周泰來 余志誠(chéng)

（海南核電有限公司 海南昌江）

一卡通系統(tǒng)，就是在用戶使用同一張非接觸感應(yīng)卡或使用手機(jī)中特制的SIM卡，實(shí)現(xiàn)諸如門禁、考勤、就餐、消費(fèi)、停車場(chǎng)出入，巡邏簽到、會(huì)議簽到，電梯使用等多種功能。使得用戶可以只攜帶一張卡就實(shí)現(xiàn)多種用途，減少攜帶多張卡片的麻煩。一卡通系統(tǒng)發(fā)展至今，無論從功能上，還是技術(shù)上，都已經(jīng)非常成熟。海南核電辦公一卡通系統(tǒng)在設(shè)計(jì)初期，便考慮到了后期的擴(kuò)展問題，即將辦公一卡通系統(tǒng)與核電廠廠區(qū)出入控制系統(tǒng)（以下簡(jiǎn)稱KKK系統(tǒng)）在用卡上實(shí)現(xiàn)整合，從而，方便員工使用，真正做到手持一卡，通達(dá)全廠。因此，海南核電在此系統(tǒng)的設(shè)計(jì)初期，便制定了實(shí)施路線，先做好辦公一卡通系統(tǒng)，然后再力求將其與KKK系統(tǒng)在用卡上進(jìn)行整合（圖1）。

圖1 實(shí)施路線

一、辦公一卡通系統(tǒng)的實(shí)施

一卡通系統(tǒng)是成熟的系統(tǒng)，但是如何實(shí)現(xiàn)海南核電辦公一卡通系統(tǒng)和廠區(qū)KKK系統(tǒng)在用卡上的整合，這一點(diǎn)是其他兄弟單位從未有過先例的。海南核電是個(gè)新項(xiàng)目，利用這個(gè)優(yōu)勢(shì)，或可極大便利此兩系統(tǒng)的，或者其他更多系統(tǒng)的用卡整合。所以，辦公一卡通系統(tǒng)，除了要以成功實(shí)施為目的外，還要兼顧與KKK系統(tǒng)的整合。

1.選型

一卡通系統(tǒng)的選型階段，需要關(guān)注的問題有：①辦公一卡通系統(tǒng)本身是安全的、高效的；②辦公一卡通系統(tǒng)中的用卡，是可以實(shí)現(xiàn)后期與KKK系統(tǒng)整合的，并完全符合KKK系統(tǒng)安全要求的。

通過分析，為滿足此兩項(xiàng)要求，根本問題是在每位員工手上持有的卡片上做文章。一卡通系統(tǒng)使用的卡類型是非常豐富的，主流M1卡、ID卡、CPU卡，那么，選擇什么類型的卡才能確保海南核電的一卡通系統(tǒng)的安全，是海南核電在卡片選型階段最關(guān)注的問題。經(jīng)過查閱資料得知，早在2008年，互聯(lián)網(wǎng)上就已經(jīng)公布了破解Mifare Classic IC芯片（M1芯片）密碼的方法，同時(shí)集團(tuán)公司也對(duì)專門發(fā)文通報(bào)了M1卡安全隱患，對(duì)新建項(xiàng)目要杜絕使用此類型卡片。無論是技術(shù)層面還是政策層面，使用M1卡已經(jīng)是絕無可能了，故重點(diǎn)關(guān)注到了CPU卡，雖然CPU卡的價(jià)格比M1卡要貴3～5倍，但是CPU卡的先進(jìn)性和安全性是M1卡無法企及的。

（1）先進(jìn)性。CPU卡可以作為銀行的金融卡使用，代表當(dāng)前IC卡應(yīng)用的最高安全等級(jí)，正成為IC卡應(yīng)用中的主流產(chǎn)品。

（2）規(guī)范性。支持符合ISO 7816-3標(biāo)準(zhǔn)的T=0、T=1通信協(xié)議，符合《中國(guó)金融集成電路（IC）卡規(guī)范》、《中國(guó)金融集成電路（IC）卡應(yīng)用規(guī)范》，支持符合銀行規(guī)范的電子錢包、電子存折功能。

（3）兼容性。由于有中國(guó)人民銀行的統(tǒng)一規(guī)范及嚴(yán)格檢測(cè)，CPU卡具有很好的兼容性、安全性。芯片和COS的安全技術(shù)為CPU卡提供了雙重的安全保證；支持DES、TripleDES等加密算法，支持線路加密、線路保密功能，防止通信數(shù)據(jù)被非法竊取或篡改，使用過程密鑰實(shí)現(xiàn)加密、解密。

（4）可擴(kuò)展性?？ㄆС侄喾N容量選擇，如2 KB、4 KB、8 KB、16 KB、32 KB的EEPROM空間。CPU卡從卡結(jié)構(gòu)到卡容量可以很容易擴(kuò)展到多種應(yīng)用，可以與銀行聯(lián)合，實(shí)現(xiàn)真正意義上的一卡多用。

（5）安全性。與邏輯加密卡相比，由于智能卡內(nèi)部具有CPU芯片，在具有數(shù)據(jù)判斷能力的同時(shí)，也具備了數(shù)據(jù)分析處理能力，因此智能卡可以隨時(shí)區(qū)分合法和非法讀寫設(shè)備，并且由于有了CPU芯片，具備數(shù)據(jù)運(yùn)算能力，還可以對(duì)數(shù)據(jù)進(jìn)行加密解密處理，因此具有非常高的安全性。CPU卡是在將EEPROM芯片封裝在卡片上的同時(shí)，將微處理器芯片（CPU）也封裝在里面。這樣，EEPROM的數(shù)據(jù)接口在任何情況下都不會(huì)與IC卡的對(duì)外數(shù)據(jù)線相連接。外部讀寫設(shè)備只能通過CPU與IC卡內(nèi)的EEPROM進(jìn)行數(shù)據(jù)交換，在任何情況下都不能再訪問到EEP-ROM中的任何一個(gè)單元。

在確定CPU卡后，為了保證安全，CPU卡的芯片應(yīng)采用通過國(guó)密算法的芯片。目前，國(guó)內(nèi)采用國(guó)密算法CPU芯片的有兩家，一家是清華同方、一家是復(fù)旦微電子。因后者沒有消費(fèi)功能，最終海南核電選擇了采用國(guó)密算法的復(fù)旦微電子芯片的CPU卡片。

依賴于CPU卡的安全性，可以在此卡片上整合多項(xiàng)應(yīng)用，從而實(shí)現(xiàn)應(yīng)用的單獨(dú)授權(quán)、系統(tǒng)獨(dú)立。

通過將CPU卡片設(shè)置為扇區(qū)授權(quán)的方式，并將員工持有的卡片上單獨(dú)抽出5個(gè)卡片扇區(qū)（海南核電CPU卡共有16個(gè)扇區(qū)），以整合廠區(qū)出入控制系統(tǒng)使用。這5個(gè)扇區(qū)對(duì)應(yīng)已使用的扇區(qū)是相互獨(dú)立的，并未經(jīng)現(xiàn)有一卡通系統(tǒng)廠商的加密，后期廠區(qū)出入控制系統(tǒng)可以在這5個(gè)扇區(qū)上進(jìn)行扇區(qū)獨(dú)自加密，數(shù)據(jù)獨(dú)立讀寫。在選型階段，也為后期的整合設(shè)計(jì)制定了原則：卡片整合，系統(tǒng)分離，安全可靠。①卡片整合、扇區(qū)獨(dú)立。以海南核電員工辦公一卡通中所在使用的CPU卡作為用戶端介質(zhì)，在卡片劃分辦公一卡通系統(tǒng)和廠區(qū)出入控制系統(tǒng)使用的獨(dú)立扇區(qū)。②系統(tǒng)分離、獨(dú)立授權(quán)。辦公一卡通系統(tǒng)和廠區(qū)出入控制系統(tǒng)之間不存在數(shù)據(jù)接口的集成，相對(duì)于卡片而言，就各自系統(tǒng)進(jìn)行分開授權(quán)，不存在交叉授權(quán)的可能。③安全可靠。雙方系統(tǒng)均構(gòu)架于CPU卡芯片之上，遵循國(guó)密算法。

2.方案

海南核電按照“集中管理、分布使用”、“集中認(rèn)證、分散授權(quán)”的原則，在滿足智能化和自動(dòng)化的的要求基礎(chǔ)上，于?？谛藕愦髲B辦公樓建設(shè)初期，提出了辦公一卡通整體解決方案，對(duì)海南核電辦公一卡通系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃，分步實(shí)施，逐步實(shí)現(xiàn)身份識(shí)別、電子支付、信息管理等功能，先從?？陂_始，逐步與其他系統(tǒng)相整合，以覆蓋整個(gè)昌江廠區(qū)，建立真正意義上的數(shù)字化企業(yè)一卡通系統(tǒng)。

其實(shí)，一卡通系統(tǒng)在一個(gè)企業(yè)的成功實(shí)施，需要確認(rèn)最重要的兩點(diǎn)是：①部門職能與分工，即卡務(wù)管理，發(fā)卡、收卡、授權(quán)、消費(fèi)等主要流程確定和相關(guān)處室的職責(zé)分工等；②卡片選型與劃分，即選用卡片的型號(hào)，扇區(qū)的規(guī)劃等。

以上兩點(diǎn)，前者關(guān)系著一卡通在海南核電中順利推進(jìn)與實(shí)施的關(guān)鍵，后者更是直接關(guān)系到一卡通系統(tǒng)的擴(kuò)展能力。針對(duì)前期調(diào)研與交流的成果，編寫了《海南核電一卡通項(xiàng)目可行性方案》，方案對(duì)系統(tǒng)建設(shè)總體規(guī)劃 、建設(shè)規(guī)模、卡片規(guī)劃、卡務(wù)、實(shí)施進(jìn)度等進(jìn)行了詳細(xì)闡述。為一卡通系統(tǒng)在海南核電的實(shí)施打下了堅(jiān)實(shí)的基礎(chǔ)和良好的開端。項(xiàng)目實(shí)施前主要有兩項(xiàng)重要工作：①確定功能范圍；②選擇安全穩(wěn)定平臺(tái)。

（1）確定功能范圍。消費(fèi)系統(tǒng)主要用在食堂、公司購(gòu)物點(diǎn)（超市、小賣部等）、乘車，通過刷卡即可進(jìn)行消費(fèi)支付。辦公一卡通一期工程中，此子系統(tǒng)部署在食堂消費(fèi)。海南核電?？谵k公樓的食堂，位于信恒大廈的地下一層和地上四層，售餐窗口配置消費(fèi)終端，員工持卡在食堂就餐時(shí)，劃卡消費(fèi)，代替了紙質(zhì)餐劵。每個(gè)餐廳配置員工自助終端，員工可在自助終端上進(jìn)行補(bǔ)助發(fā)放、自助查詢、自助掛失。

門禁系統(tǒng)的實(shí)施，第一，保證重要辦公室的財(cái)產(chǎn)、文件的安全，外人不能隨意進(jìn)入；第二，所有人員進(jìn)入辦公室都會(huì)有記錄產(chǎn)生，便于異常情況下的追溯；第三，不需專人管理鑰匙，專人來開門，如果每人一把鑰匙又失去安全管理的意義；第四，鑰匙丟失后，為保安全就必需得換鎖，而門禁的卡片不同，丟失了掛失即可防再次使用，補(bǔ)發(fā)一張新卡即可開通開門功能，方便快捷，維護(hù)成本低。

對(duì)員工所持卡片進(jìn)行授權(quán)，限制其可開啟的門禁，達(dá)到訪問控制效果，以控制人員的出入、員工的可訪問范圍。?？谛藕愦髲B辦公樓內(nèi)，海南核電位于其19至28層，門禁部署于部分工作區(qū)、辦公室，授權(quán)員工通過在門禁終端上劃卡對(duì)后進(jìn)入。海南核電辦公一卡通系統(tǒng)一期工程中實(shí)施的門禁管理子系統(tǒng)和消費(fèi)管理子系統(tǒng)，現(xiàn)已是員工重點(diǎn)地區(qū)出入和食堂就餐消費(fèi)的日常工具，其方便快捷的使用方式，為我公司員工所稱贊。而其即時(shí)詳盡的賬目記錄，亦使得消費(fèi)資金管理人員，在賬目核對(duì)上更為準(zhǔn)確、簡(jiǎn)易。

（2）選擇安全穩(wěn)定平臺(tái)。一卡通系統(tǒng)的部署涉及到了資金和出入安全等事項(xiàng)，除了用卡的安全性上需要著重考慮，其系統(tǒng)平臺(tái)的安全性、高可用性也應(yīng)考慮其中。

①基于TCP/IP網(wǎng)絡(luò)。此一卡通系統(tǒng)基于TCP/IP網(wǎng)絡(luò)，使得系統(tǒng)和終端控制器通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的傳輸，這樣保證了在海南核電網(wǎng)絡(luò)可達(dá)的地方，均可以使用一卡通系統(tǒng)，也因網(wǎng)絡(luò)復(fù)用，而降低了一卡通的布線成本。

②在線和離線記錄。為了保證數(shù)據(jù)的實(shí)時(shí)性，大都采用在線記錄，但是還有很多情況下，不具備網(wǎng)絡(luò)條件，如班車刷卡、加油站加油等，在這種情況下就需要離線設(shè)備，完成離線記錄。然后通過讀卡器進(jìn)數(shù)據(jù)讀到數(shù)據(jù)庫(kù)，進(jìn)行同步。系統(tǒng)對(duì)離線記錄的支持，大大提高了系統(tǒng)的擴(kuò)展性。對(duì)于在網(wǎng)絡(luò)狀況不暢通，甚至故障中斷的情況可由在線記錄轉(zhuǎn)為離線記錄，以提高系統(tǒng)的可用性。

③網(wǎng)絡(luò)安全。由于涉及到了資金流向等情況，需要使網(wǎng)絡(luò)高度安全、可靠。將一卡通系統(tǒng)的終端設(shè)備放置在交換機(jī)的孤立Vlan中，此Vlan只能和服務(wù)器區(qū)的一卡通系統(tǒng)服務(wù)器進(jìn)行通信，不和其它網(wǎng)段通信，以避免因計(jì)算機(jī)病毒而導(dǎo)致的網(wǎng)絡(luò)故障，或人為因素的誤接入。

④數(shù)據(jù)庫(kù)安全。數(shù)據(jù)庫(kù)和其他辦公數(shù)據(jù)庫(kù)分離，以保障數(shù)據(jù)庫(kù)安全。一卡通數(shù)據(jù)庫(kù)如須提供對(duì)外接口，也只能使用“讀取”的方式，如OA系統(tǒng)、人力資源系統(tǒng)僅可讀一卡通系統(tǒng)的數(shù)據(jù)庫(kù)。在終端設(shè)備上也有數(shù)據(jù)記錄，這種方式可以避免因網(wǎng)絡(luò)中斷而導(dǎo)致數(shù)據(jù)無法記錄至一卡通核心數(shù)據(jù)庫(kù)中，故障后同步即可。

3.實(shí)施

在辦公一卡通的實(shí)施過程中，遇到了諸多的問題，或是技術(shù)，或是業(yè)務(wù)，但在公司各處室的通力配合，以及施工人員的細(xì)致分析，這些問題，均得到了很好的結(jié)局。一卡通系統(tǒng)是一個(gè)成熟的系統(tǒng)，但在其部署，以及結(jié)尾測(cè)試的時(shí)候，仍然有許多的問題需要逐一解決。

（1）預(yù)留扇區(qū)被加密。為了便于公司的其他用卡系統(tǒng)可以和此系統(tǒng)在用卡上實(shí)現(xiàn)整合。在施工前期，已要求，在訂制的卡片上預(yù)留空白扇區(qū)，以便公司其他系統(tǒng)可自行加密、讀寫。但是，因乙方單位的卡片扇區(qū)為“一卡一密；一扇一密”，故在第一次給公司制卡時(shí)，未能完全理解我方需求，導(dǎo)致將預(yù)留扇區(qū)也進(jìn)行了加密。在項(xiàng)目近竣工時(shí)，公司對(duì)實(shí)施細(xì)節(jié)一一復(fù)審，發(fā)現(xiàn)了此問題，及時(shí)地要求乙方進(jìn)行了重新制卡。

（2）證卡打印效果欠佳。為方便進(jìn)行員工卡片的卡面制作，此系統(tǒng)配置了證卡打印機(jī)，但是，進(jìn)過實(shí)際的操作，發(fā)現(xiàn)此打印機(jī)的打印效果欠佳。之后，調(diào)整了打印機(jī)的初始色彩設(shè)置，并且更換了證卡打印軟件，才使得打印效果可以接受，但對(duì)比工廠印刷的效果還是較次。今后，建議對(duì)批量入職的人員，采用批量卡膜印刷的方式，這樣，一則，卡面圖案的效果較好；二則，印刷在卡片粘膜上，可以重復(fù)利用此卡。

（3）消費(fèi)機(jī)頻繁離線。出現(xiàn)消費(fèi)機(jī)機(jī)頻繁離線的問題，在確認(rèn)各項(xiàng)系統(tǒng)配置均正確之后，將注意力轉(zhuǎn)移到網(wǎng)絡(luò)環(huán)境上。之后，將此消費(fèi)機(jī)所連的交換機(jī)的時(shí)間通過NTP（網(wǎng)絡(luò)授時(shí)）同步后，頻繁離線的問題得到了解決。

二、與KKK系統(tǒng)整合方案

海南核電的辦公一卡通系統(tǒng)和KKK系統(tǒng)的整合，以完全的遵從KKK系統(tǒng)設(shè)計(jì)中的信息安全要求為前提。利用海南核電現(xiàn)有辦公一卡通系統(tǒng)中CPU卡空余的5個(gè)未加密扇區(qū)，將它們作為KKK系統(tǒng)使用所需的扇區(qū)，這樣可以達(dá)到員工持有一張卡，充分利用已有資源的效果。現(xiàn)海南核電CPU卡的扇區(qū)使用情況如下，圖2為扇區(qū)劃分示意圖，1扇區(qū)——基礎(chǔ)信息扇區(qū)；2扇區(qū)——公共交換扇 區(qū) ；3～6、12～15扇區(qū)——廠區(qū)一卡通系統(tǒng)；7～11扇區(qū)——未加密扇區(qū)，以供KKK系統(tǒng)使用。若要實(shí)現(xiàn)整合，面臨的問題主要是：①整合后，兩系統(tǒng)仍保持獨(dú)立，系統(tǒng)間的數(shù)據(jù)不可以共享；②CPU卡片上的兩個(gè)系統(tǒng)授權(quán)是單一的，不可以交叉授權(quán)；③CPU卡的安全加密體系仍然要滿足CPU卡的國(guó)密算法要求。示意圖見圖3。

圖2 扇區(qū)劃分示意圖

圖3 問題示意圖

此項(xiàng)CPU卡的整合方案，是構(gòu)建于，且只能構(gòu)建于一套加密算法體系，以及此體系產(chǎn)生的一個(gè)根密鑰之上的。海南核電，現(xiàn)在所使用的辦公一卡通系統(tǒng)是復(fù)旦微的加密體系，廠區(qū)控制系統(tǒng)須采用同種加密體系的控制系統(tǒng)，但不要求除讀頭外的機(jī)械設(shè)備的供應(yīng)品牌，以之便可確保系統(tǒng)終端數(shù)據(jù)讀入和數(shù)據(jù)傳輸處理的安全性和準(zhǔn)確性。就單一的辦公一卡通而言，其終端數(shù)據(jù)讀入和數(shù)據(jù)傳輸處理的安全性保障，是通過如下方式實(shí)現(xiàn)的：①輸入口令密碼，經(jīng)加密算法運(yùn)算后，獲得根密鑰；②通過CPU卡的讀寫系統(tǒng)，將根密鑰寫入一張CPU卡中，以獲得母卡；③以根密鑰為基礎(chǔ)，由此一卡通系統(tǒng)產(chǎn)生扇區(qū)應(yīng)用密鑰，即子密鑰；④通過CPU卡的讀寫系統(tǒng)，將子密鑰寫入一張CPU卡中，以獲得對(duì)應(yīng)系統(tǒng)的子卡；⑤逐次使用母卡和子卡，在終端接觸設(shè)備上刷寫，以使終端設(shè)備可以獲得密鑰，從而和員工用卡可以進(jìn)行加密通信；⑥通過CPU卡的讀寫系統(tǒng)，進(jìn)行員工卡發(fā)卡，從而獲得了根密鑰和子密鑰。

由單一系統(tǒng)平臺(tái)的CPU卡認(rèn)證識(shí)別處理模式，可以發(fā)現(xiàn)，若要實(shí)現(xiàn)辦公一卡通系統(tǒng)與廠區(qū)出入控制系統(tǒng)的用卡整合，則根密鑰是功能實(shí)現(xiàn)的關(guān)鍵。廠區(qū)出入控制系統(tǒng)通過共用根密鑰，獨(dú)立子密鑰，扇區(qū)分開授權(quán)，以之可實(shí)現(xiàn)廠區(qū)一卡通系統(tǒng)與廠區(qū)出入控制系統(tǒng)的用卡整合。整合后，各系統(tǒng)的仍按照單一系統(tǒng)的CPU卡認(rèn)證識(shí)別處理模式進(jìn)行工作。雙系統(tǒng)的處理流程，此CPU卡認(rèn)證識(shí)別處理模式，可以發(fā)現(xiàn)辦公一卡通系統(tǒng)和廠區(qū)出入控制系統(tǒng)不存在數(shù)據(jù)接口問題，雖共用一張卡，但是在實(shí)際授權(quán)使用上是物理隔離的，不存在交集，可以單獨(dú)授權(quán)。這兩個(gè)系統(tǒng)，均依托于復(fù)旦微的加密體系，遵循國(guó)密算法，保持著CPU卡高安全性的特點(diǎn)。

三、結(jié)束語

海南核電一卡通和KKK系統(tǒng)的用卡整合的設(shè)想，開創(chuàng)了集團(tuán)的先河，為實(shí)現(xiàn)此整合方案而所做使得信息化人員意識(shí)到：在業(yè)務(wù)上，應(yīng)技術(shù)服務(wù)于業(yè)務(wù)，多了解業(yè)務(wù)部門的要求；在技術(shù)上，應(yīng)在滿足業(yè)務(wù)部門要求，在達(dá)到核電廠安全要求的前提下，力求創(chuàng)新，不應(yīng)裹足不前，固步自封。