智能卡在江苏电力公司试点项目中的应用

　　江苏省地处长江三角洲，面积约占全国的百分之一，人口约占全国的百分之六。2004年全年江苏省实现国民生产总值15512.4亿元，比2003年增长14.9%，在中国国民经济重有着举足轻重的地位。 作为中国经济最活跃的地区之一，江苏的电力建设一直是关系到国民经济发展的重中之重。2005年1月到5月，江苏各地用电量达559.32亿千瓦时，同比增幅为22.8%，创下华东地区增幅之最。由此也可见江苏电力建设任务之重。

　　在大力加强江苏电力生产和管理的工作中，信息化一直是江苏省电力公司重点狠抓的领域之一。江苏电力的信息化起步于上世纪80年代。1994年，江苏省电力公司在1994年底召开的计算机应用领导小组会议上，经反复讨论，权衡利弊，确定了全省电力系统信息化的建设和发展，要实行“统一领导，统一规划，统一开发、推广”的“三统一”原则。纵观全国，江苏电力是国内最早实现信息化的电力企业之一。

　　随着信息网络建设和应用高潮的到来，信息安全问题也日益突出，并成为国家安全战略的重要组成部分。信息安全已成为电力企业在信息时代和知识经济新形势下面临的新课题，电力系统信息网络的安全一旦遭受破坏，造成的影响和损失将十分巨大。近年来，电力系统信息安全破坏的事件时有发生，使得结合电力工业特点，总结运行管理经验，深入分析研究电力信息系统安全问题和制定电力系统信息安全战略已成为当前电力信息化工作的重要内容。在2002年9月份召开的国电公司信息中心主任座谈会上，赵希正总经理明确提出，要把信息安全与电力生产安全同样对待。

　　为提高电力系统的信息安全防护水平，2001年底国家电力公司立项，将“江苏省电力公司信息安全示范工程”作为国电公司重点科技项目进行攻关研究；2002年7月国家科学技术部正式批复将“电力系统信息安全应用示范工程”作为“十五”国家重大科技专项“国家信息安全应用示范工程”的三个应用示范工程之一，由江苏省电力公司和辽宁省电力公司承担。江苏电力系统信息网络及应用系统建设当时已具相当的规模，为电力信息系统安全示范工程的开展奠定了良好基础。

　　在江苏电力严格的挑选和审核之后，全球前十大智能卡技术与服务提供商、专注于数据安全和智能卡研发的握奇数据成为江苏省电力公司信息安全示范工程中的方案提供商和“一卡通”提供商。

　　安全 与高效应用与管理并重

　　项目背景、目标与要求

　　江苏省电力公司信息安全示范工程包括PKI平台建设，基础安全防护和应用系统改造三大部分，其中PKI建设是本次工程的重点。

　　江苏省电力公司信息安全示范工程的PKI平台是一个企业内部的信息安全基础设施，其建设的总体目标是：建立全网统一的认证与授权机制、全网统一的时间服务，确保信息在产生、存储、传输和处理过程中的保密、完整、抗抵赖和可用；将全公司的信息系统用户纳入到统一的用户管理体系中；提高应用系统的安全强度和应用水平。

　　PKI (Pubic Key Infrastructure)是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。江苏省电力公司PKI是一个企业内部的信息安全基础设施，其建设的总体目标是：建立全网统一的认证与授权机制、全网统一的时间服务，确保信息在产生、存储、传输和处理过程中的保密、完整、抗抵赖和可用；将全公司的信息系统用户纳入到统一的用户管理体系中；提高应用系统的安全强度和应用水平。

　　在PKI体系中，数字证书，又叫“数字身份证”、“数字ID”，是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性。数字证书由一对密钥及用户信息等数据共同组成，并写入到智能卡内，确保用户信息不被非法读取及篡改。江苏电力智能卡是存放江苏电力职工基本信息和他自己的数字证书的载体，如同江苏电力职工的数字工作证。

　　江苏电力智能卡的建设，不仅是江苏电力PKI体系建设中重要的环节，也应是打造数字江苏电力的重要的基础建设部分。江苏电力智能卡作为职工身份信息的数字载体，不仅可以在PKI体系中起到数字签名、信息加密的作用，还可以在门禁系统、考勤系统中起到身份认证的作用，甚至可以在职工食堂中起到电子钱包的作用。江苏电力智能卡将随着信息系统在电力企业中的不断推广而得到更广泛的应用，真正成为江苏电力的“一卡通”。

　　综合以上的考虑，握奇数据认为江苏电力智能卡的建设应遵循以下原则：

　　1、“一卡多用”原则

　　一卡多用是对用户而言，允许不同制造商制造的读卡机具进入系统，但用户持一张卡即可实现所有应用。一卡多用能避免浪费，避免重复开发和盲目发卡。既增加了使用者的方便和舒适程度，又降低了建设成本和管理成本。在统一认证系统的支持下，可以实现统一的卡的管理。

　　2、遵循标准的原则

　　智能卡的选型必须遵循一定的国内、国际标准，以保证江苏电力智能卡有良好的兼容性，能应用到多种应用系统中。

　　3、安全可靠的原则

　　首先江苏电力智能卡作为数字证书的载体，必须能保证用户的数字证书在卡内的安全。另外，作为多用途卡，江苏电力智能卡必须经久耐用，不易磨损，适应各种应用环境。

　　4、存储量大的原则

　　卡的存储容量应足够大，以便于多应用环境下的信息存储。对将来开拓新的智能卡应用提供扩展空间。

　　实施 TimeCOS/PK&DI智能卡 一卡走遍江苏电力

　　智能卡选择

　　本着以上江苏电力智能卡的建设原则，考虑到智能卡将涉及到的各种实际应用，握奇数据决定采用双界面CPU卡。

　　智能卡是一种IC卡。按照卡上镶嵌的芯片的不同IC卡可以划分为：存储卡、逻辑加密卡、CPU卡。按卡与外界数据传送形式的不同IC卡可分为：接触式卡、非接触式卡、双界面卡。

　　握奇数据系统有限公司新近自行研发了基于TimeCOS系统的卡产品TimeCOS/PK&DI智能卡。此卡的卡芯片选用了经过国际认证并获得最高级别ITSEC E4证书的安全芯片进行产品开发，操作系统软件则采用了握奇数据自主研发、拥有自主知识产权的TimeCOS智能卡操作系统。

　　TimeCOS/PK&DI智能卡产品是拥有接触与非接触特性的双界面卡片。其接触特性符合ISO/IEC 7816规范，存储的数据具有高度的安全性，对文件的访问和功能的使用有严格的权限管理机制；非接触特性符合ISO/IEC 14443中TYPE-A和TYPE-B通信协议规范。

　　TimeCOS/PK&DI智能卡产品具有高度的安全性，支持PKI功能，此产品能够在卡内快速完成RSA算法的签名，验证，加密，解密运算功能，并且在卡片内生成1024的RSA密钥对，利用强素数产生方案，以保证密钥对的质量。同时此产品支持国产安全算法。

　　TimeCOS/PK&DI智能IC卡产品的另一个卓越特性是具有指纹识别技术，并可在卡内实现快速的指纹识别比对。此特性将传统的智能卡口令识别技术与"生物识别技术"相结合，大为提高了系统地安全强度，是PKI技术的强有力的补充。将指纹认证与CA认证有机结合，利用指纹对人员进行身份认证，同时基于PKI技术，将数字签名、身份认证和证书管理等信息安全技术植入现有的电子商务/政务系统，以此保证系统的可靠认证和信息的可靠传输。

　　综上所述，TimeCOS/PK&DI智能卡的特性满足了江苏电力的项目要求： 

　　1、安全性
　　CPU卡有计算功能，可以进行比较复杂的加密/解密运算，自带的操作系统（COS）中也包含了安全技术，这就为CPU卡提供了双重的安全保证。CPU卡极难伪造，是目前极安全的卡类型。 

　　2、便利性
　　实现真正意义上的一卡多应用，每个应用之间相互独立，并受控于各自的密钥管理系统。用户一卡在手，可进行多种应用。具有非接触卡的特点，在一定距离范围内可以从任意方向与读写设备通讯，从而使操作更为方便、快捷。 

　　3、耐用性
　　双界面卡具有的非接触界面使卡片可以不从钱包中取出来就可以使用，因此卡不易被物理磨损，不易受环境影响而破坏使用效果。它使用寿命长，数据存储时间可达十年以上。 

　　项目实施效果及展望 

　　江苏电力智能卡上印有职工的照片和职工的基本信息，卡中存有职工本人的数字证书和签名、加密密钥，成为一张真正的数字工作证。它还可以存放个人帐户，因此TimeCOS/PK&DI智能卡在江苏电力不断完善的信息安全建设中，特别是PKI体系的进一步完善之下，将发挥更大的作用。 

　　在江苏电力PKI体系建成后，TimeCOS/PK&DI智能卡上面的数字证书将作为职工进入企业网和应用系统的数字通行证。它是职工数字信息的权威认证，可作为职工个人的数字签章，它还为需要加密的办公信息提供加密服务。此外当各企业门禁系统与PKI体系相连后，它还可以作为职工进出电力企业各个场所、部门的凭证，对进出人员进行严格的验证、审核，最大限度地保证了电力企业及电力企业业务的安全。 

　　TimeCOS/PK&DI智能卡还具有一卡多用、易扩展的特点，可以应用到电力企业其它相关领域，例如在职工食堂中，作为数字钱包使用；在考勤系统中，作为数字考勤卡使用；在企业图书馆中，作为电子借阅证使用等。 

　　未来，随着江苏电力项目试点的成功实施和完成，江苏电力信息化将进入一个崭新的阶段。凭借一张小卡片，电力企业的运作、电力职工的工作和生活将全面迈入数字化大潮，享受数字化社会的种种便捷、安全、高效。