關于預付費分時電能表及其系統安全性的探討
丁富民 思達儀表
預付費分時電能表是一種具有IC卡通訊接口的分時計費的有功電能計量儀表，可以按照協議好的不同計費時段的用電量及單價、預付金額或預購電量付費方式完成電能計量、數據處理以及用戶用電控制。
預付費分時電能表及預付費售電管理系統作為電能計量和用電結算的特殊的計量產品，應該保證表計和系統在任何情況下都具有極高的安全性。包括精確、穩定的計量功能，極強的抗電磁干擾、抗攻擊、耐惡劣環境的能力，以及在數據解密、交換過程中的高度安全，確保用電信息、結算方式正確可靠，保證用電、供電雙方的利益不受損害。
預付費分時電能表作為這一系統的重要組成部分，與預付費分時售電管理系統、預付費表計密鑰管理系統（發卡），共同構成一個有機整體，其安全性設計是技術關鍵。所以必須從卡片的安全性、表計生產過程的安全性、運行管理的安全性等方面考驗整個系統的安全性。
卡片的安全性
由于預付費分時電能表用戶群體龐大，并且表計安裝后是通過IC卡進行數據傳遞交換，管理系統無法實時監控，因此必須要求用戶卡片具有較高的安全性。所以預付費分時電表應選用帶有密鑰控制的CPU卡。CPU卡在對數據進行讀寫時必須要經過密鑰認證，由于密鑰是不可讀取的并且在實際操作中不可截獲的，因此CPU卡相對于其它類型IC卡而言，具有非常高的安全性。在卡片的發行過程中，對用戶卡中的密鑰進行分散處理，最大限度地減少被黑客攻擊破譯系統密鑰的可能性，同時在用戶卡中傳遞的關鍵數據進行加密保護處理，以防止非法篡改數據的可能性。
智能卡(CPU卡)比邏輯加密卡有如下優勢：
 智能卡比邏輯加密卡具有更高的安全性
智能卡的安全性是建立在專用、安全的微處理器硬件平臺和安全、可靠的軟件操作系統（COS）基礎之上。邏輯加密卡只靠邏輯電路實現數據保護。智能卡除了能實現一般邏輯加密卡的密碼校驗之外，還有建立在密鑰和安全算法基礎上更為安全的認證機制，認證過程以隨機數為載體，認證碼無法重復和跟蹤，可以防止通過在線測試對相關數據進行分析、篡改和重放。一般邏輯加密卡的密碼校驗過程沒有隨機性，密碼傳輸過程是明文的，可以測試并分析出卡片的密碼。智能卡支持非常靈活的密鑰系統設計，可以根據需求設計多種邏輯組合的文件訪問權限，例如對于電子錢包，很容易把消費和充值由不同的密鑰控制。一般的邏輯加密卡如果用來做電子錢包，消費和充值可能由一個密碼保護，安全性很差。
 智能卡比邏輯加密卡具有更大的靈活性
智能卡由操作系統管理芯片的硬件資源，可以根據需求，自由設計不同應用文件的密鑰系統，在邏輯上和物理上保證了一卡多用在安全性、靈活性方面的要求。
 智能卡比邏輯加密卡具有更好的標準性
智能卡在通訊協議、文件和命令等方面有深入、全面的國際標準可以遵循。而且其外部特性可以通過操作系統進行擴充和修改，實現更好的兼容性和功能擴展性。邏輯加密卡在通訊協議、讀寫特性和存儲區劃分等方面沒有嚴格的標準，不同型號的產品不能通用，限制了產品的選擇空間和產品供應的連續性，在很大程度上縮短了系統的生命周期。
表計生產、運行過程的安全性
嚴格區分表計的生產過程和運行管理過程，保證表計一旦安裝運行，對其中任何數據的修改都應該在運行管理系統的控制下進行，堅決杜絕生產廠家或管理部門工作人員持有特殊工具卡可以不經過管理系統，而對表計數據進行改寫。為保證這一點，應在電卡表中安裝ESAM安全認證模塊。
ESAM（Embedded Secure Access Module）嵌入式安全控制模塊采用現成的產品(如將CPU卡操作系統COS----置入帶封裝的同類芯片內，此COS系統和卡上COS系統有個別差異), 具有完善的安全機制、標準的加密算法、可根據分散因子產生子密鑰等特點。
ESAM特殊的安全屬性使它可以嵌入到其他任何具有安全要求的智能設備中，完成文件的安全存儲、數字簽名、數據加密解密、雙向身份認證、內部分散密鑰、電子錢包、通訊線路保護等多種功能。
ESAM安全認證模塊用來存儲表中的數據和安全密鑰，在運行過程中由用戶卡和ESAM安全模塊進行安全認證和數據傳輸，ESAM安全模塊由運行管理系統管理。在卡表生產完畢測試合格后用管理系統提供的修改密鑰卡將ESAM安全模塊中的密鑰修改為運行密鑰，這樣未經授權，表計生產廠任何人都不可以對表里的數據進行修改。
ESAM安全模塊可由電能表運行管理部門制作,然后發給電能表生產廠商。
運行管理的安全性
在預付費分時售電管理系統中，系統的安全主要取決于密鑰的發行和管理，因此必須有一套合適的卡片以及ESAM安全模塊密鑰發行和傳遞方式。由于系統的組成環節中有銀行、城市公用事業（水、電、氣、熱）管理部門、表計生產廠、卡片供應商和系統集成商等，各個環節都涉及到密鑰管理，如果密鑰在傳遞過程中被竊取，系統的安全性將受到極大影響，所以必須要有卡片發行和密鑰管理機構。密鑰發行傳遞采用總控卡、一級母卡、二級母卡、應用卡的多級方式，每一級在向下傳遞時采用密文線路保護方式或密鑰密文導出方式。
因此,在預付費分時售電管理系統中，有專門的密鑰管理系統和售電管理系統,兩個系統各自獨立運行。密鑰管理系統由電能表運行管理部門控制，售電管理系統接受密鑰管理系統控制，其各個子系統根據各自的功能和權限完成各自的日常工作，系統運行數據由中心計算機專用數據庫管理，系統和電能表所使用的卡只能接受特定的密鑰管理系統發行的卡。可參考附圖。

ESAM模塊在表計中的安全作用
在密鑰管理系統中，供電管理部門負責密鑰管理，并可將系統相關協議公開化，就可以做到由電能表運行部門（供電部門）發行ESAM模塊，各電能表生產廠家按系統公開的相關協議和接收到的專用ESAM模塊生產指定用戶的電能表。
ESAM模塊在電能表中不直接和IC卡有硬件上的聯系，而是通過電能表上的主控芯片進行數據傳送，以和IC卡進行密鑰認證和數據交換。電能表上的主控芯片只負責IC卡和ESAM模塊的數據交換，不進行密鑰認證和數據處理。

ESAM模塊在表計的實際應用中以文件的形式存儲購電數據、重要設置參數和工作主密鑰,在條件滿足的情況下允許讀寫和更改。ESAM模塊內處于生產狀態的各種密鑰可由表計運行管理部門（供電部門）通過修改主密鑰卡修改為運行狀態下的密鑰；向ESAM模塊寫入購電數據、重要設置參數等需要經過ESAM模塊和用戶卡之間的多級密鑰安全認證后才可寫入；而電能表中的MCU只能進行ESAM模塊中購電量/購電金額的遞減操作、各運行設置參數的讀取操作，不能修改ESAM模塊中的設置參數或追加購電數據。