【導(dǎo)讀】金融IC卡發(fā)卡行系統(tǒng)方案

　　

【正文】 系統(tǒng)的基礎(chǔ)上進(jìn)行改造，主要有兩個(gè)方面的改造量： 1. 柜面終端接入 IC 卡讀寫器； 2. 基于發(fā)卡行現(xiàn)有柜面框架開發(fā) IC 卡業(yè)務(wù)模塊。 本期項(xiàng)目采用現(xiàn)有讀卡器（未測(cè)試），由 項(xiàng)目合作開發(fā)公司 提供讀卡器接入模塊，負(fù)責(zé)柜面業(yè)務(wù)模塊的開發(fā)， 項(xiàng)目合作開發(fā)公司 提供相關(guān)的咨詢服務(wù) 。 IC 卡讀寫器柜面接入 IC卡操作流程 ? 建立 IC 讀卡器與終端設(shè)備的連接。 ? 建立 IC 卡與讀卡器的連接。 ? IC 卡應(yīng)用環(huán)境的初始化。 ? 應(yīng)用初始化（進(jìn)行 GPO 處理）。 ? 驗(yàn)證數(shù)據(jù)獲取。 ? 終端與卡片安全驗(yàn)證分析（進(jìn)行 SDA、 DDA、 CDA 等認(rèn)證 ）。 ? 終端行為分析。 金融 IC 卡項(xiàng)目技術(shù)方案 27 ? 卡片行為分析。 ? 交易前的數(shù)據(jù)準(zhǔn)備（通過 GAC 產(chǎn)生 ARQC）。 ? 聯(lián)機(jī)處理。 ? 發(fā)卡行認(rèn)證（外部認(rèn)證 ARPC）。 ? 發(fā)卡行腳本處理。 ? ? 釋放 IC 卡與讀卡器的連接。 ? 釋放 IC 讀卡器與終端設(shè)備的連接。 交易前的數(shù)據(jù)準(zhǔn)備 當(dāng)前金融行業(yè)的 柜面系統(tǒng) 交易模式，基本采用的都是 C/S 架構(gòu)， IC 卡 項(xiàng)目中對(duì)此模式進(jìn)行了無縫接入。接入模式是在原有 柜面系統(tǒng) 軟件中將 IC 卡 項(xiàng)目提供的 IC 卡接口進(jìn)行正常引入，原有的軟件模式保持不變，具體的引入模式如下： ? 調(diào)用建立 IC 讀卡器與終端設(shè)備的連接的接口。 ? 調(diào)用建立 IC 卡與讀卡器的連 接的接口。 ? 調(diào)用 IC 卡應(yīng)用環(huán)境的初始化的接口。 ? 調(diào)用應(yīng)用初始化的接口。 ? 調(diào)用驗(yàn)證數(shù)據(jù)獲取的接口。 ? 調(diào)用終端與卡片安全驗(yàn)證分析的接口。 ? 調(diào)用終端行為分析的接口。 ? 調(diào)用卡片行為分析的接口。 ? 調(diào)用交易前的數(shù)據(jù)準(zhǔn)備的接口。 以上調(diào)用的各個(gè)接口全部是在交易提交之前進(jìn)行的，接口中所使用的數(shù)據(jù)是由當(dāng)前 柜面 系統(tǒng)提供。 交易后的數(shù)據(jù)處理 柜面 系統(tǒng)同步接收到 后臺(tái)系統(tǒng) 返回的交易響應(yīng)數(shù)據(jù)。根據(jù)交易響應(yīng)數(shù)據(jù)的具體內(nèi)容，決定在 柜面 系統(tǒng)中采用 哪 種 IC 卡接口進(jìn)行正常接入，接入模式為獨(dú)立接入模式 ， 與原有軟件系統(tǒng)不會(huì)發(fā)生沖突。如果交易返回運(yùn)行 對(duì)卡片進(jìn)行操作 ，金融 IC 卡項(xiàng)目技術(shù)方案 28 則具體的引入模式如下： ? 調(diào)用發(fā)卡行認(rèn)證的接口。 ? 調(diào)用發(fā)卡行腳本處理的接口。 ? 調(diào)用釋放 IC 卡與讀卡器的連接的接口。 ? 調(diào)用釋放 IC 讀卡器與終端設(shè)備的連接的接口。 ? 交易結(jié)束。 以上各個(gè)接口調(diào)用成功后，可以根據(jù)客戶的需要對(duì) IC 卡操作的內(nèi)容數(shù)據(jù)進(jìn)行界面回顯。 聯(lián)機(jī)交易確認(rèn) 本方案 軟件完全遵循 規(guī)范進(jìn)行設(shè)計(jì)。為了加強(qiáng)交易數(shù)據(jù)的準(zhǔn)確性以及 防止 在交易過程當(dāng)中異常情 況的出現(xiàn)，所有的跟寫卡有關(guān)系的聯(lián)機(jī)交易，在交易結(jié)束后都會(huì)向后臺(tái)系統(tǒng) 發(fā)送聯(lián)機(jī)確認(rèn)交易。 后臺(tái)系統(tǒng) 根據(jù)此交易決定上次聯(lián)機(jī)主交易是否成功，如果 不成功則根據(jù)確認(rèn)交易數(shù)據(jù)進(jìn)行沖正等后臺(tái)業(yè)務(wù)操作。 IC 卡柜面業(yè)務(wù)模塊 需要在柜面系統(tǒng)開發(fā)的交易包括： ? IC 卡數(shù)據(jù)送密鑰中心 ? IC 卡數(shù)據(jù)送數(shù)據(jù)準(zhǔn)備系統(tǒng) ? 查詢 IC 卡數(shù)據(jù)傳送狀態(tài) ? 預(yù)約卡 批量 申請(qǐng) ? 預(yù)約卡申請(qǐng) ? 預(yù)制卡申請(qǐng) ? 批量領(lǐng)卡 ? 批量領(lǐng)卡查詢 ? 單張領(lǐng)卡 ? 預(yù)制卡啟用 ? IC 卡掛失 /解掛 金融 IC 卡項(xiàng)目技術(shù)方案 29 ? IC 卡 可讀卡 收回 ? IC 卡不可讀卡收回 ? 銷卡 ? 收費(fèi) ? 圈存業(yè)務(wù) — 現(xiàn)金充值 ? 圈存業(yè)務(wù) — 指定帳戶充值 ? 圈存業(yè)務(wù) — 非指定帳戶充值 ? 電子現(xiàn)金賬戶余額查詢 ? 電子現(xiàn)金帳戶交易明細(xì)查詢 ? IC 卡 聯(lián)機(jī)狀態(tài) 查詢 ? IC 卡無卡狀態(tài)查詢 ? 打印 IC 卡統(tǒng)計(jì)表（月報(bào)）等 ? 前臺(tái)寫卡通知 等等。 IC卡 中心系統(tǒng) IC 卡業(yè)務(wù)子 系統(tǒng)需要每天 將發(fā)卡、銷卡、掛失、補(bǔ) /換卡、圈存等業(yè)務(wù)明細(xì)發(fā)送給 IC 卡 中心。 安全體系設(shè)計(jì) 非對(duì)稱密鑰安全體系 系統(tǒng)整體安全設(shè)計(jì)符合 借貸記安全規(guī)范。 規(guī)范中的 非對(duì)稱密鑰 安全 體系，由認(rèn)證中心（ CA）發(fā)行數(shù)字證書實(shí)現(xiàn)安全認(rèn)證。非對(duì)稱密鑰體系主要涉及以下三個(gè)方面： 1. 支付系統(tǒng) 根 CA 中心 ： 作為非對(duì)稱密鑰體系的信任源 ， 為發(fā)卡行提供證書服務(wù)， 就國際卡而言是指 VISA， MasterCard 等國際信用卡組織，國內(nèi)則為中國銀聯(lián)。 金融 IC 卡項(xiàng)目技術(shù)方案 30 2. 發(fā)卡行：指發(fā)行符合中國 金融 IC 卡借記貸記應(yīng)用規(guī)范的成員銀行。 3. 收單機(jī)構(gòu)：指提供 銀行 IC 卡收單服務(wù)的收單行以及代理收單機(jī)構(gòu)如銀聯(lián) 商務(wù)等 。 IC 卡認(rèn)證中心體系統(tǒng)結(jié)構(gòu)采用 2 級(jí)架構(gòu)，即根 CA 和發(fā)卡行 CA。體系總體架構(gòu)及三者之間的關(guān)系如圖所示： 數(shù) 數(shù) 數(shù)數(shù) 數(shù)數(shù) C A數(shù) 數(shù)中 國 金 融 I C 卡 根 C A 中 心發(fā) 卡 行C A 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)數(shù) 數(shù) 數(shù)收 單 機(jī) 構(gòu)數(shù) 數(shù) 數(shù) 數(shù) 數(shù)數(shù) 數(shù) 數(shù) 數(shù)數(shù) 數(shù) 數(shù) 數(shù)數(shù) C A數(shù) 數(shù)I C 硬 硬P O S 硬數(shù) C A 數(shù) 數(shù)數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 對(duì)稱密鑰安全體系 整個(gè)安全體系中，對(duì)稱密鑰管理沒有分為多級(jí)管理機(jī)制，所有密鑰均在發(fā)卡行進(jìn)行產(chǎn)生和管理，即發(fā)卡行產(chǎn)生并存儲(chǔ)主密鑰，按照卡片 PAN 號(hào)分散后下載到卡片中。 系統(tǒng)中對(duì)于對(duì)稱密鑰的管理、分發(fā)以及安全管理機(jī)制參考了目前金融行業(yè)主流的 RACAL 加密機(jī)體系。在加密機(jī)中只存儲(chǔ)本地主密鑰，其他所有 對(duì)稱密鑰和非對(duì)稱密鑰均由本地主密鑰加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫中。密鑰的使用和數(shù)據(jù)運(yùn)算均在密碼機(jī)種進(jìn)行，保證了密鑰的安全性。同時(shí)，此種設(shè)計(jì)方式也提高了系統(tǒng)的安全性，所有的密鑰必須有加密機(jī)和發(fā)卡行雙方授權(quán)后才能使用。 金融 IC 卡項(xiàng)目技術(shù)方案 31 密鑰設(shè)計(jì) 密鑰種類 發(fā)卡行系統(tǒng)中主要涉及到的對(duì)稱密鑰如下表： 表格 1 對(duì)稱密鑰列表 類型 功能 約定方 MDK 主密鑰用來生成唯一的卡片密鑰，用于卡片和發(fā)卡行進(jìn)行聯(lián)機(jī)驗(yàn)證。 發(fā)卡行 MDKENC 主密鑰用來生成唯一的卡片密鑰，這個(gè)卡片密鑰用于生成進(jìn)行發(fā) 卡后的數(shù)據(jù)更新所需要的消息認(rèn)證對(duì)話密鑰。 發(fā)卡行 MDKMAC 主密鑰用來生成唯一的卡片密鑰，這個(gè)卡片密鑰用于生成對(duì)發(fā)卡后更新機(jī)密數(shù)據(jù)（脫機(jī) PIN）進(jìn)行加密的對(duì)話密鑰。 發(fā)卡行 KMC IC 卡廠商使用這個(gè) KMC 生成卡片級(jí)密鑰（ KMCENC、 KMCMAC、 KMCDEK），并將它們寫到卡上 發(fā)卡行、卡商 KMCENC 用來創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可創(chuàng)建密文和以 CBC模式加密機(jī)密數(shù)據(jù) 發(fā)卡行、卡商 KMCDEK 用來創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可創(chuàng)建命令處理過程中所使用的 CMAC 發(fā)卡行 、卡商 KMCMAC 用來創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可在 ECB 模式下加密DES 密鑰或靈活的加密其它機(jī)密數(shù)據(jù) 發(fā)卡行、卡商 KMU 只有發(fā) 卡行 知道的 DES 主密鑰， 用于分散密鑰來產(chǎn)生 KENC，KDEK， KMAC 用 于片發(fā)行后的再次個(gè)人化 發(fā)卡行 KEK/TK 密鑰交換 密鑰 /傳輸密鑰 — 由 數(shù)據(jù)準(zhǔn)備系統(tǒng) 和個(gè)人化 設(shè)備 共享(Key Exchange Key Transport Key) 發(fā)卡行、卡商、個(gè)人化廠商 主要使用和涉及到的證書及公私鑰對(duì)如下表： 表格 2 非對(duì) 稱密鑰列表 類型 功能 說明 根 CA 公鑰 由銀聯(lián)金融 IC 卡借貸記認(rèn)證中心下發(fā)的 CA 公鑰，以 PBOC 標(biāo)準(zhǔn)的公鑰證書文件形式下發(fā)。發(fā)卡行用于驗(yàn)證發(fā)卡證書有效性。 發(fā)卡行公鑰 由發(fā)卡行產(chǎn)生，并經(jīng)過 CA 中心簽發(fā)后形成發(fā)卡行公鑰證書。用于發(fā)卡時(shí)裝載到 IC 卡中。 發(fā)卡行私鑰 由發(fā)卡行產(chǎn)生，并通過加密機(jī)密鑰加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫中。用于簽發(fā) IC 卡靜態(tài)數(shù)據(jù)簽名及 IC 卡公鑰證書。 IC 卡公鑰 采用 DDA 認(rèn)證方式的卡片需要此密鑰，由發(fā)卡行私鑰簽發(fā)形成IC 卡公鑰證書存儲(chǔ)在 IC 卡。 IC 卡私鑰 采用 DDA 認(rèn)證方式 的卡片需要此密鑰，用于 IC 卡與終端進(jìn)行DDA 認(rèn)證時(shí)。 金融 IC 卡項(xiàng)目技術(shù)方案 32 密鑰分布及操作流程 C A 數(shù) 數(shù)數(shù) 數(shù)C A 數(shù) 數(shù)C A 數(shù) 數(shù)數(shù) 數(shù)1 . M D KS ( \ E N C \ M A C )2 . K M C3 . K M U4 . K E K / T K5 . 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)6 . 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)7 . I C 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)8 . I C 數(shù) 數(shù) 數(shù)發(fā) 卡 行個(gè) 人 化廠 商C A 認(rèn) 證中 心1 . U D KS ( \ E N C \ M A C )2 . K M U3 . K E K / T K4 . 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)5 . I C 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)6 . I C 數(shù) 數(shù) 數(shù)I C 卡1 . U D KS ( \ E N C \ M A C )2 . KE N C/ KM A C/ KD E K3 . I C 數(shù) 數(shù) 數(shù)4 . I C 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)5 . 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù) 數(shù)2 3145I S SI S SP O SI S SI C CI C CI C C 密鑰分布如上圖所示。密鑰操作及傳遞流向設(shè)計(jì)為： 1. CA 認(rèn)證中心產(chǎn)生并存儲(chǔ)認(rèn)證中心公私鑰對(duì)； 2. 流向①：將認(rèn)證中心公鑰證書下發(fā)到受理 POS 機(jī)中； 3. 發(fā)卡行產(chǎn)生并存儲(chǔ)發(fā)卡行公私鑰對(duì)、 MDKs(MDK\MDKENC\MDKMAC)、 KMU； 4. 發(fā)卡行導(dǎo)入 IC 卡的 KMC 主密鑰、與個(gè)人化廠商約定的 KEK/TK； 5. 流向②：提交發(fā)卡行公鑰及證書申請(qǐng)信息； 6. 流向③：認(rèn)證中心簽發(fā)并下發(fā)發(fā)卡行公鑰證書給發(fā)卡行； 7. 密鑰管理中心系統(tǒng)產(chǎn)生 IC 卡公私鑰對(duì)，并使用 發(fā)卡行私鑰對(duì) IC 卡公鑰進(jìn)行簽名，形成 IC 卡公鑰證書；同時(shí)將 MDKs按照 IC 卡的 PAN 號(hào)分散出卡片子密鑰 UDKs（ UDK\UDKMAC\UDKENC）。 8. 流向④：發(fā)卡行傳遞卡片個(gè)人化所需的所有密鑰。包括： IC 卡私鑰、 IC 卡公鑰證書、發(fā)卡行公鑰證書、 UDKs、 KMU； 流向⑤：個(gè)人化系統(tǒng)將 IC 卡私鑰、 IC 卡公鑰證書、發(fā)卡行公鑰證書、 UDKs（ UDK\UDKMAC\UDKENC）寫入 IC 卡芯片中；同時(shí)個(gè)人化系統(tǒng)替換原有的 IC 卡主密鑰金融 IC 卡項(xiàng)目技術(shù)方案 33 KMC 為 KMU 分散后的密鑰 KENC、 KMAC、 KDEK。 私密數(shù)據(jù)安全性設(shè)計(jì) 發(fā)卡 方的私密數(shù)據(jù)主要包括： ? 個(gè)人 PIN ? 發(fā)卡行主密鑰 MDK、 KMU、發(fā)卡行私鑰 這些私密數(shù)據(jù)的安全性設(shè)計(jì)主要包括兩個(gè)方面： 1. 產(chǎn)生和存儲(chǔ) ? 個(gè)人 PIN 按照規(guī)范使用加密機(jī) PIN 加密密鑰加密后存儲(chǔ)數(shù)據(jù)庫中； ? 發(fā)卡行主密鑰及發(fā)卡行私鑰使用加密機(jī)的本地主密鑰 (LMK)加密后存儲(chǔ)在數(shù)據(jù)庫中； 2. 傳遞和使用 ? 個(gè)人 PIN 數(shù)據(jù)通過 TK 加密； ? 發(fā)卡行主密鑰及私鑰只存在發(fā)卡行密鑰管理中心，不下發(fā)到數(shù)據(jù)準(zhǔn)備和個(gè)人化系統(tǒng)； ? 私密數(shù)據(jù)使用時(shí)，通過加密機(jī)進(jìn)行轉(zhuǎn)加密及簽名等運(yùn)算。所有的密鑰密文只會(huì)在密碼機(jī)中進(jìn)行解密，保證數(shù)據(jù)的安全。 3. 發(fā)卡環(huán)節(jié) 進(jìn) 行 IC 卡預(yù)個(gè)人化及個(gè)人化操作時(shí)，需要寫入私密數(shù)據(jù)包括 UDKs、 KENC、 KMAC、KDEK、 IC 卡私鑰、個(gè)人 PIN。這些數(shù)據(jù)的寫入均使用 IC 卡主密鑰 KMC 進(jìn)行加密后寫入 IC 卡芯片， IC 卡芯片內(nèi)部解密后存儲(chǔ)。這個(gè)發(fā)卡過程中，私密數(shù)據(jù)不出現(xiàn)明文，保證數(shù)據(jù)的安全。 卡片安全 設(shè)計(jì) 安全性是 IC 卡 軟件系統(tǒng)的生命線。 IC 卡 系統(tǒng)涉及銀行、商戶、持卡用戶多個(gè)不同的層面，涉及圈存、消費(fèi)、結(jié)算、查詢等大量的交易處理，對(duì)系統(tǒng)的安全可靠性要求非常高。 我們的 IC 卡 系統(tǒng)從卡片本身、實(shí)際應(yīng)用、讀寫設(shè)備、網(wǎng)絡(luò)傳輸過程、發(fā)卡金融 IC 卡項(xiàng)目技術(shù)方案 34 行、 IC 卡 中心 等各個(gè)環(huán)節(jié)進(jìn)行了嚴(yán)格的安全防范措施，保證整個(gè)系統(tǒng)運(yùn)行高效、安全、可靠。 卡安全策略 根據(jù) 規(guī)范， 本方案 采用雙界面復(fù)合 CPU 卡作為 IC 卡 ， CPU 卡 的 安全性已經(jīng)得到業(yè)內(nèi)的廣泛認(rèn)可， 再加上 對(duì)卡片安全的設(shè)計(jì) 要求 ，完全可以保證應(yīng)用過程中的安全。 新卡數(shù)據(jù)防篡改 卡片在終端進(jìn)行脫機(jī)或聯(lián)機(jī)交易過程中，終端 對(duì) 卡片的靜態(tài)認(rèn)證數(shù)據(jù)進(jìn)行獲取，由終端進(jìn)行 SDA 認(rèn)證?？梢杂行Х乐箍?