IC卡培训文档.docx

IC卡培训文档目录IC卡培训文档11、IC卡31.1基本介绍31.2分类31.3作用41.4优缺点52、PBOC2.0规范52.1概述52.2如何学习PBOC62.3银行系统改造63、数据准备系统73.1概述73.2简要流程73.3业务规则84、IC卡系统84.1概述84.2IC卡分类94.3功能介绍105、SCMS115.1概述115.2功能介绍111、 IC卡1.1 基本介绍IC卡是集成电路卡的英文简称，也被称为智能卡、芯片卡等，是继磁条卡之后的又一种信息存储卡。它最大的特点是芯片容量大，能够存储数字证书，密钥等信息，其工作原理相当于一台微型计算机，能够同时处理多个功能。1.2 分类 按通讯方式 接触式IC卡：通过读写设备的触点与IC卡的触点接触后进行数据的读写。国际标准ISO7816对此类卡的机械、电器特性等进行了规定。非接触式IC卡：与IC卡设备无电路接触，而是通过非接触式的读写技术进行读写。国际标准ISO10536和ISO14443系列阐述了对非接触式IC卡的规定。双界面卡：将接触式IC卡与非接触式IC卡组合到一张卡片中，操作独立，但可以共用CPU和存储空间。 按芯片类型存储卡：卡内的集成电路是电擦除的可编程只读存储器EEPROM，只有数据存储功能，没有数据处理能力。该卡本身不提供硬件加密功能，只能存储通过系统加密的数据，很容易被破解。逻辑加密卡：卡内的集成电路包括加密逻辑电路和可编程只读存储器EEPROM，加密逻辑电路在一定程度上保护卡及卡中数据的安全，但只是低层次的保护，无法防止恶意攻击。CPU卡：CPU卡也称智能卡，卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM、固化的卡内操作系统COS（Chip Operating System）和只读存储器ROM。该卡相当于一台没有显示器和键盘的微型计算机，具备计算和加密能力，十分安全可靠。1.3 作用1、从根本上提高银行卡的安全性。由于以前银行磁条卡技术简单，磁条信息易被复制，使用磁条信息盗录装置复制银行卡磁道信息，通过网上银行等电子渠道窃取持卡人敏感信息，通过针孔摄像机在ATM终端上偷录持卡人密码等事件，以及伪造磁卡条、盗用磁卡信息的案件频繁发生，给持卡人和发卡机构造成巨额损失。世界各地的实践经验表明，在推广使用IC卡后，这类案件就会大幅下降;2、有利于商业银行的业务创新。相比银行磁条卡存储空间小，无运算能力，金融IC卡具备多应用加载平台，可丰富银行卡产品系列，称为商业银行业务创新的重要手段； 3、大力推进金融IC卡标志着银行卡由单一支付功能向综合服务功能转变，大大提升了银行卡在服务社会民生中的地位和作用。由于磁条卡存储信息有限，并且只能单向读取，交易过程中更多使用的是其支付功能。金融IC卡则具有较强的存储与交互能力，不仅能够方便持卡人进行联机和脱机支付，而且能够为持卡人提供电子现金、通用积分、积分兑换、电子优惠券、电子票据、身份认证、行业信息存储等多方面的综合服务。1.4 优缺点IC卡的外形与磁卡相似，它与磁卡的区别在于数据存储的媒体不同。磁卡是通过卡上磁条磁场变化来存储信息的，而IC卡是通过集成电路芯片(EEPROM)来存储数据信息的。因此，与磁卡相比较，IC卡具有以下优点：1、存储容量大。磁卡的存储容量大约在200个字符；IC卡的存储容量根据型号不同，小的几百个字符，大的上百万个字符；2、安全保密性好。IC卡上的信息能够随意读取、修改、擦除，但都需要密码；3、CPU卡具有数据处理能力。在与读卡器进行数据交换时，可对数据进行加密、解密，以确保交换数据的准确可靠；而磁卡则无此功能；4、使用寿命长。缺点： IC卡的缺点是制造成本高。2、 PBOC2.0规范2.1 概述 PBOC是中国人民银行的英文名称的缩写，也就是我们平时所说的央行。PBOC2.0是中国人民银行颁布的第二代金融IC卡规范的简称，利用金融IC卡，能够有效解决目前使用磁条卡时存在的假卡、脱机交易安全等问题。该规范补充完善电子钱包/存折应用；增加了与EMV标准兼容的借/贷记应用；增加非接触式IC卡物理特性标准；增加电子钱包扩展应用指南、借/贷记应用个人化指南等内容。PBOC2.0 规范共分13本， 其从1.0升到2.0 的升级演变如下图：2.2 如何学习PBOC 针对13本规范，由于我们的业务范围在后台处理部分，为了快速掌握PBOC2.0业务规范知识，建议首先看部分 一，二，四，十三。 部分一为电子钱包/电子存折的卡片规范，本部分着重了解APDU命令格式和常用的14个基本APDU命令。 部分二为电子钱包/电子存折应用规范，主要熟悉与EP（Electronic packet）/ED（Electronic Deposit）业务有关的命令和交易的处理流程。 部分四为借/贷记应用规范，主要看升级到2.0后的卡片交易通用交易流程。（重点看Page 9）。 部分十三为基于借/贷记的小额支付规范，熟悉电子现金业务规则。 2.3 银行系统改造 为了尽快发行IC卡，央行规定国内银行必须按照PBOC2.0 的规范推进金融IC卡应用。其中包括对受理环境的改造，自2013年1月1日起，实现境内所有受理银行卡的联网通用终端都能够受理金融IC卡。在小额快速支付环境中布放的联网通用终端应同时具备受理接触式、非接触式金融IC卡的能力。IC卡业务系统的完善，建立IC系统和改造现有系统相结合，使后台终端能够支持IC卡业务的完整流程。根据金融IC卡发展情况，及时补充完善相关规则，扩充系统承载能力，保障转接与清算及时，安全和高效。积极拓展行业应用，尤其是在公共服务领域开展多应用。3、 数据准备系统1.12.13.1 概述数据准备系统主要功能是接收行内系统发来的制卡数据文件，进行一系列处理后，最后生成IC卡制卡文件。数据准备产品主要功能有“安全模块“、”业务的配置与管理“与”数据处理模块“三个模块。 业务的配置与管理主要是对个人化模板的管理，定制各种个人化模板，配置支持PBOC、EMV及其他行业多应用等的制卡需要； 安全模块主要负责从安全平台获取证书及密钥； 数据处理模块主要是负责对制卡请求的数据的处理，生成金融、行业IC卡制卡数据。3.2 简要流程如下：1、 接收行内系统发来的制卡数据文件；2、 向安全管理中心申请发卡行公钥证书、IC卡公钥证书、IC卡私钥、IC卡片密钥、IC卡业务密钥等；3、 套用发卡模板进行业务参数的填充和转换后生成IC卡制卡文件，并将IC卡制卡文件送往个人化发卡系统用于制卡；3.3 业务规则实现IC卡数据准备系统功能，需要统一接收文件与发出文件的格式。配置管理平台主要业务规则： 卡产品：业务人员定制卡产品的属性，卡产品基础信息从主机核心导入。在数据准备平台定制其对应的“金融应用”或“行业应用”。一个卡产品可以选择多个“应用”，当指定好应用后可以为“应用”配置其所包含的模板中各基础域的信息，包括默认值、数据来源、是否加密、DGI标签等。 应用：一个应用只能选定一个模板 模板：业务人员可以通过配置管理平台维护模板，并为模板指定其可以为哪些应用所使用。 子模板：子模板指完成一个具体业务功能的基础域的集合，一个模板可以包含多个子模板。4、 IC卡系统4.1 概述IC卡系统主要负责IC卡电子现金帐户的管理、行业应用的管理、IC卡相关业务的处理和与之相关的清算和对账等。4.2 IC卡分类 按照卡类型：1) 纯电子现金卡：电子现金是一种为方便持卡人小额消费而设计的金融IC卡应用，主要应用在交通、医疗、加油、小额购物等领域。电子现金余额不应超过一个上限。电子现金有以下几点特性：不记名、不挂失、不计息。2) 借记+电子现金：实现基于借记的电子现金功能，具有借记账户和电子现金账户2类账户。借记账户由核心系统维护，电子现金账户由IC卡系统维护。3) 贷记+电子现金：实现基于贷记的电子现金功能，具有贷记账户和电子现金账户2类账户。 按照发卡方式：1) 非预付费卡：在卡片申请过程中，针对不同客户群体，根据卡片预制情况、记名情况和单张批量模式制定多种发卡方式，只有纯电子现金卡存在非记名类型，具有借记功能的卡片均要求采用记名方式。2) 预付费卡：预付费卡为100、200、500、1000等固定面值的纯电子现金卡，不记名，不挂失，发行方式采用预制卡方式，支持单张和批量售卡，卡片不记名、不挂失。4.3 功能介绍IC卡系统主要包括以下的功能： 卡产品管理:卡产品的管理根据参数的属性分为三个层次, 其中有关电子现金业务的参数统称为电子现金业务产品,电子现金业务中包含电子现金账户的参数归为电子现金账户产品,卡产品信息配置完成对卡产品基本参数的管理. 卡片管理卡片管理是对卡片的整个生命周期进行的管理操作，主要包括：制卡申请、开卡、换卡、挂失、销卡等。 电子现金账户管理电子现金账户管理主要是对账户的一些管理保证，主要包括：开户、账户查询、账户状态更改（销户、正常等）等。 小额支付业务小额支付业务功能主要包括：指定账户圈存、非指定账户圈存、自动圈存、预约圈存、现金充值、退货交易、补登划入、卡片信息更新等。 脱机清算脱机清算总体UML状态图： 安全管理以上具体内容可参考ICS2.0需求规格说明书。5、 SCMS5.1 概述Java卡是在卡片上内置了Java虚拟机的一种IC卡，它遵循GP（Global Platform）规范，可以动态实现应用的安装、删除和个人化操作。华腾研发的多应用管理平台，简称SCMS，是基于Java卡的动态加载应用技术原理，实现卡上应用的全生命周期管理。多应用管理平台作为金融IC卡系统和数据准备系统的补充，充分挖掘了IC卡的潜在功能，极大的扩展了金融IC卡的业务范围，为一卡多用、金融应用和行业应用的融合奠定了技术基础。5.2 功能介绍 多应用管理平台主要由应用生命周期管理、应用属性信息管理、应用同步管理、安全域管理、计费管理、系统管理、统计管理等部分组成。1.应用生命周期管理1）应用入库与出库将诸如发卡行、合作商户、第三方应用提供方应用纳入或移出多应用管理平台的应用库。应用的相关固定信息（如AID，版本号，包含的可执行加载文件等）由应用提供商提供，部分应用基本信息也在此初次定义。2）应用审核对已经入库的应用进行人工审核，支持多角度审核。方便发卡方再次进行应用是否可发布的确认。3）应用发布对已经全部审核通过的应用进行发布，指定计费方式。自此开始，用户可以在柜台或自助终端下载该应用（若其他条件允许）。可以选择立即发布或定时发布。4）应用修改对于审核失败的应用，可以使用应用修改功能重新选择应用文件上传，从而可以让应用再次进入待审核状态。5）应用关闭对于已经发布的应用，可以通过此功能将应用的状态由发布调整为未发布。可以选择立即关闭或定时关闭。6）应用删除对于已经过期，没有可利用价值的某个版本的应用，可以通过此功能将其移除多应用管理平台的应用库。由于该操作不可逆，因此删除操作有一定的缓冲期，在缓冲期内删除操作可以撤销。2.应用属性信息管理1）应用版本管理用于查看某个应用的各个历史版本，以及将某个应用的某版本设置为“过期”状态，处于“过期”状态的某版本应用不能发布，只能被查询。2）应用与卡产品绑定关系管理用于指定某卡产品可以访问的应用，可以按应用编号名称选择应用，也可以设置访问应用级别批量选择应用。也可以修改卡产品与应用的绑定关系。3）应用基本信息管理对应用的基本信息进行查询修改，如应用名称，应用发布规则，应用有效期，应用访问级别等。3.应用同步管理1）定制卡个人、批量新增应用在定制卡发卡前，可以根据所定制的卡片类型或客户需要在定制卡上预制应用。由于定制卡制卡过程已经掌握了客户信息，因此预制应用的个人化在预制应用的安装后直接进行。本功能对客户是不可见的。2）预制卡个人、批量新增应用在预制卡发卡前，可以根据所预制的卡片类型预制卡上预制应用。由于预制卡制卡时并不清楚客户信息，因此预制卡可预制应用类型是比较有限的。3）发卡后个人应用新增用户可以至柜台或自助终端使用此功能下载应用到卡片上。4）发卡后个人应用更新用户可以至柜台或自助终端使用此功能更新卡片上已安装的应用。5）发卡后个人应用查询用户可以至柜台或自助终端使用此功能查询卡片上已安装的应用（不一定要求卡片参与联机）。6）发卡后个人应用卸载用户可以至柜台或自助终端使用此功能卸载卡片上已安装的应用，或者后台系统发现卡上某应用已被删除时，可以自动发送卸载指令。7）发卡后个人应用锁定与解锁用户可以至柜台或自助终端使用此功能锁定/解锁卡片上已安装的应用，或者后台系统发现卡上某应用已不再处于发布状态时，可以自动发送锁定指令。8）发卡后个人应用参数修改、个人化用户可以至柜台或自助终端使用此功能选择卡片上已安装的应用进行参数修改或个人化。4.安全域管理1）安全域创建安全域与应用是一一对应的，而安全域是一种具备特殊权限的应用。因此安全域的创建实现机制与应用安装是类似的。2）安全域密钥更新安全域在卡上安装后并不能立即使用，还需要进行安全域的密钥更新操作，初始化安全域的密钥。3）安全域卸载当卡上某个应用被卸载时，假如存在与其关联的补充安全域，且该安全域随着关联应用的卸载已不再有作用，则可以通过本功能将安全域卸载。5.计费管理根据发卡行需要，可以在