银行一卡通系统.doc

银行一卡通系统技术方案银行一卡通系统技术方案目 录一、银行一卡通系统结构41.1卡41.2卡终端41.2.1 卡终端的组成41.2.2 卡终端的功能41.3发卡中心系统61.3.1 卡的发行61.3.2 卡的管理61.4商户及终端设备管理系统61.4.1 终端的发行61.4.2 终端档案管理61.4.3 商户档案管理61.5交易处理系统7二、卡的功能分类和应用形式82.1卡的功能分类82.2各类卡的生成关系82.3卡片的选择92.3.1顾客卡卡片选择考虑92.3.2 顾客卡卡片的选择92.3.3 管理卡卡片的选择92.3.4传输卡卡片的选择92.4卡的应用形式92.5卡上存储的信息102.5.1 顾客卡上的存储信息102.5.2 管理卡上的存储信息102.5.3 传输卡上的存储信息112.6卡的生命周期11三、银行一卡通系统的安全机制123.1 系统基本安全要求123.1.1共存应用123.1.2 密钥的独立性123.2 密钥和个人密码的管理和存放123.3 安全的报文传送133.3.1 安全报文传送格式133.3.2 报文完整性和验证133.3.3 数据的可靠性133.4 安全的加密算法133.5 应用流程中的安全设计143.6 系统的安全性分析14四、银行一卡通系统的网络结构15五、银行一卡通系统的应用流程175.1 交易预处理流程175.2 圈存交易流程185.3 圈提交易流程195.4 消费交易流程205.5 取现交易流程215.6 缴费流程22六、银行一卡通系统的硬件配置及平台选择236.1 银行主系统硬件配置236.2 储蓄网点硬件配置236.3 商户硬件配置236.4 收费部门硬件配置23一、银行一卡通系统结构1.1卡由银行发行的银行卡，可以实现存款、取款、消费、缴费等功能。1.2卡终端1.2.1 卡终端的组成卡终端是银行、商户、各收费中心用于读写银行卡以实现存款、取款、消费、缴费等功能的工具。具有微处理器、内存、时钟、按键、汉字液晶显示器、密码键盘、打印机、内置IC卡读写器、SAM卡、内置MODEM（可进行联机交易）、不掉电RAM可保存1500笔交易记录和5000张黑名单。应用程序为下载式（近程和远程），可根据需要修改其中应用流程。卡终端分台式终端和手持终端。1.2.2 卡终端的功能根据卡终端的应用领域，在本方案中可分为三类：银行终端、商户终端、收费终端。一般来说，银行终端亦可具备收费终端的功能。1.2.2.1 银行终端的功能管理类功能：l 柜员改密码 ： 操作员修改自己的口令。l 查询流水 ： 查询终端中保存的交易记录。l 锁定 ： 用于柜员暂时离开时对终端的锁定保护，柜员返回时输入锁定时密码即可重新操作。l 数据转出 ： 可通过传输卡或RS232或MODEM将终端中的交易记录传送到银行主机。l 黑名单下载 ： 通过传输卡或RS232将黑名单保存到终端中，以便交易时检查是否黑名单卡。业务类功能：l 取款 ： 完成持卡人本地或异地取款功能。l 圈存 ： 持卡人将其在银行相应帐户上的资金划转到电子存折或电子钱包中。l 圈提 ： 持卡人将电子存折中的部分或全部资金划回到其在银行的相应帐户上。l 余额查询 ： 用于持卡人查询电子存折或电子钱包中的可用额。l 交易查询 ： 持卡人查询卡中记载的最近40笔交易记录。l 口令修改 ： 持卡人修改自己的口令。1.2.2.2 商户终端的功能管理类功能：l 柜员改密码 ： 操作员修改自己的口令。l 查询流水 ： 查询终端中保存的交易记录。l 锁定 ： 用于柜员暂时离开时对终端的锁定保护，柜员返回时输入锁定时密码即可重新操作。l 数据转出 ： 可通过传输卡或RS232或MODEM将终端中的交易记录传送到银行主机。l 黑名单下载 ： 通过传输卡或RS232将黑名单保存到终端中，以便交易时检查是否黑名单卡。业务类功能：l 消费/取款 ： 完成持卡人本地或异地消费扣款/取款功能。l 余额查询 ： 用于持卡人查询电子存折或电子钱包中的可用额。l 交易查询 ： 持卡人查询卡中记载的最近40笔交易记录。l 口令修改 ： 持卡人修改自己的口令。1.2.2.3 收费终端的功能管理类功能：l 柜员改密码 ： 操作员修改自己的口令。l 查询流水 ： 查询终端中保存的交易记录。l 锁定 ： 用于柜员暂时离开时对终端的锁定保护，柜员返回时输入锁定时密码即可重新操作。l 数据转出 ： 可通过传输卡或RS232或MODEM将终端中的交易记录传送到银行主机。l 黑名单下载 ： 通过传输卡或RS232将黑名单保存到终端中，以便交易时检查是否黑名单卡。业务类功能：l 收费扣款 ： 完成持卡人本地或异地收费扣款功能。l 余额查询 ： 用于持卡人查询电子存折或电子钱包中的可用额。l 交易查询 ： 持卡人查询卡中记载的最近40笔交易记录。l 口令修改 ： 持卡人修改自己的口令。1.3发卡中心系统银行一卡通系统中，由银行统一发行各类卡，包括管理卡、传输卡和顾客卡。发卡中心系统主要承担卡的发行和管理。卡的发行包括卡的初始化及个人化；卡的管理包括卡维护和黑名单管理。1.3.1 卡的发行卡的发行包括卡表面图案的设计和印刷、卡中各个文件的建立和数据的填写。例如，根据应用需求和人民银行颁发的中国金融集成电路(IC)卡规范， 卡上要建立的主要文件有密钥文件、持卡人基本信息文件、电子存折文件、电子钱包文件等，这是卡的初始化过程；发卡时，再将持卡人的个人信息填入卡上，完成卡的个人化。1.3.2 卡的管理卡的管理主要包括卡户档案的管理维护、黑名单的管理维护、各种报表的生成打印、卡中数据的查询和更改等。1.4商户及终端设备管理系统银行一卡通系统中，终端设备的管理亦由银行承担。终端设备的管理包括终端的发行、终端档案管理等；商户的管理包括商户档案管理等。1.4.1 终端的发行终端的发行是指对终端的初始化，终端的初始化主要是对SAM卡的初始化，在SAM 卡上建立密钥文件和基本信息文件，密钥文件中存有发卡方主密钥等，基本信息文件中存有由银行统一制定的终端编号和商户编号等信息。1.4.2 终端档案管理终端档案管理主要是对银行所发行的终端的基本数据的维护，包括终端的起用日期、交易情况查询等信息。1.4.3 商户档案管理商户档案管理主要是对商户的基本信息数据的维护。1.5交易处理系统交易处理系统的主要功能有：l 接收核实各储蓄网点、商户和各收费中心通过网络送来的每日的交易流水。l 接收核实各储蓄网点、商户和各收费中心通过传输卡送来的每日的交易流水。l 接收核实各储蓄网点、商户和各收费中心通过卡终端RS232口送来的每日的交易流水。l 查询交易流水。l 打印交易流水。l 送交易流水到储蓄系统或对公系统进行清算。l 清算结果分析打印。二、卡的功能分类和应用形式2.1卡的功能分类银行一卡通系统中所使用的卡按功能主要分为三类：管理卡、传输卡和顾客卡。管理卡主要运用于对系统的运行和设备的使用进行管理；传输卡用于终端与主机的交换数据；顾客卡为银行发行的银行卡。2.2各类卡的生成关系 超级主管卡密钥管理卡 发卡中心主管卡 密钥管理卡 终端设备管理主管卡 交易处理主管卡 发卡中心操作员卡 终端设备管理操作员卡 交易处理操作员卡 顾客卡 终端主管卡 传输卡 终端操作员卡2.3卡片的选择2.3.1顾客卡卡片选择考虑l 能存储持卡人的个人基本信息l 能建立电子存折和电子钱包文件l 能存储10条最近的交易记录l 满足路桥、公交车收费慢速通过的要求（非接触式）l 投资相对较低l 安全机制严格，密钥管理方便l 信息管理灵活综合以上需求，顾客卡可选用同时具有两种接触方式的卡片（接触式和非接触式）。2.3.2 顾客卡卡片的选择l CPU卡l 读写方式满足接触式和非接触式l 读写距离 50CM 以内l 存储容量均为 1KBYTES2.3.3 管理卡卡片的选择l CPU卡l 读写方式为接触式l 存储容量1KBYTES2.3.4传输卡卡片的选择l CPU卡l 读写方式为接触式l 存储容量2K/4KBYTES2.4卡的应用形式卡片存储区分为两部分区域：接触式读写部分和非接触式读写部分。根据 ISO 7816-4 的规定，接触式读写区域内的数据按照文件的形式进行管理和维护，其文件分为两大类：专用文件（DF）类似于目录，含有其下层文件的控制信息，用于分隔卡中不同的应用。卡中最高一层DF文件又称为主文件 (MF)，每张卡中有且只有一个主文件。基本文件（EF）EF是实际存储数据的文件，EF又分为两类，一类是基本工作文件，它存储的数据允许卡外部的设备访问和使用；另一类是内部秘密文件（ISF），文件中的数据只能由IC卡自身的CPU访问和使用，外部无法读出，因此，可在ISF中保存密钥等一些需要保密的管理和控制信息，每个DF下可以有一个ISF文件。根据中国人民银行颁布的中国金融集成电路（IC）卡规范（V1.0）标准规定本系统中顾客卡的文件结构如下：MF(主文件)ISF文件 EF文件DF文件DF文件 DF文件 。 （PSE目录） （Visa专用） （电子存折、电子钱包应用）（其它应用）ISF文件 EF文件 EF文件 EF文件 。(电子存折、电子钱包应用的基本信息） （持卡人信息） （电子存折交易明细）2.5卡上存储的信息2.5.1 顾客卡上的存储信息顾客卡上的存储信息主要有：发卡方标识、应用类型标识、应用版本、应用序列号、应用启用日期、应用有效日期、卡类型标识、本行职工标识、持卡人姓名、持卡人证件号码、持卡人证件类型、电子存折(ED)余额、电子钱包（EP）余额、ED/EP脱机交易序号、ED/EP联机交易序号、透资限额、交易记录等。2.5.2 管理卡上的存储信息管理卡上存储的主要信息有：启用日期、有效日期、管理类别、管理级别、使用记录等。2.5.3 传输卡上的存储信息传输卡上存储的主要信息有：启用日期、有效日期、终端号、商户号、交易记录数、交易记录等。2.6卡的生命周期按照ISO 10202-1标准，IC卡的生命周期分为五个阶段。卡的生产阶段卡片在工厂按照规定的质量标准组织生产。卡的初始化阶段在卡中建立公共数据文件和密钥文件。该过程必须由发卡中心在严格的安全保护措施下完成。卡的发行阶段在卡中建立应用数据文件和写入相应的持卡人信息。卡的使用阶段持卡人用卡来完成存款、取款、消费、缴费等金融交易。卡的作废卡片的作废可能是因为：卡片丢失、卡片损坏、卡片超过有效期（超过卡片允许的可读写次数）。三、银行一卡通系统的安全机制3.1 系统基本安全要求3.1.1共存应用为了独立地管理一张卡上不同应用间的安全问题，每一个应用应该放在一个单独的ADF中。亦即在应用之间应该设计一道“防火墙”以防止跨过应用进行非法访问。另外，每一个应用也不应该与个人化要求和卡中共存的其它应用规则发生冲突。3.1.2 密钥的独立性用于一种特定功能（如：扣款）的加密/解密密钥不能被任何其它功能所使用，包括保存在IC卡中的密钥和用来产生、派生、传输这些密钥的密钥。3.2 密钥和个人密码的管理和存放l 发卡方所使用的密钥有消费主密钥、圈存主密钥、TAC主密钥、PIN解锁主密钥、PIN重装主密钥、应用主控密钥、圈提主密钥、修改（透支限额）主密钥等。这些密钥由超级主管卡授权，产生于随机数，采用DES算法使用一个加密密钥加密后存放在发卡中心的密钥管理卡上，由密钥管理员管理。该加密与解密密钥产生于随机数且存放在发卡中心主管卡中。发卡时，需发卡中心主管卡授权，且密钥管理员输入PIN，才能使用密钥管理卡上的密钥，同时，只有发卡中心主管卡授权的可以发卡的操作员才能发顾客卡。l 终端的SAM卡上所使用的密钥有消费主密钥、PIN解锁主密钥等。这些密钥由超级主管卡授权产生，用DES算法加密后存放在终端设备管理中心的密钥管理卡上，由密钥管理员管理，加密与解密密钥产生于随机数且存放在终端设备管理中心主管卡中。发行终端时，需终端设备管理中心主管卡授权，且密钥管理员输入PIN，才能使用密钥管理卡上的密钥，同时，只有终端设备管理中心主管卡授权的可以发行终端的操作员才能发行终端。l 顾客卡上的密钥和个人密码均存放在各自的ADF下的ISF文件中。按照中国金融集成电路（IC）卡规范，本系统中顾客卡所使用的密钥主要有：消费/取现密钥（DPK） 由发卡方基于ED/EP的应用序列号产生的一个双倍长密钥。用来产生消费/取现交易中使用的过程密钥。圈存密钥（DLK） 由发卡方基于ED/EP的应用序列号产生的一个双倍长密钥。用来产生圈存交易中使用的过程密钥。圈提密钥（DULK） 由发卡方基于ED的应用序列号产生的一个双倍长密钥。用来产生圈提交易中使用的过程密钥。TAC密钥(DTK) 由发卡方基于ED/EP的应用序列号产生的一个双倍长密钥。用来产生消费、取现和圈存交易中使用的TAC。更新密钥(DUK) 由发卡方基于ED的应用序列号产生的一个双倍长密钥。用来产生修改透支限额交易中使用的过程密钥。PIN解锁密钥（DPUK） 由发卡方基于ED/EP的应用序列号产生的一个双字节密钥。用来产生解锁PIN命令的MAC。重装PIN密钥（DRPK） 由发卡方基于应用序列号产生的一个双字节密钥。用来产生重装PIN命令的MAC。应用维护密钥（DAMK） 由发卡方基于应用序列号产生的一个双字节密钥。用来产生应用锁定、应用解锁、卡片锁定和更新二进制命令的MAC。3.3 安全的报文传送3.3.1 安全报文传送格式系统中采用的安全报文传送格式符合ISO 7816-4 和中国金融集成电路(IC)卡规范的规定。3.3.2 报文完整性和验证产生MAC来验证报文的完整性。3.3.3 数据的可靠性为保证命令中明文数据的保密性，将数据加密，使用密文传输数据。3.4 安全的加密算法系统采用DES算法和数字签名算法来保证和实现系统的安全机制。3.5 应用流程中的安全设计l 卡与终端相互认证，防止非法终端或非法卡的入侵。l 取现、消费、缴费时持卡人PIN验证，防止卡被盗用。l 圈存、圈提交易联机进行；使用MAC，由主机验证终端的合法性及由卡验证主机的合法性，防止非法透支。l 每笔交易上送主机，主机验证MAC，防止交易被篡改；验证终端号和商户号的合法性，防止非法终端和非法商户。l 管理卡的使用有效地规定了各主管及操作员的职责与权限。3.6 系统的安全性分析对该系统安全性的考验在于：制造假卡、伪造终端、非法透支、问题交易的仲裁。对该系统安全性的攻击可能来自持卡人、操作员、计算机工程师、系统开发人员，攻击对手的能力可能是专家水平。根据本系统的设计原理，要制造假卡，对手必须同时具备以下条件：l 印卡设备、卡片初始化设备和了解卡的文件结构。l 拥有发卡中心主管卡及其PIN、密钥管理卡及其PIN。根据本系统的设计原理，要伪造终端，对手必须同时具备以下条件：l 终端设备、了解SAM卡的文件结构。l 拥有终端设备管理中心主管卡及其PIN、密钥管理卡及其PIN。根据本系统的设计原理，要非法透支，对手必须同时具备以下条件：l 金融终端、持卡人PIN。l 伪造主机系统并回送圈存交易成功的信息及MAC。通过验证MAC可以仲裁问题交易。四、银行一卡通系统的网络结构 交通管理部门 电话局收费部门 社会保险部门 。 X.25或DDN 银 行X.28/市话网 公交公司 煤气公司 社会保险部门 医院 交通管理部门 商户 储蓄所。系统总体网络结构图对公系统储蓄系统银行一卡通系统 收费终端 收费终端 收费终端 商户终端 商户终端 金融终端 金融终端 金融终端。银行一卡通系统结构图五、银行一卡通系统的应用流程根据中国金融集成电路（IC）卡规范，本系统主要交易流程如下：5.1 交易预处理流程 插入IC卡 应用选择否 IC卡有效性检查 错误处理 是 选择电子存折 选择电子存折或电子钱包 提示输入PIN选择电子钱包 否 校验PIN 交易类型选择 PIN正确 交易类型选择5.2 圈存交易流程 终端发出初始化圈存交易命令 处理初始化圈存交易命令IC卡处理否 验证MAC1主机处理 返回错误条件 是 圈存交易处理终端向卡发出圈存交易命令否 验证MAC2 IC卡处理 返回错误条件 是 圈存交易处理 返回确认 结束