解决方案-北京供电局一户一表售电系统规范

1北京市供电局北京供电局一户一表售电系统规范此规范仅适用于北京市居民电卡表的软件设计工作，涉及电卡表厂商程序设计、电卡结构、内容、供电局营业开户以及银行售电网络等方面。在北京市使用的电卡表及售电管理流程必须符合此设计规范。本规范共分成五部分，分别从总体设计、电卡表、电卡、电卡表和IC卡接口、供电局和银行业务五部分对应该遵循的标准进行描述。第一部分总体设计部分本规范具有以下特点：1、高度安全的售电系统将电卡设计为CPU卡后，将采用密钥管理方式，其安全级别高，外人很难攻击，同时掌握核心主密钥的人极少。电卡表内部的安全认证过程完全在电卡内部实现。2、方便灵活的售电网络售电系统充分利用工商银行储蓄网点，用户所有的购电缴费操作都可通过工商银行储蓄网点进行，实现了就近购电缴费和异地购电缴费，极大地方便了用户。3、提供方便的辅助售电除银行储蓄网点正常售电外，还在社会上发行一定数量固定电量的不记名电卡，当用户由于各种原因不能及时到银行储蓄网点购电时，可以购买不记名卡作应急用。4、符合IC标准的售电系统售电系统采用了符合IC卡国际标准的CPU卡，便于进行升级，从而保证售电系统不会由于IC卡的更新而被改变，使系统的适应性大为增加，保证了一户一表工程能够长期稳定地进行。5、可扩展的售电系统采用CPU卡后，已经与金融系统使用的IC卡一致，并且售电系统已经保留有与银行系统接轨的接口，具备了与银行发行联名卡的条件，为将来实现一卡多用打下了基础。2北京市供电局第二部分电卡表部分一、电卡表功能（1）、智能控制功能：电卡表使用机电一体式电卡表，采用光电脉冲采样方式自动计量用户电量，当用户购电量用完时，自动切断用户用电。（2）、预报警功能：当用户电卡表中所剩电量小于报警电量时，能够给予用户报警提示，以便用户尽快购电。（3）、电量返读功能：用户每次将电卡插入电卡表后，电卡表将自动把剩余电量等信息回写到电卡中，以供售电管理系统查询。（4）、安全保护功能：采用CPU卡作为购电卡，在电卡表内安装有SAM模块，与CPU卡相互做密钥认证，具有高度安全性，严格保证一户一表一卡，每次购电卡只一次输入有效。（5）、补卡功能：当用户购电卡丢失时，可以通过售电网络为用户补发电卡。（6）、检查功能：售电网络可以发行检查卡，定期对用户电卡表运行情况进行检查。二、电卡表结构三、电卡表的安全控制（1）、SAM卡认证功能：电卡表内有一个SAM模块对CPU卡进行安全认证，同时存储电卡表内的计量和状态数据，为配合SAM模块，电卡表内还有一个晶振，频率为3.579545MHz，电卡表内单片机与CPU卡以及SAM模块的通讯速率均为9600波特。SAM模块为8脚DIP封装，管脚定义为：1—地；2—编程电压端；3—数据端；6—时钟端；7—复位端；8—电源端；4、5两脚空闲。（2）、电卡表通讯功能：电卡表内CPU与CPU卡以及SAM模块通讯均采用T=0协议，电卡表的安全认证由CPU卡和SAM模块共同完成，表内CPU只起通讯传递作用，无需增加加密算法。四、电卡表电量控制原理3北京市供电局（1）、数据项内容说明1、户号（10位5字节）：与电表表号一一对应，用户开户时产生2、电表表号（10位5字节）：即电卡表出厂编号。为压缩BCD码，由三部分组成：电表表号=厂商编号+版本号+电表流水号其中厂商编号为2位1字节。目前规定为：01—北京富根公司；02—天津新巨升公司；03—北京双翼能源公司。版本号为2位1字节。由各厂家根据情况而定，初始值均为01。电表流水号为6位3字节。为各厂家生产时电卡表的流水号，应保证一表一号不重复。电卡表铭牌编号应与电表表号一致。3、电卡类型（2位1字节）：即营业购电卡的类型编号，规定为：01—初始化卡；02—用户购电卡；03—检查卡；04—补卡电卡表生产厂家自定义电卡类型从80H开始编码。4、购电量（6位3字节）：即用户每次到银行网点交款所购电量。电卡表从电卡中读入购电量后应将电卡中购电量单元数据清零，银行售电网络在下次为用户售电时若发现用户电卡中购电量单元不为零则拒绝售电。5、购电次数（4位2字节）：即用户从开户起到银行网点交款购电总次数，每购一次电购电次数加一，若购电次数为9999则下次加一翻为0000。6、报警电量（12位6字节）：即提醒用户尽快购电的报警门限电量。具体划分为报警电量1和报警电量2，各为6位3字节，其中报警电量1的值大于报警电量2的值。当用户电卡表中剩余电量小于报警电量1时，用户电卡表的数码显示部分处于常亮状态，给予用户第一次光报警。当用户电卡表中剩余电量小于报警电量2时，切断用户用电提醒用户，用户此时将电卡插入电卡表后可恢复用电，但此后数码管仍保持为常点亮状态，两次报警电量值可任意设置。7、下限电量（6位3字节）：即限制用户将购电量输入电卡表的门限电量。当用户电卡表中剩余电量大于限购电量时，不接受用户本次所购电量；只有当用户电卡表中剩余电量小于限4北京市供电局购电量后才能接受用户所购买的电量，以免造成用户囤积电量。不接受用户购电卡时数码管显示剩余电量并闪烁给予用户提示，延时10秒后自动消失。8、剩余电量（6位3字节）：即用户电卡表中允许用户还能使用的电量。用户每次将购电卡插入电卡表中时将剩余电量返写至电卡中。9、累计购电量（6位3字节）：即用户自开户起累计所购电量。当累计购电量超过“999999”时自动滚屏为“000000”。10、累计应急购电量（6位3字节）：即用户使用不记名卡累计所购电量。当累计购电量超过“999999”时自动滚屏为“000000”。11、累计用电量（6位3字节）：即用户自开户起累计所用电量。当累计用电量超过“999999”时自动滚屏为“000000”。12、过零电量（6位3字节）：当电卡表中剩余电量为零后应断开继电器切断用户用电，若此时电卡表未能切断用户用电，则用户到下次购电前所使用的电量称为过零电量。银行售电网点每次购电前需读入此单元，若不为零则拒绝售电。13、脉冲常数（4位2字节）：即每记录一度电电子部分所接收到的脉冲数。14、非法插卡次数（4位2字节）：即累计插入非法电卡的次数。所谓非法电卡是指与电卡表内部表号不符的电卡，检查卡除外。15、电卡类型（2位1字节）：01—首次购电卡；02—普通购电卡；03—检测卡；04—补卡；05—不记名卡；06—修改主密钥卡。16、电卡表状态字（2位1字节）：即反映电卡表运行状态的单元。目前反映2个状态信息：继电器出错标志；EEPROM出错标志：00—正常；01—继电器出错；02—EEPROM出错；03—继电器、EEPROM均出错；此时在数码管上显示“E-编码”。5北京市供电局第三部分电卡部分一、电卡分类及结构电卡根据其功能以及使用环境不同，可以划分为用户卡、检查卡、不记名卡、修改主密钥卡和SAM卡五类，具体定义如下：（1）、用户卡：用户卡是指用户用来完成购电以及向电卡表中追加购电量的电卡。其结构如下：MF主文件KEY文件电表应用DFKEY文件电表外部认证密钥购电外部认证密钥电量外部认证密钥内部认证密钥电卡发行密钥二进制文件（购电应用）二进制文件（电卡表返写应用）银行应用DF（视情况而定，如不与银行联合发卡，则不需要此DF）为考虑今后与银行应用接轨，将电卡表应用设计为一个DF文件，MF主文件结构保留，今后开放给银行应用。在设计中做到不经过MF级就可直接访问电表应用DF文件。在电表应用DF文件中包含三个文件，其中购电应用二进制文件是银行写购电信息的文件，电卡表返写应用二进制文件是电卡表返写数据的文件。对它们的写操作分别由KEY文件中购电外部认证密钥、电表外部认证密钥和电量外部认证密钥控制，用户卡必须通过内部认证以及相应的外部认证后才可以进行写操作，但对用户卡所有二进制文件的读操作则不需任何认证即可进行。电卡发行密钥与售电流程操作无关，是供电局在初始化电卡时的外部认证密钥，通过此认证才可以更改电卡中的密钥。（2）、检测卡：检测卡是供电局和电卡表生产厂家用来对电卡表进行6北京市供电局检测用的电卡。此卡对所有电卡表通用，插入电卡表后将返回电卡表内所有计量和状态信息，其结构如下：MF主文件KEY文件电表应用DFKEY文件――二进制文件（存放检测卡指令）循环文件（记录检测卡数据）由于检测卡是通用的工具卡，所以在其结构中只有一个空的KEY文件，不含有任何密钥，这样就可以很方便地制作和使用检测卡。二进制文件存放的是检测卡指令，循环文件用来记录电卡表返回的数据，一张检测卡最大可以存储9只电卡表的数据。（3）、不记名卡：不记名卡是供电局单独在社会上发行的一次性购电卡。当用户电卡表电量用完且不能立即到银行储蓄网点进行下次购电时，可以购买不记名卡作应急用。其结构如下：MF主文件电表应用DFKEY文件电表外部认证密钥KEY文件购电外部认证密钥内部认证密钥电量外部认证密钥电卡发行密钥二进制文件(购电应用)钱包文件（购电量）二进制文件（电卡表返写应用）（4）、生产测试卡：生产测试卡是为了方便电卡表生产厂家在生产过程中进行检测的一组卡，其内容由各电卡表生产厂家自定，但为保证能够与电卡实际使用情况相同，其数据结构兼容用户卡结构。具体结构如下：MF主文件电表应用DFKEY文件电表外部认证密钥7北京市供电局KEY文件购电外部认证密钥内部认证密钥电量外部认证密钥脉冲常数外部认证密钥二进制文件(购电应用)二进制文件（电卡表返写应用）与用户卡的区别有两点：一是不考虑银行应用；二是增加脉冲常数外部认证密钥，如果需修改脉冲常数，必须经过此认证，否则SAM模块不接受，这也就意味着出厂后脉冲常数将不可更改。生产测试卡中的密钥均为公开密钥，电卡表生产厂家可以根据需要随意制卡。（5）、修改主密钥卡：在电卡表生产过程中，为方便电卡表生产厂家测试，SAM模块中的主密钥是公开的，电卡表出厂前，利用供电局提供的修改主密钥卡将电卡表内SAM模块的主工作密钥修改为实际运行过程中的主密钥，电卡表主密钥修改后也就意味着电卡表生产厂家使用的电卡不可能进入供电局售电管理系统，此主密钥由供电局掌握，电卡表生产厂家不可知。其结构如下：MF主文件电表应用DFKEY文件外部认证密钥KEY文件二进制文件（新外部认证密钥密文、新电表外部认证主工作密钥密文、新内部认证主工作密钥密文、新电量外部认证密钥密文、新脉冲常数外部认证密钥密文）将修改主密钥卡插入后，首先由SAM模块对电卡进行外部认证，认证通过后将电卡中的五个密钥的密文读入，SAM模块利用线路保护密钥对它们进行解密，然后逐一替换SAM模块中的主工作密钥。需特别指出的是替换后由于主密钥改变，生产测试卡将不能再修改脉冲常数，而用户卡中不含脉冲常数外部认证密钥，也不能对脉冲常数进行修改。（6）、SAM卡：SAM卡在电卡表中有两个作用：一是进行一表一卡的8北京市供电局安全认证工作；二是作为电卡表内数据存储区，其结构如下：MF主文件KEY文件电表外部认证主工作密钥内部认证主工作密钥电量外部认证密钥脉冲常数外部认证密钥外部认证密钥线路保护密钥钱包文件（剩余电量）二进制文件（脉冲常数）二进制信息文件(偏移量从00H开始)在SAM卡中，KEY文件中的电表外部认证主工作密钥和内部认证主工作密钥用于一户一表安全认证；外部认证密钥和线路保护密钥用于更换电卡表应用主工作密钥；电量外部认证密钥用来对钱包文件进行认证，剩余电量增加时必须经过认证才能写入SAM卡，剩余电量递减时不需通过认证；脉冲常数外部认证密钥用来对脉冲常数二进制文件进行安全认证，修改脉冲常数必须通过认证，但读操作则不需认证；二进制信息文件用于存放电卡表内部数据，不需认证可自由读写，其格式由各电卡表生产厂家自定。二、电卡应用文件和密钥1、电卡应用文件（1）、购电应用二进制文件购电应用二进制文件存放用户购电信息。在CPU卡，二进制文件为一个连续存储区，用户可对其中任意一个存储单元进行读写操作。（2）、电卡表返写应用二进制文件电卡表返写应用二进制文件存放从电卡表返回的信息。当用户把所购电量写入电卡表的同时电卡表把卡内的信息写入用户卡，下次购电时由主机读入系统。（3）、存放检测卡指令二进制文