一卡通系統在核電廠的實施及展望

周泰來 余志誠

（海南核電有限公司 海南昌江）

一卡通系統，就是在用戶使用同一張非接觸感應卡或使用手機中特制的SIM卡，實現諸如門禁、考勤、就餐、消費、停車場出入，巡邏簽到、會議簽到，電梯使用等多種功能。使得用戶可以只攜帶一張卡就實現多種用途，減少攜帶多張卡片的麻煩。一卡通系統發展至今，無論從功能上，還是技術上，都已經非常成熟。海南核電辦公一卡通系統在設計初期，便考慮到了后期的擴展問題，即將辦公一卡通系統與核電廠廠區出入控制系統（以下簡稱KKK系統）在用卡上實現整合，從而，方便員工使用，真正做到手持一卡，通達全廠。因此，海南核電在此系統的設計初期，便制定了實施路線，先做好辦公一卡通系統，然后再力求將其與KKK系統在用卡上進行整合（圖1）。

圖1 實施路線

一、辦公一卡通系統的實施

一卡通系統是成熟的系統，但是如何實現海南核電辦公一卡通系統和廠區KKK系統在用卡上的整合，這一點是其他兄弟單位從未有過先例的。海南核電是個新項目，利用這個優勢，或可極大便利此兩系統的，或者其他更多系統的用卡整合。所以，辦公一卡通系統，除了要以成功實施為目的外，還要兼顧與KKK系統的整合。

1.選型

一卡通系統的選型階段，需要關注的問題有：①辦公一卡通系統本身是安全的、高效的；②辦公一卡通系統中的用卡，是可以實現后期與KKK系統整合的，并完全符合KKK系統安全要求的。

通過分析，為滿足此兩項要求，根本問題是在每位員工手上持有的卡片上做文章。一卡通系統使用的卡類型是非常豐富的，主流M1卡、ID卡、CPU卡，那么，選擇什么類型的卡才能確保海南核電的一卡通系統的安全，是海南核電在卡片選型階段最關注的問題。經過查閱資料得知，早在2008年，互聯網上就已經公布了破解Mifare Classic IC芯片（M1芯片）密碼的方法，同時集團公司也對專門發文通報了M1卡安全隱患，對新建項目要杜絕使用此類型卡片。無論是技術層面還是政策層面，使用M1卡已經是絕無可能了，故重點關注到了CPU卡，雖然CPU卡的價格比M1卡要貴3～5倍，但是CPU卡的先進性和安全性是M1卡無法企及的。

（1）先進性。CPU卡可以作為銀行的金融卡使用，代表當前IC卡應用的最高安全等級，正成為IC卡應用中的主流產品。

（2）規范性。支持符合ISO 7816-3標準的T=0、T=1通信協議，符合《中國金融集成電路（IC）卡規范》、《中國金融集成電路（IC）卡應用規范》，支持符合銀行規范的電子錢包、電子存折功能。

（3）兼容性。由于有中國人民銀行的統一規范及嚴格檢測，CPU卡具有很好的兼容性、安全性。芯片和COS的安全技術為CPU卡提供了雙重的安全保證；支持DES、TripleDES等加密算法，支持線路加密、線路保密功能，防止通信數據被非法竊取或篡改，使用過程密鑰實現加密、解密。

（4）可擴展性。卡片支持多種容量選擇，如2 KB、4 KB、8 KB、16 KB、32 KB的EEPROM空間。CPU卡從卡結構到卡容量可以很容易擴展到多種應用，可以與銀行聯合，實現真正意義上的一卡多用。

（5）安全性。與邏輯加密卡相比，由于智能卡內部具有CPU芯片，在具有數據判斷能力的同時，也具備了數據分析處理能力，因此智能卡可以隨時區分合法和非法讀寫設備，并且由于有了CPU芯片，具備數據運算能力，還可以對數據進行加密解密處理，因此具有非常高的安全性。CPU卡是在將EEPROM芯片封裝在卡片上的同時，將微處理器芯片（CPU）也封裝在里面。這樣，EEPROM的數據接口在任何情況下都不會與IC卡的對外數據線相連接。外部讀寫設備只能通過CPU與IC卡內的EEPROM進行數據交換，在任何情況下都不能再訪問到EEP-ROM中的任何一個單元。

在確定CPU卡后，為了保證安全，CPU卡的芯片應采用通過國密算法的芯片。目前，國內采用國密算法CPU芯片的有兩家，一家是清華同方、一家是復旦微電子。因后者沒有消費功能，最終海南核電選擇了采用國密算法的復旦微電子芯片的CPU卡片。

依賴于CPU卡的安全性，可以在此卡片上整合多項應用，從而實現應用的單獨授權、系統獨立。

通過將CPU卡片設置為扇區授權的方式，并將員工持有的卡片上單獨抽出5個卡片扇區（海南核電CPU卡共有16個扇區），以整合廠區出入控制系統使用。這5個扇區對應已使用的扇區是相互獨立的，并未經現有一卡通系統廠商的加密，后期廠區出入控制系統可以在這5個扇區上進行扇區獨自加密，數據獨立讀寫。在選型階段，也為后期的整合設計制定了原則：卡片整合，系統分離，安全可靠。①卡片整合、扇區獨立。以海南核電員工辦公一卡通中所在使用的CPU卡作為用戶端介質，在卡片劃分辦公一卡通系統和廠區出入控制系統使用的獨立扇區。②系統分離、獨立授權。辦公一卡通系統和廠區出入控制系統之間不存在數據接口的集成，相對于卡片而言，就各自系統進行分開授權，不存在交叉授權的可能。③安全可靠。雙方系統均構架于CPU卡芯片之上，遵循國密算法。

2.方案

海南核電按照“集中管理、分布使用”、“集中認證、分散授權”的原則，在滿足智能化和自動化的的要求基礎上，于海口信恒大廈辦公樓建設初期，提出了辦公一卡通整體解決方案，對海南核電辦公一卡通系統進行統一規劃，分步實施，逐步實現身份識別、電子支付、信息管理等功能，先從海口開始，逐步與其他系統相整合，以覆蓋整個昌江廠區，建立真正意義上的數字化企業一卡通系統。

其實，一卡通系統在一個企業的成功實施，需要確認最重要的兩點是：①部門職能與分工，即卡務管理，發卡、收卡、授權、消費等主要流程確定和相關處室的職責分工等；②卡片選型與劃分，即選用卡片的型號，扇區的規劃等。

以上兩點，前者關系著一卡通在海南核電中順利推進與實施的關鍵，后者更是直接關系到一卡通系統的擴展能力。針對前期調研與交流的成果，編寫了《海南核電一卡通項目可行性方案》，方案對系統建設總體規劃 、建設規模、卡片規劃、卡務、實施進度等進行了詳細闡述。為一卡通系統在海南核電的實施打下了堅實的基礎和良好的開端。項目實施前主要有兩項重要工作：①確定功能范圍；②選擇安全穩定平臺。

（1）確定功能范圍。消費系統主要用在食堂、公司購物點（超市、小賣部等）、乘車，通過刷卡即可進行消費支付。辦公一卡通一期工程中，此子系統部署在食堂消費。海南核電海口辦公樓的食堂，位于信恒大廈的地下一層和地上四層，售餐窗口配置消費終端，員工持卡在食堂就餐時，劃卡消費，代替了紙質餐劵。每個餐廳配置員工自助終端，員工可在自助終端上進行補助發放、自助查詢、自助掛失。

門禁系統的實施，第一，保證重要辦公室的財產、文件的安全，外人不能隨意進入；第二，所有人員進入辦公室都會有記錄產生，便于異常情況下的追溯；第三，不需專人管理鑰匙，專人來開門，如果每人一把鑰匙又失去安全管理的意義；第四，鑰匙丟失后，為保安全就必需得換鎖，而門禁的卡片不同，丟失了掛失即可防再次使用，補發一張新卡即可開通開門功能，方便快捷，維護成本低。

對員工所持卡片進行授權，限制其可開啟的門禁，達到訪問控制效果，以控制人員的出入、員工的可訪問范圍。海口信恒大廈辦公樓內，海南核電位于其19至28層，門禁部署于部分工作區、辦公室，授權員工通過在門禁終端上劃卡對后進入。海南核電辦公一卡通系統一期工程中實施的門禁管理子系統和消費管理子系統，現已是員工重點地區出入和食堂就餐消費的日常工具，其方便快捷的使用方式，為我公司員工所稱贊。而其即時詳盡的賬目記錄，亦使得消費資金管理人員，在賬目核對上更為準確、簡易。

（2）選擇安全穩定平臺。一卡通系統的部署涉及到了資金和出入安全等事項，除了用卡的安全性上需要著重考慮，其系統平臺的安全性、高可用性也應考慮其中。

①基于TCP/IP網絡。此一卡通系統基于TCP/IP網絡，使得系統和終端控制器通過網絡進行數據的傳輸，這樣保證了在海南核電網絡可達的地方，均可以使用一卡通系統，也因網絡復用，而降低了一卡通的布線成本。

②在線和離線記錄。為了保證數據的實時性，大都采用在線記錄，但是還有很多情況下，不具備網絡條件，如班車刷卡、加油站加油等，在這種情況下就需要離線設備，完成離線記錄。然后通過讀卡器進數據讀到數據庫，進行同步。系統對離線記錄的支持，大大提高了系統的擴展性。對于在網絡狀況不暢通，甚至故障中斷的情況可由在線記錄轉為離線記錄，以提高系統的可用性。

③網絡安全。由于涉及到了資金流向等情況，需要使網絡高度安全、可靠。將一卡通系統的終端設備放置在交換機的孤立Vlan中，此Vlan只能和服務器區的一卡通系統服務器進行通信，不和其它網段通信，以避免因計算機病毒而導致的網絡故障，或人為因素的誤接入。

④數據庫安全。數據庫和其他辦公數據庫分離，以保障數據庫安全。一卡通數據庫如須提供對外接口，也只能使用“讀取”的方式，如OA系統、人力資源系統僅可讀一卡通系統的數據庫。在終端設備上也有數據記錄，這種方式可以避免因網絡中斷而導致數據無法記錄至一卡通核心數據庫中，故障后同步即可。

3.實施

在辦公一卡通的實施過程中，遇到了諸多的問題，或是技術，或是業務，但在公司各處室的通力配合，以及施工人員的細致分析，這些問題，均得到了很好的結局。一卡通系統是一個成熟的系統，但在其部署，以及結尾測試的時候，仍然有許多的問題需要逐一解決。

（1）預留扇區被加密。為了便于公司的其他用卡系統可以和此系統在用卡上實現整合。在施工前期，已要求，在訂制的卡片上預留空白扇區，以便公司其他系統可自行加密、讀寫。但是，因乙方單位的卡片扇區為“一卡一密；一扇一密”，故在第一次給公司制卡時，未能完全理解我方需求，導致將預留扇區也進行了加密。在項目近竣工時，公司對實施細節一一復審，發現了此問題，及時地要求乙方進行了重新制卡。

（2）證卡打印效果欠佳。為方便進行員工卡片的卡面制作，此系統配置了證卡打印機，但是，進過實際的操作，發現此打印機的打印效果欠佳。之后，調整了打印機的初始色彩設置，并且更換了證卡打印軟件，才使得打印效果可以接受，但對比工廠印刷的效果還是較次。今后，建議對批量入職的人員，采用批量卡膜印刷的方式，這樣，一則，卡面圖案的效果較好；二則，印刷在卡片粘膜上，可以重復利用此卡。

（3）消費機頻繁離線。出現消費機機頻繁離線的問題，在確認各項系統配置均正確之后，將注意力轉移到網絡環境上。之后，將此消費機所連的交換機的時間通過NTP（網絡授時）同步后，頻繁離線的問題得到了解決。

二、與KKK系統整合方案

海南核電的辦公一卡通系統和KKK系統的整合，以完全的遵從KKK系統設計中的信息安全要求為前提。利用海南核電現有辦公一卡通系統中CPU卡空余的5個未加密扇區，將它們作為KKK系統使用所需的扇區，這樣可以達到員工持有一張卡，充分利用已有資源的效果。現海南核電CPU卡的扇區使用情況如下，圖2為扇區劃分示意圖，1扇區——基礎信息扇區；2扇區——公共交換扇 區 ；3～6、12～15扇區——廠區一卡通系統；7～11扇區——未加密扇區，以供KKK系統使用。若要實現整合，面臨的問題主要是：①整合后，兩系統仍保持獨立，系統間的數據不可以共享；②CPU卡片上的兩個系統授權是單一的，不可以交叉授權；③CPU卡的安全加密體系仍然要滿足CPU卡的國密算法要求。示意圖見圖3。

圖2 扇區劃分示意圖

圖3 問題示意圖

此項CPU卡的整合方案，是構建于，且只能構建于一套加密算法體系，以及此體系產生的一個根密鑰之上的。海南核電，現在所使用的辦公一卡通系統是復旦微的加密體系，廠區控制系統須采用同種加密體系的控制系統，但不要求除讀頭外的機械設備的供應品牌，以之便可確保系統終端數據讀入和數據傳輸處理的安全性和準確性。就單一的辦公一卡通而言，其終端數據讀入和數據傳輸處理的安全性保障，是通過如下方式實現的：①輸入口令密碼，經加密算法運算后，獲得根密鑰；②通過CPU卡的讀寫系統，將根密鑰寫入一張CPU卡中，以獲得母卡；③以根密鑰為基礎，由此一卡通系統產生扇區應用密鑰，即子密鑰；④通過CPU卡的讀寫系統，將子密鑰寫入一張CPU卡中，以獲得對應系統的子卡；⑤逐次使用母卡和子卡，在終端接觸設備上刷寫，以使終端設備可以獲得密鑰，從而和員工用卡可以進行加密通信；⑥通過CPU卡的讀寫系統，進行員工卡發卡，從而獲得了根密鑰和子密鑰。

由單一系統平臺的CPU卡認證識別處理模式，可以發現，若要實現辦公一卡通系統與廠區出入控制系統的用卡整合，則根密鑰是功能實現的關鍵。廠區出入控制系統通過共用根密鑰，獨立子密鑰，扇區分開授權，以之可實現廠區一卡通系統與廠區出入控制系統的用卡整合。整合后，各系統的仍按照單一系統的CPU卡認證識別處理模式進行工作。雙系統的處理流程，此CPU卡認證識別處理模式，可以發現辦公一卡通系統和廠區出入控制系統不存在數據接口問題，雖共用一張卡，但是在實際授權使用上是物理隔離的，不存在交集，可以單獨授權。這兩個系統，均依托于復旦微的加密體系，遵循國密算法，保持著CPU卡高安全性的特點。

三、結束語

海南核電一卡通和KKK系統的用卡整合的設想，開創了集團的先河，為實現此整合方案而所做使得信息化人員意識到：在業務上，應技術服務于業務，多了解業務部門的要求；在技術上，應在滿足業務部門要求，在達到核電廠安全要求的前提下，力求創新，不應裹足不前，固步自封。