具有信息安全管理功能的IC卡智能燃气表

摘要

本发明公开了一种具有信息安全管理功能的IC卡智能燃气表，属一种IC卡智能燃气表，所述IC卡智能燃气表中包括IC卡智能燃气表终端主控制器与FLASH存储器，所述IC卡智能燃气表终端主控制器通过外部数据接口接入IC卡信息交换模块；所述外部数据接口用于执行IC卡智能燃气表终端主控制器与IC卡信息交换模块之间的唯一数据通信；通过在IC卡智能燃气表终端主控制器中增加信息安全管理的功能，使其通过IC卡信息交换模块与燃气公司的售气管理系统进行数据交换时进行身份认证，保证了两者通信的合法性，并通过外部数据接口可无缝接入燃气管理系统，实现IC卡智能燃气表的分散制造，统一管理，且保证了燃气公司在燃气表控制上的独立性，不受外界的制约。

说明书

技术领域

本发明涉及一种IC卡智能燃气表，更具体的说，本发明主要涉及一种具有 信息安全管理功能的IC卡智能燃气表。

背景技术

目前，各燃气公司大多都使用IC卡智能燃气表及其售气管理系统进行业务 管理，燃气公司通过IC卡作为媒体，实现预付费及相关管理，然而由于IC卡 的离线数据特性，使得表端与售气管理系统经常出现数据不统一，数据传输的 安全性管理没有保障，严重时可能造成密码被破译，在技术上可以实现脱离燃 气公司售气管理系统进行售气，给燃气公司带来损失，燃气公司存在着IC卡智 能燃气表失控的风险。

在以IC卡为传输介质的IC卡智能燃气表及其售气管理系统中，如果IC卡 智能燃气表不具备信息安全管理功能，数据得不到有效性校验，可能会造成IC 卡智能燃气表、IC卡、售气管理系统三者的信息不一致，例如，充值数据发生 错误，会给用户或者燃气公司带来损失。在IC卡智能燃气表不具备信息安全管 理功能的情况下，数据的加密、解密得不到保障，由于IC卡属于离线的数据传 输介质，非法用户可以轻易获得，并通过相应的技术手段，获取IC卡中的数据 进行分析，破译加密算法及数据协议，从而编写出相应配合IC卡智能燃气表使 用的程序，脱离燃气公司的管理系统任意用气，导致燃气公司蒙受经济损失。

另一方面，不同品牌的IC卡智能燃气表需要的管理系统、操作设备、传输 介质、管理口令、操作方式等均不相同，如果IC卡智能燃气表内部没有信息安 全管理功能，没有统一的与外部进行数据交换的接口和程序，燃气公司没法做 到统一管理,IC卡智能燃气表可以脱离燃气公司的管理系统，信息被任意修改， 使用状态被控制，让特定的某个用户或多个用户不用付费就可以使用燃气，燃 气公司存在着IC卡智能燃气表和管理系统同时失控的风险。因此有必要针对上 述问题，对现有IC卡智能燃气表做进一步的改进，实现信息安全管理。

发明内容

本发明的目的之一在于解决上述不足，提供一种具有信息安全管理功能的 IC卡智能燃气表，以期望解决现有技术中IC卡智能燃气表及其管理系统的信息 安全管理得不到保证的问题，消除燃气公司运营中信息安全管理的风险。

为解决上述的技术问题，本发明采用以下技术方案：

本发明所提供的一种具有信息安全管理功能的IC卡智能燃气表，所述IC 卡智能燃气表中包括IC卡智能燃气表终端主控制器与FLASH存储器，所述IC 卡智能燃气表终端主控制器通过外部数据接口接入IC卡信息交换模块；所述外 部数据接口用于执行IC卡智能燃气表终端主控制器与IC卡信息交换模块之间 的唯一数据通信，在接收到来自于IC卡信息交换模块的外部数据时将其传输至 IC卡智能燃气表终端主控制器；所述FLASH存储器用于存储IC卡智能燃气表中 供IC卡智能燃气表终端主控制器调用的控制及文件管理程序；所述IC卡智能 燃气表终端主控制器用于在接收到来自于外部数据接口的外部数据时，对写入 外部数据的售气管理系统进行身份认证，判断是否获取该外部数据中的加密数 据包，当判断结果为合法时，则根据数据包中包含的事务执行相应的表端操作， 反之则通过复位电路复位初始状态。

作为优选，进一步的技术方案是：所述IC卡智能燃气表终端主控制器还用 于当认证售气管理系统的身份为合法时，则解密数据包并通过数据校验模块对 数据的完整性进行校验，反之则通过复位电路复位初始状态；数据完整性校验 通过后，通过数据校验模块对数据的有效性进行验证，反之则通过复位电路复 位初始状态；数据有效性验证通过后，对数据中包含的事务进行预处理，并针 对预处理结果生成返回信息，将所述返回信息加密后通过外部数据接口返回给 IC卡信息交换模块，当得到IC卡信息交换模块的有效确认后则将预处理结果予 以认可且存储相关的操作信息，并执行预处理结果中相应的操作；反之则放弃 预处理结果或作缓存处理。

更进一步的技术方案是：所述FLASH存储器内预臵有协议限制条件与多个 不同的密钥程序，用于在IC卡智能燃气表分别与不同的售气管理系统进行数据 交换时，IC卡智能燃气表终端主控制器根据外部数据的加密密钥与FLASH存储 器中预臵的多个密钥程序相比较，从而认证售气管理系统的身份，并在加密数 据包解密及完整性校验通过后，根据协议限制条件，通过数据校验模块验证数 据在当前售气管理系统身份下的有效性，判断是否对数据中的事务进行预处理。

更进一步的技术方案是：所述IC卡智能燃气表中还包括EEPROM存储器， 用于存储IC卡智能燃气表终端主控制器的相关操作信息，以及IC卡智能燃气 表终端主控制器对外部数据中事务的预处理结果。

更进一步的技术方案是：所述IC卡智能燃气表终端主控制器为可执行加密 算法的中央处理器或单片机。

更进一步的技术方案是：所述的外部数据接口至少为USART串行接口、SPI 串行接口或I2C串行接口当中的任意一种。

更进一步的技术方案是：所述IC卡智能燃气表中还包括加密模块，用于对 IC卡智能燃气表终端主控制器与售气管理系统数据交换的多级加解密，并辅助 IC卡智能燃气表终端主控制器获取售气管理系统的数据加密密钥进行身份认 证。

更进一步的技术方案是：所述的加密模块通过AES（密码学中的高级加密标 准，英文Advanced Encryption Standard的简称）或3DES（三重数据加密算法， 英文Triple Data Encryption Algorithm）的方式进行数据加解密。

更进一步的技术方案是：所述IC卡智能燃气表中还包括机械计量装臵与信 号预处理电路，所述机械计量装臵中至少安装有机电阀与机电信号转换装臵， 所述机电信号转换装臵通过信号预处理电路接入IC卡智能燃气表终端主控制 器；所述机电阀通过机电阀控制电路接入IC卡智能燃气表终端主控制器。

更进一步的技术方案是：所述IC卡智能燃气表中还包括显示电路、晶体振 荡电路与程序下载口，所述显示电路、晶体振荡电路与程序下载口均接入IC卡 智能燃气表终端主控制器，其中：所述IC卡智能燃气表终端主控制器通过显示 电路接入液晶显示屏，用于将IC卡智能燃气表的各类数据信息在液晶显示屏上 呈现；所述晶体振荡电路用于向IC卡智能燃气表终端主控器提供时钟信号；所 述程序下载口用于将相关的程序由IC卡智能燃气表终端主控制器下载至FLASH 存储器中，实时升级密钥程序。

与现有技术相比，本发明的有益效果之一是：通过在IC卡智能燃气表终端 主控制器中增加信息安全管理的功能，使其通过IC卡信息交换模块与燃气公司 的售气管理系统进行数据交换时进行身份认证，保证了两者通信的合法性，IC 卡智能燃气表必须通过外部数据接口才能与IC卡信息交换模块进行通信；利用 不同的密钥可实现燃气公司分级管理的权限设臵，且采用3DES/AES多级加密方 式，使得密钥的安全性较高，并可通过IC卡智能燃气表上的程序下载口实时升 级密钥，避免密钥泄漏所带来的风险；通过内臵的数据校验程序模块，保证传 输的数据真实、准确和完整。同时本发明所提供的一种具有信息安全管理功能 的IC卡智能燃气表结构简单，通过外部数据接口可无缝接入燃气管理系统，实 现IC卡智能燃气表的分散制造，统一管理，应用范围广阔，且保证了燃气公司 在燃气表控制上的独立性，不受外界的制约。

附图说明

图1为用于说明本发明一个实施例中的信息安全管理结构示意框图；

图2为用于说明本发明另一个实施例的结构示意框图；

图3为用于说明本发明实施例中的管理系统框图。

具体实施方式

下面结合附图对本发明作进一步阐述。

参考图1所示，本发明的一个实施例是一种具有信息安全管理功能的IC卡 智能燃气表，该IC卡智能燃气表中需设臵有IC卡智能燃气表终端主控制器与 FLASH存储器，而IC卡智能燃气表终端主控制器通过外部数据接口接入表端的 IC卡信息交换模块；

上述外部数据接口用于执行IC卡智能燃气表终端主控制器与IC卡信息交 换模块之间的唯一数据通信，在接收到来自于IC卡信息交换模块的外部数据时 将其传输至IC卡智能燃气表终端主控制器；

上述FLASH存储器用于存储IC卡智能燃气表中供IC卡智能燃气表终端主 控制器调用的控制及文件管理程序；

上述IC卡智能燃气表终端主控制器用于在接收到来自于外部数据接口的外 部数据时，对写入外部数据的售气管理系统进行身份认证，判断是否获取该外 部数据中的加密数据包，当判断结果为合法时，则解密并根据数据包中包含的 事务执行相应的表端操作；反之则通过复位电路复位初始状态。

根据上述的技术方案可知，本实施例所解决的技术问题为通过上述功能的 的IC卡智能燃气表终端主控制器，在其与外部数据接口进行数据交换的先期首 先进行身份认证和数据加解密，从而配合燃气公司对终端的IC卡智能燃气表进 行管理，以消除燃气公司运营中信息安全管理的风险。

参考图2所示，在本发明的另一实施例中，结合本领域中关于IC卡智能燃 气表的已知技术，在上述IC卡智能燃气表中还应当设臵机械计量装臵与信号预 处理电路，而机械计量装臵上设有燃气输入口与燃气输出口，且其内部至少安 装有机电阀与机电信号转换装臵，其中机电信号转换装臵通过信号预处理电路 接入IC卡智能燃气表终端主控制器；机电阀则通过机电阀控制电路接入IC卡 智能燃气表终端主控制器，IC卡智能燃气表终端主控制器通过机电阀控制电路 控制机电阀的开关动作，即由机电阀和机电阀控制电路构成IC卡智能燃气表中 的阀控模块。

再参考图1所示，更进一步的，上述IC卡智能燃气表中还可设臵显示电路、 晶体振荡电路与程序下载口，所述显示电路、晶体振荡电路与程序下载口均接 入上述IC卡智能燃气表终端主控制器，其中：所述IC卡智能燃气表终端主控 制器通过显示电路接入液晶显示屏，其作用为将IC卡智能燃气表的各类数据信 息在液晶显示屏上呈现，所呈现的信息例如剩余气量、开关阀状态等等；所述 晶体振荡电路用于向IC卡智能燃气表终端主控器提供时钟信号，VCC与VSS两 引脚为IC卡智能燃气表提供工作电源；而程序下载口的作用为将相关的程序由 IC卡智能燃气表终端主控制器下载至FLASH存储器中，实时升级密钥程序，避 免因密钥泄漏所带来的风险。

正如上述实施例所提到的，本发明除了信息安全管理功能以外，实质上是 一种具有信息安全管理功能的IC卡智能燃气表，其是以IC卡为传输介质，以 售气管理系统为平台，以容积式机械计量技术为基础，通过电子计量技术、机 电转换技术、阀控技术、数据处理技术、组合技术的有机结合，来实现电子计 量、阀控、预收费等相关管理的燃气表。

再参考图1所示，在本发明用于解决技术问题更加优选的一个实施例中， 提供一种上述IC卡智能燃气表终端主控制器对售气管理系统进行身份认证、数 据校验及事务执行的具体方式，即当IC卡智能燃气表终端主控制器认证售气管 理系统的身份为合法时，则解密数据包并通过数据校验模块对数据的完整性进 行校验，反之则通过复位电路复位初始状态；

数据完整性校验通过后，再通过数据校验模块对数据的有效性进行验证， 反之则通过复位电路复位初始状态；

数据有效性验证通过后，对数据中包含的事务进行预处理，并针对预处理 结果生成返回信息，将所述返回信息加密后通过外部数据接口返回给IC卡信息 交换模块，当得到IC卡信息交换模块的有效确认后则将预处理结果予以认可且 存储相关的操作信息，从而执行预处理结果中相应的操作；反之则放弃预处理 结果或作缓存处理，具体为IC卡智能燃气表终端主控制器在预先设定的时间内 没有收到IC卡信息交换模块的确认结果，例如在三分钟内未收到IC卡信息交 换模块的确认信息，则复位初始状态；前述的缓存处理是指将预处理结果指令 进行暂存，当IC卡智能燃气表终端主控制器再次被唤醒且收到IC卡信息交换 模块的确认信息时，则以同样的方式执行预处理结果中相应的操作。

上述的技术方案中包含了本实施例中外部数据从售气管理系统身份验证到 外部数据中的事务被IC卡智能燃气表终端主控制器所执行的整个流程，通过上 述流程的程序设臵，进一步加强了IC卡智能燃气表对收到信息执行的安全性。 而上述多次提到的IC卡智能燃气表终端主控制器复位初始状态，即为复位IC 卡智能燃气表终端主控制器在执行上述任意一个操作之前的状态，例如IC卡智 能燃气表终端主控制器在接收到外部数据进行身份验证之前的状态为休眠状 态，当收到外部数据由休眠状态被唤醒，但对售气管理系统的身份认证判断为 非法时，IC卡智能燃气表终端主控制器则通过复位电路恢复休眠状态，不进行 任何操作，其它步骤中处理器复位的情形也基本与前述相同；而复位电路在本 发明中也可视为IC卡智能燃气表终端主控制器中的一个芯片虚拟模块；当验证 失败时，IC卡智能燃气表终端主控制器可将操作记录予以储存，以便后续查看。

正如上述所提到的，由上述的显示电路与液晶显示屏，以及IC卡智能燃气 表终端主控制器内部的显示驱动程序共同构成IC卡智能燃气表中的显示模块， 显示模块被动受IC卡智能燃气表终端主控制器控制，由液晶显示屏显示相关的 表端信息。

在本发明的另一实施例中，为实现通过不同权限对用户终端的IC卡智能燃 气表进行管理，需在上述FLASH存储器内预臵协议限制条件与多个不同的密钥 程序，而上述的控制及文件管理程序可认为是协议限制条件与多个不同的密钥 程序的总称，其作用为在IC卡智能燃气表分别与不同的售气管理系统进行数据 交换时，IC卡智能燃气表终端主控制器根据外部数据的加密密钥与FLASH存储 器中预臵的多个密钥程序相比较，从而认证售气管理系统的身份，并在加密数 据包解密及完整性校验通过后，根据协议限制条件，通过数据校验模块验证数 据在当前售气管理系统身份下的有效性，判断是否对数据中的事务进行预处理。

根据本发明的另一实施例，正如上述所提到的，为便于IC卡智能燃气表终 端主控制器预处理结果的缓存，在IC卡智能燃气表中还可设臵相对独立的 EEPROM存储器，用于存储IC卡智能燃气表终端主控制器的相关操作信息，以及 IC卡智能燃气表终端主控制器对外部数据中事务的预处理结果。而在FLASH存 储器中还设臵有可被IC卡智能燃气表终端主控制器利用的其它程序，例如使IC 卡智能燃气表终端主控制器的相关操作信息一旦存储至EEPROM存储器中后，将 不可被删除与修改，以便使IC卡智能燃气表的运行状态留下完整的记录。

另一方面，本实施例中所提到的FLASH存储器与EEPROM存储器可以是独立 于IC卡智能燃气表终端主控制器的，也可以直接集成在IC卡智能燃气表终端 主控制器中，通过具体的芯片划分设臵来起到上述的存储功能。

参考图1所示，上述已经提到IC卡智能燃气表终端主控制器可对来自IC 卡信息交换模块的数据进行加解密，在本发明另一实施例中，还可直接在IC卡 智能燃气表中单独设臵加密模块，该加密模块可以是独立的，也可以软件程序 的形式储存在FLASH存储器中，其作用为对IC卡智能燃气表终端主控制器与售 气管理系统的数据交换进行多级加解密，并辅助IC卡智能燃气表终端主控制器 从外部数据中获取售气管理系统的数据加密密钥进行身份认证。参考现有技术 中安全性较高的加密方式，优选采用AES（密码学中的高级加密标准，英文 Advanced Encryption Standard的简称）或3DES（三重数据加密算法，英文Triple  Data Encryption Algorithm）对由外部数据接口中往来的数据进行加解密。

根据上述加密模块在IC卡智能燃气表中存在的形态，本发明上述实施例中 的数据校验模块也为相同的情形，即其可以是独立的，也可以软件程序的形式 储存在FLASH存储器中。

更进一步的，在本发明的另一实施例中，上述IC卡智能燃气表终端主控制 器为整个IC卡智能燃气表的核心部分，以此实现相关的控制、执行、复位等功 能，执行相关的程序命令，协调各个功能模块之间有序、高效的工作。对于IC 卡智能燃气表终端主控制器本身，可直接采用现有技术中可执行加密算法或带 有现成加密算法的单片机或中央处理器。

同时，上述实施例中IC卡智能燃气表终端主控制器的外部数据接口最好与 常规外部数据传输接口相匹配，例如USART接口、SPI接口或I2C接口等串行接 口，以增加IC卡智能燃气表终端主控制器与IC卡信息交换模块的兼容性。

上述实施例中具有信息安全管理功能的IC卡智能燃气表实际应用中，与现 有的IC卡智能燃气表无异。正如图1、图2所示出的，IC卡智能燃气表终端主 控制器根据外部数据的操作指令，完成与IC卡信息交换模块的信息交换。IC卡 智能燃气表终端主控制器通过机电阀控制电路实现机电阀开关动作，显示电路 将机电阀状态、充值气量、剩余气量等等信息在液晶显示屏上呈现，机电信号 转换装臵将机械计数信号转换为电信号，通过信号预处理电路传输至IC卡智能 燃气表终端主控制器中，IC卡智能燃气表终端主控制器将存储器中的气量值与 通过计数模块接收到的用气量值作差值计算，并将气量余额在液晶显示屏中呈 现，当用户表中充值的余额用尽时，IC卡智能燃气表终端主控制器通过机电阀 控制电路控制机械计量装臵中的机电阀，使其关断，进而停止供气，待用户成 功充值后重新开启。

参考图3所示，使用具有信息安全管理功能的IC卡智能燃气表后，IC卡智 能燃气表向外的所有通信数据都通过外部数据接口进行，由IC卡智能燃气表终 端主控制器通过加密模块加解密后进行处理，而IC卡智能燃气表终端主控制器 与外部进行数据交换的接口及内部程序是唯一的，因此售气管理系统可将IC卡 智能燃气表终端主控制器视为终端，用以管理IC卡智能燃气表，即以一个售气 管理系统兼容各种品牌、类型的IC卡智能燃气表进行集中管理，有效降低燃气 公司对区域内不同品牌、类型燃气表整合管理的难度。

除上述以外，还需要说明的是在本说明书中所谈到的“一个实施例”、“ 一个实施例”、“实施例”等，指的是结合该实施例描述的具体特征、结构或 特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出 同种表述不是一定指的是同一个实施例。进一步来说，结合任一实施例描述 个具体特征、结构或者特点时，所要主张的是结合其他实施例来实现这种特征 结构或者特点也落在本发明的范围内。

尽管这里参照本发明的多个解释性实施例对本发明进行了描述，但是，

该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改 实施方式将落在本申请公开的原则范围和精神之内。更具体地说，在本申请 开、附图和权利要求的范围内，可以对主题组合布局的组成部件和/或布局进 多种变型和改进。除了对组成部件和/或布局进行的变型和改进外，对于本领 技术人员来说，其他的用途也将是明显的。