關(guān)于預付費分時電能表及其系統(tǒng)安全性的探討
丁富民 思達儀表
預付費分時電能表是一種具有IC卡通訊接口的分時計費的有功電能計量儀表，可以按照協(xié)議好的不同計費時段的用電量及單價、預付金額或預購電量付費方式完成電能計量、數(shù)據(jù)處理以及用戶用電控制。
預付費分時電能表及預付費售電管理系統(tǒng)作為電能計量和用電結(jié)算的特殊的計量產(chǎn)品，應該保證表計和系統(tǒng)在任何情況下都具有極高的安全性。包括精確、穩(wěn)定的計量功能，極強的抗電磁干擾、抗攻擊、耐惡劣環(huán)境的能力，以及在數(shù)據(jù)解密、交換過程中的高度安全，確保用電信息、結(jié)算方式正確可靠，保證用電、供電雙方的利益不受損害。
預付費分時電能表作為這一系統(tǒng)的重要組成部分，與預付費分時售電管理系統(tǒng)、預付費表計密鑰管理系統(tǒng)（發(fā)卡），共同構(gòu)成一個有機整體，其安全性設計是技術(shù)關(guān)鍵。所以必須從卡片的安全性、表計生產(chǎn)過程的安全性、運行管理的安全性等方面考驗整個系統(tǒng)的安全性。
卡片的安全性
由于預付費分時電能表用戶群體龐大，并且表計安裝后是通過IC卡進行數(shù)據(jù)傳遞交換，管理系統(tǒng)無法實時監(jiān)控，因此必須要求用戶卡片具有較高的安全性。所以預付費分時電表應選用帶有密鑰控制的CPU卡。CPU卡在對數(shù)據(jù)進行讀寫時必須要經(jīng)過密鑰認證，由于密鑰是不可讀取的并且在實際操作中不可截獲的，因此CPU卡相對于其它類型IC卡而言，具有非常高的安全性。在卡片的發(fā)行過程中，對用戶卡中的密鑰進行分散處理，最大限度地減少被黑客攻擊破譯系統(tǒng)密鑰的可能性，同時在用戶卡中傳遞的關(guān)鍵數(shù)據(jù)進行加密保護處理，以防止非法篡改數(shù)據(jù)的可能性。
智能卡(CPU卡)比邏輯加密卡有如下優(yōu)勢：
 智能卡比邏輯加密卡具有更高的安全性
智能卡的安全性是建立在專用、安全的微處理器硬件平臺和安全、可靠的軟件操作系統(tǒng)（COS）基礎之上。邏輯加密卡只靠邏輯電路實現(xiàn)數(shù)據(jù)保護。智能卡除了能實現(xiàn)一般邏輯加密卡的密碼校驗之外，還有建立在密鑰和安全算法基礎上更為安全的認證機制，認證過程以隨機數(shù)為載體，認證碼無法重復和跟蹤，可以防止通過在線測試對相關(guān)數(shù)據(jù)進行分析、篡改和重放。一般邏輯加密卡的密碼校驗過程沒有隨機性，密碼傳輸過程是明文的，可以測試并分析出卡片的密碼。智能卡支持非常靈活的密鑰系統(tǒng)設計，可以根據(jù)需求設計多種邏輯組合的文件訪問權(quán)限，例如對于電子錢包，很容易把消費和充值由不同的密鑰控制。一般的邏輯加密卡如果用來做電子錢包，消費和充值可能由一個密碼保護，安全性很差。
 智能卡比邏輯加密卡具有更大的靈活性
智能卡由操作系統(tǒng)管理芯片的硬件資源，可以根據(jù)需求，自由設計不同應用文件的密鑰系統(tǒng)，在邏輯上和物理上保證了一卡多用在安全性、靈活性方面的要求。
 智能卡比邏輯加密卡具有更好的標準性
智能卡在通訊協(xié)議、文件和命令等方面有深入、全面的國際標準可以遵循。而且其外部特性可以通過操作系統(tǒng)進行擴充和修改，實現(xiàn)更好的兼容性和功能擴展性。邏輯加密卡在通訊協(xié)議、讀寫特性和存儲區(qū)劃分等方面沒有嚴格的標準，不同型號的產(chǎn)品不能通用，限制了產(chǎn)品的選擇空間和產(chǎn)品供應的連續(xù)性，在很大程度上縮短了系統(tǒng)的生命周期。
表計生產(chǎn)、運行過程的安全性
嚴格區(qū)分表計的生產(chǎn)過程和運行管理過程，保證表計一旦安裝運行，對其中任何數(shù)據(jù)的修改都應該在運行管理系統(tǒng)的控制下進行，堅決杜絕生產(chǎn)廠家或管理部門工作人員持有特殊工具卡可以不經(jīng)過管理系統(tǒng)，而對表計數(shù)據(jù)進行改寫。為保證這一點，應在電卡表中安裝ESAM安全認證模塊。
ESAM（Embedded Secure Access Module）嵌入式安全控制模塊采用現(xiàn)成的產(chǎn)品(如將CPU卡操作系統(tǒng)COS----置入帶封裝的同類芯片內(nèi)，此COS系統(tǒng)和卡上COS系統(tǒng)有個別差異), 具有完善的安全機制、標準的加密算法、可根據(jù)分散因子產(chǎn)生子密鑰等特點。
ESAM特殊的安全屬性使它可以嵌入到其他任何具有安全要求的智能設備中，完成文件的安全存儲、數(shù)字簽名、數(shù)據(jù)加密解密、雙向身份認證、內(nèi)部分散密鑰、電子錢包、通訊線路保護等多種功能。
ESAM安全認證模塊用來存儲表中的數(shù)據(jù)和安全密鑰，在運行過程中由用戶卡和ESAM安全模塊進行安全認證和數(shù)據(jù)傳輸，ESAM安全模塊由運行管理系統(tǒng)管理。在卡表生產(chǎn)完畢測試合格后用管理系統(tǒng)提供的修改密鑰卡將ESAM安全模塊中的密鑰修改為運行密鑰，這樣未經(jīng)授權(quán)，表計生產(chǎn)廠任何人都不可以對表里的數(shù)據(jù)進行修改。
ESAM安全模塊可由電能表運行管理部門制作,然后發(fā)給電能表生產(chǎn)廠商。
運行管理的安全性
在預付費分時售電管理系統(tǒng)中，系統(tǒng)的安全主要取決于密鑰的發(fā)行和管理，因此必須有一套合適的卡片以及ESAM安全模塊密鑰發(fā)行和傳遞方式。由于系統(tǒng)的組成環(huán)節(jié)中有銀行、城市公用事業(yè)（水、電、氣、熱）管理部門、表計生產(chǎn)廠、卡片供應商和系統(tǒng)集成商等，各個環(huán)節(jié)都涉及到密鑰管理，如果密鑰在傳遞過程中被竊取，系統(tǒng)的安全性將受到極大影響，所以必須要有卡片發(fā)行和密鑰管理機構(gòu)。密鑰發(fā)行傳遞采用總控卡、一級母卡、二級母卡、應用卡的多級方式，每一級在向下傳遞時采用密文線路保護方式或密鑰密文導出方式。
因此,在預付費分時售電管理系統(tǒng)中，有專門的密鑰管理系統(tǒng)和售電管理系統(tǒng),兩個系統(tǒng)各自獨立運行。密鑰管理系統(tǒng)由電能表運行管理部門控制，售電管理系統(tǒng)接受密鑰管理系統(tǒng)控制，其各個子系統(tǒng)根據(jù)各自的功能和權(quán)限完成各自的日常工作，系統(tǒng)運行數(shù)據(jù)由中心計算機專用數(shù)據(jù)庫管理，系統(tǒng)和電能表所使用的卡只能接受特定的密鑰管理系統(tǒng)發(fā)行的卡?？蓞⒖几綀D。

ESAM模塊在表計中的安全作用
在密鑰管理系統(tǒng)中，供電管理部門負責密鑰管理，并可將系統(tǒng)相關(guān)協(xié)議公開化，就可以做到由電能表運行部門（供電部門）發(fā)行ESAM模塊，各電能表生產(chǎn)廠家按系統(tǒng)公開的相關(guān)協(xié)議和接收到的專用ESAM模塊生產(chǎn)指定用戶的電能表。
ESAM模塊在電能表中不直接和IC卡有硬件上的聯(lián)系，而是通過電能表上的主控芯片進行數(shù)據(jù)傳送，以和IC卡進行密鑰認證和數(shù)據(jù)交換。電能表上的主控芯片只負責IC卡和ESAM模塊的數(shù)據(jù)交換，不進行密鑰認證和數(shù)據(jù)處理。

ESAM模塊在表計的實際應用中以文件的形式存儲購電數(shù)據(jù)、重要設置參數(shù)和工作主密鑰,在條件滿足的情況下允許讀寫和更改。ESAM模塊內(nèi)處于生產(chǎn)狀態(tài)的各種密鑰可由表計運行管理部門（供電部門）通過修改主密鑰卡修改為運行狀態(tài)下的密鑰；向ESAM模塊寫入購電數(shù)據(jù)、重要設置參數(shù)等需要經(jīng)過ESAM模塊和用戶卡之間的多級密鑰安全認證后才可寫入；而電能表中的MCU只能進行ESAM模塊中購電量/購電金額的遞減操作、各運行設置參數(shù)的讀取操作，不能修改ESAM模塊中的設置參數(shù)或追加購電數(shù)據(jù)。