Page 224 - 捷運技術 第38期
P. 224
218 徐春進 史敦仁 捷運系統票證加密與通訊安全
Message Queue、FTP、CORBA等,這些協定屬應用程式與TCP/IP之中介層,採用此中介層
省去撰寫通訊交握處理(Hand Shake)之繁瑣,簡化程式之開發,同時還提供不同作業系統
與不同行程(process)間更方便的通訊機制,詳參第(五)項說明。
如圖三,悠遊卡與單程票分別隸屬不同單位管理,因此交易資料最終分別送到票證公司
CCHS及捷運行控中心之CDPS,其他公車、停車場業者基本上循相同模式(除了無單程票
外)傳送資料流,將交易資料送交CCHS做統計處理。就第三代系統而言其對外唯一接觸點
為防火牆,只要工作作站不連上網際網路則這個防火牆為第三代系統唯一之對外通訊閘道,
事實上本系統與其他捷運機電控制系統也做到封閉獨立之程度,因為各站之自動收費車站處
理機與CDPS之主要通訊通道為捷運公司提供之獨立專用光纖實體,而各站之備用通訊通道
則是本局通訊標之乙太網路,雖然該乙太網路為各標所共用,但第三代系統於各車站及行控
中心(CCR)兩端分別加入虛擬私用網路(VPN)閘道器確保通訊通道之獨立及安全性。
以上交易資料流之傳輸路徑,無論於有線網路傳輸區或無線射頻傳輸區,均依循智慧卡
公司之規定及第三代系統契約規範實作必要之安全機制,以下分別敘述請參考。
(二)無線射頻傳輸區之安全機制:
無線射頻傳輸區是指悠遊卡、單程票與讀寫模組之無線接觸瞬間,當兩者相互距離在10
公分以內,此無線射頻傳輸動作即開始運轉,使用之射頻操作頻率為13.56 MHz,資料傳輸
速度為106 k baud,其安全機制說明如下。
1. 悠遊卡
關於悠遊卡,每張卡片均有一個獨一且無法變更的序號,作為清算中心追蹤資料庫及黑
名單之身分識別之用,這類票證與磁票之主要差異在其內部為內建Mifare晶片,任何悠遊卡
讀寫模組欲存取(讀寫)其內容均須先通過Mifare晶片內部處理機之認證。Mifare晶片內記
憶體分成16個扇區(Sector),每個扇區又劃分為4個區塊(Block),每個區塊為16個位元
組(Byte)之記憶體,為節省篇幅其它規格細節不予贅述。
根據上述,悠遊卡之區塊(block)為讀寫的基本單位,扇區(sector)有各自對應的金
鑰和存取權限位元,經由金鑰和存取權限位元的設定,某些區塊可設定成唯讀,某些區塊
可設定成允許讀寫,金鑰分為金鑰A(Key A)與金鑰B(Key B),他們與存取權限位元一
起存放在悠遊卡之每一扇區(sector)的第3個區塊(block),這個區塊(block)稱為Sector
Trailer 。這三者共同決定誰有權讀取某區塊(block)、誰有權寫入某區塊(block)。由此
可知悠遊卡之每個區塊(block),其讀寫權限受制於卡片首次發行時由智慧卡公司發卡機
(CIM - Card Issue Machine)所寫入之Key A 與 Key B ,沒有這些金鑰之悠遊卡讀寫模組完
全無法存取悠遊卡內容,這安全機制足以保護悠遊卡之資料,不被窺視及不被竄改,也因這
項特性,各扇區(sector)可規劃給不同業者使用而不致有衝突洩密遭竄改之問題。
悠遊卡讀寫模組在進行上述金鑰及存取權限確認之前,雙方在通訊有效距離內,還先完
成一些接觸動作【4】,詳如左圖四,各步驟說明如下:
(1) 卡片應答(Answer to Request)
悠遊卡在進入讀寫模組之通訊有效區域時,會回應讀寫模組的指令送出回應訊息,悠
遊卡回應主要可偵測及確認雙方通訊協定,傳輸速度等,以建立其間的通訊管道。
(2) 防撞回路(Anti-collision loop)
