金融卡知识交流.pptVIP

金融IC交流 名词解释 PBOC是中国人民银行的英文名称的缩写 也就是我们平时所说的央行 PBOC2 0是中国人民银行颁布的第二代金融IC卡规范的简称 利用金融IC卡 能够有效解决目前使用磁条卡时存在的假卡 脱机交易安全等问题 什么叫电子存折 电子存折ElectronicDeposit ED 一种为持卡人进行消费 取现等交易而设计的使用个人密码 PIN 保护的金融IC卡应用 它支持圈存 圈提 消费 取现等交易 什么叫电子钱包 EP 小额支付的智能储值卡 持卡人预先在卡中存入一定的金额 交易时直接从储值账户中扣除交易金额 名词解释 什么是CACA是CertificationAuthoritcation的缩写 即证书颂发机构 他是一个负责发放和维护数字证书的实体 一般是第三方的 什么是数字证书数字证书就是数字化的文件 里面有一个实体 如网站 个人等 的公共密钥 公钥 和其他的属性 如名称 CA信息 加密算法等 该公共密钥只属于某一个特定的实体 它的作用是防止一个实体假装成另外一个实体 加密算法都有哪些 加密算法主要分为对称加密和非对称加密 对称加密是指双方拥有相同的密钥 用这个密钥加密的也可以用这个密钥解密 常见的有DES DES3 RC4等 非对称加密是指双方使用不同的密钥 分为公钥和私钥 公钥是发给别人 用于加密的 私钥是留给自己用于把别人加密的东西解密的 公钥和私钥是严格成对的 常见的算法有RSA DSA DH等 数字证书的原理 利用一对互相匹配的密钥进行加密 解密 用户自己设定一把特定的仅为本人所知的私有密钥 私钥 用它进行解密和签名 同时设定一把公共密钥 公钥 并由本人公开 为一组用户共享 用于加密和验证签名 当该用户发送文件时 用私钥签名 别人用他给的公钥解密 可以保证该信息是由他发送的 即数字签名 当该用户接受文件时 别人用他的公钥加密 他用私钥解密 可以保证该信息只能由他接收到 可以避免被其他人看到 用户A 用户B 目录 第一部分 IC卡介绍 一 IC卡的定义二 IC卡分类三 IC卡安全保证 一 IC卡的定义 IC卡 IntegratedCircuitCard 集成电路卡 有些国家和地区也称智能卡 smartcard 智慧卡 intelligentcard 微电路卡 microcircuitcard 或微芯片卡等 它是将一个微电子芯片嵌入符合ISO7816标准的卡基中 做成卡片形式 IC卡读卡器 IC卡读卡器是IC卡与应用系统间的桥梁 在ISO国际标准中称之为接口设备IFD InterfaceDevice IFD内CPU通过一个接口电路与IC卡相连并进行通信 IC卡接口电路是IC卡读写器中至关重要的部分 根据实际应用系统的不同 可选择并行通信 半双工串行通信和I2C通信等不同的IC卡读写芯片 IC卡与磁卡的区别 IC卡是继磁卡之后出现的又一种新型信息工具 一般用的公交车卡就是IC卡的一种 一般常见的IC卡采用射频技术与IC卡的读卡器进行通讯 IC卡与磁卡是有区别的 IC卡是通过卡里的集成电路存储信息 而磁卡是通过卡内的磁力记录信息 IC卡的成本一般比磁卡高 但保密性更好 IC卡和磁条卡比较 对比项目IC卡磁卡防伪性很强 极难伪造容易复制抗破坏性抗机械化学破坏能力强抗磁抗磁电能力强不能抗强磁和静电信息保存期10年以上2年以下信息存储量大小保密性高低耐用性擦写次数10万次以上数千次灵活性带有智能性被动的存储介质成本目前较高低读写终端设备成本低高系统网络环境要求低高 二 IC卡分类 IC分类 1 按照数据读写方式 可分为接触式IC卡和非接触式IC卡 双界面IC卡三类 接触式IC卡接触式IC卡由读写设备的触点和卡片上的触点相接触进行数据读写 国际标准ISO7816系列对此类IC卡进行了规定 非接触式IC卡非接触式IC卡又称射频卡 成功地解决了无源 卡中无电源 和免接触这一难题 是电子器件领域的一大突破 主要用于公交 轮渡 地铁的自动收费系统 也应用在门禁管理 身份证明和电子钱包 双界面IC卡 双界面CPU卡是一种同时支持接触式与非接触式两种通讯方式的CPU卡 接触接口和非接触接口共用一个CPU进行控制 接触模式和非接触模式自动选择 IC卡分类 2 智能卡属于半导体卡 半导体卡片采用微电子技术进行信息的存储 处理 按照其组成结构 智能卡可以分为一般存储卡 加密存储卡 CPU卡 存储器卡其内嵌芯片相当于普通串行E2PROM存储器 这类卡信息存储方便 使用简单 价格便宜 很多场合可替代磁卡 但由于其本身不具备信息保密功能 因此 只能用于保密性要求不高的应用场合 逻辑加密卡加密存储器卡内嵌芯片在存储区外增加了控制逻辑 在访问存储区之前需要核对密码 只有密码正确 才能进行存取操作 这类信息保密性较好 使用与普通存储器卡相类似 CPU卡介绍 CPU卡CPU卡内嵌芯片相当于一个特殊类型的单片机 内部除了带有控制器 存储器 时序控制逻辑等外 还带有算法单元和操作系统 COS 由于CPU卡有存储容量大 处理能力强 信息存储安全等特性 广泛用于信息安全性要求特别高的场合 COS的全称是ChipOperatingSystem 片内操作系统 它一般是紧紧围绕着它所服务的智能卡的特点而开发的 由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响 因此 COS在很大程度上不同于我们通常所能见到的微机上的操作系统 例如DOS UNIX等 首先 COS是一个专用系统而不是通用系统 即 一种COS一般都只能应用于特定的某种 或者是某些 智能卡 不同卡内的COS一般是不相同的 其次 COS的主要功能是控制智能卡和外界的信息交换 管理智能卡内的存储器并在卡内部完成各种命令的处理 其中 与外界进行信息交换是COS最基本的要求 CPU卡内部结构 15 单片机微处理器 在COS控制下实现通讯 加解密 判别处理 存放COS 片内操作系统 存放中间结果及卡与读写器之间的信息交换缓存 用户访问的存储区 保存卡信息 密码 密钥 应用文件等 加解密运算的协处理器 IC卡分类 3 根据卡的应用领域不同可划分为 金融卡 也称为银行卡 又可以分为信用卡和现金卡两种 前者用于消费支付时 可按预先设定额度透支资金 后者可作为电子钱包或者电子存折 但不能透支 非金融卡 也称为非银行卡 涉及范围十分广泛 实际包含金融卡之外的所有领域 诸如电信 旅游 教育和公交等等 政府应用卡 现在应用较广泛 比如最近大力推广的社保卡 三 IC卡安全问题 作为电子货币的IC卡 其上记录有大量重要信息 安全性是很重要的 作为IC卡应用系统开发者必须为IC卡系统提供合理有效的安全措施 以保证IC卡及其应用系统的数据安全 影响IC卡及应用系统安全的主要方式有 使用用户丢失或被窃的IC卡 冒充合法用户进入应用系统 获得非法利益 用伪造的或空白卡非法复制数据 进入应用系统 获得非法利益 使用系统外的IC卡读写设备 对合法卡上的数据进行修改 改变操作级别等 在IC卡交易过程中 用正常卡完成身份认证后 中途变换IC卡 从而使卡上存储的数据与系统中不一致 在IC卡读写操作中 对接口设备与IC卡通信时所作交换的信息流进行截听 修改 甚至插入非法信息 以获取非法利益 或破坏系统 IC卡安全保证 常用的安全技术有 常用的物理安全措施有 采用高技术和昂贵的制造工艺 使无法伪造 在制造和发行过程中 一切参数严格保密 制作时在存储器外面加若干保护层 防止分析其中内容 即很难破译 在卡内安装监控程序 以防止处理器或存储器数据总线和地址总线的截听 常用的逻辑安全措施有 报文鉴别技术 数据加密通讯技术等保证IC卡的数据在存储和交易过程中的完整性 有效性和真实性 IC卡合法性确认能够对存储器分区保护 一般将IC卡中存储器的数据分成3个基本区 公开区 工作区和保密区 从而有效地防止对IC卡进行非法读写和修改 技术有身份鉴别 一般是验证PIN 第二部分 PBOC2 0规范介绍 规范简介规范的安全规定规范及应用分析 一 PBOC2 0规范简介 20 PBOC规范2 0标准在原 中国金融集成电路 IC 卡规范v1 0 的基础上进行完善升级而成 PBOC规范2 0标准以EMV2000标准为基础 参照相关银行卡跨国公司的借记 贷记标准制定而成 PBOC规范2 0标准与VIS M CHIP属于同一级别的规范体系 PBOC2 0规范简介 JR T0025 中国金融集成电路 IC 卡规范 由以下13部分组成 第1部分 电子钱包 电子存折卡片规范 第2部分 电子钱包 电子存折应用规范 第3部分 与借记 贷记应用无关的IC卡与终端接口需求 第4部分 借记 贷记应用规范 第5部分 借记 贷记卡片规范 第6部分 借记 贷记终端规范 第7部分 借记 贷记安全规范 第8部分 与应用无关的非接触式规范 第9部分 电子钱包扩展应用指南 第10部分 借记 贷记应用个人化指南 第11部分 非接触式IC卡通讯协议执行规范 第12部分 非接触式IC卡支付规范 第13部分 基于借记 贷记应用的小额支付规范 借贷记应用和原来相比 在业务上区别不大 主要是在安全认证上的规范 政策意见 金融IC卡 二 安全规定 PBOC2 0对安全的规定密钥管理体系PIN脱机认证说明 要实现PBOC2 0中规定的脱机数据认证 需要建立起完善的非对称密钥管理体系 IC卡认证中心体系结构采用2级架构 即根CA和发卡行CA PBOC2 0规范安全体系 24 从PBOC2 0标准IC卡的发卡流程分析了整体的结构 如图所示 整体分为两级体系结构 根CACFCA负责维护和运营 为全国PBOC2 0金融IC卡发卡机构提供PBOC2 0标准的银行IC卡支付系统证书服务 包括根CA公钥证书下发和发卡机构证书签发服务发卡行发卡银行作为具体开展PBOC2 0标准IC卡业务的机构 负责实现发卡银行证书申请 管理及密钥管理等 同时实现IC卡的证书签发 子密钥及发卡数据生成 并写入IC卡中 金融IC卡 25 安全设计 1 为了建立中国金融IC卡安全认证体系 必须首先建立根CA 根CA负责生成和管理根CA证书 签发发卡行CA证书 是中国金融IC卡证书体系的信任根 具有非常重要的地位 2 同时 发卡银行还必须建立发卡行CA 它是根CA的子CA 负责生成发卡行CA的公私钥对 向根CA申请并管理自己的证书 此外 发卡行CA与发卡系统交互 为持卡人签署静态应用数据以进行静态认证 或签发IC卡证书以进行动态认证 同时将自己的公钥证书也写入IC卡 3 为了建立PBOC2 0标准卡受理环境 收单行要负责建立终端管理系统 将IC卡根CA公钥分发到受理终端 POS ATM 并对远程终端进行设备管理 状态监控及信息管理 包括程序 参数下载 4 这样 在PBOC2 0标准卡支付系统中 IC卡存放IC卡证书 或静态数据 根CA公钥标识 和发卡行证书 受理终端存放根CA证书 RID 和根CA公钥标识 在支付过程中 受理终端通过验证IC卡的应用数据或证书进行身份认证 三 规范及应用分析 26 标准的银行IC卡 发行PBOC2 0卡 实现银行卡的磁换芯 确保银行卡的支付安全 多行业应用拓展 IC卡的多应用功能 给银行卡向各行业拓展提供了可能性 PBOC2 0规范 实现了中国银行卡的由磁条卡向IC卡的转换 确保了银行卡的安全 IC卡的多应用的特点 使银行卡拓展到各个行业成为可能 打破了以往行业之间壁垒 银行通过行业合作 实现银行卡的多应用 卡片生命周期 金融IC卡 27 1 传输密钥解禁 向卡片递交传输密钥验证的这个过程 2 卡片初始化即加密 目的是在出厂后的IC卡内生成不可破解的卡系统密钥 以保证卡系统的安全发放机制 3 卡片个人化即建立应用文件并写入持卡人资料 4 这之间涉及到芯片制造商 卡片制造商 发行商 金融IC卡 28 卡管理交易 发卡 预约卡 预制卡 行业应用卡挂失与解挂换卡卡延期与取消延期密码重装 密码解锁销户 注销特色区 注销金融区IC卡新增特色应用 金融IC卡 29 发卡流程 预约卡 金融IC卡 30 发卡流程 预制卡 金融IC卡 31 联机交易 借贷记应用指定帐户圈存非指定帐户圈存现金充值无卡充值 有卡充值查询交易明细批量充值批量补登卡片基本信息查询卡账户信息查询 金融IC卡 32 脱机交易 脱机消费脱机消费数据上送脱机消费数据入帐卡片交易明细查询卡片余额查询 金融IC卡 33 业务管理交易 机构 用户管理权限管理系统应用参数维护卡种信息维护集中账号维护IC卡账号间关系查询IC卡基本信息查询流水信息查询IC卡账户交易明细查询商户及POS管理 查询黑名单管理 账务体系 金融IC卡 金融IC卡 35 会计科目设置 小额账户集中户科目用于核算IC卡充值及圈提业务差错应付款和差错应收款科目用于核算IC卡商户入账时由于账号错或账户状态处于不正常状态导致无法入账和付帐的资金资金清算科目用于核算IC卡跨行交易资金 日终余额体现为零手续费收入科目 在二级科目下新增IC卡发卡行手续费收入和IC卡收单行手续费收入三级科目 用于核算IC卡业务手续费收入重要空白凭证科目用于核算使用的IC卡 收到IC卡时记收入 发卡时记付出 电子钱包电子存折的交易预处理规范 应用的交易预处理对电子存折 电子钱包应用的所有交易类型共有的预处理流程 根据应用选择 进行IC卡有效性检查 如果是电子存折 要输入个人秘密 PIN 和校验PIN 交易预处理流程图如下 圈存交易持卡人将其在银行相应帐户上的资金划转到电子存折或电子钱包中 圈存交易必须在金融终端上联机进行 在用户卡与发卡行进行双向安全认证后 发卡行对帐户的金额进行扣除 用户卡对其余额进行增加 圈存交易的流程如下