IC卡預(yù)付費(fèi)電度表因其技術(shù)成熟、批生產(chǎn)質(zhì)量穩(wěn)定、可以預(yù)先收費(fèi)等優(yōu)點(diǎn)，在全國(guó)得到了廣泛的應(yīng)用。我公司也在北京供電局的指導(dǎo)下，積極參予了IC卡預(yù)付費(fèi)電度表的開發(fā)和批量生產(chǎn)。但在產(chǎn)品的開發(fā)及應(yīng)用實(shí)踐中，我們發(fā)現(xiàn)了眾多的IC卡預(yù)付費(fèi)電度表安全問題。經(jīng)過一年多時(shí)間的努力，我們逐步深入認(rèn)識(shí)并逐步進(jìn)行解決，現(xiàn)己取得了較好的結(jié)果?，F(xiàn)將我們所做的工作向各位報(bào)告如下：

    一、IC卡預(yù)付費(fèi)電度表存在的主要安全問題

    在產(chǎn)品的開發(fā)及應(yīng)用實(shí)踐中，我們發(fā)現(xiàn)IC卡預(yù)付費(fèi)電度表存在如下幾類安全問題：a）卡內(nèi)數(shù)據(jù)的安全性問題。普通存貯卡數(shù)據(jù)雖經(jīng)加密運(yùn)算處理，但由于IC卡預(yù)付費(fèi)電度表內(nèi)的單片機(jī)要完成大量的實(shí)時(shí)工作，固而無(wú)力對(duì)數(shù)據(jù)進(jìn)行較復(fù)雜的加密工作。再加上普通存貯卡電表不易實(shí)現(xiàn)一表一卡，加密一但泄露或破譯，偽卡將會(huì)出現(xiàn)而給供電部門造成巨大經(jīng)濟(jì)損失。邏輯加密卡雖能實(shí)現(xiàn)一表一卡，使系統(tǒng)不出現(xiàn)全面崩潰的結(jié)果，但從卡口上接一記憶示波器，可輕易獲得各卡密鑰而達(dá)到單表偷電的目的。而且上述兩種卡的初始化卡及生產(chǎn)用卡構(gòu)成格式一但泄露或破譯，將會(huì)無(wú)需買卡而用電（將表轉(zhuǎn)回生產(chǎn)狀態(tài)，在生產(chǎn)狀態(tài)下用電）。這些都將會(huì)給供電部門造成巨大經(jīng)濟(jì)損失。b）卡表內(nèi)單片機(jī)程序被讀出而導(dǎo)致加密要素被黑客所知問題。很多表廠由于工期緊或生產(chǎn)不穩(wěn)定，卡表內(nèi)單片機(jī)使用0TP類型來現(xiàn)場(chǎng)燒錄。而很多單片機(jī)由于在燒錄過程中要比較，固而其程序機(jī)器碼可以讀出。通過反匯編可以得到源程序，通過分折源程序，可以誤出偷電和制作偽卡的方法。c）卡表電子模塊的抗干擾能力較差問題?？ū黼娮幽K若電壓變化的適應(yīng)能力較差（例如短時(shí)低壓造成死機(jī)而電壓恢復(fù)后不正常工作）、抗電源傳來的干擾能力差（例如電子整流器、負(fù)離子發(fā)生器、消毒紫外燈、帶開關(guān)電源的設(shè)備、微波爐或大負(fù)載通斷等）、抗外界干擾能力差（例如電表附近有電焊、沖擊電鉆、強(qiáng)發(fā)射電臺(tái)、手機(jī)等工作）而出現(xiàn)死機(jī)而又不關(guān)斷用戶電源，則用戶將不買卡而用電，從而造成無(wú)意識(shí)偷電。d）卡表防不留痕跡的惡意攻擊的問題。根據(jù)推測(cè)和介紹，惡意攻擊者將會(huì)采取在卡座中抵插入金屬片使卡座有關(guān)電路短路、用金屬鉤使某些結(jié)點(diǎn)短路、外加交流220V燒壞主IC、外加直流電壓燒壞電子模塊電源、外加靜電高壓（例如用煤氣點(diǎn)火氣、警棍）使主IC死機(jī)等方法使電表不留痕跡的破壞而達(dá)到偷電的目的。

    綜上所述，IC卡預(yù)付費(fèi)電度表的安全狀況非常嚴(yán)重，苦不解決上述問題并采取相應(yīng)防范措施，IC卡預(yù)付費(fèi)電度表的推廣及應(yīng)用將面臨極大困難，勉強(qiáng)使用，也難保不會(huì)給國(guó)家造成巨大損失。

    二、確保卡內(nèi)數(shù)據(jù)安全及防止單片機(jī)程序被讀的方法

    為了徹底解決卡內(nèi)數(shù)據(jù)的安全，我們?cè)诒本┕╇娋忠粦粢槐碇行牡闹笇?dǎo)下，按照《北京供電局一戶一表實(shí)施規(guī)范》的要求，使用了SAM機(jī)制來構(gòu)成卡表的基本安全機(jī)制，并使用西門子的CPU卡作為用戶卡，其卡的安全水平達(dá)到了金融級(jí)。其基本原理是：SAM模塊和CPU卡（均由供電局統(tǒng)一提供）互成一對(duì)，雙向相互進(jìn)行認(rèn)證（內(nèi)部認(rèn)證、外部認(rèn)證），并采用對(duì)隨機(jī)數(shù)進(jìn)行加密的方法來進(jìn)行密鑰的確認(rèn)，加上卡口的輸出數(shù)均為密文等嚴(yán)密的安全措施確保了卡內(nèi)密鑰無(wú)法獲得和破譯、卡內(nèi)數(shù)據(jù)無(wú)法進(jìn)行非法修改。我使用的CPU卡的安全性得到了人民銀行總行的確認(rèn)，所使用的SAM機(jī)制亦是人民銀行總行首推的安全機(jī)制。

至今，使用我們相同方案的IC卡，國(guó)內(nèi)外均無(wú)一例被破譯和復(fù)制的報(bào)告。

    為確?？ū淼陌踩?，北京規(guī)標(biāo)不設(shè)初始化卡。各生產(chǎn)廠家生產(chǎn)的電表，出廠前均使用供電局提供的更改密鑰卡進(jìn)行密鑰更改，密鑰更改后（對(duì)表中的SAM模塊進(jìn)行），除非同時(shí)掌握供電局和銀行分別控制的四組密鑰，方能將電表轉(zhuǎn)回生產(chǎn)狀態(tài)。否則，其營(yíng)運(yùn)狀態(tài)不可逆轉(zhuǎn)。如此徹底解決上述的初始化卡導(dǎo)致的問題。

    另外，在電表的單片機(jī)選型中，我們選用法國(guó)ST公司的ST62系列芯片。該系列芯片的0TP在燒錄并校驗(yàn)完程序后，可將外部讀寫線燒斷，使該芯片永遠(yuǎn)無(wú)法讀出內(nèi)藏的單片機(jī)程序，從而杜絕了破譯與作偽。即使從其它渠道掌握了源程序，但由于電表中有關(guān)密鑰部傷仍在SAM模塊中（該模塊由供電局提供并出廠前更換密鑰），破譯者也無(wú)法獲得密鑰。

    因此我們認(rèn)為，我們電表的數(shù)據(jù)安全性是非?？煽康?，即使是專業(yè)高手使用大型計(jì)算機(jī)，也無(wú)法做到通過卡片竊電。

    三、提高卡表電子模塊的抗干擾能力的主要途徑

    在我們的卡表設(shè)計(jì)中，我們選用國(guó)外用于機(jī)床控制、其抗干擾能為工業(yè)二級(jí)（其管腳點(diǎn)抗干擾能力比一般工業(yè)芯片高5倍）的ST62系列單片機(jī)，以確保電子模塊的基本抗干擾能力。另外，我們使用了國(guó)際上最先進(jìn)的鏡象干擾抑制法以除掉共模干擾、多重網(wǎng)路濾波去掉其它干擾、軟件狗及硬件狗自動(dòng)去除死機(jī)、片內(nèi)EEPRC0M防止數(shù)據(jù)丟失、安規(guī)電容去除瞬間高壓脈沖等多種綜合技術(shù)再加上精心布板、多種干擾模擬等方法確保了電子模塊的高抗干擾能力。

    產(chǎn)品設(shè)計(jì)成功后，我們將抽樣樣表送權(quán)威部門檢測(cè)，其抗擾能力大大高于IEC標(biāo)準(zhǔn)。例如，快速脈沖群可抗到6000V、靜電可抗到16KV、注射干擾可抗至5V／m在實(shí)際使用中，也從未發(fā)現(xiàn)過由于自然和人為干擾而造成電表死機(jī)的事件。

    四、提高卡表電子模塊的抗攻擊能力的方法

    在低成本實(shí)現(xiàn)抗惡意攻擊卡口技術(shù)方面，我們?cè)谌毡灸彻镜膸椭?，成功的開發(fā)出售價(jià)僅人民幣數(shù)元的四通道、五通道抗攻擊模塊。該模塊裝入外卡口到單片機(jī)管腳之間（含電源），若由外卡口任一引線之間加入AC不超過600V、DC不超過2500V、靜電不超過30000V（模塊有吸收靜電能量的功能）的各種電攻擊，模塊在不超過0.1ms內(nèi)將電攻擊隔離，當(dāng)電攻擊撤消后，外卡口到單片機(jī)管腳之間通道重新開通。經(jīng)日方充許，該技術(shù)我們己在國(guó)家專利局成功申請(qǐng)了專利，并投入了大批量使用。

    抗攻擊模塊的開發(fā)成功，使得卡口的抗攻擊問題得到了輕松的解決，若干原來較困難的事，現(xiàn)在變得非常簡(jiǎn)單。

    五、結(jié)束語(yǔ)

    經(jīng)過一年多的努力，在卡表的安全性上我們已取得一定的成果。這些成果的應(yīng)用，使得卡表成熟起來，可以進(jìn)行大批量使用。最近多位專家針對(duì)市場(chǎng)上的許多不良卡表提出了質(zhì)詢，這些想法與我們不謀而合。我們?cè)敢馀c眾多廠家一起，更進(jìn)一步提高卡表的安全性，讓用戶放心、供電部門放心、專家放心。以使卡表朝著正確方發(fā)展。