金融IC卡技术方案

金融IC卡技术 金融IC卡发卡行系统方案 金融IC卡项目技术方案 目 录 第1章 需求理解 .............................................................................................................. - 3 - 1.1 项目概述 ............................................................................................................................. - 3 - 1.1.1 项目定义......................................................................................................................... - 3 - 1.1.2 系统目标......................................................................................................................... - 4 - 1.2 系统现状 ............................................................................................................................. - 4 - 1.2.1 现有系统架构 ................................................................................................................. - 4 - 1.2.2 大前置系统 ..................................................................................................................... - 4 - 1.2.3 ................................................................................................................. - 4 - 核心主机系统 1.2.4 ......................................................................................................................... - 4 - 柜面系统 1.3 功能需求的描述 .................................................................................................................. - 5 - 1.3.1 ......................................................................................................................... - 5 - 发卡业务 / ................................................................................................................ - 8 - 1.3.2 挂失解挂业务 1.3.3 ..................................................................................................................... - 9 - 卡收回业务 1.3.4 销卡业务....................................................................................................................... - 10 - 1.3.5 重空管理....................................................................................................................... - 11 - 1.3.6 圈存业务....................................................................................................................... - 11 - 1.3.7 余额查询/明细查询业务 ............................................................................................... - 11 - 1.3.8 挂失卡有效期后IC卡余额转损益专户 ....................................................................... - 12 - 1.3.9 查询及报表 ................................................................................................................... - 12 - 1.3.10 脱机消费业务 ............................................................................................................... - 12 - 1.3.11 与IC卡中心接口文件的处理 ...................................................................................... - 13 - 1.4 性能需求的描述 ................................................................................................................ - 13 - 1.5 安全保密需求的描述 ........................................................................................................ - 14 - 1.6 对硬件的需求描述 ............................................................................................................ - 14 - 1.6.1 卡片要求....................................................................................................................... - 14 - 1.6.2 读卡器设备要求 ........................................................................................................... - 15 - 1.6.3 加密机要求 ................................................................................................................... - 15 - 1.6.4 柜面终端设备要求 ....................................................................................................... - 15 - 第2章 总体设计方案 .................................................................................................... - 16 - 2.1 概述 ................................................................................................................................... - 16 - 2.1.1 转接与清算 ................................................................................................................... - 16 - 2.1.2 成员机构....................................................................................................................... - 16 - 2.1.3 ....................................................................................................................... - 17 - 交易终端 2.2 系统实现 ........................................................................................................................... - 18 - 2.2.1 系统逻辑架构 ............................................................................................................... - 18 - 2.2.2 现有核心系统 ............................................................................................................... - 20 - 2.2.3 IC卡业务子系统 .......................................................................................................... - 21 - 2.2.4 密钥管理中心系统 ....................................................................................................... - 21 - 2.2.5 数据准备系统 ............................................................................................................... - 24 - 2.2.6 个人化系统 ................................................................................................................... - 25 - 2.2.7 发卡行柜面系统 ........................................................................................................... - 26 - - 1 - 金融IC卡项目技术方案 2.2.8 IC .............................................................................................................. - 29 - 卡中心系统 2.3 安全体系设计.................................................................................................................... - 29 - 2.3.1 非对称密钥安全体系 .................................................................................................... - 29 - 2.3.2 对称密钥安全体系 ....................................................................................................... - 30 - 2.3.3 密钥设计....................................................................................................................... - 31 - 2.3.4 私密数据安全性设计 .................................................................................................... - 33 - 2.3.5 卡片安全设计 ............................................................................................................... - 33 - 2.4 业务流程设计.................................................................................................................... - 36 - 2.4.1 发卡及卡片个人化流程 ................................................................................................ - 37 - 2.4.2 .............................................................................................................................. - 39 - 圈存 2.4.3 ....................................................................................................................... - 40 - 脱机消费 2.4.4 ....................................................................................................................... - 40 - 日终清算 - 2 - 金融IC卡项目技术方案 第1章 需求理解 需求分析主要包括功能需求、性能需求、安全需求，以及相关硬件要求等。 1.1 项目概述 1.1.1 项目定义 随着社会经济生活的快速发展和电子信息技术的不断进步，小额支付应用在各个地区、不同行业领域应运而生，并呈现出快速发展的势头。在一定程度上替代了“现金”的支付功能，对社会经济、金融体系、支付结算体系产生重要影响。 小额支付应用在公交及相关市政服务行业、医疗服务行业、移动支付、零售行业、餐饮行业、通讯行业、加油行业、娱乐等服务行业、学校及企事业单位内部等得到了普遍的应用，具有发行及使用范围日益扩大、使用领域与公众的日常消费紧密联系，交易规模已达到一定程度、向传统银行卡领域渗透等特点，并且单位购买在行业卡销售中占有较大比重，地方政府也积极推动行业卡的应用。 外的卡组织积极推进金融IC卡在小额支付领域的应用，万事达的国 PAYPASS产品和VISA的VISA WAVE产品都定位于小额快速应用，但是目前国内银行卡在此领域的应用还处于初级阶段，发展空间巨大。 针对目前的市场情况和业务发展趋势，积极开展金融IC卡应用推广项目，将金融IC卡产品应用到行业支付领域，必将极大的拓展银行卡的受理领域，为商业银行吸引大量的持卡人，增进银行卡的活跃率。 行业卡与金融IC卡同属卡基支付产品，在物理特性和制卡规格、技术标准等方面具有一定共同性，在产品功能上也具有一定互补性，将行业卡发展和金融IC卡行业有机结合、统筹规划，利用现有银行卡机具资源和交易网络，发行PBOC2.0标准的多用途行业卡，拓展行业卡应用范围，卡片发行、交易受理、资金清算等行为，实现金融创新，提升金融服务水平，创建良好的现代化支付环境。 - 3 - 金融IC卡项目技术方案 本方案采用PBOC2.0规范技术体系框架为基础，严格按照规范要求进行系统设计和实现。 1.1.2 系统目标 发卡行系统的总体目标是:提出具有国际先进水平、安全可靠、功能完善的、符合PBOC2.0规范的银行IC卡发卡行整体系统方案，针对具体需求，能够完全实现PBOC2.0标准的银行IC卡小额支付应用，同时能够实现与公交等行业应用结合，进行项目的推广。 1.2 系统现状 1.2.1 现有系统架构 图示: 现有系统中，与IC卡有关系统如上图所示。其中，核心主机提供相关传统银行卡业务和帐务处理功能;柜面系统通过大前置接入;自助终端和ATM系统通过卡前置接入;跨行业务由省银联中心通过银联前置接入。 1.2.2 大前置系统 目前尚未提供IC卡相关主机交易接口。 1.2.3 核心主机系统 目前核心主机尚不提供IC卡相关功能。 1.2.4 柜面系统 柜面现有多种读卡器，但是否支持PBOC2.0指令未测试。 柜面系统目前没有IC业务及相关接口。 - 4 - 金融IC卡项目技术方案 1.3 功能需求的描述 本系统描述的金融IC卡多应用主要是金融支付应用，支付功能包括IC卡借记应用、贷记应用，磁条应用和小额支付应用。 其中，非对称小额支付应用符合《中国金融集成电路(IC)卡规范》(2.0版)和《基于借记/贷记应用的小额支付规范》，借记/贷记应用符合《中国金融集成电路(IC)卡规范》(2.0版)。如果IC卡是非接触式IC卡，还需符合ISO14443、《中国金融集成电路(IC)卡规范》(2.0版)和《非接触式IC卡支付规范》。 IC卡主要是提供金融支付功能，可以实现如下功能: 传统金融支付领域:商场、大卖场、连锁店，酒店、宾馆，饭店、娱乐会所，订票等。 移动:充值、小额支付等。 交通:公交车、出租车、高速公路收费站、停车场、咪表、机场大巴、长途大巴、火车等。 缴费:水费、电费、煤气费、有线电视、网络费、数字电视、小区物业等。 通讯:手机费、电话费、邮递、快送。 零售:快餐店、便利店、书报亭、自动售货机、批零市场、菜场等。 教育:学校行政收费、食堂、图书馆等。 医院:挂号、就诊等。 旅游娱乐:旅游景点门票、游乐园公园门票、体育场馆门票、展览馆会所门票、娱乐设施、索道、购买纪念品等。 每张IC卡都带有双界面的、支持脱机交易的小额支付功能，增加借记/贷记功能。 1.3.1 发卡业务 1.3.1.1 卡申请功能描述 一、预约卡申请。 (一)交易发起渠道:网点 - 5 - 金融IC卡项目技术方案 (二)交易流程 1、操作人员输入客户信息，内容同普通借记卡。 2、交易成功，系统打印“银行卡申请回执”，内容包括:客户名称、性别、客户编号、申请编号、卡种名称、IC卡标志等;如交易失败，提示失败信息。 二、预约卡批量申请 (一)交易发起渠道:网点 (二)交易流程 1、网点操作人员选择批量申请交易，以屏幕录入或文件导入方式录入客户信息，业务流程、输入信息同普通借记卡批量申请。 2、交易成功生成批量开户报表，网点打印批量开户明细清单。清单内容包括:客户名称、客户编号、卡种名称、卡号、成功标志、失败原因等。 三、预制卡申请。 (一)交易发起渠道:网点 (二)交易流程 1、网点柜台通过预制卡申请交易，输入申请数量等信息。 2、交易成功打印“预制卡申请回执”，内容包括:机构代码、申请日期、卡种名称、申请数量、IC卡标志，密码信封打印标志，操作员代码等。 1.3.1.2 制卡功能描述 核心系统每日跑批后，产生制卡数据文件，业务人员在前台执行导出制卡数据文件，然后执行以下操作: 1(“IC卡制卡文件导入IC卡系统”。该交易每天上午执行。 2.“ IC卡数据送密钥中心(上午做)”。该交易每天上午执行(固定时间段内，由CFCA确定)，将前一天所有制卡数据按照CFCA格式要求生成文件发送到CFCA，由CFCA产生证书。 3(“ IC卡数据送数据准备系统(下午做)”。该交易每天下午执行(固定时间段内，由CFCA确定)，从CFCA取得结果文件，并产生卡模板数据、卡数据、 - 6 - 金融IC卡项目技术方案 磁条数据一并发送到数据准备系统。数据准备系统处理完成后，发往个人化系统进行打卡。 4(“ 查询IC卡数据传送状态”。该交易每天下午执行完“IC卡数据送数据准备系统(下午做)”交易后，柜员可以发起该交易查询IC卡数据传送状态。 注:发送到制卡系统的文件内容中需要增加机构号，制卡系统可按照机构号分别进行打卡，因为预制卡在卡中心申请，因此选择卡中心机构制出的卡包括预制卡和卡中心申请的预约卡。制卡系统中需提供打印预约卡明细清单(分支行或网点)的功能，并增加分机构打卡的功能。 1.3.1.3 领卡功能描述 领卡分为单张领卡和批量领卡。复合IC卡领卡时必须同时完成磁条卡和IC卡的启用。对于预约卡，对应领卡操作;对于预制卡，对应启用操作。 1( 批量领卡。实现批量制预约卡的领卡交易，对批量预约制的卡进行 批量启用处理，在批量领卡中主要是将总行核心系统中的卡状态调 整到客户可以使用的状态。支持两种不同的处理方式:按照卡号段 进行批量领卡以及按照批量领卡文件进行批量领卡处理。批量领卡 中需要循环调用开卡交易，如果处理失败，则本地记录失败信息， 并在清单中体现。对开卡失败的卡，可以使用“预约卡重开”来进 行IC卡中个人信息的重置和开卡。 2( 单张领卡。实现单张预约卡的领取，不能领预制卡。 3( 预制卡启用。对IC预制卡开户，开启一张空白IC卡的金融功能， 并输入持卡人个人信息，该交易实际上是对IC预制卡的金融区的启 用处理。预制卡启用包括了新卡启用、挂失换卡启用、损坏换卡启 用三种情况的处理。 4( 预约卡重开。对批量预约卡领卡时处理失败的卡，进行重新处理， 重置IC卡中的个人信息，并调用主机开卡交易接口。 5( 批量预制卡启用交易(C卡)。 - 7 - 金融IC卡项目技术方案 1.3.2 挂失/解挂业务 IC卡的借记、贷记账户可以进行挂失。具有借记/贷记功能的IC卡中非对称小额支付应用尽管可以挂失，但卡上电子现金余额不予退还。已挂失卡可以在柜面进行解挂。 业务处理流程: (一)书面挂失 1.柜员审核持卡人提交的一式三联“挂失申请书”等相关资料、证件无误后，启动“IC卡挂失/解挂”交易，“挂失方式”选“书面挂失”。相关柜员根据系统提示进行授权。 2.提交主机成功后，将挂失申请书一联及身份证退还客户，凭以办理挂失的后续处理以及补卡和销户手续。 (二)口头挂失 1.客户因遗失、被盗等情况申请办理口头挂失时，由客户填写一式三联挂失申请书(注明“口头挂失”字样)。 2.柜员启动“IC卡挂失/解挂”交易，“挂失方式”选“口头挂失”，并由相关柜员根据系统提示进行授权。 3.客户通过电话或函电形式办理口头挂失的，应按照有关规定受理，经办柜员应查明客户提供的卡号、户名、证件号码等要素资料是否属实，核对无误后方可办理。 口挂需要补书面挂失后才可办理销卡或补卡。 (三)解挂 1. 柜员核对申请书无误后，启动“IC卡挂失/解挂”交易，客户在申请书上写清解挂原因并签名后，相关柜员根据系统提示进行授权成功后在挂失申请书上打印“挂失/解挂回执”，加盖“业务用公章”及柜员名章。 2. 柜员将挂失申请书一联专夹永久保管，一联做会计凭证的附件随当日凭证装订。 (四)挂失换预制卡 - 8 - 金融IC卡项目技术方案 客户申请更换预制卡，柜员审核相关资料无误后，启动“IC卡补/换卡启用”，选择“挂失IC卡启用”，打印原挂失申请书及特殊业务申请书。 1.3.3 卡收回业务 本交易主要用于IC卡损坏换卡或销户时对IC卡的状态信息进行相应的登记，待主账户完成未上送交易处理后，再进行相应的业务处理。 1.3.3.1 卡收回业务 前台根据卡是否可读写分别调用可读卡收回和不可读卡收回交易。 本交易主要用于IC卡损坏卡换卡、损坏卡销户、正常卡销户时对IC卡的状态信息进行相应的登记，损坏卡换卡、损坏卡销户需要待主账户完成未上送交易处理后，再进行相应的业务处理。根据IC卡是否可读，分为两个交易来实现，可读卡收回、不可读卡收回。 可读卡收回交易在选择损坏换卡时联动补/换卡启用交易，在选择销户时联动销卡交易。 1.3.3.2 卡收回业务(小额支付账户) 网点前台业务处理流程图: 客户提交有效证审核 件 可读卡收回(到期卡和损 坏换卡的一部分)/不可读 卡收回 不可读卡 可读卡，联动换卡启用 操作员审核是否已到卡换卡启用 账务周期，已到则继续 卡换卡启用 - 9 - 金融IC卡项目技术方案 卡中心业务处理流程图: 银联商务提交IC审核 卡 IC卡圈提收回 成功(可读卡) 不成功(损坏卡) 不可读卡收回(销户收回) 操作员审核是否将到 期(三个月以内)，已 30天后 到则继续 卡销户 可读卡收回(到期收回) 卡销户 前台根据卡是否可读写分别调用可读卡收回和不可读卡收回交易。 本交易主要用于IC卡到期卡换卡、损坏换卡(网点柜台)，到期销户或损坏销户(卡中心)时对IC卡的状态信息进行相应的登记。根据IC卡是否可读，分为两个交易来实现，可读C卡收回、不可读C卡收回。如果为可读卡，则当天可以进行换卡或销户;如果为不可读卡，可以等30天后(脱机流水上送完毕)才能进行换卡或销卡，也可以现场换卡，打印受理凭证，30天后补登余额。 卡销户(不可读卡)需要于清算周期后(30天)批处理后续的帐务，并置销户状态。 1.3.4 销卡业务 IC卡可以销卡，销卡处理方法同目前发行的借记卡。如果IC卡上具有电子现金余额，先作圈提处理。 - 10 - 金融IC卡项目技术方案 销卡分为正常销卡、挂失销卡和损坏销卡三类。正常销卡、挂失销卡可以在卡收回或挂失的当日办理，损坏销卡需要检查是否已到脱机流水上送周期。正常销卡、损坏销卡前需要检查是否已作卡收回，如果没有则拒绝。 本交易主要用于IC卡的结清及销户。 销卡分为2个交易: IC卡销户圈提，IC卡销户，由前台进行联动。IC卡销户交易可以不刷卡销卡。 IC卡销户圈提交易把IC卡内余额从IC卡中转到磁条卡中;IC卡销户交易包括了电子现金子帐户的销户和磁条卡的结清和销户。 1.3.5 重空管理 IC卡可借用现在的重空管理系统实现。 1.3.6 圈存业务 本期项目中只考虑柜面发起圈存交易。 圈存业务包括现金圈存、转账圈存。 现金圈存:持卡人可以用现金在柜面为IC卡的小额支付应用进行圈存。此交易不能撤销，失败时需要冲正。 转账圈存:持卡人可以在指定设备上，从银行卡的账户向IC卡的小额支付应用圈存。此交易不能撤销，失败时需要冲正。转账圈存包括两类: 1)指定账户圈存交易:持卡人将与IC卡的小额支付应用绑定的借记或贷记账户中的资金划入到小额支付应用上(只需将IC卡插入IC卡读写器，凭密码完成交易)。 2)非指定账户圈存交易:持卡人可将其任一借记或贷记账户中的资金划到IC卡的小额支付应用上。(需要刷转出卡磁条，并将IC卡插入IC卡读写器，凭转出卡密码完成交易) 1.3.7 余额查询/明细查询业务 - 11 - 金融IC卡项目技术方案 持卡人可以脱机查询IC卡上小额支付余额及最近发生的小额支付交易明细。 1.3.8 挂失卡有效期后IC卡余额转损益专户 IC卡挂失后，需在IC卡业务子系统中记录IC卡已挂失，发卡行系统接收到脱机消费明细后，需检查卡是否为挂失状态，如为挂失，需要登记挂失卡消费明细表，同时继续从原电子现金账户中继续清算。 年终或特定时间点，检查已过有效期的挂失卡，将卡片余额从电子现金账户转入损益专户，前台打印报表。 1.3.9 查询及报表 查询IC卡相关登记簿信息。包括查询卡登记簿、开销卡登记簿、挂失登记簿、圈存登记簿等。 报表包括IC卡清算差错表(日报)、IC卡统计表(统计报)、IC卡C卡押金存量数据查询下载、IC卡脱机消费明细下载、IC卡C卡押金收益处理清单等。 1.3.10 脱机消费业务 1.3.10.1 脱机消费业务的功能描述 脱机消费是IC卡金融部分的最主要功能，在交易过程中无需进行联机授权即可完成交易，定期(每日/或每个结算期)由终端统一上送交易数据，供银联及银行进行资金清算。由于无需联机，支付交易方便快捷，并节约成本。 1.3.10.2 脱机消费业务的说明 持卡人使用电子现金的余额进行购物或获取服务。此交易在消费终端上脱机进行，不需提交个人密码。 - 12 - 金融IC卡项目技术方案 脱机消费是卡片和终端之间的数据交互和认证，通过终端在批结算交易前上送给受理方，受理方提交IC卡脱机批扣文件给交换中心，交换中心根据批扣文件向发卡行进行清算。 1.3.11 与IC卡中心接口文件的处理 1.3.11.1 金融IC卡的申领 银行需要每日将发卡明细发送到IC卡中心。 1.3.11.2 金融IC卡的退卡 银行需要每日将退卡明细发送到IC卡中心。 1.3.11.3 金融IC卡的挂失/补、换卡 银行需要每日将挂失和补卡明细传送至IC卡服务中心。 1.3.11.4 其它 IC卡中心要求银行在发卡时，在卡片上建立行业应用的结构和密钥。 1.4 性能需求的描述 系统处理能力，应能适应每日二万笔业务的要求，处理速度快(每1秒钟处理1笔业务)。 系统性能指标的设计应满足业务量出现跨跃式增长的要求，符合先进性、稳定性、安全性、扩展性的系统设计要求。各项指标如下表所示: 项目 指标 脱机交易速度 <600毫秒 平均每日圈存处理交易笔数 5000笔 - 13 - 金融IC卡项目技术方案 峰值每日圈存处理交易笔数 1万笔 平均每日消费处理交易笔数 40万笔 峰值每日消费处理交易笔数 160万笔 平均每秒处理交易笔数(按8小15笔 峰值每秒处理交易笔数(按8小60笔 时算) 无故障率 99.99% 时算) 1.5 安全保密需求的描述 数据的备份与恢复，口令分级管理，操作员有权限区别，重要操作(如挂失、解挂、冻结、解冻、销户等)由主管人员授权完成。操作员口令加密处理。重要数据表有加密字段，防止重要数据被非法修改。 系统安全和网络可靠性指标如下: , 核心运行机房达到国家A级机房标准; , 网络主干线由不同运营商线路备份; , 专用网络与公用网络进行隔离，公共网络接入必须安装防火墙; , 不允许个人密码PIN以明码形式在通信线路和计算机设备上出现; , 配置专用硬件加密设备; 密钥管理严格执行双人背对背制度，各级密钥在其具体规定的时限内进行更新和重置。 1.6 对硬件的需求描述 1.6.1 卡片要求 符合《EMV Integrated Circuit Card Specifications for Payment Systems》，符合《中国金融集成电路(IC)卡规范》(2005版)，PBOC 应用必须配置支持当前磁条卡产品的功能，支持《基于PBOC2.0借记/贷记应用的非对称小额支付应用》，选用的卡片应通过银行卡中心的PBOC2.0(借记/贷记)检测认证，通过IC卡中心检测认证(行业应用部分)。并满足以下要求: 1)双界面卡(单芯片，支持接触、非接触两种方式)。 - 14 - 金融IC卡项目技术方案 2)支持RSA算法。 3)卡片容量不少于32KB的数据存储空间，支持多应用。 4)原则上COS应硬掩膜在ROM中。 5)支持脱机认证、联机认证、发卡行脚本处理等功能。 1.6.2 读卡器设备要求 金融IC卡授权使用的终端必须经过人民银行检测合格和银联资格认证的厂家生产，产品检测安全合格，能够保证交易安全性各项指标。 终端需要具备防入侵功能，以保证在正常运行环境中，接口或设备本身不会泄露或改变任何数据，包括输入/输出设备中的数据，存储在设备中的数据或者正在处理的敏感数据。 终端在硬件和软件上应保证受理所有银行发行的IC卡卡片，并支持相关功能。 本方案根据人行要求，读卡器设备必须是不可二次开发的硬件产品。支持接触式对IC卡进行访问。 1.6.3 加密机要求 在本方案中，我行需要使用的加密机为联机交易中需要的对称密钥加密机。对加密机的要求如下: 应实现《中国金融集成电路(IC卡)借记贷记规范》所规定的IC卡借贷记应用交易过程中的认证和加解密功能以及所依赖的密钥管理功能，其中包括密钥分散、密文生成与验证、数据加解密和MAC运算等。 1.6.4 柜面终端设备要求 本方案中对柜面终端没有特别的硬性要求，当前我行的柜面设备都可以满足项目需要。但必须为读卡器设备提供串口，可以是一拖二的辅口，也可以是终端本身端口，不论是那种端口，但必须是RS232端口。 - 15 - 金融IC卡项目技术方案 第2章 总体设计方案 2.1 概述 2.1.1 转接与清算 IC卡支付信息的转接与清算采用现有银行卡体系，建在中国银联，负责处理全市范围内的跨行、跨地区IC卡交易。其主要职能体现为: , 进行通讯转发和信息传递 , 记录交易日志 , 切换日期、提供清算(对账)和结算数据 , 管理并监控系统网络 , 提供对交易状况查询 , 通讯安全管理 , 接收脱机消费交易数据，按照发卡机构进行路由、分流; , 对脱机消费进行计费、汇总和清算 , 承担对争议和投诉的差错处理手段 , CFCA的根CA负责签署发卡行证书 交换中心提供7*24小时的高可靠性服务，并具备不影响系统正常运行情况下的联机扩展能力，满足未来不断增长的业务需求。 2.1.2 成员机构 与交换中心相连的成员机构，除了完成自身系统内的业务及交易功能外，在信息交换方面，成员机构的应用系统还应能够: , 负责制作、发行卡片、建立IC卡账务处理系统 , 负责发卡方密钥系统(包括发卡行CA)建设 , 接收交换中心转发的IC卡脱机交易，并进行交易合法性校验 , 接受并处理经交换中心传送过来的本行卡的交易，进行入账处理 - 16 - 金融IC卡项目技术方案 , 维护跨行交易日志、具备对账功能 2.1.3 交易终端 IC卡交易终端包括金融POS机、ATM、圈存机、数据采集器、IC卡中心布放的行业终端、信息亭等，其中: , POS机可以与信息交换中心直接连接，也可以通过数据采集器把交易数据传递给信息交换中心，主要功能是完成脱机消费、余额查询、交易明细查询交易，针对IC卡应用需要提供脱机交易上传和脱机交易对账功能 , 实现圈存功能的ATM机由银行或者专业化服务公司改造布放 , 圈存机可以由发卡银行、IC卡中心和专业化服务公司布放，完成圈存、余额查询、交易明细查询功能 , 数据采集器负责对交易收据的收集、汇总、上送到信息交换中心进行请款 行业终端可以由发卡银行、IC卡中心和专业化服务公司布放，完成消费交易、余额查询、交易明细查询功能。行业终端可以直接接入交换中心，也可以由布放单位将数据集中后统一上送给交换中心。 整体项目主要包括以下几个部分: 1. 发卡行系统:银行建设范畴 2. 卡片个人化中心:银行建设范畴 3. 密钥管理中心:银行建设范畴 4. 银联交换中心 银联交换中心系统主要负责处理金融IC卡跨行业务的交易转接、资金清算和差错处理等业务。银联转接系统主要由POSP、ATMP、公共支付平台、差错处理平台，银联核心转接系统等部分构成。此部分系统已经建设完成，已经有比较成熟的解决方案。 5. IC卡中心 IC卡中心负责协调整个项目，管理和拓展各方面的应用，并制定和形成本方案的相关指导性规范和应用规则，同时由相应的系统将各个应用的设置及信息分发至各个发卡行。 - 17 - 金融IC卡项目技术方案 2.2 系统实现 2.2.1 系统逻辑架构 发卡行密钥管理中心发卡行业务系统 小额支付账户管理系统硬件加密机发卡行制卡硬件加密机密钥管理中心系统信息文件硬件加密机IC卡业务前置系统 发卡数据文件 卡片个人化中心 硬件加密机数据准备系统 打卡机设备个人化系统 建议在本方案中，密钥管理中心采用CFCA托管方式或自建方式来实现;卡 片个人化中心采用自建方式。 IC卡系统总体逻辑架构图(建议)如下。 现现现现现现 现现现现现(现现)现现现现现现CFCA现现现现现现 IC现现现现现 IC现现现现现现现现现现现现现 现现现现 现现现现现现现现现现现现现现现 现现现现现现现现现现 现现现现现现现 现现现现现现 现现现现现现现现 - 18 - 金融IC卡项目技术方案 本次项目中C卡相关帐务管理和卡管理由IC卡业务平台实现，另外，IC卡 业务平台提供了IC卡部分IC卡帐户管理功能、参数管理及银联脱机消费清算功 能。 , 架构说明 1、 现有核心系统 , 提供帐务处理及卡管理类(IC卡)接口 , 提供帐务类交易对账接口 , 对IC卡数据及交易进行处理 , IC卡各种管理功能 2、 现有大前置系统 , 负责与核心的账务信息转发。 , 负责柜面系统与IC卡业务子系统的业务信息转发。 3、 IC卡业务子系统 , IC卡(C卡)帐户管理功能。 , 负责IC卡相关业务，完成交易报文转换、流程组织、安全认证 功能。 , 负责银联脱机消费文件处理及日终清算。 4、 省卡前置 , 负责银联业务接入，本期暂无相关业务，后续项目中，电子借贷 记业务需要调用相关接口。 5、 密钥管理中心系统(CFCA) , 管理发卡行CA。 , 负责对制卡文件进行签名认证处理。 6、 卡片个人化中心 , 负责对制卡文件进行处理并打卡。 7、 IC卡中心业务系统 , 相关卡申领、销卡、挂失、圈存等交易明细文件与IC卡中心进 行数据交换处理。 8、 柜面系统 - 19 - 金融IC卡项目技术方案 , 负责IC卡读写器的接入，并提供柜面交易功能。 以下对各系统进行详细介绍。 2.2.2 现有核心系统 核心主机系统提供的相关功能包括IC卡帐户帐务核算、交易处理及卡管理(包括卡申请、领卡、销卡、挂失流程)等。IC卡借记帐户记名计息，关联的电子钱包户不记名、不计息。 在本方案中，可以发行纯支付卡，是不记名不计息，且无主账户，由核心管理账务的总账，由IC卡业务子系统负责管理各账户的明细账。 核心系统需要实现的功能包括:负责记录卡片的账户信息和交易记录，并能处理实时和批量的交易，可以向应用系统提供开户、销户、查询、圈存、消费、自动冲正等交易接口。 , 数据管理:主要完成系统中各种数据资料的管理功能，主要包括卡片管 理、客户管理、卡,账户管理、总账管理等。 , 系统管理:主要完成系统配置、业务的参数设定等。 , 交易处理:主要完成IC业务中的日常交易处理。主要包括圈存、脱机消 费明细批量处理、冲正、换卡、日终批量处理等等。日终批量处理主要 完成日终的系统处理以及报表的产生，包括对账、账务核算、各类报表 产生等。 需要实现的功能包括: , 脱机消费批量入账 , 脱机消费差错处理 , 日终处理 , 对账功能 , 报表功能 , 卡片重要空白凭证管理功能 - 20 - 金融IC卡项目技术方案 2.2.3 IC卡业务子系统 IC卡业务子系统负责接收和处理所有的IC卡业务，对各类IC卡业务流程进行控制和预处理。主要功能包括以下方面: , 金融IC卡帐户管理、发卡参数管理功能。 , 金融IC卡帐务类交易预处理功能。例如，预记交易流水、安全报文(MAC)验证、应用密文验证及产生等。 , 金融IC卡柜面类业务处理。 , 处理及报文转换。实现对各个外围系统的业务报文数据接收，并进行报文转换。 , 交易转发处理。 , 脱机消费批文件处理。 脱机消费批量入账的处理过程如下: IC卡业务平台接收到银联发送过来的脱机消费批量文件，首先发送到加密机进行安全认证，对未通过安全认证的交易明细，登录到脱机消费认证失败记录表，对所有认证通过的交易明细，逐条调用核心主机脱机消费入账交易进行入账。 需要实现的功能包括: , 柜面交易的处理 , 管理控制交易的接入处理 , 调整业务参数 , 向IC卡中心发送明细文件 2.2.4 密钥管理中心系统 发卡行密钥管理中心需要单独建设实现。系统需要符合PBOC2.0规范，能够实现与金融IC卡借贷记认证中心对接等。系统建设投入主要包括: 1. 发卡行密钥管理中心(KMC)系统 2. 硬件加密机 发卡行证书及密钥管理系统是整个试点项目的安全核心系统，主要负责完成PBOC2.0标准的发卡行证书的申请、管理、IC卡应用相关的密钥(包括应用密钥、 - 21 - 金融IC卡项目技术方案 卡片个人化交换主密钥等)管理，同时负责分发各类密钥到卡片制造商、卡片个人化中心及业务前置交易加密机等。结构设计如图所示: 根CA中心 发卡行制卡信息文件 发卡行证书 ,离线～手工传递, 数据处理模块 发卡行证书管IC卡证书及签理模块名管理模块 硬件加密机密钥管理模块 登录管理模块审计模块 系统配置模块权限模块 底层框架 下发给数据准备系统制卡信息文件 (包括密钥及证书信息) 如图所示，发卡行密钥管理中心包括数据处理模块、登录管理模块、审计模块系统配置模块、权限模块、密钥管理模块、发卡行证书管理模块、IC卡证书及签名管理模块等模块，每个模块实现的功能也不同，本文主要介绍和业务相关的三个核心模块。 1. 发卡行证书管理模块 负责与中国银联根CA中心进行交互，完成发卡行证书管理的功能。实现功能主要包括: 1. 发卡行证书申请文件的产生 2. 发卡行证书文件的接收、存储、验证。 主要的日常发卡行证书申请业务操作步骤及流程为: 1) 运行发卡行证书及密钥管理系统软件; 2) 配置发卡行公私钥对及证书的参数，主要包括: - 22 - 金融IC卡项目技术方案 , 公钥模长 , 公钥指数:包括65537和3两种。 , 发卡行机构标识(BIN)。 , 证书有效期。 , 申请记录号:由根CA中心分配。 3) 调用加密机接口产生发卡行公私钥对; 4) 根据《金融IC 卡借记/贷记应用根CA 公钥认证规范第2 部分 技术规范》要求，产生发卡机构公钥输入文件(YLxxxxxx.INP)。其中需要调用加密机接口产生自签名发卡机构公钥数据。 5) 根据《金融IC 卡借记/贷记应用根CA 公钥认证规范第1部分 业务规范》流程，由发卡行安全员将发卡行公钥输入文件递交根CA中心。 6) 根CA中心受理发卡行申请，签发发卡行证书，产生发卡行公钥证书输出文件(AAAAAA.INN)。 7) 发卡行接收公钥证书输出文件并导入系统进行验证并存储。 2. IC卡证书及签名模块 IC卡证书及签名模块主要完成IC卡的证书签发、静态数据签名功能。其主 要功能包括: , IC卡证书模板管理 , IC卡证书产生及管理 , IC卡静态数据产生 3. 密钥管理模块 密钥管理模块负责实现功能主要包括: , 对称密钥管理 , 发卡行应用主密钥产生、存储和分发; , 卡片应用子密钥分散; , 卡片个人化主密钥产生、存储和下发; , 发卡行与数据准备系统的交换密钥KEK导入; , 其他行业应用密钥管理 - 23 - 金融IC卡项目技术方案 , 非对称密钥管理 , 发卡行公私钥对的产生和管理; , IC卡公私钥对的产生和管理; , 密钥池管理; , 密钥的备份和恢复:包括系统中所有的对称密钥和非对称密钥。 2.2.5 数据准备系统 数据准备系统主要负责完成卡片个人化数据准备，包括发卡行应用数据、模 板数据、证书及密钥数据等。 系统结构及模块组成如图所示: 发卡行制卡信息文件 (包括密钥及证书信息) 数据准备系统 文件转换模块 应用模板管理数据解析模块1.转加密2.数据加密加密机引擎模硬件加密机数据准备模块块 登录管理模块审计模块 系统配置模块权限模块 底层框架 卡片个人化 数据文件 打卡机 个人化系统 数据准备系统主要包括四个核心模块: 1. 文件转换模块 对发卡行系统的接口模块，负责发卡行提供的发卡数据文件转换成系统内部 的数据格式，并导入数据库中。 2. 应用模版设计模块 - 24 - 金融IC卡项目技术方案 用户可以预先设计和生成卡片应用模版，设置各类应用的数据项参数信息。 3. 数据解析模块 结合应用模版，分析发卡数据，设计数据准备流程。 4. 数据准备模块 根据数据分析模块的流程脚本执行数据准备工作，完成所有数据的采集，然后结合应用模板，形成卡片个人化脚本。 2.2.6 个人化系统 2.2.6.1 卡片个人化系统实现 卡片个人化系统输入数据准备阶段生成的个人化脚本，按照其要求控制发卡设备，发送卡片命令，将卡片对应的应用数据安全的写进卡片中，形成可以使用的卡片，完成个人化操作。 个人化系统读取个人化脚本和卡片配置文件、以及设备配置文件，根据卡片配置文件，将个人化脚本转化成该类型卡对应的卡片命令流，同时，根据设备配置文件，调用不同的接口函数，通过此种类型的发卡设备将命令发送给卡片。在此过程中，如果需要，还可能调用安全设备(加密机)接口，以实现一些关键的数据的安全处理，如利用安全设备(加密机)中保存的密钥处理卡片生成的随机数已实现认证或利用过程密钥进行加密和MAC运算。 2.2.6.2 卡片个人化业务流程 (一)标准金融应用个人化处理流程 1 通过传输密钥的认证，激活卡片。 2 根据应用要求建立相应的文件体系。 3 设置或替换卡片主控密钥 4 安装其他的卡片密钥 5 安装应用相关密钥(应用对称密钥组和PIN) 6 安装(生成)IC卡公私钥对 - 25 - 金融IC卡项目技术方案 7 写入应用相关数据(含发卡行签名及证书等信息)。 8 设置卡片的状态为个人化结束，完成个人化。 (二)金融应用外的其他应用个人化流程 可采用二次发卡，各应用按照自己的应用个人化要求和密钥管理规范进行个人化处理。 1 通过卡片主控密钥的认证，建立相应的其他应用DF(如社保应用)。 2 设置卡片其他应用主控密钥 3 应用发卡机构替换卡片其他应用主控密钥 4 按照该应用的个人化规范进行个人化处理。 2.2.7 发卡行柜面系统 发卡行柜面系统主要负责受理用户各类IC卡联机业务。一般情况下，此系统可以在发卡行现有的柜面系统的基础上进行改造，主要有两个方面的改造量: 1. 柜面终端接入IC卡读写器; 2. 基于发卡行现有柜面框架开发IC卡业务模块。 本期项目采用现有读卡器(未测试)，由项目合作开发公司提供读卡器接入模块，负责柜面业务模块的开发，项目合作开发公司提供相关的咨询服务。 2.2.7.1 IC卡读写器柜面接入 2.2.7.1.1 IC卡操作流程 , 建立IC读卡器与终端设备的连接。 , 建立IC卡与读卡器的连接。 , IC卡应用环境的初始化。 , 应用初始化(进行GPO处理)。 , 验证数据获取。 , 终端与卡片安全验证分析(进行SDA、DDA、CDA等认证)。 , 终端行为分析。 - 26 - 金融IC卡项目技术方案 , 卡片行为分析。 , 交易前的数据准备(通过GAC产生ARQC)。 , 联机处理。 , 发卡行认证(外部认证ARPC)。 , 发卡行脚本处理。 , , 释放IC卡与读卡器的连接。 , 释放IC读卡器与终端设备的连接。 2.2.7.1.2 交易前的数据准备 当前金融行业的柜面系统交易模式，基本采用的都是C/S架构，IC卡项目中对此模式进行了无缝接入。接入模式是在原有柜面系统软件中将IC卡项目提供的IC卡接口进行正常引入，原有的软件模式保持不变，具体的引入模式如下: , 调用建立IC读卡器与终端设备的连接的接口。 , 调用建立IC卡与读卡器的连接的接口。 , 调用IC卡应用环境的初始化的接口。 , 调用应用初始化的接口。 , 调用验证数据获取的接口。 , 调用终端与卡片安全验证分析的接口。 , 调用终端行为分析的接口。 , 调用卡片行为分析的接口。 , 调用交易前的数据准备的接口。 以上调用的各个接口全部是在交易提交之前进行的，接口中所使用的数据是由当前柜面系统提供。 2.2.7.1.3 交易后的数据处理 柜面系统同步接收到后台系统返回的交易响应数据。根据交易响应数据的具体内容，决定在柜面系统中采用哪种IC卡接口进行正常接入，接入模式为独立接入模式，与原有软件系统不会发生冲突。如果交易返回运行对卡片进行操作， - 27 - 金融IC卡项目技术方案 则具体的引入模式如下: , 调用发卡行认证的接口。 , 调用发卡行脚本处理的接口。 , 调用释放IC卡与读卡器的连接的接口。 , 调用释放IC读卡器与终端设备的连接的接口。 , 交易结束。 以上各个接口调用成功后，可以根据客户的需要对IC卡操作的内容数据进行界面回显。 2.2.7.1.4 联机交易确认 本方案软件完全遵循PBOC2.0规范进行设计。为了加强交易数据的准确性以及防止在交易过程当中异常情况的出现，所有的跟写卡有关系的联机交易，在交易结束后都会向后台系统发送联机确认交易。后台系统根据此交易决定上次联机主交易是否成功，如果不成功则根据确认交易数据进行冲正等后台业务操作。 2.2.7.2 IC卡柜面业务模块 需要在柜面系统开发的交易包括: , IC卡数据送密钥中心 , IC卡数据送数据准备系统 , 查询IC卡数据传送状态 , 预约卡批量申请 , 预约卡申请 , 预制卡申请 , 批量领卡 , 批量领卡查询 , 单张领卡 , 预制卡启用 , IC卡挂失/解挂 - 28 - 金融IC卡项目技术方案 , IC卡可读卡收回 , IC卡不可读卡收回 , 销卡 , 收费 , 圈存业务—现金充值 , 圈存业务—指定帐户充值 , 圈存业务—非指定帐户充值 , 电子现金账户余额查询 , 电子现金帐户交易明细查询 , IC卡联机状态查询 , IC卡无卡状态查询 , 打印IC卡统计表(月报)等 , 前台写卡通知 等等。 2.2.8 IC卡中心系统 IC卡业务子系统需要每天将发卡、销卡、挂失、补/换卡、圈存等业务明细发送给IC卡中心。 2.3 安全体系设计 2.3.1 非对称密钥安全体系 系统整体安全设计符合PBOC2.0借贷记安全规范。PBOC2.0规范中的非对称密钥安全体系，由认证中心(CA)发行数字证书实现安全认证。非对称密钥体系主要涉及以下三个方面: 1. 支付系统根CA中心:作为非对称密钥体系的信任源，为发卡行提供证书服 务，就国际卡而言是指VISA，MasterCard等国际信用卡组织，国内则为中 国银联。 - 29 - 金融IC卡项目技术方案 2. 发卡行:指发行符合中国金融IC卡借记贷记应用规范的成员银行。 3. 收单机构:指提供银行IC卡收单服务的收单行以及代理收单机构如银联商 务等。 IC卡认证中心体系统结构采用2级架构，即根CA和发卡行CA。体系总体架构及三者之间的关系如图所示: 中国金融IC卡根CA中心 根CA系统 加密机 根CA发卡行 公钥证书 收单机构 发卡行 CA系统加密机根CA 公钥发卡行证书 应用密钥 卡片证书 脱机证书认证IC卡片POS机 2.3.2 对称密钥安全体系 整个安全体系中，对称密钥管理没有分为多级管理机制，所有密钥均在发卡行进行产生和管理，即发卡行产生并存储主密钥，按照卡片PAN号分散后下载到卡片中。 系统中对于对称密钥的管理、分发以及安全管理机制参考了目前金融行业主流的RACAL加密机体系。在加密机中只存储本地主密钥，其他所有对称密钥和非对称密钥均由本地主密钥加密后存储在主机数据库中。密钥的使用和数据运算均在密码机种进行，保证了密钥的安全性。同时，此种设计方式也提高了系统的安全性，所有的密钥必须有加密机和发卡行双方授权后才能使用。 - 30 - 金融IC卡项目技术方案 2.3.3 密钥设计 2.3.3.1 密钥种类 发卡行系统中主要涉及到的对称密钥如下表: 表格 1 对称密钥列表 类型 功能 约定方 MDK 主密钥用来生成唯一的卡片密钥，用于卡片和发卡行进行联机发卡行 验证。 MDK 主密钥用来生成唯一的卡片密钥，这个卡片密钥用于生成进行发卡行 ENC 发卡后的数据更新所需要的消息认证对话密钥。 MDK 主密钥用来生成唯一的卡片密钥，这个卡片密钥用于生成对发发卡行 MAC 卡后更新机密数据(脱机PIN)进行加密的对话密钥。 KMC IC卡厂商使用这个KMC生成卡片级密钥(KMC、 KMC、 发卡行、卡ENCMAC KMC)，并将它们写到卡上 商 DEK KMC 用来创建一个对话密钥，利用该对话密钥可创建密文和以CBC发卡行、卡ENC 模式加密机密数据 商 KMC 用来创建一个对话密钥，利用该对话密钥可创建命令处理过程发卡行、卡DEK 中所使用的C-MAC 商 KMC 用来创建一个对话密钥，利用该对话密钥可在ECB模式下加密发卡行、卡MAC DES密钥或灵活的加密其它机密数据 商 KMU 只有发卡行知道的DES主密钥，用于分散密钥来产生KENC，发卡行 KDEK，KMAC用于片发行后的再次个人化 KEK/TK 密钥交换密钥/传输密钥—由数据准备系统和个人化设备共享发卡行、卡 (Key Exchange Key Transport Key) 商、个人化 厂商 主要使用和涉及到的证书及公私钥对如下表: 表格 2 非对称密钥列表 类型 功能 说明 根CA公钥 由银联金融IC卡借贷记认证中心下发的CA公钥，以PBOC标 准的公钥证书文件形式下发。发卡行用于验证发卡证书有效 性。 发卡行公钥 由发卡行产生，并经过CA中心签发后形成发卡行公钥证书。 用于发卡时装载到IC卡中。 发卡行私钥 由发卡行产生，并通过加密机密钥加密后存储在主机数据库 中。用于签发IC卡静态数据签名及IC卡公钥证书。 IC卡公钥 采用DDA认证方式的卡片需要此密钥，由发卡行私钥签发形成 IC卡公钥证书存储在IC卡。 IC卡私钥 采用DDA认证方式的卡片需要此密钥，用于IC卡与终端进行 DDA认证时。 - 31 - 金融IC卡项目技术方案 2.3.3.2 密钥分布及操作流程 CA私钥 CA公钥证书CA认证中心 123 1. MDKS(\ENC\MAC)42. KMCCA公钥1. UDK证书S(\ENC\MAC)3. KMU2. KMU4. KEK/TK个人化3. KEK/TKPOS5. 发卡行私钥发卡行厂商4. 发卡行证书ISS6. 发卡行公钥5. IC卡公钥证书 及证书ICCISS6. IC卡私钥7. IC卡公钥证书ICC8. IC卡私钥 5 1. UDKS(\ENC\MAC)2. K/K/KENCMACDEK3. IC卡私钥IC卡4. IC卡公钥证书ICC5. 发卡行公钥证书ISS 密钥分布如上图所示。密钥操作及传递流向设计为: 1. CA认证中心产生并存储认证中心公私钥对; 2. 流向?:将认证中心公钥证书下发到受理POS机中; 3. 发卡行产生并存储发卡行公私钥对、MDK(MDK\MDK\MDK)、KMU; sENCMAC4. 发卡行导入IC卡的KMC主密钥、与个人化厂商约定的KEK/TK; 5. 流向?:提交发卡行公钥及证书申请信息; 6. 流向?:认证中心签发并下发发卡行公钥证书给发卡行; 7. 密钥管理中心系统产生IC卡公私钥对，并使用发卡行私钥对IC卡公钥进行 签名，形成IC卡公钥证书;同时将MDK按照IC卡的PAN号分散出卡片子密s 钥UDK(UDK\UDK\UDK)。 sMACENC 8. 流向?:发卡行传递卡片个人化所需的所有密钥。包括:IC卡私钥、IC卡 公钥证书、发卡行公钥证书、UDK、KMU; s 流向?:个人化系统将IC卡私钥、IC卡公钥证书、发卡行公钥证书、UDKs(UDK\UDK\UDK)写入IC卡芯片中;同时个人化系统替换原有的IC卡主密钥MACENC - 32 - 金融IC卡项目技术方案 KMC为KMU分散后的密钥K、K、K。 ENCMACDEK 2.3.4 私密数据安全性设计 发卡方的私密数据主要包括: , 个人PIN , 发卡行主密钥MDK、KMU、发卡行私钥 这些私密数据的安全性设计主要包括两个方面: 1. 产生和存储 , 个人PIN按照规范使用加密机PIN加密密钥加密后存储数据库中; , 发卡行主密钥及发卡行私钥使用加密机的本地主密钥(LMK)加密后 存储在数据库中; 2. 传递和使用 , 个人PIN数据通过TK加密; , 发卡行主密钥及私钥只存在发卡行密钥管理中心，不下发到数据准 备和个人化系统; , 私密数据使用时，通过加密机进行转加密及签名等运算。所有的密 钥密文只会在密码机中进行解密，保证数据的安全。 3. 发卡环节 进行IC卡预个人化及个人化操作时，需要写入私密数据包括UDK、K、K、sENCMACK、IC卡私钥、个人PIN。这些数据的写入均使用IC卡主密钥KMC进行加密后DEK 写入IC卡芯片，IC卡芯片内部解密后存储。这个发卡过程中，私密数据不出现明文，保证数据的安全。 2.3.5 卡片安全设计 安全性是IC卡软件系统的生命线。IC卡系统涉及银行、商户、持卡用户多个不同的层面，涉及圈存、消费、结算、查询等大量的交易处理，对系统的安全可靠性要求非常高。 我们的IC卡系统从卡片本身、实际应用、读写设备、网络传输过程、发卡 - 33 - 金融IC卡项目技术方案 行、IC卡中心等各个环节进行了严格的安全防范措施，保证整个系统运行高效、安全、可靠。 2.3.5.1 卡安全策略 根据PBOC2.0规范，本方案采用双界面复合CPU卡作为IC卡，CPU卡的安全性已经得到业内的广泛认可，再加上对卡片安全的设计要求，完全可以保证应用过程中的安全。 2.3.5.2 新卡数据防篡改 卡片在终端进行脱机或联机交易过程中，终端对卡片的静态认证数据进行获取，由终端进行SDA认证。可以有效防止卡片内部由发卡行写入的静态数据被篡改。具体过程概括描述如下: 步骤1:检索CA公钥 终端使用卡片中的PKI和RID确定使用哪一个CA公钥。 步骤2:恢复发卡行公钥 终端使用CA公钥验证卡片中的发卡行证书并恢复证书中的发卡行公钥。 步骤3:验证签名的静态应用数据 恢复哈希结果。 a) b)计算哈希。 c)比较哈希结果。 如果所有的SDA步骤都成功，SDA通过。 2.3.5.3 卡片防伪造策略 终端对卡片除了基本的静态认证(SDA认证)以外，又采用了更高一级别的安全认证模式，即动态数据认证(DDA认证)，终端使用公钥技术验证卡片中关键数据自发卡后没有被改动，同时验证卡片是否是伪卡。PBOC支持两种DDA形式:标准DDA和CDA。在这两种方式里，终端验证卡片中的静态数据没有修改，同时 - 34 - 金融IC卡项目技术方案 验证一个卡片生成的动态密文。在标准DDA中，卡片在执行卡片行为分析之前，响应内部认证命令时使用卡片、终端和交易的动态数据生成动态签名。在CDA中，卡片在响应生成应用密文命令时生成动态签名，签名中包括应用密文、密文信息数据，以及和标准DDA一样的终端、卡片和交易的动态数据。标准DDA具体过程概括描述如下: 步骤1:检索CA公钥 终端使用卡片中的PKI和RID确定使用哪一个CA公钥。 步骤2:恢复发卡行公钥 终端使用CA公钥验证卡片中的发卡行证书并恢复证书中的发卡行公钥。 步骤3:恢复IC卡公钥 终端使用发卡行公钥验证卡片中的IC卡公钥证书并恢复证书中的IC卡公钥和静态数据哈希结果。IC卡公钥证书确保IC卡公钥的合法性。终端用卡片中的实际数据元重新计算哈希值检查是否和恢复的哈希值匹配。 步骤4:生成动态签名(仅用于标准DDA) 终端发送内部认证命令请求一个动态签名。命令中包括了DDOL中指定的数据。 收到内部认证命令后，卡片执行以下操作: 1)设置CVR中脱机动态数据认证执行位为“1”。 2)连接内部认证命令中的终端数据和在IC卡动态数据中指定的卡片数据。 3)用上一步连接的数据做哈希。 4)将哈希包括在签名的动态应用数据中。 5)使用IC卡私钥给签名的动态应用数据做签名。 6)在内部认证命令的响应信息中返回签名的动态应用数据。 步骤5:终端执行下列步骤验证动态签名: 1)使用IC卡公钥解密动态签名恢复数据元哈希值。 2)使用动态数据元重新计算哈希。 3)比较两个哈希是否匹配。 如果所有上述步骤成功，标准DDA通过。 - 35 - 金融IC卡项目技术方案 2.3.5.4 卡片防破译策略 卡片在进行个人化阶段时，每张卡片都存储了由密钥管理中心生成的唯一的IC卡私钥，在进行认证时候，通过此私钥对数据进行加密生成密文数据。只有通过IC卡公钥才能对卡片密文数据进行解密。而IC卡公钥又被存储在由发卡行私钥加密的密钥证书当中，只有通过发卡行公钥才能进行解密操作。发卡行的公钥又被存放在由CA中心的私钥加密的密钥证书当中，CA的公钥由终端通过密钥管理中心获得。所以不但公钥很难人为获取，私钥在生成以后存储在加密机当中和卡片当中，通过任何手段都不能取得。基于以上各个环节的连续性，从而保证卡片的安全性。破译几乎是不可能的。 2.4 业务流程设计 - 36 - 金融IC卡项目技术方案 2.4.1 发卡及卡片个人化流程 <发卡流程> 循环 存储数据1.柜面系统录入申2.日终批处理查询所有库请用户信息用户申请<业务系统> 3.发卡数据文件 产生IC卡公私钥、公钥证书、IC卡4.文件解析子密钥<密钥管理中心 系统>发卡数据文件(含密钥、证书等数据项) 6.发卡数据解5.文件转换7.数据准备析 <数据准备系统> 8.制卡文件 9.制卡文件解10.执行个人化操11.发卡完成析作<个人化系统> 流程描述: 1. 银行柜面系统受理用户发卡申请，录入用户信息至数据库中; 2. 发卡行业务系统日终进行批处理，统计当天所有的用户卡申请记录，产 生发卡数据文件; 3. 发卡行发卡数据文件包括发卡行需要提供的信息，参见业务系统与密钥 管理中心系统接口数据。 4. 发卡行发卡数据文件通过手工方式传递给密钥管理中心系统。 5. 密钥管理中心系统解析文件并进行IC卡证书、静态签名数据、IC卡子 密钥数据的生成; - 37 - 金融IC卡项目技术方案 6. 密钥管理中心系统整理所有IC卡发卡数据，形成下发给数据准备系统的 IC卡发卡数据文件，参见密钥管理中心系统与数据准备系统接口数据。 7. 数据准备系统进行文件数据转换、分析、插入数据库中; 8. 通过数据准备系统选择发卡应用模板、卡片模板、发卡行公私钥对等信 息，并分析卡数据是否齐全、有效; 9. 数据准备系统进行数据准备操作。根据模板整理发卡数据、调用加密机 接口进行密钥、PIN的转加密等，形成制卡文件。 10. 个人化系统解析制卡文件，获取发卡数据; 11. 个人化系统进行发卡设置，包括卡面设计、凸字等，执行发卡流程，主 要包括以下几步: a) 调用加密机密钥计算接口，建立卡片安全通道，获取卡片权限; b) 进行卡片预个人化操作，创建卡片目录及文件结构，将卡片主密钥、 PIN、卡片公私钥等数据写入; c) 根据发卡数据，调用StoreData指令将所有卡片数据写入IC卡应用 中。 d) 进行卡片的印刷、凸字打印等操作。 - 38 - 金融IC卡项目技术方案 2.4.2 圈存 本方案中网点柜面支持本行IC卡圈存(包括现金圈存、本行借记卡转帐圈存)，不支持向他行IC卡圈存。 1. 持卡人在银行柜面(以下简称机具)选择卡片充值操作; 2. IC卡信息读取; 3. 机具提示输入圈存金额; 4. 机具提示柜员/用户对主帐户进行刷卡及输入密码; 5. 机具要求卡片产生授权请求密文(ARQC)并发送至主机系统; 6. IC卡业务子系统收到卡片圈存交易ARQC后，执行: , 检查来自电子现金卡请求的合法性; , 通过加密机检查包含于请求中的ARQC密文和芯片卡数据; - 39 - 金融IC卡项目技术方案 , 发送报文至后台主机，检查联机PIN; 7. 上述检查均通过，则后台帐务系统将圈存金额从持卡人主账户划入电子现金 账户; 8. IC卡业务系统产生卡片脚本命令，用于更新芯片电子现金余额; 9. 机具接受发卡行响应后，传递脚本给卡片，以调整其电子现金余额; 10. 机具读取卡中新的电子现金余额值并向持卡人显示后，整个圈存过程完成。 2.4.3 脱机消费 1. 持卡人将电子现金卡插入POS终端; 2. 终端选择卡小额支付应用; 3. 终端检查卡是否真实，通过终端的根CA公钥验证卡片签名或者卡片证书是否有效; 4. 终端将交易相关的数据，以及其它同交易相关的环境数据传送至卡，卡则将其自己的交易相关数据提供给终端。 5. 卡使用电子现金余额，以及交易额，来判断交易是否可脱机授权; 6. 脱机批准，卡从其电子现金余额中减去本次交易额，并生成一交易证书(TC)密文; 7. 日终终端将当天所有脱机交易证书密文及相关的交易数据发送给收单机构，收单机构将此包含在它向发卡行提供的清算提交当中。 2.4.4 日终清算 收单行以与对待普通借记贷记交易相同的方式处理电子现金交易。已被脱机批准的交易需按常规方式提交清算。然而，由于是芯片产品，发卡行可能收到关于交易的一些额外信息(比如交易证书)。 - 40 - 金融IC卡项目技术方案 联机交易联机交易联机交易 POSPCUPS终端发卡方 文件路由、一级清算、分发圈存/圈提文件汇总脱机消费文件全流水 二次清算平台 商户清算 商户 小额支付账户清算流程如下: 1. IC卡业务子接收收单机构发送的终端脱机交易文件; 2. 执行批处理，校验交易证书后进行电子现金账户的余额更新; 3. 小额支付账户管理系统进行账户检查，主要检查的方法是统计各类交易 和当天的余额，核对当日总账和分账与各类交易额的相加的和是否等于 上日总账和分账。如果出现不平，则定位出具体分户; 4. 小额支付账户管理系统与分行前置系统进行对账交易，核对当天交易是 否平衡;如果不平进行差错处理; 5. 小额支付账户管理系统根据银联提供的商户信息表，统计各个商户POS 机的交易总额、手续费总额、佣金等清算数据; 6. 提供清算报表给发卡行综合业务系统，完成资金划拨。 - 41 -