卡式預付費表計采用先購買、再消費的管理模式，解決了我國人工抄表工作量大、催收費用難的問題，因此被廣泛應用。目前已被應用在電能表、水表、燃氣表等領域。預付費表計先后經歷了投幣式、磁卡式、電卡式以及Ic卡式。目前技術最成熟的是IC卡式預付費表計。然而，卡式預付費表計存在著嚴重的安全隱患。
 
1卡式預付費表計的安全隱患分析

1．1開放式卡口的安全隱患

    投幣式與磁卡式預付費表計由于安全性問題早已被淘汰，目前在我國應用最廣泛的是Ic卡預付費表。然而IC卡開放式的讀寫卡口極易受外界攻擊。用戶只需將一個電路板插入Ic卡插槽，就能使Ic卡內部電路卡口暴露在外，再在電路板相應的引腳輸入高壓脈沖就能讓內部的單片機死機，失去計費功能。

1．2 管理部門對卡式預付費表計用戶缺乏監管

    管理部門把電量(或水量、燃氣量)通過用戶卡售出后，不能對用戶進行跟蹤管理，這樣一旦用戶卡被破密、復制，管理部門將很難發現、取證與查處，電費(或水費、燃氣費)的損失將不可估量。因此通過破解用戶卡的方式偷竊更具隱蔽性，從某種角度來說，卡式預付費表計安全性甚至不如老式人工抄表的表計。

1．3 用戶卡存在的安全隱患

    由于Ic卡使用認證算法和密鑰等安全手段，因此其安全性仿佛無懈可擊，令人放心。其實不然，IC卡自身也存在著安全隱患。20世紀90年代中期，大部分IC卡處理器都被成功地實施了反向工程，因此IC卡并沒有從本質上解決安全問題。根據是否破壞IC卡芯片的物理封裝可以將IC卡的攻擊技術分為兩類：破壞性攻擊和非破壞性攻擊。

    1．3．1破壞性攻擊

    破壞性攻擊是使用化學藥品或特殊方法去除芯封裝后，通過金絲鍵合恢復芯片功能焊盤與外界的電氣連接，最后使用手動微探針獲取感興趣的信號。破壞性攻擊的方法有如下兩種。

    (1)版圖重構：版圖重構是采用特殊方法揭開芯片的封裝后，使用電子顯微鏡拍攝芯片版圖，通過軟件或人工恢復出芯片的原理圖。版圖重構的技術也可用于獲得只讀型ROM 的內容。ROM 的位模式存儲在擴散層，用氫氟酸(HF)去除芯片各覆蓋層后，根據擴散層的邊緣就能很容易辨認出ROM的內容。
    (2)存儲器讀出：由于射頻卡在安全認證過程中，至少訪問存放密鑰、用戶數據等重要內容的非易失性存儲器一次，因此，黑客在揭開芯片后常使用微探針監聽總線上的信號以獲取重要數據。

    1．3．2 非破壞性攻擊

    非破壞性攻擊主要針對有微處理器的芯片。微處理器本質上是成百上千個觸發器、寄存器、鎖存器和SRAM單元的集合，這些器件定義了處理器的當前狀態，結合時序邏輯則可知道下一時鐘的狀態，許多類似系統的模擬效應可用于非侵人式的攻擊。常用的非破壞性攻擊方法有下列3種。

    (1)電流分析法：電流分析法的基本方法是通過分析電源功耗電流的規律了解智能卡的內部工作狀態以及一些重要信息。
    (2)故障攻擊法：通過故障攻擊可以導致一個或多個觸發器處于病態，從而破壞傳輸到寄存器和存儲器中的數據。在所知的CPU智能卡非破壞性攻擊中，故障攻擊是實際應用中最有效的技術之一。當前有3種技術可以可靠地導致觸發器病態且影響很少的機器周期，分別是：瞬態時鐘、瞬態電源及瞬態外部電場。
    (3)測試態攻擊法：智能卡芯片生產時需要將不良的芯片在晶圓測試階段剔除以減少后端加工工序中不必要的浪費。通常采取等效測試原理設計額外的測試態來快速完成Ic卡芯片的測試。由于測試態提供了快速、全面訪問存儲器的機制，因此黑客極易通過測試態來攻擊IC卡芯片。

2卡式預付費表計的安全策略

2．1選用射頻卡作為用戶卡

    射頻卡與讀寫器通過磁耦合或微波的方式來實現能量與信號的非接觸傳輸，解決了接觸式IC卡使用機械電氣觸點產生的靜電擊穿、機械磨損、易受污染和潮濕環境影響等問題。同時由于射頻卡與讀寫器之間不存在開放式的讀寫卡口，因此能防止用戶通過開放式卡口直接攻擊內部控制系統。

2．2 管理部門與用戶表計連網

    如果管理部門的微機對用戶表計通過工業網絡、電力線載波網絡或無線網絡等進行跟蹤管理、監督，將能及時發現可疑情況，如發現用戶購買量與實際消費量不符或某區的總消耗量與分戶累加總量不符等，從而及時調查取證，有效防止用戶偷竊行為。

2．3 增強IC卡芯片的安全性設計

    首先在設計、制作IC卡的過程中，一切參數都應嚴加保密。另外在設計IC卡芯片時必須根據對智能卡芯片的攻擊方法來制定相應的安全設計策略，主要可以采取如下安全設計策略。

    (1)外加保護層：外加專防分析存儲器內容的若干保護層，讓黑客難以全部剝離這些保護層而不損及存儲器。
    (2)電荷保護：在E PROM電路里留有少量表示信息的電荷，一旦分析者用探針接近該電路，電荷便會消失，從而無法探測到存儲器的內容。
    (3)不可截聽：對黑客來說，不斷詢問存儲器單元并錄下信號波形是必不可少的。芯片監控程序可防止對處理器／存儲器數據總線和地址總線的截聽。
    (4)使用變化的加密密鑰和加密算法：為了防止黑客通過使用微探針監聽總線上的信號破密，可在卡中使用不同的加密密鑰和加密算法，然后在它們之間每隔幾周就切換一次，且芯片的算法和密鑰的存放區域在沒有被廣播呼叫激活以前不能被處理器控制。從而使早期的被動監測總線難以發現這些秘密。
    (5)采用頂層探測器網格：充分利用深亞微米CMOS技術提供的多層金屬，在重要的信號線頂層構成探測器網格能夠連續監測短路和斷路。當有電時，它能防止激光切割或選擇性的蝕刻去獲取總線的內容。根據探測器輸出，芯片可立即觸發電路將非易失性存儲器中的內容全部清零。
    (6)永久關閉測試態：在晶圓測試完成后，將測試態永久關閉，這樣將能阻止黑客使用測試態攻擊射頻卡。

3結束語

    卡式預付費表計雖解決了抄表工作量大、收費難的問題，給管理部門帶來了方便。但在推廣這一技術時還必須要清楚地意識到它的安全隱患問題，本文雖給出幾點安全設計的建議，但并非就完全解決了卡式預付費表計的安全性問題。隨著反向工程技術及黑客技術的改進，安全設計任重而道遠。

作者簡介：田擁軍  湖南理工職業技術學院   曾健平  湖南大學物理與微電子科學學院

參考文獻

1王雪利，和金生．論反向工程的技術獲取和后發優勢．電子科技大學學報，2006，8(4)：42～46．
2聶建國．IC卡系統安全性分析．電腦與信息技術，2003，(3)：54～56．