【正文】 15 / 424）原則上 COS 應(yīng)硬掩膜在 ROM 中。各項指標(biāo)如下表所示：項目 指標(biāo)脫機交易速度 600 毫秒平均每日圈存處理交易筆數(shù) 5000 筆峰值每日圈存處理交易筆數(shù) 1 萬筆 14 / 42平均每日消費處理交易筆數(shù) 40 萬筆峰值每日消費處理交易筆數(shù) 160 萬筆平均每秒處理交易筆數(shù)（按 8 小時算）15 筆峰值每秒處理交易筆數(shù)（按 8 小時算）60 筆無故障率 % 安全保密需求的描述數(shù)據(jù)的備份與恢復(fù)，口令分級管理，操作員有權(quán)限區(qū)別，重要操作（如掛失、解掛、凍結(jié)、解凍、銷戶等）由主管人員授權(quán)完成。此交易在消費終端上脫機進行，不需提交個人密碼。 掛失卡有效期后IC卡余額轉(zhuǎn)損益專戶IC 卡掛失后，需在 IC 卡業(yè)務(wù)子系統(tǒng)中記錄 IC 卡已掛失，發(fā)卡行系統(tǒng)接收到脫機消費明細后，需檢查卡是否為掛失狀態(tài)，如為掛失，需要登記掛失卡消費明細表，同時繼續(xù)從原電子現(xiàn)金賬戶中繼續(xù)清算。圈存業(yè)務(wù)包括現(xiàn)金圈存、轉(zhuǎn)賬圈存。正常銷卡、掛失銷卡可以在卡收回或掛失的當(dāng)日辦理，損壞銷卡需要檢查是否已到脫機流水上送周期。 卡收回業(yè)務(wù)（小額支付賬戶）網(wǎng)點前臺業(yè)務(wù)處理流程圖： 不可讀卡 可讀卡，聯(lián)動換卡啟用可讀卡收回（到期卡和損壞換卡的一部分）/不可讀卡收回審核客戶提交有效證件操作員審核是否已到賬務(wù)周期，已到則繼續(xù)卡換卡啟用 10 / 42 卡中心業(yè)務(wù)處理流程圖： 成功（可讀卡） 不成功（損壞卡） 30 天后 前臺根據(jù)卡是否可讀寫分別調(diào)用可讀卡收回和不可讀卡收回交易。（三）解掛1. 柜員核對申請書無誤后，啟動“IC 卡掛失/解掛”交易，客戶在申請書上寫清解掛原因并簽名后，相關(guān)柜員根據(jù)系統(tǒng)提示進行授權(quán)成功后在掛失申請書上打印“掛失/解掛回執(zhí)” ，加蓋 “業(yè)務(wù)用公章” 及柜員名章。已掛失卡可以在柜面進行解掛。3． 預(yù)制卡啟用。對于預(yù)約卡，對應(yīng)領(lǐng)卡操作；對于預(yù)制卡，對應(yīng)啟用操作。該交易每天下午執(zhí)行（固定時間段內(nèi)，由 CFCA 確定） ，從 CFCA 取得結(jié)果文件，并產(chǎn)生卡模板數(shù)據(jù)、卡數(shù)據(jù)、磁條數(shù)據(jù)一并發(fā)送到數(shù)據(jù)準(zhǔn)備系統(tǒng)。三、預(yù)制卡申請。旅游娛樂：旅游景點門票、游樂園公園門票、體育場館門票、展覽館會所門票、娛樂設(shè)施、索道、購買紀(jì)念品等。IC卡主要是提供金融支付功能，可以實現(xiàn)如下功能：傳統(tǒng)金融支付領(lǐng)域：商場、大賣場、連鎖店，酒店、賓館，飯店、娛樂會所，訂票等。其中，核心主機提供相關(guān)傳統(tǒng)銀行卡業(yè)務(wù)和帳務(wù)處理功能；柜面系統(tǒng)通過大前置接入；自助終端和 ATM 系統(tǒng)通過卡前置接入；跨行業(yè)務(wù)由省銀聯(lián)中心通過銀聯(lián)前置接入。在一定程度上替代了“現(xiàn)金”的支付功能，對社會經(jīng)濟、金融體系、支付結(jié)算體系產(chǎn)生重要影響。針對目前的市場情況和業(yè)務(wù)發(fā)展趨勢，積極開展金融 IC 卡應(yīng)用推廣項目，將金融 IC 卡產(chǎn)品應(yīng)用到行業(yè)支付領(lǐng)域，必將極大的拓展銀行卡的受理領(lǐng)域，為商業(yè)銀行吸引大量的持卡人，增進銀行卡的活躍率。 柜面系統(tǒng)柜面現(xiàn)有多種讀卡器，但是否支持 指令未測試。繳費：水費、電費、煤氣費、有線電視、網(wǎng)絡(luò)費、數(shù)字電視、小區(qū)物業(yè)等。（一）交易發(fā)起渠道：網(wǎng)點（二）交易流程操作人員輸入客戶信息，內(nèi)容同普通借記卡。 制卡功能描述核心系統(tǒng)每日跑批后，產(chǎn)生制卡數(shù)據(jù)文件，業(yè)務(wù)人員在前臺執(zhí)行導(dǎo)出制卡數(shù)據(jù)文件，然后執(zhí)行以下操作：1． “IC 卡制卡文件導(dǎo)入 IC 卡系統(tǒng)” 。該交易每天下午執(zhí)行完“IC 卡數(shù)據(jù)送數(shù)據(jù)準(zhǔn)備系統(tǒng)（下午做） ”交易后，柜員可以發(fā)起該交易查詢 IC 卡數(shù)據(jù)傳送狀態(tài)。支持兩種不同的處理方式：按照卡號段進行批量領(lǐng)卡以及按照批量領(lǐng)卡文件進行批量領(lǐng)卡處理。 8 / 424． 預(yù)約卡重開。，將掛失申請書一聯(lián)及身份證退還客戶，憑以辦理掛失的后續(xù)處理以及補卡和銷戶手續(xù)。 卡收回業(yè)務(wù)本交易主要用于 IC 卡損壞換卡或銷戶時對 IC 卡的狀態(tài)信息進行相應(yīng)的登記，待主賬戶完成未上送交易處理后，再進行相應(yīng)的業(yè)務(wù)處理。如果為可讀卡，則當(dāng)天可以進行換卡或銷戶；如果為不可讀卡，可以等 30 天后（脫機流水上送完畢）才能進行換卡或銷卡，也可以現(xiàn)場換卡，打印受理憑證，30 天后補登余額。銷卡分為 2 個交易： IC 卡銷戶圈提，IC 卡銷戶，由前臺進行聯(lián)動。轉(zhuǎn)賬圈存：持卡人可以在指定設(shè)備上，從銀行卡的賬戶向 IC 卡的小額支付應(yīng)用圈存。包括查詢卡登記簿、開銷卡登記簿、掛失登記簿、圈存登記簿等。 金融 IC 卡的退卡銀行需要每日將退卡明細發(fā)送到 IC 卡中心。系統(tǒng)安全和網(wǎng)絡(luò)可靠性指標(biāo)如下：? 核心運行機房達到國家A級機房標(biāo)準(zhǔn)；? 網(wǎng)絡(luò)主干線由不同運營商線路備份；? 專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)進行隔離，公共網(wǎng)絡(luò)接入必須安裝防火墻；? 不允許個人密碼PIN以明碼形式在通信線路和計算機設(shè)備上出現(xiàn)；? 配置專用硬件加密設(shè)備；密鑰管理嚴(yán)格執(zhí)行雙人背對背制度，各級密鑰在其具體規(guī)定的時限內(nèi)進行更新和重置。終端需要具備防入侵功能，以保證在正常運行環(huán)境中，接口或設(shè)備本身不會泄露或改變?nèi)魏螖?shù)據(jù)，包括輸入/輸出設(shè)備中的數(shù)據(jù)，存儲在設(shè)備中的數(shù)據(jù)或者正在處理的敏感數(shù)據(jù)。 16 / 42第 2 章 總體設(shè)計方案 概述 轉(zhuǎn)接與清算IC 卡支付信息的轉(zhuǎn)接與清算采用現(xiàn)有銀行卡體系，建在中國銀聯(lián)，負責(zé)處理全市范圍內(nèi)的跨行、跨地區(qū) IC 卡交易。 18 / 42 系統(tǒng)實現(xiàn) 系統(tǒng)邏輯架構(gòu) 密鑰管理中心系統(tǒng)下 下 下 下 下I C 卡業(yè)務(wù)前置系統(tǒng)小額支付賬戶管理系統(tǒng)下 下 下 下 下下 下 下 下 下數(shù)據(jù)準(zhǔn)備系統(tǒng)個人化系統(tǒng)下 下 下 下 下下 下 下 下 下卡片個人化中心發(fā)卡行業(yè)務(wù)系統(tǒng)發(fā)卡行密鑰管理中心下 下 下 下 下 下下 下 下 下 下下 下 下 下建議在本方案中，密鑰管理中心采用 CFCA 托管方式或自建方式來實現(xiàn)；卡片個人化中心采用自建方式。 省卡前置? 負責(zé)銀聯(lián)業(yè)務(wù)接入，本期暫無相關(guān)業(yè)務(wù)，后續(xù)項目中，電子借貸記業(yè)務(wù)需要調(diào)用相關(guān)接口。IC 卡借記帳戶記名計息，關(guān)聯(lián)的電子錢包戶不記名、不計息。需要實現(xiàn)的功能包括：? 脫機消費批量入賬? 脫機消費差錯處理? 日終處理? 對賬功能? 報表功能? 卡片重要空白憑證管理功能 21 / 42 IC卡業(yè)務(wù)子系統(tǒng)IC 卡業(yè)務(wù)子系統(tǒng)負責(zé)接收和處理所有的 IC 卡業(yè)務(wù)，對各類 IC 卡業(yè)務(wù)流程進行控制和預(yù)處理。? 脫機消費批文件處理。主要的日常發(fā)卡行證書申請業(yè)務(wù)操作步驟及流程為： 23 / 421) 運行發(fā)卡行證書及密鑰管理系統(tǒng)軟件；2) 配置發(fā)卡行公私鑰對及證書的參數(shù)，主要包括：? 公鑰模長? 公鑰指數(shù)：包括 65537 和 3 兩種。7) 發(fā)卡行接收公鑰證書輸出文件并導(dǎo)入系統(tǒng)進行驗證并存儲。 個人化系統(tǒng) 卡片個人化系統(tǒng)實現(xiàn)卡片個人化系統(tǒng)輸入數(shù)據(jù)準(zhǔn)備階段生成的個人化腳本，按照其要求控制發(fā)卡設(shè)備，發(fā)送卡片命令，將卡片對應(yīng)的應(yīng)用數(shù)據(jù)安全的寫進卡片中，形成可以使用的卡片，完成個人化操作。1 通過卡片主控密鑰的認(rèn)證，建立相應(yīng)的其他應(yīng)用 DF（如社保應(yīng)用） 。 27 / 42? 應(yīng)用初始化（進行 GPO 處理） 。? 發(fā)卡行腳本處理。? 調(diào)用驗證數(shù)據(jù)獲取的接口。如果交易返回運行對卡片進行操作，則具體的引入模式如下：? 調(diào)用發(fā)卡行認(rèn)證的接口。后臺系統(tǒng)根據(jù)此交易決定上次聯(lián)機主交易是否成功，如果不成功則根據(jù)確認(rèn)交易數(shù)據(jù)進行沖正等后臺業(yè)務(wù)操作。IC 卡認(rèn)證中心體系統(tǒng)結(jié)構(gòu)采用 2 級架構(gòu)，即根 CA 和發(fā)卡行 CA。發(fā)卡行MDKMAC 主密鑰用來生成唯一的卡片密鑰，這個卡片密鑰用于生成對發(fā)卡后更新機密數(shù)據(jù)（脫機 PIN）進行加密的對話密鑰。 32 / 42IC 卡私鑰 采用 DDA 認(rèn)證方式的卡片需要此密鑰，用于 IC 卡與終端進行DDA 認(rèn)證時。這些數(shù)據(jù)的寫入均使用 IC 卡主密鑰 KMC 進行加密后寫入 IC 卡芯片，IC 卡芯片內(nèi)部解密后存儲。具體過程概括描述如下：步驟 1：檢索 CA 公鑰終端使用卡片中的 PKI 和 RID 確定使用哪一個 CA 公鑰。在這兩種方式里，終端驗證卡片中的靜態(tài)數(shù)據(jù)沒有修改，同時驗證一個卡片生成的動態(tài)密文。步驟 4：生成動態(tài)簽名（僅用于標(biāo)準(zhǔn) DDA）終端發(fā)送內(nèi)部認(rèn)證命令請求一個動態(tài)簽名。步驟 5：終端執(zhí)行下列步驟驗證動態(tài)簽名：1)使用 IC 卡公鑰解密動態(tài)簽名恢復(fù)數(shù)據(jù)元哈希值。所以不但公鑰很難人為獲取，私鑰在生成以后存儲在加密機當(dāng)中和卡片當(dāng)中，通過任何手段都不能取得。10. 個人化系統(tǒng)解析制卡文件，獲取發(fā)卡數(shù)據(jù)；11. 個人化系統(tǒng)進行發(fā)卡設(shè)置，包括卡面設(shè)計、凸字等，執(zhí)行發(fā)卡流程，主要包括以下幾步：a) 調(diào)用加密機密鑰計算接口，建立卡片安全通道，獲取卡片權(quán)限；b) 進行卡片預(yù)個人化操作，創(chuàng)建卡片目錄及文件結(jié)構(gòu)，將卡片主密鑰、PIN、卡片公私鑰等數(shù)據(jù)寫入；c) 根據(jù)發(fā)卡數(shù)據(jù)，調(diào)用 StoreData 指令將所有卡片數(shù)據(jù)寫入 IC 卡應(yīng)用中。然而，由于是芯片產(chǎn)品，發(fā)卡行可能收到關(guān)于交易的一些額外信息（比如交易證書） 。 脫機消費1. 持卡人將電子現(xiàn)金卡插入 POS 終端；2. 終端選擇卡小額支付應(yīng)用；3. 終端檢查卡是否真實，通過終端的根 CA 公鑰驗證卡片簽名或者卡片證書是否有效；4. 終端將交易相關(guān)的數(shù)據(jù)，以及其它同交易相關(guān)的環(huán)境數(shù)據(jù)傳送至卡，卡則將其自己的交易相關(guān)數(shù)據(jù)提供給終端。4. 發(fā)卡行發(fā)卡數(shù)據(jù)文件通過手工方式傳遞給密鑰管理中心系統(tǒng)。 36 / 42 卡片防破譯策略卡片在進行個人化階段時，每張卡片都存儲了由密鑰管理中心生成的唯一的 IC 卡私鑰，在進行認(rèn)證時候，通過此私鑰對數(shù)據(jù)進行加密生成密文數(shù)據(jù)。3)用上一步連接的數(shù)據(jù)做哈希。步驟 2：恢復(fù)發(fā)卡行公鑰終端使用 CA 公鑰驗證卡片中的發(fā)卡行證書并恢復(fù)證書中的發(fā)卡行公鑰。c)比較哈希結(jié)果。我們的 IC 卡系統(tǒng)從卡片本身、實際應(yīng)用、讀寫設(shè)備、網(wǎng)絡(luò)傳輸過程、發(fā)卡 34 / 42行、IC 卡中心等各個環(huán)節(jié)進行了嚴(yán)格的安全防范措施，保證整個系統(tǒng)運行高效、安全、可靠。包括：IC 卡私鑰、IC 卡公鑰證書、發(fā)卡行公鑰證書、UDK s、KMU；流向⑤：個人化系統(tǒng)將 IC 卡私鑰、IC 卡公鑰證書、發(fā)卡行公鑰證書、 33 / 42UDKs（UDK\UDK MAC\UDKENC）寫入 IC 卡芯片中；同時個人化系統(tǒng)替換原有的 IC 卡主密鑰 KMC 為 KMU 分散后的密鑰 KENC、K MAC、K DEK。用于發(fā)卡時裝載到 IC 卡中。密鑰的使用和數(shù)據(jù) 31 / 42運算均在密碼機種進行，保證了密鑰的安全性。 規(guī)范中的非對稱密鑰安全體系，由認(rèn)證中心（CA）發(fā)行數(shù)字證書實現(xiàn)安全認(rèn)證。? 交易結(jié)束。? 調(diào)用交易前的數(shù)據(jù)準(zhǔn)備的接口。接入模式是在原有柜面系統(tǒng)軟件中將 IC 卡項目提供的 IC 卡接口進行正常引入，原有的軟件模式保持不變，具體的引入模式如下：? 調(diào)用建立 IC 讀卡器與終端設(shè)備的連接的接口。? 卡片行為分析。本期項目采用現(xiàn)有讀卡器（未測試） ，由項目合作開發(fā)公司提供讀卡器接入模塊，負責(zé)柜面業(yè)務(wù)模塊的開發(fā)，項目合作開發(fā)公司提供相關(guān)的咨詢服務(wù)。2 根據(jù)應(yīng)用要求建立相應(yīng)的文件體系。系統(tǒng)結(jié)構(gòu)及模塊組成如圖所示： 下 下 下 下 下 下個人化系統(tǒng)1 . 下 下 下2 . 下 下 下 下下 下 下 下 下下 下 下 下下 下 下下 下 下 下 下 下 下 下 下( 下 下 下 下 下 下 下 下 下 )應(yīng)用模板管理加密機引擎模塊數(shù)據(jù)解析模塊登錄管理模塊 審計模塊底層框架系統(tǒng)配置模塊 權(quán)限模塊文件轉(zhuǎn)換模塊數(shù)據(jù)準(zhǔn)備模塊下 下 下 下 下數(shù)據(jù)準(zhǔn)備系統(tǒng)主要包括四個核心模塊：1. 文件轉(zhuǎn)換模塊 25 / 42對發(fā)卡行系統(tǒng)的接口模塊，負責(zé)發(fā)卡行提供的發(fā)卡數(shù)據(jù)文件轉(zhuǎn)換成系統(tǒng)內(nèi)部的數(shù)據(jù)格式，并導(dǎo)入數(shù)據(jù)庫中。3) 調(diào)用加密機接口產(chǎn)生發(fā)卡行公私鑰對；4) 根據(jù)《金融 IC 卡借記/貸記應(yīng)用根 CA 公鑰認(rèn)證規(guī)范第 2 部分 技術(shù)規(guī)范》要求，產(chǎn)生發(fā)卡機構(gòu)公鑰輸入文件（） 。系統(tǒng)建設(shè)投入主要包括：1. 發(fā)卡行密鑰管理中心(KMC)系統(tǒng)2. 硬件加密機 22 / 42發(fā)卡行證書及密鑰管理系統(tǒng)是整個試點項目的安全核心系統(tǒng)，主要負責(zé)完成 標(biāo)準(zhǔn)的發(fā)卡行證書的申請、管理、IC 卡應(yīng)用相關(guān)的密鑰（包括應(yīng)用密鑰、卡片個人化交換主密鑰等）管理，同時負責(zé)分發(fā)各類密鑰到卡片制造商、卡片個人化中心及業(yè)務(wù)前置交易加密機等。? 金融 IC 卡柜面類業(yè)務(wù)處理。? 系統(tǒng)管理：主要完成系統(tǒng)配置、業(yè)務(wù)的參數(shù)設(shè)定等。 IC 卡中心業(yè)務(wù)系統(tǒng)? 相關(guān)卡申領(lǐng)、銷卡、掛失、圈存等交易明細文件與 IC 卡中心進行數(shù)據(jù)交換處理。? 負責(zé)柜面系統(tǒng)與 IC 卡業(yè)務(wù)子系統(tǒng)的業(yè)務(wù)信息轉(zhuǎn)發(fā)。整體項目主要包括以下幾個部分：1. 發(fā)卡行系統(tǒng)：銀行建設(shè)范疇2. 卡片個人化中心：銀行建設(shè)范疇3. 密鑰管理中心：銀行建設(shè)范疇4. 銀聯(lián)交換中心銀聯(lián)交換中心系統(tǒng)主要負責(zé)處理金融 IC 卡跨行業(yè)務(wù)的交易轉(zhuǎn)接、資金清算和差錯處理等業(yè)務(wù)。 加密機要求在本方案中，我行需要使用的加密機為聯(lián)機交易中需要的對稱密鑰加