鑰,，消費(fèi)可以使用消費(fèi)密鑰，清算可以使用TAC密鑰,，更新數(shù)據(jù)可以使用卡片應(yīng)用維護(hù)密鑰,，卡片個(gè)人化過(guò)程中可以使用卡片傳輸密鑰、卡片主控 密鑰,、應(yīng)用主控密鑰等,，真正做到一鑰一用。

    實(shí)施非接觸CPU卡項(xiàng)目,，可以使用密鑰版本的機(jī)制,，即對(duì)于不同批次的用戶卡，使用不同版本的密鑰在系統(tǒng)中并存使用,，達(dá)到密鑰到期自然淘汰過(guò)渡的目的,，逐步更替系統(tǒng)中所使用的密鑰，防止系統(tǒng)長(zhǎng)期使用帶來(lái)的安全風(fēng)險(xiǎn),。

    實(shí)施非接觸CPU卡項(xiàng)目,，還可以使用密鑰索引的機(jī)制，即對(duì)于發(fā)行的用戶卡,，同時(shí)支持多組索引的密鑰,，假如當(dāng)前使用的密鑰被泄漏或存在安全隱患的時(shí)候，系統(tǒng)可以緊急激活另一組索引的密鑰,，而不用回收和更換用戶手上的卡片,。

    因此，要成功實(shí)施非接觸CPU卡項(xiàng)目,，需要一個(gè)完善的密鑰管理系統(tǒng),，能支持多種不同用途的密鑰,，并支持密鑰版本和密鑰索引的機(jī)制。

    1.2 交易流程

    非接觸邏輯加密卡的交易流程比較簡(jiǎn)單,，通過(guò)認(rèn)證KEYA或者KEYB,，達(dá)到操作的安全權(quán)限，然后就直接進(jìn)行交易操作,，增加或者減少錢包金額,。
    非接觸CPU卡的交易分為圈存交易和消費(fèi)交易等，不同的交易類型,，擁有不同的交易流程和安全機(jī)制,。在非接觸CPU卡的交易中，交易數(shù)據(jù)與交易過(guò)程中的相互 認(rèn)證緊緊結(jié)合在了一起,，使得交易更加安全和嚴(yán)謹(jǐn),。同時(shí)，非接觸CPU卡也通過(guò)卡內(nèi)自增的交易流水號(hào)以及卡片計(jì)算的交易TAC碼保證了交易的唯一性和可追蹤 性,。 

圖1-2 非接觸CPU卡消費(fèi)交易流程示例

    1.3 PSAM卡

    在非接觸邏輯加密卡的系統(tǒng)中,，PSAM卡主要使用卡片認(rèn)證密鑰和各扇區(qū)的KEYA、KEYB密鑰來(lái)產(chǎn)生非接觸邏輯加密卡操作所需要的各扇區(qū)的KEYA和KEYB認(rèn)證碼,，交易信息不直接參與運(yùn)算,。

    而在非接觸CPU卡系統(tǒng)中，PSAM卡通常用來(lái)計(jì)算和校驗(yàn)消費(fèi)交易過(guò)程中出現(xiàn)的MAC碼,，同時(shí)在計(jì)算的過(guò)程中,，交易時(shí)間、交易金額,、交易類型等交易信息也 都參與運(yùn)算,，使得交易更安全更可靠。某些情況下,，非接觸CPU卡系統(tǒng)中的PSAM卡還可以用來(lái)支持安全報(bào)文更新數(shù)據(jù)時(shí)MAC的計(jì)算,，以及交易TAC的驗(yàn) 證。因此,，與非接觸邏輯加密卡系統(tǒng)相比,，非接觸CPU卡系統(tǒng)中的PSAM卡支持更廣泛的功能，也更為靈活,、安全和復(fù)雜,。通常非接觸CPU卡系統(tǒng)的PSAM 卡還支持不同的密鑰版本。 

圖1-3 建設(shè)部PSAM卡MAC1計(jì)算初始化指令

    1.4 卡片個(gè)人化 

    非接觸邏輯加密卡的個(gè)人化比較簡(jiǎn)單,，主要包括數(shù)據(jù)和各扇區(qū)KEYA,、KEYB的更新，在期間所有敏感數(shù)據(jù)包括KEYA和KEYB都是直接以明文的形式更新。

    而非接觸CPU卡的個(gè)人化通?？梢苑譃榭ㄆ纯ê涂ㄆ瑐€(gè)人化兩個(gè)獨(dú)立的流程,，前者創(chuàng)建卡片文件結(jié)構(gòu)，后者更新個(gè)人化數(shù)據(jù),，并注入相應(yīng)的密鑰,。在信息更新和 密鑰注入的過(guò)程中，通常都采用安全報(bào)文的方式,，保證數(shù)據(jù)和密鑰更新的正確性和安全性,。而且密鑰注入的次序和相互保護(hù)的依存關(guān)系，也充分體現(xiàn)了密鑰的安全設(shè) 計(jì),，比如卡片主控密鑰通常被用來(lái)保護(hù)導(dǎo)入應(yīng)用主控密鑰，應(yīng)用主控密鑰通常被用來(lái)保護(hù)導(dǎo)入其他應(yīng)用密鑰,，比如消費(fèi)密鑰等,。

    因此，要成功實(shí)施非接觸CPU卡項(xiàng)目,，必須和密鑰管理系統(tǒng)配合,，建立一套安全和完善的卡片個(gè)人化系統(tǒng)，并配備相應(yīng)的HSM硬件加密機(jī)或者密鑰母卡,，來(lái)實(shí)現(xiàn)個(gè)人化流程中密鑰的安全存儲(chǔ)和運(yùn)算,。

    二、 項(xiàng)目實(shí)施中注意事項(xiàng)

    在非接觸CPU卡的推廣過(guò)程中,，也發(fā)現(xiàn)了一些需要特別注意和著重解決的問(wèn)題,。

    2.1 卡片與機(jī)具的兼容性測(cè)試

    首當(dāng)其沖的是卡片與機(jī)具的兼容性問(wèn)題。雖然ISO和眾多規(guī)范已經(jīng)定義了非接觸CPU卡和機(jī)具終端之間的電氣特性和數(shù)據(jù)協(xié)議,，但是到目前為止國(guó)內(nèi)眾多的非接 觸CPU卡項(xiàng)目的實(shí)施經(jīng)驗(yàn),，無(wú)不顯示出卡片與機(jī)具的兼容性是一個(gè)不容忽視的問(wèn)題。同一種機(jī)具,，可能會(huì)無(wú)法支持不同的卡商的卡片,；同一個(gè)卡商的卡片，可能在 這個(gè)機(jī)具上能正常交易,，在另一個(gè)機(jī)具上就無(wú)法使用,。甚至，同一張卡片,，和同一個(gè)機(jī)具,，做某一種交易能成功，做另一種交易就失敗,。究其原因,，這里面有不同的 卡片和機(jī)具提供商對(duì)規(guī)范的不同理解，也有一些是屬于項(xiàng)目實(shí)施過(guò)程中的歷史技術(shù)原因,。

    因此,，要成功實(shí)施非接觸CPU卡項(xiàng)目,，大量的深入的全面的現(xiàn)場(chǎng)測(cè)試，是克服卡片和機(jī)具兼容性問(wèn)題的不二法門,。

    2.2 多應(yīng)用擴(kuò)展和開放平臺(tái)

    采用非接觸CPU卡的一個(gè)很重要的原因就是非接觸CPU卡可以很好的支持多應(yīng)用擴(kuò)展,，自定義不同的應(yīng)用交易流程。在多應(yīng)用擴(kuò)展的設(shè)計(jì)階段,，如何盡量符合已 有的規(guī)范,，更開放的適應(yīng)不同供應(yīng)商，是非接觸CPU卡項(xiàng)目能否長(zhǎng)期順利的推廣的重要保障,。封閉式的系統(tǒng),，歷史已經(jīng)證明，都往往是短命的,，不成功的,，無(wú)法大 范圍推廣的失敗者，這里面即涉及未來(lái)供應(yīng)商的非充分競(jìng)爭(zhēng),，也影響了供應(yīng)商對(duì)相應(yīng)產(chǎn)品開發(fā)和投入的長(zhǎng)期信心,。

    2.3 安全性與交易速度的權(quán)衡

    安全性和交易速度，是非接觸CPU卡項(xiàng)目中老生常談的兩個(gè)問(wèn)題,，也幾乎是每個(gè)非接觸CPU卡項(xiàng)目不得不面對(duì)的問(wèn)題,。快捷的交易速度,，是采用非接觸IC卡技 術(shù)的一個(gè)重要原因,。但是，片面追求交易速度,，甚至以犧牲安全性為代價(jià),，又是一個(gè)得不償失的做法。因?yàn)?，沒(méi)有可靠的安全性,，也就失去了采用IC卡技術(shù)尤其是 非接觸CPU卡技術(shù)的意義。而同時(shí),，安全性往往又必然要消耗一定的交易時(shí)間,，降低了交易的速度。因此,，對(duì)于安全性和交易速度這一對(duì)矛盾體,，需要系統(tǒng)的設(shè)計(jì) 者，根據(jù)實(shí)際的業(yè)務(wù)需要,，好好的權(quán)衡和把握,，找到兩者的平衡點(diǎn)。

    在考慮安全性和交易速度的同時(shí)，尤其在進(jìn)行交易速度優(yōu)化之后,，特別需要進(jìn)行全面的流程測(cè)試和異常交易測(cè)試,，確保交易速度優(yōu)化不會(huì)造成不同交易各個(gè)階段的影響，甚至產(chǎn)生安全漏洞,。這方面的教訓(xùn),，是有很多的。

    結(jié)論

    因此,，要實(shí)施非接觸CPU卡項(xiàng)目,，多方面的考慮系統(tǒng)的實(shí)際需求和各種因素，充分做好系統(tǒng)改造的技術(shù)認(rèn)證和規(guī)劃設(shè)計(jì),，切實(shí)研究實(shí)施過(guò)程中的諸多技術(shù)問(wèn)題,，是項(xiàng)目成功的重要前提和保障。