關(guān)于預(yù)付費(fèi)分時(shí)電能表及其系統(tǒng)安全性的探討
丁富民 思達(dá)儀表
預(yù)付費(fèi)分時(shí)電能表是一種具有IC卡通訊接口的分時(shí)計(jì)費(fèi)的有功電能計(jì)量?jī)x表，可以按照協(xié)議好的不同計(jì)費(fèi)時(shí)段的用電量及單價(jià)、預(yù)付金額或預(yù)購(gòu)電量付費(fèi)方式完成電能計(jì)量、數(shù)據(jù)處理以及用戶用電控制。
預(yù)付費(fèi)分時(shí)電能表及預(yù)付費(fèi)售電管理系統(tǒng)作為電能計(jì)量和用電結(jié)算的特殊的計(jì)量產(chǎn)品，應(yīng)該保證表計(jì)和系統(tǒng)在任何情況下都具有極高的安全性。包括精確、穩(wěn)定的計(jì)量功能，極強(qiáng)的抗電磁干擾、抗攻擊、耐惡劣環(huán)境的能力，以及在數(shù)據(jù)解密、交換過程中的高度安全，確保用電信息、結(jié)算方式正確可靠，保證用電、供電雙方的利益不受損害。
預(yù)付費(fèi)分時(shí)電能表作為這一系統(tǒng)的重要組成部分，與預(yù)付費(fèi)分時(shí)售電管理系統(tǒng)、預(yù)付費(fèi)表計(jì)密鑰管理系統(tǒng)（發(fā)卡），共同構(gòu)成一個(gè)有機(jī)整體，其安全性設(shè)計(jì)是技術(shù)關(guān)鍵。所以必須從卡片的安全性、表計(jì)生產(chǎn)過程的安全性、運(yùn)行管理的安全性等方面考驗(yàn)整個(gè)系統(tǒng)的安全性。
卡片的安全性
由于預(yù)付費(fèi)分時(shí)電能表用戶群體龐大，并且表計(jì)安裝后是通過IC卡進(jìn)行數(shù)據(jù)傳遞交換，管理系統(tǒng)無(wú)法實(shí)時(shí)監(jiān)控，因此必須要求用戶卡片具有較高的安全性。所以預(yù)付費(fèi)分時(shí)電表應(yīng)選用帶有密鑰控制的CPU卡。CPU卡在對(duì)數(shù)據(jù)進(jìn)行讀寫時(shí)必須要經(jīng)過密鑰認(rèn)證，由于密鑰是不可讀取的并且在實(shí)際操作中不可截獲的，因此CPU卡相對(duì)于其它類型IC卡而言，具有非常高的安全性。在卡片的發(fā)行過程中，對(duì)用戶卡中的密鑰進(jìn)行分散處理，最大限度地減少被黑客攻擊破譯系統(tǒng)密鑰的可能性，同時(shí)在用戶卡中傳遞的關(guān)鍵數(shù)據(jù)進(jìn)行加密保護(hù)處理，以防止非法篡改數(shù)據(jù)的可能性。
智能卡(CPU卡)比邏輯加密卡有如下優(yōu)勢(shì)：
 智能卡比邏輯加密卡具有更高的安全性
智能卡的安全性是建立在專用、安全的微處理器硬件平臺(tái)和安全、可靠的軟件操作系統(tǒng)（COS）基礎(chǔ)之上。邏輯加密卡只靠邏輯電路實(shí)現(xiàn)數(shù)據(jù)保護(hù)。智能卡除了能實(shí)現(xiàn)一般邏輯加密卡的密碼校驗(yàn)之外，還有建立在密鑰和安全算法基礎(chǔ)上更為安全的認(rèn)證機(jī)制，認(rèn)證過程以隨機(jī)數(shù)為載體，認(rèn)證碼無(wú)法重復(fù)和跟蹤，可以防止通過在線測(cè)試對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析、篡改和重放。一般邏輯加密卡的密碼校驗(yàn)過程沒有隨機(jī)性，密碼傳輸過程是明文的，可以測(cè)試并分析出卡片的密碼。智能卡支持非常靈活的密鑰系統(tǒng)設(shè)計(jì)，可以根據(jù)需求設(shè)計(jì)多種邏輯組合的文件訪問權(quán)限，例如對(duì)于電子錢包，很容易把消費(fèi)和充值由不同的密鑰控制。一般的邏輯加密卡如果用來(lái)做電子錢包，消費(fèi)和充值可能由一個(gè)密碼保護(hù)，安全性很差。
 智能卡比邏輯加密卡具有更大的靈活性
智能卡由操作系統(tǒng)管理芯片的硬件資源，可以根據(jù)需求，自由設(shè)計(jì)不同應(yīng)用文件的密鑰系統(tǒng)，在邏輯上和物理上保證了一卡多用在安全性、靈活性方面的要求。
 智能卡比邏輯加密卡具有更好的標(biāo)準(zhǔn)性
智能卡在通訊協(xié)議、文件和命令等方面有深入、全面的國(guó)際標(biāo)準(zhǔn)可以遵循。而且其外部特性可以通過操作系統(tǒng)進(jìn)行擴(kuò)充和修改，實(shí)現(xiàn)更好的兼容性和功能擴(kuò)展性。邏輯加密卡在通訊協(xié)議、讀寫特性和存儲(chǔ)區(qū)劃分等方面沒有嚴(yán)格的標(biāo)準(zhǔn)，不同型號(hào)的產(chǎn)品不能通用，限制了產(chǎn)品的選擇空間和產(chǎn)品供應(yīng)的連續(xù)性，在很大程度上縮短了系統(tǒng)的生命周期。
表計(jì)生產(chǎn)、運(yùn)行過程的安全性
嚴(yán)格區(qū)分表計(jì)的生產(chǎn)過程和運(yùn)行管理過程，保證表計(jì)一旦安裝運(yùn)行，對(duì)其中任何數(shù)據(jù)的修改都應(yīng)該在運(yùn)行管理系統(tǒng)的控制下進(jìn)行，堅(jiān)決杜絕生產(chǎn)廠家或管理部門工作人員持有特殊工具卡可以不經(jīng)過管理系統(tǒng)，而對(duì)表計(jì)數(shù)據(jù)進(jìn)行改寫。為保證這一點(diǎn)，應(yīng)在電卡表中安裝ESAM安全認(rèn)證模塊。
ESAM（Embedded Secure Access Module）嵌入式安全控制模塊采用現(xiàn)成的產(chǎn)品(如將CPU卡操作系統(tǒng)COS----置入帶封裝的同類芯片內(nèi)，此COS系統(tǒng)和卡上COS系統(tǒng)有個(gè)別差異), 具有完善的安全機(jī)制、標(biāo)準(zhǔn)的加密算法、可根據(jù)分散因子產(chǎn)生子密鑰等特點(diǎn)。
ESAM特殊的安全屬性使它可以嵌入到其他任何具有安全要求的智能設(shè)備中，完成文件的安全存儲(chǔ)、數(shù)字簽名、數(shù)據(jù)加密解密、雙向身份認(rèn)證、內(nèi)部分散密鑰、電子錢包、通訊線路保護(hù)等多種功能。
ESAM安全認(rèn)證模塊用來(lái)存儲(chǔ)表中的數(shù)據(jù)和安全密鑰，在運(yùn)行過程中由用戶卡和ESAM安全模塊進(jìn)行安全認(rèn)證和數(shù)據(jù)傳輸，ESAM安全模塊由運(yùn)行管理系統(tǒng)管理。在卡表生產(chǎn)完畢測(cè)試合格后用管理系統(tǒng)提供的修改密鑰卡將ESAM安全模塊中的密鑰修改為運(yùn)行密鑰，這樣未經(jīng)授權(quán)，表計(jì)生產(chǎn)廠任何人都不可以對(duì)表里的數(shù)據(jù)進(jìn)行修改。
ESAM安全模塊可由電能表運(yùn)行管理部門制作,然后發(fā)給電能表生產(chǎn)廠商。
運(yùn)行管理的安全性
在預(yù)付費(fèi)分時(shí)售電管理系統(tǒng)中，系統(tǒng)的安全主要取決于密鑰的發(fā)行和管理，因此必須有一套合適的卡片以及ESAM安全模塊密鑰發(fā)行和傳遞方式。由于系統(tǒng)的組成環(huán)節(jié)中有銀行、城市公用事業(yè)（水、電、氣、熱）管理部門、表計(jì)生產(chǎn)廠、卡片供應(yīng)商和系統(tǒng)集成商等，各個(gè)環(huán)節(jié)都涉及到密鑰管理，如果密鑰在傳遞過程中被竊取，系統(tǒng)的安全性將受到極大影響，所以必須要有卡片發(fā)行和密鑰管理機(jī)構(gòu)。密鑰發(fā)行傳遞采用總控卡、一級(jí)母卡、二級(jí)母卡、應(yīng)用卡的多級(jí)方式，每一級(jí)在向下傳遞時(shí)采用密文線路保護(hù)方式或密鑰密文導(dǎo)出方式。
因此,在預(yù)付費(fèi)分時(shí)售電管理系統(tǒng)中，有專門的密鑰管理系統(tǒng)和售電管理系統(tǒng),兩個(gè)系統(tǒng)各自獨(dú)立運(yùn)行。密鑰管理系統(tǒng)由電能表運(yùn)行管理部門控制，售電管理系統(tǒng)接受密鑰管理系統(tǒng)控制，其各個(gè)子系統(tǒng)根據(jù)各自的功能和權(quán)限完成各自的日常工作，系統(tǒng)運(yùn)行數(shù)據(jù)由中心計(jì)算機(jī)專用數(shù)據(jù)庫(kù)管理，系統(tǒng)和電能表所使用的卡只能接受特定的密鑰管理系統(tǒng)發(fā)行的卡。可參考附圖。

ESAM模塊在表計(jì)中的安全作用
在密鑰管理系統(tǒng)中，供電管理部門負(fù)責(zé)密鑰管理，并可將系統(tǒng)相關(guān)協(xié)議公開化，就可以做到由電能表運(yùn)行部門（供電部門）發(fā)行ESAM模塊，各電能表生產(chǎn)廠家按系統(tǒng)公開的相關(guān)協(xié)議和接收到的專用ESAM模塊生產(chǎn)指定用戶的電能表。
ESAM模塊在電能表中不直接和IC卡有硬件上的聯(lián)系，而是通過電能表上的主控芯片進(jìn)行數(shù)據(jù)傳送，以和IC卡進(jìn)行密鑰認(rèn)證和數(shù)據(jù)交換。電能表上的主控芯片只負(fù)責(zé)IC卡和ESAM模塊的數(shù)據(jù)交換，不進(jìn)行密鑰認(rèn)證和數(shù)據(jù)處理。

ESAM模塊在表計(jì)的實(shí)際應(yīng)用中以文件的形式存儲(chǔ)購(gòu)電數(shù)據(jù)、重要設(shè)置參數(shù)和工作主密鑰,在條件滿足的情況下允許讀寫和更改。ESAM模塊內(nèi)處于生產(chǎn)狀態(tài)的各種密鑰可由表計(jì)運(yùn)行管理部門（供電部門）通過修改主密鑰卡修改為運(yùn)行狀態(tài)下的密鑰；向ESAM模塊寫入購(gòu)電數(shù)據(jù)、重要設(shè)置參數(shù)等需要經(jīng)過ESAM模塊和用戶卡之間的多級(jí)密鑰安全認(rèn)證后才可寫入；而電能表中的MCU只能進(jìn)行ESAM模塊中購(gòu)電量/購(gòu)電金額的遞減操作、各運(yùn)行設(shè)置參數(shù)的讀取操作，不能修改ESAM模塊中的設(shè)置參數(shù)或追加購(gòu)電數(shù)據(jù)。