地鐵計次票的介質選擇問題探析

吳 曼 趙舜堯 楊 珂

(西安市地下鐵道有限責任公司 西安 710018)

地鐵發(fā)行的票種及其定價目標應隨企業(yè)所處的不同時期和不同市場條件進行調整。在地鐵運營初期，地鐵網絡尚未形成，只能提供一種局部的、有限的城市交通解決方案，低價滲透的定價策略在運營初期對培育客流、引導乘客出行是非常重要的手段。

計次票是一種地鐵儲值票，售出后不回收，可通過AFC系統(tǒng)賦予固定信用額(乘次)，一次或者多次使用，每次使用時不計乘距，是運營的初期吸引客流的有效方式。目前，計次票采用IC卡(integrated circuit card，集成電路卡)，其介質有存儲卡、邏輯加密卡和智能卡(也稱CPU卡)。CPU卡在IC卡系統(tǒng)中安全級別最高，而邏輯加密卡成本較CPU卡低，有利于實現(xiàn)票務營銷的目標，也被其他地鐵廣泛使用。

票種的介質選擇是軌道交通AFC(automatic fare collection)系統(tǒng)實施初期的一個基礎問題，西安地鐵的計次票采用哪種票卡介質，需要在分析安全性和成本的基礎上進行選擇。

1 計次票的發(fā)行策略及介質選擇

地鐵運營初期服務的群體可分為兩大類:一類是在線路覆蓋范圍內把地鐵作為日常交通工具的上班族，另一類是以獵奇心理體驗新交通方式的游客或市民。相比而言，后者對票價的敏感度較小?；趯κ讞l線開通票價的影響因素的考慮，西安地鐵擬通過發(fā)行合理票價的計次票達到吸引客流的目的。

1.1 國內地鐵發(fā)行計次票的案例

1)南京地鐵2009年發(fā)行了“牛年生肖計次票”，每套4張，每張售價50元，可乘坐地鐵20次，乘坐一次平均為2.5元，這對中長距離的乘客比較有吸引力。

2)深圳地鐵2007年推出“香港回歸十周年”特種計次票，車票面額40元，在售出后到2007年年底不計里程乘坐地鐵12次。2008年7月，深圳地鐵推出“體育系列”特種計次票，發(fā)行總量為30000張，單張定價為40元、套裝(共5張)定價為200元，每張可乘坐地鐵12次，每次不計里程，平均一次3.33元，按深圳地鐵最高單程票價5元來計算，在同等乘坐12次的條件下，用計次票坐遠程單張最多可省20元，每套最多可省100元，這受到了長距離乘客的歡迎。

1.2 西安地鐵發(fā)行計次票的背景

根據西安市政府的要求，地鐵發(fā)行的計次票不能重復充值，也不承擔“小額消費”的儲值票功能。

發(fā)行計次票是一種短期行為，計次票是僅限在特定時期(單線運營)發(fā)行的票種。在同等乘坐次數(shù)的情況下，只有使用計次票的平均票價比使用單程票乘坐同樣行程的票價低，才能達到吸引乘客的目的。

相比發(fā)售單程票，發(fā)行計次票在短期內并沒有直接增加票務收入，但從整體來看，合理定價的計次票在運營初期能夠吸引客流，培養(yǎng)乘客出行習慣，從而力爭實現(xiàn)地鐵長期利潤最大化。

2 國內交通運輸行業(yè)IC卡應用的現(xiàn)狀

IC卡通常分為存儲卡、加密卡和智能卡3類。存儲卡是可以直接對其進行讀、寫操作的存儲器;加密卡是在存儲卡的基礎上增加了讀、寫加密功能，對加密卡操作時必須首先核對卡中的密碼，密碼正確才能進行正常操作;智能卡則帶有微處理器，內部有獨立的CPU和操作系統(tǒng)。

Mifare非接觸智能卡是目前世界上使用量最大、技術最成熟、性能最穩(wěn)定、內存容量最大的一種感應式智能IC卡，具有操作簡單、快捷、抗干擾能力強、可靠性高的優(yōu)點，適合于一卡多用，其最初開發(fā)的目的就是為了處理公共交通系統(tǒng)的付款交易。目前在全國交通領域使用的IC卡中，香港、上海等大部分城市采用的是Mifare S50卡，北京市交通一卡通采用的是S70卡(較S50卡安全等級更高)，2009年，北京市已開始逐步啟用CPU卡，逐漸取代邏輯加密卡。

2009年4月初，工業(yè)和信息化部緊急發(fā)布《關于做好應對部分IC卡出現(xiàn)嚴重安全漏洞工作的通知》，要求各地的機關和部門開展對IC卡使用情況的調查及應對工作。本著“誰主管誰負責、誰運營誰負責”的原則，對使用IC卡的重要系統(tǒng)(如各類“一卡通”、門禁卡等)進行了一次安全檢查，重點檢查系統(tǒng)是否使用了MIFARE Classic(非接觸智能卡經典芯片，以下簡稱M1)芯片。對于大量使用該芯片的單位，有關部門將進行指導，督促其制訂并實施升級改造計劃。

3 邏輯加密卡的安全問題

Mifare系列非接觸IC卡是荷蘭Philips公司(現(xiàn)NXP，恩智浦半導體)的經典IC卡產品，恩智浦半導體的Mifare非接觸智能卡在非接觸卡應用領域占有全球80%的市場份額，是目前非接觸智能卡的工業(yè)標準，也成為ISO 1443—A的工作草案。它主要包括在門禁和校園、公交領域廣泛使用的Mifare one S50(存儲容量為1 KB)、S70(存儲容量為4 KB)，以及Mifare Light(簡化版)和Mifare Pro(升級版)4種芯片型號。在這幾種芯片中，除Mifare Pro外都屬于邏輯加密卡，是完全依靠內置硬件邏輯電路來實現(xiàn)安全認證和保護的IC卡。

與接觸型的IC卡相比，M1卡的安全性體現(xiàn)在其序列號是全球唯一的、不可以更改的。在讀寫時，卡與讀寫器之間采用3次雙向認證機制，互相驗證使用的合法性，且在通信過程中所有的數(shù)據都加密傳輸。此外，卡片各個分區(qū)都有自己的讀寫密碼和訪問機制，卡內數(shù)據的安全得到了有效的保證。

但2008年初，荷蘭政府發(fā)布警告，指出目前廣泛應用的M1芯片已被兩位大學生破解。同年8月，M1卡的破解軟件及硬件已在網絡上公開售賣。此后，M1卡被破解的消息不斷見諸報端，倫敦地鐵、東京地鐵等處使用的M1卡均出現(xiàn)被破解的情況。目前，國內已經有這類軟件銷售，用來破解M1卡所需要的讀卡器和破解程序，配合發(fā)卡器完全可以在短時間內進行非破壞性的破解。

4 計次票采用M1卡面臨的危險

4.1 M1卡面臨的攻擊方式

M1卡被破解后，IC卡應用系統(tǒng)面臨著克隆和篡改兩種攻擊方式。

4.1.1 克隆計次票

惡意用戶通過破解現(xiàn)有合法卡的密鑰來讀取全部數(shù)據，然后復制到多張空白IC卡上。從攻擊效果看，克隆能夠在一張合法卡的基礎上制作多張偽卡。

現(xiàn)有的M1卡采用了全球唯一的、不可篡改的7位UID(unique identifier)，而軌道交通AFC系統(tǒng)的密鑰基本是使用物理卡號進行分散計算來獲得。如果要實施克隆攻擊，必須具備復制UID的能力，即具備M1卡的生產制造能力。目前，能夠生產兼容M1卡的只有幾個廠家(約4家)，基本不可能自己做出非法克隆的事情，也不可能應惡意用戶的要求進行訂單生產。雖然通過硬件配合軟件能夠成功模擬M1卡，并且能夠與讀卡器進行正常通信，但距產品化還有較大距離，即使做到卡片產品化也只是相當于多了一個兼容生產廠家。

從以上分析可以看出，計次票選用邏輯加密卡面臨被克隆的可能性較小。邏輯加密卡面臨的最主要的攻擊是“篡改”，惡意用戶的攻擊成本低廉，容易形成大范圍、全系統(tǒng)的攻擊。

4.1.2 篡改計次票

惡意用戶在破解現(xiàn)有合法卡的密鑰后，直接篡改該卡的錢包余額等關鍵數(shù)據。在合法的設備上，如半自動售票機(booking office machine，BOM)上，購買低值的車票，再用非法的設備將票中的金額改成高值的金額，然后在合法的設備上使用。如果要實施篡改攻擊，惡意用戶只需要從網上購買讀卡器、下載軟件和資料，可以大量采購合法的IC卡，然后在隱蔽的環(huán)境下進行篡改，達到大批量制作偽卡的目的。

從攻擊效果看，篡改只能在合法卡本身的基礎上制作偽卡，即在合法的設備上用非法的設備將票中的金額改成高值的金額，然后在合法的設備上使用，如從BOM上購買低值的車票。通過這種方式，攻擊者可以篡改計次票卡中的數(shù)據，如增加計次票的使用次數(shù)，最后倒賣或自己消費，從而獲得非法利益。

M1卡被破解后，不排除存在克隆計次卡、偽造計次卡使用的可能性，會給地鐵帶來票務收入流失的損失。

4.2 M1卡被破解的技術原因

4.2.1 密鑰管理系統(tǒng)的安全機制完全失效

目前，AFC系統(tǒng)采用的是基于PSAM/ISAM(Purchase security access module/increment security access module)卡的密鑰管理系統(tǒng)。一般AFC系統(tǒng)的密鑰管理是在讀卡器中安裝SAM(security access module)卡，通過SAM卡計算卡片密鑰，具體做法是:使用一個value block作為錢包，key A負責消費，key B負責充值(包括消費)。key A的分散密鑰放在PSAM中，key B的分散密鑰放在ISAM中(如果采用充值聯(lián)機，則key B可聯(lián)機獲得)。PSAM和ISAM提供了密鑰的外部存儲方式，通過特定的分散算法得出M1卡的密鑰，計算過程發(fā)生在終端或后臺系統(tǒng)中?，F(xiàn)在破解機制直接對M1卡發(fā)生作用，完全繞過且無視PSAM等安全機制。

“一卡一密”技術可以對每張用戶卡提供唯一的密碼，在西安地鐵AFC系統(tǒng)中就是通過動態(tài)MAC(media access control)的計算來實現(xiàn)的。這種分散密鑰的存儲認證做法已完全改變了原始密鑰的單一性，使得計次卡被破解的可能性大大降低——即使破解一張卡的所有密碼，也不會影響到絕大多數(shù)的持卡人;但是，可以在破解多張卡片的基礎上，繼續(xù)破解一卡一密鑰制的根密鑰，只是需要更長的時間。因此，這種手段雖然增加了破解難度，但面對高效率的破解算法也形同虛設，不能完全杜絕克隆卡、偽造卡的使用。

4.2.2 黑名單等系統(tǒng)審計監(jiān)控機制效果有限

首先，從理論上講，如果發(fā)生使用被篡改的計次票，可利用AFC系統(tǒng)中的“黑名單”機制來鎖定檢測和杜絕不合法票卡的使用。但是，AFC系統(tǒng)中的黑名單容量實際上非常有限，如西安地鐵2號線AFC系統(tǒng)中為30000個、20段。對可能出現(xiàn)的大量偽卡而言，黑名單機制基本無法正常運轉，實際上將瀕臨崩潰的邊緣。其次，由于黑名單的更新處理滯后，惡意用戶卡即使被黑名單機制截獲，此前造成的損失也遠遠超過偽造成本，無法起到控制損失的目的。AFC系統(tǒng)雖然采用了黑名單等系統(tǒng)審計監(jiān)控機制，但與銀行卡系統(tǒng)的黑名單機制存在很大區(qū)別。銀行卡采用聯(lián)機黑名單，容量基本不受限制，而且屬于實時處理(即時生效和處理);軌道交通AFC系統(tǒng)采用脫機黑名單，容量受到終端設備的限制，而且屬于滯后處理，通常生效和處理周期不小于T+1天(其中，T為中央系統(tǒng)審計數(shù)據的周期)。實際上，軌道交通的黑名單機制是一種事后防范機制，它防止的是再次發(fā)生同一偽卡的交易，難以從根本上解決問題。

總之，M1卡盡管也能進行動態(tài)的安全驗證，但其安全性遠不如CPU卡。

5 結語

通過對計次卡采用M1卡可能存在的危險進行分析，可以得出結論:M1卡已經不再安全，基于M1卡的系統(tǒng)安全基礎已經動搖。使用CPU卡代替M1，這是徹底解決M1卡危機的根本途徑。目前，其他地鐵之所以還在繼續(xù)使用邏輯加密卡，是因為其升級到CPU卡不是一蹴而就的，大批量地升級系統(tǒng)和更換卡片既需要很大成本，又需要一定技術，是一項浩大的工程。

綜上所述，西安地鐵發(fā)行的計次票應選擇CPU卡。雖然這意味著每張計次卡10元左右的成本由地鐵公司來承擔，相當于邏輯加密卡4倍左右的價格，成本較高，但從長遠利益看，維護安全的成本遠遠低于系統(tǒng)被破壞后進行系統(tǒng)修復的成本。

［1］方正-奧德計算機系統(tǒng)有限公司.密鑰系統(tǒng)(KMS)軟件技術規(guī)格書［G］.西安，2009.

［2］西安地下鐵道有限責任公司.西安地鐵2號線一期工程招標文件［G］.西安，2009.

［3］袁育博.由Mifare 1卡破解帶來的危險以及應對方法［EB/OL］.(2009-09-04)［2011-10-10］.eNet硅谷動力.

［4］付靖.MIFARE系列邏輯加密卡的安全性分析［EB/OL］.(2009-5-27)［2011-10-10］.中國智能卡網.

［5］黃志勇.Mifare 1密鑰破解危機將引起的安全風險［EB/OL］.(2009-5-27)［2011-10-10］.深圳達實智能.