吴 曼 赵舜尧 杨 珂

(西安市地下铁道有限责任公司 西安 710018)

地铁发行的票种及其定价目标应随企业所处的不同时期和不同市场条件进行调整。在地铁运营初期，地铁网络尚未形成，只能提供一种局部的、有限的城市交通解决方案，低价渗透的定价策略在运营初期对培育客流、引导乘客出行是非常重要的手段。

计次票是一种地铁储值票，售出后不回收，可通过AFC系统赋予固定信用额(乘次)，一次或者多次使用，每次使用时不计乘距，是运营的初期吸引客流的有效方式。目前，计次票采用IC卡(integrated circuit card，集成电路卡)，其介质有存储卡、逻辑加密卡和智能卡(也称CPU卡)。CPU卡在IC卡系统中安全级别最高，而逻辑加密卡成本较CPU卡低，有利于实现票务营销的目标，也被其他地铁广泛使用。

票种的介质选择是轨道交通AFC(automatic fare collection)系统实施初期的一个基础问题，西安地铁的计次票采用哪种票卡介质，需要在分析安全性和成本的基础上进行选择。

1 计次票的发行策略及介质选择

地铁运营初期服务的群体可分为两大类:一类是在线路覆盖范围内把地铁作为日常交通工具的上班族，另一类是以猎奇心理体验新交通方式的游客或市民。相比而言，后者对票价的敏感度较小。基于对首条线开通票价的影响因素的考虑，西安地铁拟通过发行合理票价的计次票达到吸引客流的目的。

1.1 国内地铁发行计次票的案例

1)南京地铁2009年发行了“牛年生肖计次票”，每套4张，每张售价50元，可乘坐地铁20次，乘坐一次平均为2.5元，这对中长距离的乘客比较有吸引力。

2)深圳地铁2007年推出“香港回归十周年”特种计次票，车票面额40元，在售出后到2007年年底不计里程乘坐地铁12次。2008年7月，深圳地铁推出“体育系列”特种计次票，发行总量为30000张，单张定价为40元、套装(共5张)定价为200元，每张可乘坐地铁12次，每次不计里程，平均一次3.33元，按深圳地铁最高单程票价5元来计算，在同等乘坐12次的条件下，用计次票坐远程单张最多可省20元，每套最多可省100元，这受到了长距离乘客的欢迎。

1.2 西安地铁发行计次票的背景

根据西安市政府的要求，地铁发行的计次票不能重复充值，也不承担“小额消费”的储值票功能。

发行计次票是一种短期行为，计次票是仅限在特定时期(单线运营)发行的票种。在同等乘坐次数的情况下，只有使用计次票的平均票价比使用单程票乘坐同样行程的票价低，才能达到吸引乘客的目的。

相比发售单程票，发行计次票在短期内并没有直接增加票务收入，但从整体来看，合理定价的计次票在运营初期能够吸引客流，培养乘客出行习惯，从而力争实现地铁长期利润最大化。

2 国内交通运输行业IC卡应用的现状

IC卡通常分为存储卡、加密卡和智能卡3类。存储卡是可以直接对其进行读、写操作的存储器;加密卡是在存储卡的基础上增加了读、写加密功能，对加密卡操作时必须首先核对卡中的密码，密码正确才能进行正常操作;智能卡则带有微处理器，内部有独立的CPU和操作系统。

Mifare非接触智能卡是目前世界上使用量最大、技术最成熟、性能最稳定、内存容量最大的一种感应式智能IC卡，具有操作简单、快捷、抗干扰能力强、可靠性高的优点，适合于一卡多用，其最初开发的目的就是为了处理公共交通系统的付款交易。目前在全国交通领域使用的IC卡中，香港、上海等大部分城市采用的是Mifare S50卡，北京市交通一卡通采用的是S70卡(较S50卡安全等级更高)，2009年，北京市已开始逐步启用CPU卡，逐渐取代逻辑加密卡。

2009年4月初，工业和信息化部紧急发布《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地的机关和部门开展对IC卡使用情况的调查及应对工作。本着“谁主管谁负责、谁运营谁负责”的原则，对使用IC卡的重要系统(如各类“一卡通”、门禁卡等)进行了一次安全检查，重点检查系统是否使用了MIFARE Classic(非接触智能卡经典芯片，以下简称M1)芯片。对于大量使用该芯片的单位，有关部门将进行指导，督促其制订并实施升级改造计划。

3 逻辑加密卡的安全问题

Mifare系列非接触IC卡是荷兰Philips公司(现NXP，恩智浦半导体)的经典IC卡产品，恩智浦半导体的Mifare非接触智能卡在非接触卡应用领域占有全球80%的市场份额，是目前非接触智能卡的工业标准，也成为ISO 1443—A的工作草案。它主要包括在门禁和校园、公交领域广泛使用的Mifare one S50(存储容量为1 KB)、S70(存储容量为4 KB)，以及Mifare Light(简化版)和Mifare Pro(升级版)4种芯片型号。在这几种芯片中，除Mifare Pro外都属于逻辑加密卡，是完全依靠内置硬件逻辑电路来实现安全认证和保护的IC卡。

与接触型的IC卡相比，M1卡的安全性体现在其序列号是全球唯一的、不可以更改的。在读写时，卡与读写器之间采用3次双向认证机制，互相验证使用的合法性，且在通信过程中所有的数据都加密传输。此外，卡片各个分区都有自己的读写密码和访问机制，卡内数据的安全得到了有效的保证。

但2008年初，荷兰政府发布警告，指出目前广泛应用的M1芯片已被两位大学生破解。同年8月，M1卡的破解软件及硬件已在网络上公开售卖。此后，M1卡被破解的消息不断见诸报端，伦敦地铁、东京地铁等处使用的M1卡均出现被破解的情况。目前，国内已经有这类软件销售，用来破解M1卡所需要的读卡器和破解程序，配合发卡器完全可以在短时间内进行非破坏性的破解。

4 计次票采用M1卡面临的危险

4.1 M1卡面临的攻击方式

M1卡被破解后，IC卡应用系统面临着克隆和篡改两种攻击方式。

4.1.1 克隆计次票

恶意用户通过破解现有合法卡的密钥来读取全部数据，然后复制到多张空白IC卡上。从攻击效果看，克隆能够在一张合法卡的基础上制作多张伪卡。

现有的M1卡采用了全球唯一的、不可篡改的7位UID(unique identifier)，而轨道交通AFC系统的密钥基本是使用物理卡号进行分散计算来获得。如果要实施克隆攻击，必须具备复制UID的能力，即具备M1卡的生产制造能力。目前，能够生产兼容M1卡的只有几个厂家(约4家)，基本不可能自己做出非法克隆的事情，也不可能应恶意用户的要求进行订单生产。虽然通过硬件配合软件能够成功模拟M1卡，并且能够与读卡器进行正常通信，但距产品化还有较大距离，即使做到卡片产品化也只是相当于多了一个兼容生产厂家。

从以上分析可以看出，计次票选用逻辑加密卡面临被克隆的可能性较小。逻辑加密卡面临的最主要的攻击是“篡改”，恶意用户的攻击成本低廉，容易形成大范围、全系统的攻击。

4.1.2 篡改计次票

恶意用户在破解现有合法卡的密钥后，直接篡改该卡的钱包余额等关键数据。在合法的设备上，如半自动售票机(booking office machine，BOM)上，购买低值的车票，再用非法的设备将票中的金额改成高值的金额，然后在合法的设备上使用。如果要实施篡改攻击，恶意用户只需要从网上购买读卡器、下载软件和资料，可以大量采购合法的IC卡，然后在隐蔽的环境下进行篡改，达到大批量制作伪卡的目的。

从攻击效果看，篡改只能在合法卡本身的基础上制作伪卡，即在合法的设备上用非法的设备将票中的金额改成高值的金额，然后在合法的设备上使用，如从BOM上购买低值的车票。通过这种方式，攻击者可以篡改计次票卡中的数据，如增加计次票的使用次数，最后倒卖或自己消费，从而获得非法利益。

M1卡被破解后，不排除存在克隆计次卡、伪造计次卡使用的可能性，会给地铁带来票务收入流失的损失。

4.2 M1卡被破解的技术原因

4.2.1 密钥管理系统的安全机制完全失效

目前，AFC系统采用的是基于PSAM/ISAM(Purchase security access module/increment security access module)卡的密钥管理系统。一般AFC系统的密钥管理是在读卡器中安装SAM(security access module)卡，通过SAM卡计算卡片密钥，具体做法是:使用一个value block作为钱包，key A负责消费，key B负责充值(包括消费)。key A的分散密钥放在PSAM中，key B的分散密钥放在ISAM中(如果采用充值联机，则key B可联机获得)。PSAM和ISAM提供了密钥的外部存储方式，通过特定的分散算法得出M1卡的密钥，计算过程发生在终端或后台系统中。现在破解机制直接对M1卡发生作用，完全绕过且无视PSAM等安全机制。

“一卡一密”技术可以对每张用户卡提供唯一的密码，在西安地铁AFC系统中就是通过动态MAC(media access control)的计算来实现的。这种分散密钥的存储认证做法已完全改变了原始密钥的单一性，使得计次卡被破解的可能性大大降低——即使破解一张卡的所有密码，也不会影响到绝大多数的持卡人;但是，可以在破解多张卡片的基础上，继续破解一卡一密钥制的根密钥，只是需要更长的时间。因此，这种手段虽然增加了破解难度，但面对高效率的破解算法也形同虚设，不能完全杜绝克隆卡、伪造卡的使用。

4.2.2 黑名单等系统审计监控机制效果有限

首先，从理论上讲，如果发生使用被篡改的计次票，可利用AFC系统中的“黑名单”机制来锁定检测和杜绝不合法票卡的使用。但是，AFC系统中的黑名单容量实际上非常有限，如西安地铁2号线AFC系统中为30000个、20段。对可能出现的大量伪卡而言，黑名单机制基本无法正常运转，实际上将濒临崩溃的边缘。其次，由于黑名单的更新处理滞后，恶意用户卡即使被黑名单机制截获，此前造成的损失也远远超过伪造成本，无法起到控制损失的目的。AFC系统虽然采用了黑名单等系统审计监控机制，但与银行卡系统的黑名单机制存在很大区别。银行卡采用联机黑名单，容量基本不受限制，而且属于实时处理(即时生效和处理);轨道交通AFC系统采用脱机黑名单，容量受到终端设备的限制，而且属于滞后处理，通常生效和处理周期不小于T+1天(其中，T为中央系统审计数据的周期)。实际上，轨道交通的黑名单机制是一种事后防范机制，它防止的是再次发生同一伪卡的交易，难以从根本上解决问题。

总之，M1卡尽管也能进行动态的安全验证，但其安全性远不如CPU卡。

5 结语

通过对计次卡采用M1卡可能存在的危险进行分析，可以得出结论:M1卡已经不再安全，基于M1卡的系统安全基础已经动摇。使用CPU卡代替M1，这是彻底解决M1卡危机的根本途径。目前，其他地铁之所以还在继续使用逻辑加密卡，是因为其升级到CPU卡不是一蹴而就的，大批量地升级系统和更换卡片既需要很大成本，又需要一定技术，是一项浩大的工程。

综上所述，西安地铁发行的计次票应选择CPU卡。虽然这意味着每张计次卡10元左右的成本由地铁公司来承担，相当于逻辑加密卡4倍左右的价格，成本较高，但从长远利益看，维护安全的成本远远低于系统被破坏后进行系统修复的成本。

［1］方正-奥德计算机系统有限公司.密钥系统(KMS)软件技术规格书［G］.西安，2009.

［2］西安地下铁道有限责任公司.西安地铁2号线一期工程招标文件［G］.西安，2009.

［3］袁育博.由Mifare 1卡破解带来的危险以及应对方法［EB/OL］.(2009-09-04)［2011-10-10］.eNet硅谷动力.

［4］付靖.MIFARE系列逻辑加密卡的安全性分析［EB/OL］.(2009-5-27)［2011-10-10］.中国智能卡网.

［5］黄志勇.Mifare 1密钥破解危机将引起的安全风险［EB/OL］.(2009-5-27)［2011-10-10］.深圳达实智能.