【正文】 41 / 42終 端 POSCUPS發(fā) 卡 方聯(lián) 機(jī) 交 易二 次 清 算 平 臺(tái) 聯(lián) 機(jī) 交 易聯(lián) 機(jī) 交 易圈 存 /圈 提 文 件脫 機(jī) 消 費(fèi) 文 件 匯 總 文 件 路 由 、 一 級(jí) 清 算 、 分 發(fā)全 流 水商 戶 商 戶 清 算小額支付賬戶清算流程如下：1。已被脫機(jī)批準(zhǔn)的交易需按常規(guī)方式提交清算。5. 卡使用電子現(xiàn)金余額，以及交易額，來(lái)判斷交易是否可脫機(jī)授權(quán)；6. 脫機(jī)批準(zhǔn)，卡從其電子現(xiàn)金余額中減去本次交易額，并生成一交易證書（TC）密文；7. 日終終端將當(dāng)天所有脫機(jī)交易證書密文及相關(guān)的交易數(shù)據(jù)發(fā)送給收單機(jī)構(gòu)，收單機(jī)構(gòu)將此包含在它向發(fā)卡行提供的清算提交當(dāng)中。1. 持卡人在銀行柜面（以下簡(jiǎn)稱機(jī)具）選擇卡片充值操作；2. IC 卡信息讀??；3. 機(jī)具提示輸入圈存金額； 4. 機(jī)具提示柜員/用戶對(duì)主帳戶進(jìn)行刷卡及輸入密碼；5. 機(jī)具要求卡片產(chǎn)生授權(quán)請(qǐng)求密文（ARQC）并發(fā)送至主機(jī)系統(tǒng)；6. IC 卡業(yè)務(wù)子系統(tǒng)收到卡片圈存交易 ARQC 后，執(zhí)行：? 檢查來(lái)自電子現(xiàn)金卡請(qǐng)求的合法性；? 通過(guò)加密機(jī)檢查包含于請(qǐng)求中的 ARQC 密文和芯片卡數(shù)據(jù)； 40 / 42? 發(fā)送報(bào)文至后臺(tái)主機(jī)，檢查聯(lián)機(jī) PIN；7. 上述檢查均通過(guò)，則后臺(tái)帳務(wù)系統(tǒng)將圈存金額從持卡人主賬戶劃入電子現(xiàn)金賬戶；8. IC 卡業(yè)務(wù)系統(tǒng)產(chǎn)生卡片腳本命令，用于更新芯片電子現(xiàn)金余額；9. 機(jī)具接受發(fā)卡行響應(yīng)后，傳遞腳本給卡片，以調(diào)整其電子現(xiàn)金余額；10. 機(jī)具讀取卡中新的電子現(xiàn)金余額值并向持卡人顯示后，整個(gè)圈存過(guò)程完成。d) 進(jìn)行卡片的印刷、凸字打印等操作。根據(jù)模板整理發(fā)卡數(shù)據(jù)、調(diào)用加密機(jī)接口進(jìn)行密鑰、PIN 的轉(zhuǎn)加密等，形成制卡文件。5. 密鑰管理中心系統(tǒng)解析文件并進(jìn)行 IC 卡證書、靜態(tài)簽名數(shù)據(jù)、IC 卡子密鑰數(shù)據(jù)的生成；6. 密鑰管理中心系統(tǒng)整理所有 IC 卡發(fā)卡數(shù)據(jù)，形成下發(fā)給數(shù)據(jù)準(zhǔn)備系統(tǒng) 38 / 42的 IC 卡發(fā)卡數(shù)據(jù)文件，參見(jiàn)密鑰管理中心系統(tǒng)與數(shù)據(jù)準(zhǔn)備系統(tǒng)接口數(shù)據(jù)。 業(yè)務(wù)流程設(shè)計(jì) 37 / 42 發(fā)卡及卡片個(gè)人化流程 發(fā)卡流程 密鑰管理中心系統(tǒng) 個(gè)人化系統(tǒng) 數(shù)據(jù)準(zhǔn)備系統(tǒng) 業(yè)務(wù)系統(tǒng) 1 . 柜面系統(tǒng)錄入申請(qǐng)用戶信息存儲(chǔ)數(shù)據(jù)庫(kù)3 . 發(fā)卡數(shù)據(jù)文件5 . 文件轉(zhuǎn)換6 . 發(fā)卡數(shù)據(jù)解析7 . 數(shù)據(jù)準(zhǔn)備8 . 制卡文件9 . 制卡文件解析1 0 . 執(zhí)行個(gè)人化操作1 1 . 發(fā)卡完成2 . 日終批處理查詢所有用戶申請(qǐng)循環(huán)4 . 文件解析產(chǎn)生 I C 卡公私鑰 、 公鑰證書 、 I C 卡子密鑰發(fā)卡數(shù)據(jù)文件 ( 含密鑰 、 證書等數(shù)據(jù)項(xiàng) )流程描述：1. 銀行柜面系統(tǒng)受理用戶發(fā)卡申請(qǐng)，錄入用戶信息至數(shù)據(jù)庫(kù)中；2. 發(fā)卡行業(yè)務(wù)系統(tǒng)日終進(jìn)行批處理，統(tǒng)計(jì)當(dāng)天所有的用戶卡申請(qǐng)記錄，產(chǎn)生發(fā)卡數(shù)據(jù)文件；3. 發(fā)卡行發(fā)卡數(shù)據(jù)文件包括發(fā)卡行需要提供的信息，參見(jiàn)業(yè)務(wù)系統(tǒng)與密鑰管理中心系統(tǒng)接口數(shù)據(jù)。基于以上各個(gè)環(huán)節(jié)的連續(xù)性，從而保證卡片的安全性。發(fā)卡行的公鑰又被存放在由 CA 中心的私鑰加密的密鑰證書當(dāng)中，CA 的公鑰由終端通過(guò)密鑰管理中心獲得。只有通過(guò) IC 卡公鑰才能對(duì)卡片密文數(shù)據(jù)進(jìn)行解密。如果所有上述步驟成功，標(biāo)準(zhǔn) DDA 通過(guò)。2)使用動(dòng)態(tài)數(shù)據(jù)元重新計(jì)算哈希。6)在內(nèi)部認(rèn)證命令的響應(yīng)信息中返回簽名的動(dòng)態(tài)應(yīng)用數(shù)據(jù)。4)將哈希包括在簽名的動(dòng)態(tài)應(yīng)用數(shù)據(jù)中。2)連接內(nèi)部認(rèn)證命令中的終端數(shù)據(jù)和在 IC 卡動(dòng)態(tài)數(shù)據(jù)中指定的卡片數(shù)據(jù)。命令中包括了 DDOL 中指定的數(shù)據(jù)。終端用卡片中的實(shí)際數(shù)據(jù)元重新計(jì)算哈希值檢查是否和恢復(fù)的哈希值匹配。步驟 3：恢復(fù) IC 卡公鑰終端使用發(fā)卡行公鑰驗(yàn)證卡片中的 IC 卡公鑰證書并恢復(fù)證書中的 IC 卡公鑰和靜態(tài)數(shù)據(jù)哈希結(jié)果。標(biāo)準(zhǔn) DDA 具體過(guò)程概括描述如下：步驟 1：檢索 CA 公鑰終端使用卡片中的 PKI 和 RID 確定使用哪一個(gè) CA 公鑰。在標(biāo)準(zhǔn) DDA 中，卡片在執(zhí)行卡片行為分析 35 / 42之前，響應(yīng)內(nèi)部認(rèn)證命令時(shí)使用卡片、終端和交易的動(dòng)態(tài)數(shù)據(jù)生成動(dòng)態(tài)簽名。PBOC 支持兩種 DDA 形式：標(biāo)準(zhǔn) DDA 和 CDA。如果所有的 SDA 步驟都成功，SDA 通過(guò)。b)計(jì)算哈希。步驟 2：恢復(fù)發(fā)卡行公鑰終端使用 CA 公鑰驗(yàn)證卡片中的發(fā)卡行證書并恢復(fù)證書中的發(fā)卡行公鑰?？梢杂行Х乐箍ㄆ瑑?nèi)部由發(fā)卡行寫入的靜態(tài)數(shù)據(jù)被篡改。 卡安全策略根據(jù) 規(guī)范，本方案采用雙界面復(fù)合 CPU 卡作為 IC 卡，CPU 卡的安全性已經(jīng)得到業(yè)內(nèi)的廣泛認(rèn)可，再加上對(duì)卡片安全的設(shè)計(jì)要求，完全可以保證應(yīng)用過(guò)程中的安全。IC 卡系統(tǒng)涉及銀行、商戶、持卡用戶多個(gè)不同的層面，涉及圈存、消費(fèi)、結(jié)算、查詢等大量的交易處理，對(duì)系統(tǒng)的安全可靠性要求非常高。這個(gè)發(fā)卡過(guò)程中，私密數(shù)據(jù)不出現(xiàn)明文，保證數(shù)據(jù)的安全。3. 發(fā)卡環(huán)節(jié)進(jìn)行 IC 卡預(yù)個(gè)人化及個(gè)人化操作時(shí)，需要寫入私密數(shù)據(jù)包括UDKs、K ENC、K MAC、K DEK、IC 卡私鑰、個(gè)人 PIN。 私密數(shù)據(jù)安全性設(shè)計(jì)發(fā)卡方的私密數(shù)據(jù)主要包括：? 個(gè)人 PIN? 發(fā)卡行主密鑰 MDK、KMU、發(fā)卡行私鑰這些私密數(shù)據(jù)的安全性設(shè)計(jì)主要包括兩個(gè)方面：1. 產(chǎn)生和存儲(chǔ)? 個(gè)人 PIN 按照規(guī)范使用加密機(jī) PIN 加密密鑰加密后存儲(chǔ)數(shù)據(jù)庫(kù)中；? 發(fā)卡行主密鑰及發(fā)卡行私鑰使用加密機(jī)的本地主密鑰(LMK)加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中；2. 傳遞和使用? 個(gè)人 PIN 數(shù)據(jù)通過(guò) TK 加密；? 發(fā)卡行主密鑰及私鑰只存在發(fā)卡行密鑰管理中心，不下發(fā)到數(shù)據(jù)準(zhǔn)備和個(gè)人化系統(tǒng)；? 私密數(shù)據(jù)使用時(shí)，通過(guò)加密機(jī)進(jìn)行轉(zhuǎn)加密及簽名等運(yùn)算。8. 流向④：發(fā)卡行傳遞卡片個(gè)人化所需的所有密鑰。 密鑰分布及操作流程 C A 下 下下 下C A 下 下C A 下 下下 下1 . M D KS ( \ E N C \ M A C )2 . K M C3 . K M U4 . K E K / T K5 . 下 下 下 下 下6 . 下 下 下 下 下 下 下 下7 . I C 下 下 下 下 下8 . I C 下 下 下發(fā) 卡 行個(gè) 人 化廠 商C A 認(rèn) 證中 心1 . U D KS ( \ E N C \ M A C )2 . K M U3 . K E K / T K4 . 下 下 下 下 下5 . I C 下 下 下 下 下6 . I C 下 下 下I C 卡1 . U D KS ( \ E N C \ M A C )2 . KE N C/ KM A C/ KD E K3 . I C 下 下 下4 . I C 下 下 下 下 下5 . 下 下 下 下 下 下 下2 3145I S SI S SP O SI S SI C CI C CI C C密鑰分布如上圖所示。IC 卡公鑰 采用 DDA 認(rèn)證方式的卡片需要此密鑰，由發(fā)卡行私鑰簽發(fā)形成 IC 卡公鑰證書存儲(chǔ)在 IC 卡。發(fā)卡行私鑰 由發(fā)卡行產(chǎn)生，并通過(guò)加密機(jī)密鑰加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫(kù)中。發(fā)卡行公鑰 由發(fā)卡行產(chǎn)生，并經(jīng)過(guò) CA 中心簽發(fā)后形成發(fā)卡行公鑰證書。發(fā)卡行KMC IC 卡廠商使用這個(gè) KMC 生成卡片級(jí)密鑰（KMC ENC、 KMCMAC、 KMCDEK），并將它們寫到卡上發(fā)卡行、卡商KMCENC 用來(lái)創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可創(chuàng)建密文和以CBC 模式加密機(jī)密數(shù)據(jù)發(fā)卡行、卡商KMCDEK 用來(lái)創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可創(chuàng)建命令處理過(guò)程中所使用的 CMAC發(fā)卡行、卡商KMCMAC 用來(lái)創(chuàng)建一個(gè)對(duì)話密鑰，利用該對(duì)話密鑰可在 ECB 模式下加密 DES 密鑰或靈活的加密其它機(jī)密數(shù)據(jù)發(fā)卡行、卡商KMU 只有發(fā)卡行知道的 DES 主密鑰，用于分散密鑰來(lái)產(chǎn)生KENC，KDEK，KMAC 用于片發(fā)行后的再次個(gè)人化發(fā)卡行KEK/TK 密鑰交換密鑰/傳輸密鑰—由數(shù)據(jù)準(zhǔn)備系統(tǒng)和個(gè)人化設(shè)備共享(Key Exchange Key Transport Key)發(fā)卡行、卡商、個(gè)人化廠商主要使用和涉及到的證書及公私鑰對(duì)如下表：表格 2 非對(duì)稱密鑰列表類型 功能 說(shuō)明根 CA 公鑰 由銀聯(lián)金融 IC 卡借貸記認(rèn)證中心下發(fā)的 CA 公鑰，以 PBOC 標(biāo)準(zhǔn)的公鑰證書文件形式下發(fā)。發(fā)卡行MDKENC 主密鑰用來(lái)生成唯一的卡片密鑰，這個(gè)卡片密鑰用于生成進(jìn)行發(fā)卡后的數(shù)據(jù)更新所需要的消息認(rèn)證對(duì)話密鑰。同時(shí)，此種設(shè)計(jì)方式也提高了系統(tǒng)的安全性，所有的密鑰必須有加密機(jī)和發(fā)卡行雙方授權(quán)后才能使用。在加密機(jī)中只存儲(chǔ)本地主密鑰，其他所有對(duì)稱密鑰和非對(duì)稱密鑰均由本地主密鑰加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫(kù)中。體系總體架構(gòu)及三者之間的關(guān)系如圖所示： 下 下 下下 下下 C A下 下中國(guó)金融 I C 卡根 C A 中心發(fā)卡行C A 下 下 下 下 下下 下 下收單機(jī)構(gòu)下 下 下 下 下下 下 下 下下 下 下 下下 C A下 下I C 下 下P O S 下下 C A 下 下下 下 下 下 下 下 對(duì)稱密鑰安全體系整個(gè)安全體系中，對(duì)稱密鑰管理沒(méi)有分為多級(jí)管理機(jī)制，所有密鑰均在發(fā)卡行進(jìn)行產(chǎn)生和管理，即發(fā)卡行產(chǎn)生并存儲(chǔ)主密鑰，按照卡片 PAN 號(hào)分散后下載到卡片中。3. 收單機(jī)構(gòu)：指提供銀行 IC 卡收單服務(wù)的收單行以及代理收單機(jī)構(gòu)如銀聯(lián)商務(wù)等。非對(duì)稱密鑰體系主要涉及以下三個(gè)方面： 30 / 421. 支付系統(tǒng)根 CA 中心：作為非對(duì)稱密鑰體系的信任源，為發(fā)卡行提供證書服務(wù)，就國(guó)際卡而言是指 VISA，MasterCard 等國(guó)際信用卡組織，國(guó)內(nèi)則為中國(guó)銀聯(lián)。 安全體系設(shè)計(jì) 非對(duì)稱密鑰安全體系系統(tǒng)整體安全設(shè)計(jì)符合 借貸記安全規(guī)范。 IC 卡柜面業(yè)務(wù)模塊需要在柜面系統(tǒng)開(kāi)發(fā)的交易包括：? IC 卡數(shù)據(jù)送密鑰中心? IC 卡數(shù)據(jù)送數(shù)據(jù)準(zhǔn)備系統(tǒng)? 查詢 IC 卡數(shù)據(jù)傳送狀態(tài)? 預(yù)約卡批量申請(qǐng)? 預(yù)約卡申請(qǐng)? 預(yù)制卡申請(qǐng)? 批量領(lǐng)卡 29 / 42? 批量領(lǐng)卡查詢? 單張領(lǐng)卡? 預(yù)制卡啟用? IC 卡掛失/解掛? IC 卡可讀卡收回? IC 卡不可讀卡收回? 銷卡? 收費(fèi)? 圈存業(yè)務(wù)—現(xiàn)金充值? 圈存業(yè)務(wù)—指定帳戶充值? 圈存業(yè)務(wù)—非指定帳戶充值? 電子現(xiàn)金賬戶余額查詢? 電子現(xiàn)金帳戶交易明細(xì)查詢? IC 卡聯(lián)機(jī)狀態(tài)查詢? IC 卡無(wú)卡狀態(tài)查詢? 打印 IC 卡統(tǒng)計(jì)表（月報(bào)）等? 前臺(tái)寫卡通知等等。為了加強(qiáng)交易數(shù)據(jù)的準(zhǔn)確性以及防止在交易過(guò)程當(dāng)中異常情況的出現(xiàn)，所有的跟寫卡有關(guān)系的聯(lián)機(jī)交易，在交易結(jié)束后都會(huì)向后臺(tái)系統(tǒng)發(fā)送聯(lián)機(jī)確認(rèn)交易。以上各個(gè)接口調(diào)用成功后，可以根據(jù)客戶的需要對(duì) IC 卡操作的內(nèi)容數(shù)據(jù)進(jìn)行界面回顯。? 調(diào)用釋放 IC 讀卡器與終端設(shè)備的連接的接口。? 調(diào)用發(fā)卡行腳本處理的接口。根據(jù)交易響應(yīng)數(shù)據(jù)的具體內(nèi)容，決定在柜面系統(tǒng)中采用哪種 IC 卡接口進(jìn)行正常接入，接入模式為獨(dú)立接入模式，與原有軟件系統(tǒng)不會(huì)發(fā)生沖突。以上調(diào)用的各個(gè)接口全部是在交易提交之前進(jìn)行的，接口中所使用的數(shù)據(jù)是由當(dāng)前柜面系統(tǒng)提供。? 調(diào)用卡片行為分析的接口。? 調(diào)用終端與卡片安全驗(yàn)證分析的接口。? 調(diào)用應(yīng)用初始化的接口。? 調(diào)用建立 IC 卡與讀卡器的連接的接口。 交易前的數(shù)據(jù)準(zhǔn)備當(dāng)前金融行業(yè)的柜面系統(tǒng)交易模式，基本采用的都是 C/S 架構(gòu)，IC 卡項(xiàng)目中對(duì)此模式進(jìn)行了無(wú)縫接入。?? 釋放 IC 卡與讀卡器的連接。? 發(fā)卡行認(rèn)證（外部認(rèn)證 ARPC） 。? 交易前的數(shù)據(jù)準(zhǔn)備（通過(guò) GAC 產(chǎn)生 ARQC） 。? 終端行為分析。? 驗(yàn)證數(shù)據(jù)獲取。? IC 卡應(yīng)用環(huán)境的初始化。 IC 卡讀寫器柜面接入 IC卡操作流程? 建立 IC 讀卡器與終端設(shè)備的連接。一般情況下，此系統(tǒng)可以在發(fā)卡行現(xiàn)有的柜面系統(tǒng)的基礎(chǔ)上進(jìn)行改造，主要有兩個(gè)方面的改造量：1. 柜面終端接入 IC 卡讀寫器；2. 基于發(fā)卡行現(xiàn)有柜面框架開(kāi)發(fā) IC 卡業(yè)務(wù)模塊。2 設(shè)置卡片其他應(yīng)用主控密鑰3 應(yīng)用發(fā)卡機(jī)構(gòu)替換卡片其他應(yīng)用主控密鑰4 按照該應(yīng)用的個(gè)人化規(guī)范進(jìn)行個(gè)人化處理。 （二）金融應(yīng)用外的其他應(yīng)用個(gè)人化流程可采用二次發(fā)卡，各應(yīng)用按照自己的應(yīng)用個(gè)人化要求和密鑰管理規(guī)范進(jìn)行個(gè)人化處理。3 設(shè)置或替換卡片主控密鑰 26 / 424 安裝其他的卡片密鑰5 安裝應(yīng)用相關(guān)密鑰（應(yīng)用對(duì)稱密鑰組和 PIN）6 安裝（生成）IC 卡公私鑰對(duì)7 寫入應(yīng)用相關(guān)數(shù)據(jù)（含發(fā)卡行簽名及證書等信息） 。 卡片個(gè)人化業(yè)務(wù)流程（一）標(biāo)準(zhǔn)金融應(yīng)用個(gè)人化處理流程1 通過(guò)傳輸密鑰的認(rèn)證，激活卡片。個(gè)人化系統(tǒng)讀取個(gè)人化腳本和卡片配置文件、以及設(shè)備配置文件，根據(jù)卡片配置文件，將個(gè)人化腳本轉(zhuǎn)化成該類型卡對(duì)應(yīng)的卡片命令流，同時(shí)，根據(jù)設(shè)備配置文件，調(diào)用不同的接口函數(shù)，通過(guò)此種類型的發(fā)卡設(shè)備將命令發(fā)送給卡片。4. 數(shù)據(jù)準(zhǔn)備模塊根據(jù)數(shù)據(jù)分析模塊的流程腳本執(zhí)行數(shù)據(jù)準(zhǔn)備工作，完成所有數(shù)據(jù)的采集，然后結(jié)合應(yīng)用模板，形成卡片個(gè)人化腳本。2. 應(yīng)用模版設(shè)計(jì)模塊用戶可以預(yù)先設(shè)計(jì)和生成卡片應(yīng)用模版，設(shè)置各類應(yīng)用的數(shù)據(jù)項(xiàng)參