电力卡表CPU IC卡规范.docx
《电力卡表CPU IC卡规范.docx》由会员分享,可在线阅读,更多相关《电力卡表CPU IC卡规范.docx(62页珍藏版)》请在冰豆网上搜索。
电力卡表CPUIC卡规范
江西省电力公司
卡表系统IC卡规范
V1.0
江西省电力公司
2007年07月
1范围4
2规范性引用文件4
3术语和定义4
3.1ESAM模块4
3.2IC卡4
3.3仪表表号5
3.4脉冲常数5
卡表的专用名字定义:
5
3.19预置电量(4字节8位数字)6
3.20协议电量(4字节8位数字)6
非居民用户根据协议电价每次到售电网点交款所购得的购电量。
6
3.22过零电量(4字节8位数字)7
3.23脉冲常数(2字节4位数字)7
3.24仪表状态字(1字节2位数字)7
3.25卡序号(1字节2位数字)7
3.26指令应用二进制文件7
2.27返写应用二进制文件7
4.系统安全体系:
7
4.1密钥的生成和发行8
4.1.1密钥生成的基本安全要求:
8
4.1.2密钥生成的安全技术:
8
4.1.3密钥发行方式:
8
4.1.4密钥系统卡片发行9
4.2密钥的更新:
10
4.3一卡一密、一表一密的实现:
10
5.卡片定义及应用流程11
5.1.卡片发行管理11
5.2卡片间相互认证过程12
5.2.1内部认证流程12
5.2.2外部认证流程12
5.3电能表接收卡片信息的校验12
5.3.1对用户卡购电信息文件的校验12
5.3.2对修改密钥卡密钥信息文件的校验13
5.3.3对工具卡指令信息文件的校验13
5.3.4对用户卡返写信息文件的操作13
5.4卡片发行的统一接口平台14
5.5远传充值付费实现模式14
6.卡片命令格式15
6.1卡片格式定义15
6.2CPU卡片类型表15
7.卡片结构16
7.1用户卡16
7.1.1文件定义16
7.1.2密钥定义16
7.1.3购电信息文件117
7.1.4购电信息文件2(费率表文件)18
7.1.5返写信息文件120
7.1.6返写信息文件220
7.1.7表号文件21
7.2ESAM21
7.2.1文件定义21
7.2.2密钥定义21
7.2.3剩余电量文件22
7.2.4参数信息文件122
7.2.5参数信息文件2(费率表文件1)23
7.2.6参数信息文件3(费率表文件2)24
7.2.7运行信息文件25
7.2.8运行文件26
7.3PSAM卡27
7.4检查卡27
7.4.1文件定义27
7.4.2密钥定义27
7.4.3检查卡指令信息文件27
7.4.4检查卡返写信息文件27
7.4.5计数器文件28
7.5密钥修改/恢复卡29
7.5.1文件定义29
7.5.2应用密钥文件29
7.5.3密钥信息文件29
7.6费率设置卡30
7.6.1文件系统定义30
7.6.2密钥系统定义30
7.6.3指令二进制文件31
7.7生产测试卡32
7.7.1文件定义32
7.7.2密钥定义32
7.7.3指令信息文件33
11
范围
本规范规定了电能表IC卡(以下简称IC卡)的技术要求、试验项目及要求。
未列入本规范的其它技术要求应符合对应IEC标准、国家标准、行业标准的要求,本规范不重复叙述。
本规范适用于江西省电力公司对IC卡和对应IC卡电能表(以下简称仪表)的检测验收。
本规范包括IC卡系统安全方案、卡片数据项定义、卡片操作流程框图、远传付费系统安全方案、系统兼容接触式与非接触式CPU卡、系统业务流程框图。
12 规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T18460.1-2001IC卡预付费售电系统第1部分:
总则
GB/T18460.2-2001IC系统第3部分:
预付费电度表
GB/T16649.1识别卡带触点的集成电卡预付费售电系统第2部分:
IC卡及其管理
GB/T18460.3-2001IC卡预付费售电路卡第1部分:
物理特性(idtISO/IEC7816-1)
GB/T16649.2识别卡带触点的集成电路卡第2部分:
触点的尺寸和位置(idtISO/IEC7816-2)
GB/T16649.3识别卡带触点的集成电路卡第3部分:
电信号和传输协议(idtISO/IEC7816-3)
ISO/IEC7816-4识别卡带触点的集成电路卡第4部分:
行业间交换用命令
山西省电力公司《电能表条形信息码编码标准》
13 术语和定义
13.1 ESAM模块
嵌入式安全存取模块(EmbeddedSecureAccessModule),用于对IC卡进行认证和数据交换的模块,由电力公司发行,安装在仪表中。
13.2 IC卡
PSAM卡
消费安全存取模块(PurchaseSecureAccessModule),用于对购电卡写操作的安全认证。
由电力公司发行,提供给营业网点使用,安装在读卡器中。
购电卡
是仪表与IC卡售电系统之间的信息交换媒介,用于向运行状态的仪表中增加购电量,同时可以在插卡时返回仪表的当前信息,由用户持有。
检测卡
用于读取仪表中的计量和状态数据,对其进行检测。
现场参数修改卡
用于在生产及运行过程中修改仪表的费率等参数。
卡上具有认证密钥,进行设置时必须通过认证才能生效。
修改密钥卡
用于将仪表从公开密钥状态修改成正式密钥状态。
仪表出厂时处于公开密钥状态,安装前必须利用修改密钥卡将其修改为正式密钥状态,处于正式密钥状态下的仪表不能用电力公司以外的IC卡进行操作。
恢复密钥卡
用于将仪表从正式密钥状态恢复成公开密钥状态,以便于对仪表进行检修或重新预置参数。
生产测试卡
是仪表制造厂在生产过程或电力公司在校表过程中用于设置、检测的一组卡,卡中的密钥均为公开密钥,只能在公开密钥状态下使用。
修改表号卡
用于在仪表出厂前对参数进行初始化,主要将表号输入到仪表中,同时将仪表内有关数据单元清零,购电次数设为0,报警电量设为000000,充值门限电量设为999999。
继电器检测卡
用于检测仪表中的继电器通断是否正常。
插卡后,继电器应切换到与目前状态相反的工作状态。
增加电量卡
用于在生产过程中向仪表中追加电量,在校表和走字过程中使用。
插卡后,可以将设定的电量值增加到当前剩余电量中。
快速测试卡
用于在生产过程中快速测试仪表的功能。
插卡时,仪表将卡中的数据读入到相应数据单元,并以卡上设置的测试脉冲常数进行电量处理。
测试完毕掉电后,测试脉冲常数应自动失效,仪表将恢复原脉冲常数。
预置卡
用于在生产过程中对仪表的参数进行初始化。
插卡后除了设置参数外,同时还清除原用电量等信息,并在修改密钥后可以进行开户操作,考虑到实际操作的可靠性,当预置卡插入仪表时,仪表对脉冲常数数据项不予响应。
13.3 仪表表号
用于唯一识别仪表的一组编号,为压缩BCD码,由三部分组成:
仪表表号=厂家编码+出厂年份+出厂流水号
其中厂家编码为1字节,出厂年份为1字节,出厂流水号为3字节。
厂家编码和出厂年份和出厂流水号见江西省电力公司《电能表条形信息码编码标准》
13.4 脉冲常数
仪表每记录一千瓦时电能所产生的脉冲数。
卡表的专用名字定义:
3.5户号:
(9字节18位数字)
用于唯一识别不同用户的一组编号,由电力公司在营销自动化系统中为每一用户分配,用户第一次购电时通过购电卡将户号传递到仪表,作为今后一表一卡的判断依据。
3.6表号:
电能表出厂时设置的具有唯一性的编号,在系统中表号与户号存在对应关系。
用于唯一识别仪表的一组编号,为压缩BCD码,由三部分组成:
仪表表号=厂家编码+出厂年份+出厂流水号(另行定义)
3.7电卡类型:
系统运营状态下识别不同卡片种类的标志。
复费率电卡类型编号规定为:
01—表号卡02—开户卡;03—购电卡;04—补卡;等等。
3.8费率时段卡:
根据不同时间分别记录所设定的不同费率电量。
3.9购电量:
用户在售电系统交款购买的电量值。
3.10购电次数:
4字节
记录自开户之日起用户完成购电交易的总次数,每次购电成功该数值加一。
3.11累计购电量:
记录自开户之日起用户购买电量值的总和。
3.12累计用电量:
自安装之日起电能表所计量的使用电量值总和。
各费率累计用电量:
分别记录各费率的累计用电量。
3.13剩余电量:
(4字节8位数字)
即仪表中还能使用的电量。
用户每次将购电卡插入仪表时,仪表从购电卡中读入本次购电量与表中原剩余电量相加作为目前的剩余电量,同时将目前的剩余电量返写至购电卡。
3.14报警电量1:
提醒用户及时购电的标志。
当电能表中剩余电量小于等于报警电量1时,电能表给予用户声或光报警。
3.15报警电量2:
提醒用户及时购电的标志。
当电能表中剩余电量小于等于报警电量2时,电能表给予断电一次报警,报警后用户可插卡进行恢复用电。
3.16限容功率
电表超过容限功率会将电路切断,并记录发生时间及发生次数。
3.17非法卡插入次数:
电能表记录所识别出插入卡片身份为非法状态时,将该值累加,用于协助系统对电能表受到干扰可能性的评估。
3.18进入编程状态次数:
记录电能表从运行状态后重新切换到编程状态的次数。
3.19预置电量(电费)(4字节8位数字)
在仪表开户前通过参数预置卡预置在仪表内的可使用的电量,开户时IC卡售电系统自动扣除此部分电量。
3.20协议电量(4字节8位数字)
非居民用户根据协议电价每次到售电网点交款所购得的购电量。
3.21囤积电量(电费)(4字节8位数字)
即限制将购电量输入仪表的门限电量。
当仪表中剩余电量大于等于充值门限电量时,不接受本次所购电量。
只有当仪表中剩余电量小于充值门限电量后才能接受用户所购买的电量,以免造成电量囤积。
3.22过零电量(电费)(4字节8位数字)
仪表中剩余电量为零后继续使用的电量称为过零电量,过零电量达到透支电量限额后将切断用电,再次购电插卡后仪表将自动冲减此部分电量。
3.23脉冲常数(2字节4位数字)
定义见3.4。
3.24仪表状态、故障字(1字节2位数字)
反映仪表运行状态的数据单元。
定义如表1所示:
表1 仪表运行状态字
第7位
第6位
第5位
第4位
第3位
第2位
第1位
第0位
说明:
第0位:
当前处于报警状态
第1位:
当前处于透支状态
第2位:
当前处于断电状态
第3位:
保留;
第4位:
保留;
第5位:
保留;
第6位:
保留;
第7位:
恒为0。
表2仪表运行故障字
第7位
第6位
第5位
第4位
第3位
第2位
第1位
第0位
说明:
第0位:
继电器出错;
第1位:
EEPROM出错;
第2位:
时钟芯片出错;
第3位:
电池电压:
正常(0)/欠压
(1);
第4位:
有功电能方向:
正向(0)/反向
(1);
第5位:
保留;
第6位:
保留;
第7位:
恒为0。
3.25冻结日时
电能表按月自动冻结运行数据信息的时间,电能表记录最近三个月的冻结数据。
3.26卡序号(1字节2位数字)
即用户到售电网点进行补卡的次数,初始为0,每补一次卡卡序号加一。
3.27指令应用二进制文件
由IC卡售电系统写入,传递给仪表,用于指示仪表进行相应操作,包括电表运行参数信息和购电信息数据。
3.28返写应用二进制文件
由仪表写入,传递给IC卡售电系统,供系统查询使用,主要包括电表运行数据信息。
3.29有关数据格式统一的说明
对于未特殊注名的数据项采用统一的数据编码格式定义,对于电量或金额,全部采用低字节在前,高字节在后的规则存贮在卡片和ESAM中;对于电量存贮的精度是0.01KWH,对于金额存贮的精度是0.01元。
而对于电费存贮的费率精度是0.01分,即0.0001元。
对于日期、编码类采用BCD码;
对于特殊约定数据项,则在说明中特殊说明。
4.
系统安全体系:
卡片和密钥系统的安全性涉及到整个CPU卡表系统的数据安全性,尤其是密钥的生成、传递、更改、使用机制。
为此从以下几个方面说明卡片安全和密钥体系的构成。
安全原则:
密钥采用集中生成,一一对应的原则、密钥的生成、传递过程采用密文方式,在任何状态下,密钥都不能被直接读出。
关键数据采用明文+MAC的方式。
MAC的计算由卡片或ESAM的COS来完成,同时引入随机数参与MAC计算,杜绝数据在传输过程中被跟踪破译的可能。
(MAC的产生及应用见附录)
卡片和电表关键数据的更改采用外部认证控制,保证权限使用的正确。
密钥采用安全实用的原则,在满足数据安全的原则下,满足性能要求,方便电表操作和控制。
卡片、表具做到一卡一密、一表一密。
卡片的所有密钥都采用分散完再写入直接使用的机制,表中的每一条密钥采用先写入,引用时ESAM内部先分散再使用的机制。
安全方案方便售电管理系统的搭建,即可采用单机系统售电,也可以方便无缝升级为采用网络及银行联网购电。
采用生产状态下的公开密钥与运行状态的私有密钥的模式,由电力公司控制系统运行状态下密钥,实现生产和运行安全状态的分离,即方便生产又保证数据安全。
4.1密钥的生成和发行
4.1.1密钥生成的基本安全要求:
为保证密钥的安全和防止密钥的泄露,在密钥生成时,应采取以下措施:
●密钥生成采用多人生成:
●密钥生成环境的安全管理,使其生成环境可视为绝对安全
●制定参加密钥生成的特殊人员的安全管理规定
●密钥生成过程必须按照严格的操作规程进行
●目前先进的3DES算法进行密文加密。
密钥生成方式:
系统的根密钥采用集中方式生成,即由项目最高管理机构生成相应的各种主密钥组,其它密钥由该组密钥分散生成。
4.1.2密钥生成的安全技术:
使用一条N字节的3DES算法安全报文计算密钥,计算文件内容的密文和指令的MAC,该密钥值不需要进行分散,只是在使用时对用户卡的应用序列号进行分散产生工作密钥,用于计算密文和MAC值。
4.1.3密钥发行方式:
●密钥的发行采用梯级生成、下发方式。
即由上一级生成下一级所需的各种子密钥,并以卡片的形式传递给下一级。
●使用密文装载、密文导出,密文下装方式。
●使用传输密钥控制业务主密钥的加密装载、加密导出、分散装入。
●密钥发行的安全技术:
在发行密钥母卡时,同时发行母卡控制卡,母卡控制卡有密钥母卡的外部认证密钥,母卡在使用时,必须得到母卡控制卡的认证,才能使用。
4.1.4密钥系统卡片发行
省级密钥管理系统
市级密钥管理系统
密钥管理流程
供电局负责建立密钥管理中心和制卡发卡中心,管理指导电力公司所属CPU卡预付费密钥管理系统的正常运营使用。
密钥管理中心由专人(2人以上)使用密钥管理系统通过专用卡片生成一套多张领导卡,在多张领导卡下生成主控卡和主传输卡,根据主控卡和主传输卡生成省级密钥母卡及其传输控制卡,在省密钥母卡及其传输控制卡的保护下生成各地市级密钥母卡和传输控制卡。
各地市级在地市级密钥母卡和传输控制卡的控制下发行各类应用类母卡或应用卡片:
密钥下装卡发卡母卡、用户卡发卡母卡、PSAM卡发卡母卡、ESAM发卡母卡等等,妥善管理各类母卡。
制卡发卡中心也由专人(2人以上)使用发卡系统并根据实际需要由用户卡发卡母卡生成正式的用户卡、密钥下装卡发卡母卡来生成正式的密钥修改卡和密钥恢复卡、PSAM卡发卡母卡来生成正式的PSAM卡、ESAM发卡母卡来生成正式的ESAM模块。
售电管理部门根据用户的报装信息在管辖区内进行用户装置的安装,将安装结果报告售电机构后,用户持报装单到售电机构购电。
购电机构建立用户信息并进行具体的售电工作,维护部门则负责日常的维护以及换表前用户电表信息收集等工作。
密钥恢复卡发行时设置可恢复使用的次数,超过使用次数禁止使用。
保证恢复密钥的可控性;
4.2密钥的更新:
密钥更新的基本安全要求
密钥更新的基本原则是保护持卡人及电力公司的利益不受损害,不影响持卡人的正常交易;密钥更新的全过程必须保证系统的安全性能不受影响。
生产状态与运行状态执行不同的密钥,生产状态结束后,利用密钥修改卡,将生产状态密钥更改为运行状态密钥。
使得生产中使用的卡片不能在运行状态下使用,保证了系统的安全。
4.3一卡一密、一表一密的实现:
考虑系统安全,同时不能增加维护人员的难度。
卡片与ESAM的密钥配对使用的认证密钥是要分散的,实现卡表的对应。
采用卡片发行时的密钥依据卡片序列号分散的原则,实现不同卡、表的不同密钥。
由于采用先发行用户卡,通过用户卡和表号设置卡来设置电表表号的方法,卡、表从出厂时就建立的一一对应的关系,因此主要的密钥都通过卡片序列号进行分散,实现一卡一密、一表一密。
保证任何两张卡或两个电表在使用过程中都没有重复的密钥。
用户卡充值
用户卡消费
CPU卡认证及操作流程
CPU卡电表与CPU卡的安全认证是通过电表中的ESAM模块完成的,CPU卡表的MCU在认证过程中只起到数据传输的作用,不参与数据校验、加密、解密工作。
售电时,通过一系列密钥认证测试,可实现用户卡的确认;用户卡允许写指令信息;用户卡允许返写二进制文件擦除等操作。
对给用户卡进行充值的关键信息进行MAC计算,MAC的产生只出现在卡片或ESAM的内部,由COS根据输入的数据及随机数运算得到。
杜绝了人为故意或系统干扰带来的对数据及MAC的攻击。
首先卡片或ESAM对输入的MAC在内部进行验证,判断数据的完整性、合法性及安全性,然后再通过一系列密钥认证测试,可实现用户卡的确认;用户卡允许写入返写信息;电表允许将购电量写入ESAM模块等操作。
5.卡片定义及应用管理流程
5.1.卡片发行管理
5.1.1卡片发行管理概要
系统中使用的卡片均由电力公司发行中心制作和管理。
PSAM卡通过正式发行将安装在售电网点,用户卡由电力公司发行后,发送到表厂,用于设置表号,随电表安装和发放到用户手中。
ESAM作为电能表的器件其发行过程相对特殊:
由电力公司(或委托ESAM供应商)发行并安装测试密钥,提供电表生产厂商。
经过对电表的检测后,在安装前由电力公司管理人员将ESAM测试密钥替换为正式的运行密钥,运行密钥的传递通过修改密钥卡实现。
5.1.2卡片发行与应用管理框图
用户卡(表号)
5.1.3操作员管理
对卡片发行系统的使用具备完备的安全保护和使用权限管理,系统使用的安全性。
其中包括系统管理员、普通管理员,管理员的登陆都由各自的USBKEY控制,各级管理员权限设置及系统参数设置都必须是分级管理。
可根据不同的用户分别设置不同的权限,如系统管理员、普通操作员,系统管理员可以管理所有的权限配置、密码重置、发行普通管理员USBKEY等内容,不同级别的用户的权限应有明显的区别。
5.1.4卡片发行的出入库管理
卡片发行出入库管理主要用来管理卡片的库存。
应完成出入库管理、查询等功能。
系统对操作员的每笔操作都进行详细记录日志,并提供统计查询和打印功能。
5.1.5报表统计和查询
系统数据查询功能和报表打印功能
可以查询数据库中的各种表格,查询结果应该以数据表格的形式提供,可以完成对发卡信息、系统日志等信息的查询。
5.2卡片间相互认证过程
5.2.1内部认证流程
适用于各种卡片与ESAM以及用户卡与PSAM卡之间的认证。
1)ESAM(PSAM卡)或电能表产生随机数;
2)卡片对随机数加密获得密文;
3)ESAM(PSAM卡)根据卡片卡号产生过程密钥;
4)ESAM(PSAM卡)利用过程密钥加密随机数获得密文;
5)电能表对比卡片和ESAM(PSAM卡)计算的密文结果,判断卡片的合法性。
5.2.2外部认证流程
适用于各种卡片与ESAM以及用户卡与PSAM卡之间的认证。
情况1:
用户卡认证ESAM(PSAM卡)
1)卡片读取随机数;
2)ESAM(PSAM卡)根据卡片卡号产生过程密钥;
3)ESAM(PSAM卡)利用过程密钥加密随机数获得密文;
4)卡片利用以上密文完成外部认证过程,获得相应的操作。
情况2:
ESAM认证用户卡
1)ESAM读取随机数;
2)用户卡加密随机数获得密文;
3)ESAM利用以上密文完成外部认证过程,获得相应的操作。
5.3电能表接收卡片信息的校验
电能表借助ESAM完成对所接收到卡片数据的完整性进行识别。
5.3.1对用户卡购电信息文件的校验
1)电能表读取购电信息文件,通过起始码、结束码判断数据的完整性;
2)电能表检查表号、户号的匹配性;
3)向ESAM发送购电信息文件指令:
将购电量至备用费率表及购电量、购电次数等信息产生的MAC作为指令的数据域;假使每一次发送指令的数据内容不变,但由于随机数的参与,MAC值都会变化,且具有唯一性。
4)ESAM在内部用指定的密钥对传入的MAC进行校验,如果MAC校验成功,ESAM再在内部检验购电次数,如果购电次数检验成功,ESAM将购电量、购电次数、户号等各项数据写入相应的文件中,任意一个检验不成功,提示错误信息。
5)电能表判断新费率日期是否比表中存贮的日期新,是则进行更新。
6)其它数据由电能表根据需要应用。
5.3.2对修改密钥卡密钥信息文件的校验
1)密钥修改卡与密钥恢复卡在使用时先经过内部认证,判断卡片是否为系统内发行的卡片。
2)密钥修改卡采用普通卡方式,卡片文件中只存放加密完的密文数据,杜绝了如果采用母卡时,母卡文件中存在主密钥明文被人为复制和攻击的极大可能性。
同时也杜绝了从母卡往ESAM中导密钥过程时超时所引起的出错。
3)对各种应用密钥,采用ESAM的主控进行装载和下装。
4)电能表读取密钥信息文件,通过起始码、结束码判断数据的完整性;
5)逐条向ESAM发送校验密钥密文指令,每条密钥的密文作为该指令的数据域;
6)如果对密钥密文的校验成功,ESAM将根据密文更新原测试密钥,否则ESAM提供错误提示。
5.3.3对工具卡指令信息文件的校验
1)电能表读取指令信息文件,通过起始码、结束码判断数据的完整性;
2)向ESAM发送指令信息文件指令:
将增加电量至当前费率表及电量信息产生的MAC作为指令的数据域;假使每一次发送指令的增加电量数据内容不变,但由于随机数的参与,MAC值都会变化,且具有唯一性。
3)ESAM在内部用指定的密钥对传入的MAC进行校验,如果MAC校验成功,ESAM再在内部检验购电次数,如果购电次数检验成功,ESAM将电量、购电次数等各项数据写入相应的文件中,任意一个检验不成功,提示错误信息。
4)对涉及电表运行参数信息文件更新,必须采用外部认证的方式有效后,才可以更新。
5)电能表将脉冲常数、等数据项写入ESAM相应的文件中。
5.3.4对用户卡返写信息文件的操作
1)由ESAM对用户卡发送返写指令,ESAM将表号等关键数据项及所计算的电表信息,在随机数的参
升级会员 