一卡通系统在核电厂的实施及展望

周泰来 余志诚

（海南核电有限公司 海南昌江）

一卡通系统，就是在用户使用同一张非接触感应卡或使用手机中特制的SIM卡，实现诸如门禁、考勤、就餐、消费、停车场出入，巡逻签到、会议签到，电梯使用等多种功能。使得用户可以只携带一张卡就实现多种用途，减少携带多张卡片的麻烦。一卡通系统发展至今，无论从功能上，还是技术上，都已经非常成熟。海南核电办公一卡通系统在设计初期，便考虑到了后期的扩展问题，即将办公一卡通系统与核电厂厂区出入控制系统（以下简称KKK系统）在用卡上实现整合，从而，方便员工使用，真正做到手持一卡，通达全厂。因此，海南核电在此系统的设计初期，便制定了实施路线，先做好办公一卡通系统，然后再力求将其与KKK系统在用卡上进行整合（图1）。

图1 实施路线

一、办公一卡通系统的实施

一卡通系统是成熟的系统，但是如何实现海南核电办公一卡通系统和厂区KKK系统在用卡上的整合，这一点是其他兄弟单位从未有过先例的。海南核电是个新项目，利用这个优势，或可极大便利此两系统的，或者其他更多系统的用卡整合。所以，办公一卡通系统，除了要以成功实施为目的外，还要兼顾与KKK系统的整合。

1.选型

一卡通系统的选型阶段，需要关注的问题有：①办公一卡通系统本身是安全的、高效的；②办公一卡通系统中的用卡，是可以实现后期与KKK系统整合的，并完全符合KKK系统安全要求的。

通过分析，为满足此两项要求，根本问题是在每位员工手上持有的卡片上做文章。一卡通系统使用的卡类型是非常丰富的，主流M1卡、ID卡、CPU卡，那么，选择什么类型的卡才能确保海南核电的一卡通系统的安全，是海南核电在卡片选型阶段最关注的问题。经过查阅资料得知，早在2008年，互联网上就已经公布了破解Mifare Classic IC芯片（M1芯片）密码的方法，同时集团公司也对专门发文通报了M1卡安全隐患，对新建项目要杜绝使用此类型卡片。无论是技术层面还是政策层面，使用M1卡已经是绝无可能了，故重点关注到了CPU卡，虽然CPU卡的价格比M1卡要贵3～5倍，但是CPU卡的先进性和安全性是M1卡无法企及的。

（1）先进性。CPU卡可以作为银行的金融卡使用，代表当前IC卡应用的最高安全等级，正成为IC卡应用中的主流产品。

（2）规范性。支持符合ISO 7816-3标准的T=0、T=1通信协议，符合《中国金融集成电路（IC）卡规范》、《中国金融集成电路（IC）卡应用规范》，支持符合银行规范的电子钱包、电子存折功能。

（3）兼容性。由于有中国人民银行的统一规范及严格检测，CPU卡具有很好的兼容性、安全性。芯片和COS的安全技术为CPU卡提供了双重的安全保证；支持DES、TripleDES等加密算法，支持线路加密、线路保密功能，防止通信数据被非法窃取或篡改，使用过程密钥实现加密、解密。

（4）可扩展性。卡片支持多种容量选择，如2 KB、4 KB、8 KB、16 KB、32 KB的EEPROM空间。CPU卡从卡结构到卡容量可以很容易扩展到多种应用，可以与银行联合，实现真正意义上的一卡多用。

（5）安全性。与逻辑加密卡相比，由于智能卡内部具有CPU芯片，在具有数据判断能力的同时，也具备了数据分析处理能力，因此智能卡可以随时区分合法和非法读写设备，并且由于有了CPU芯片，具备数据运算能力，还可以对数据进行加密解密处理，因此具有非常高的安全性。CPU卡是在将EEPROM芯片封装在卡片上的同时，将微处理器芯片（CPU）也封装在里面。这样，EEPROM的数据接口在任何情况下都不会与IC卡的对外数据线相连接。外部读写设备只能通过CPU与IC卡内的EEPROM进行数据交换，在任何情况下都不能再访问到EEP-ROM中的任何一个单元。

在确定CPU卡后，为了保证安全，CPU卡的芯片应采用通过国密算法的芯片。目前，国内采用国密算法CPU芯片的有两家，一家是清华同方、一家是复旦微电子。因后者没有消费功能，最终海南核电选择了采用国密算法的复旦微电子芯片的CPU卡片。

依赖于CPU卡的安全性，可以在此卡片上整合多项应用，从而实现应用的单独授权、系统独立。

通过将CPU卡片设置为扇区授权的方式，并将员工持有的卡片上单独抽出5个卡片扇区（海南核电CPU卡共有16个扇区），以整合厂区出入控制系统使用。这5个扇区对应已使用的扇区是相互独立的，并未经现有一卡通系统厂商的加密，后期厂区出入控制系统可以在这5个扇区上进行扇区独自加密，数据独立读写。在选型阶段，也为后期的整合设计制定了原则：卡片整合，系统分离，安全可靠。①卡片整合、扇区独立。以海南核电员工办公一卡通中所在使用的CPU卡作为用户端介质，在卡片划分办公一卡通系统和厂区出入控制系统使用的独立扇区。②系统分离、独立授权。办公一卡通系统和厂区出入控制系统之间不存在数据接口的集成，相对于卡片而言，就各自系统进行分开授权，不存在交叉授权的可能。③安全可靠。双方系统均构架于CPU卡芯片之上，遵循国密算法。

2.方案

海南核电按照“集中管理、分布使用”、“集中认证、分散授权”的原则，在满足智能化和自动化的的要求基础上，于海口信恒大厦办公楼建设初期，提出了办公一卡通整体解决方案，对海南核电办公一卡通系统进行统一规划，分步实施，逐步实现身份识别、电子支付、信息管理等功能，先从海口开始，逐步与其他系统相整合，以覆盖整个昌江厂区，建立真正意义上的数字化企业一卡通系统。

其实，一卡通系统在一个企业的成功实施，需要确认最重要的两点是：①部门职能与分工，即卡务管理，发卡、收卡、授权、消费等主要流程确定和相关处室的职责分工等；②卡片选型与划分，即选用卡片的型号，扇区的规划等。

以上两点，前者关系着一卡通在海南核电中顺利推进与实施的关键，后者更是直接关系到一卡通系统的扩展能力。针对前期调研与交流的成果，编写了《海南核电一卡通项目可行性方案》，方案对系统建设总体规划 、建设规模、卡片规划、卡务、实施进度等进行了详细阐述。为一卡通系统在海南核电的实施打下了坚实的基础和良好的开端。项目实施前主要有两项重要工作：①确定功能范围；②选择安全稳定平台。

（1）确定功能范围。消费系统主要用在食堂、公司购物点（超市、小卖部等）、乘车，通过刷卡即可进行消费支付。办公一卡通一期工程中，此子系统部署在食堂消费。海南核电海口办公楼的食堂，位于信恒大厦的地下一层和地上四层，售餐窗口配置消费终端，员工持卡在食堂就餐时，划卡消费，代替了纸质餐劵。每个餐厅配置员工自助终端，员工可在自助终端上进行补助发放、自助查询、自助挂失。

门禁系统的实施，第一，保证重要办公室的财产、文件的安全，外人不能随意进入；第二，所有人员进入办公室都会有记录产生，便于异常情况下的追溯；第三，不需专人管理钥匙，专人来开门，如果每人一把钥匙又失去安全管理的意义；第四，钥匙丢失后，为保安全就必需得换锁，而门禁的卡片不同，丢失了挂失即可防再次使用，补发一张新卡即可开通开门功能，方便快捷，维护成本低。

对员工所持卡片进行授权，限制其可开启的门禁，达到访问控制效果，以控制人员的出入、员工的可访问范围。海口信恒大厦办公楼内，海南核电位于其19至28层，门禁部署于部分工作区、办公室，授权员工通过在门禁终端上划卡对后进入。海南核电办公一卡通系统一期工程中实施的门禁管理子系统和消费管理子系统，现已是员工重点地区出入和食堂就餐消费的日常工具，其方便快捷的使用方式，为我公司员工所称赞。而其即时详尽的账目记录，亦使得消费资金管理人员，在账目核对上更为准确、简易。

（2）选择安全稳定平台。一卡通系统的部署涉及到了资金和出入安全等事项，除了用卡的安全性上需要着重考虑，其系统平台的安全性、高可用性也应考虑其中。

①基于TCP/IP网络。此一卡通系统基于TCP/IP网络，使得系统和终端控制器通过网络进行数据的传输，这样保证了在海南核电网络可达的地方，均可以使用一卡通系统，也因网络复用，而降低了一卡通的布线成本。

②在线和离线记录。为了保证数据的实时性，大都采用在线记录，但是还有很多情况下，不具备网络条件，如班车刷卡、加油站加油等，在这种情况下就需要离线设备，完成离线记录。然后通过读卡器进数据读到数据库，进行同步。系统对离线记录的支持，大大提高了系统的扩展性。对于在网络状况不畅通，甚至故障中断的情况可由在线记录转为离线记录，以提高系统的可用性。

③网络安全。由于涉及到了资金流向等情况，需要使网络高度安全、可靠。将一卡通系统的终端设备放置在交换机的孤立Vlan中，此Vlan只能和服务器区的一卡通系统服务器进行通信，不和其它网段通信，以避免因计算机病毒而导致的网络故障，或人为因素的误接入。

④数据库安全。数据库和其他办公数据库分离，以保障数据库安全。一卡通数据库如须提供对外接口，也只能使用“读取”的方式，如OA系统、人力资源系统仅可读一卡通系统的数据库。在终端设备上也有数据记录，这种方式可以避免因网络中断而导致数据无法记录至一卡通核心数据库中，故障后同步即可。

3.实施

在办公一卡通的实施过程中，遇到了诸多的问题，或是技术，或是业务，但在公司各处室的通力配合，以及施工人员的细致分析，这些问题，均得到了很好的结局。一卡通系统是一个成熟的系统，但在其部署，以及结尾测试的时候，仍然有许多的问题需要逐一解决。

（1）预留扇区被加密。为了便于公司的其他用卡系统可以和此系统在用卡上实现整合。在施工前期，已要求，在订制的卡片上预留空白扇区，以便公司其他系统可自行加密、读写。但是，因乙方单位的卡片扇区为“一卡一密；一扇一密”，故在第一次给公司制卡时，未能完全理解我方需求，导致将预留扇区也进行了加密。在项目近竣工时，公司对实施细节一一复审，发现了此问题，及时地要求乙方进行了重新制卡。

（2）证卡打印效果欠佳。为方便进行员工卡片的卡面制作，此系统配置了证卡打印机，但是，进过实际的操作，发现此打印机的打印效果欠佳。之后，调整了打印机的初始色彩设置，并且更换了证卡打印软件，才使得打印效果可以接受，但对比工厂印刷的效果还是较次。今后，建议对批量入职的人员，采用批量卡膜印刷的方式，这样，一则，卡面图案的效果较好；二则，印刷在卡片粘膜上，可以重复利用此卡。

（3）消费机频繁离线。出现消费机机频繁离线的问题，在确认各项系统配置均正确之后，将注意力转移到网络环境上。之后，将此消费机所连的交换机的时间通过NTP（网络授时）同步后，频繁离线的问题得到了解决。

二、与KKK系统整合方案

海南核电的办公一卡通系统和KKK系统的整合，以完全的遵从KKK系统设计中的信息安全要求为前提。利用海南核电现有办公一卡通系统中CPU卡空余的5个未加密扇区，将它们作为KKK系统使用所需的扇区，这样可以达到员工持有一张卡，充分利用已有资源的效果。现海南核电CPU卡的扇区使用情况如下，图2为扇区划分示意图，1扇区——基础信息扇区；2扇区——公共交换扇 区 ；3～6、12～15扇区——厂区一卡通系统；7～11扇区——未加密扇区，以供KKK系统使用。若要实现整合，面临的问题主要是：①整合后，两系统仍保持独立，系统间的数据不可以共享；②CPU卡片上的两个系统授权是单一的，不可以交叉授权；③CPU卡的安全加密体系仍然要满足CPU卡的国密算法要求。示意图见图3。

图2 扇区划分示意图

图3 问题示意图

此项CPU卡的整合方案，是构建于，且只能构建于一套加密算法体系，以及此体系产生的一个根密钥之上的。海南核电，现在所使用的办公一卡通系统是复旦微的加密体系，厂区控制系统须采用同种加密体系的控制系统，但不要求除读头外的机械设备的供应品牌，以之便可确保系统终端数据读入和数据传输处理的安全性和准确性。就单一的办公一卡通而言，其终端数据读入和数据传输处理的安全性保障，是通过如下方式实现的：①输入口令密码，经加密算法运算后，获得根密钥；②通过CPU卡的读写系统，将根密钥写入一张CPU卡中，以获得母卡；③以根密钥为基础，由此一卡通系统产生扇区应用密钥，即子密钥；④通过CPU卡的读写系统，将子密钥写入一张CPU卡中，以获得对应系统的子卡；⑤逐次使用母卡和子卡，在终端接触设备上刷写，以使终端设备可以获得密钥，从而和员工用卡可以进行加密通信；⑥通过CPU卡的读写系统，进行员工卡发卡，从而获得了根密钥和子密钥。

由单一系统平台的CPU卡认证识别处理模式，可以发现，若要实现办公一卡通系统与厂区出入控制系统的用卡整合，则根密钥是功能实现的关键。厂区出入控制系统通过共用根密钥，独立子密钥，扇区分开授权，以之可实现厂区一卡通系统与厂区出入控制系统的用卡整合。整合后，各系统的仍按照单一系统的CPU卡认证识别处理模式进行工作。双系统的处理流程，此CPU卡认证识别处理模式，可以发现办公一卡通系统和厂区出入控制系统不存在数据接口问题，虽共用一张卡，但是在实际授权使用上是物理隔离的，不存在交集，可以单独授权。这两个系统，均依托于复旦微的加密体系，遵循国密算法，保持着CPU卡高安全性的特点。

三、结束语

海南核电一卡通和KKK系统的用卡整合的设想，开创了集团的先河，为实现此整合方案而所做使得信息化人员意识到：在业务上，应技术服务于业务，多了解业务部门的要求；在技术上，应在满足业务部门要求，在达到核电厂安全要求的前提下，力求创新，不应裹足不前，固步自封。