桂林市一卡通系统工程总体设计方案.docx

1、桂林市一卡通系统工程总体设计方案桂林市“一卡通”系统总体设计方案建 议 书前言根据桂林市“一卡通”系统工程总体设计招标文件中的说明，桂林市“一卡通”系统工程（以下简称为：本系统）是要建设全市通用的卡系统。它涵盖桂林市社会保险、商贸、公交、旅游、公共事业等各种与支付有关的行业。它的目标是实现金融支付和行业信息管理的电子化，建设桂林市的IC卡系统。根据招标要求，我们将向贵方（桂林市“一卡通”系统工程指挥部）提供详细的总体设计实施方案、支持服务承诺以及相关的资格材料。此外，我们也将依据桂林市“一卡通”系统工程总体设计招标文件中的说明，根据我公司在“城市一卡通”、“社会保险”等IC卡应用项目中所积累的

2、丰富经验，向贵方提出本桂林市“一卡通”系统工程总体设计方案建议书，希望能对贵方起到借签作用，在中标后，我将按招标书和合同的要求，在深入调研和对典型地区的通讯等条件进行测试的基础上，制作既满足项目要求的有符合桂林市实际情况的桂林市“一卡通”系统工程总体方案，指导桂林市“一卡通”系统工程的建设。在本总体设计方案中，我们将根据建设桂林市“一卡通”系统的总体要求，以实现桂林市金融支付和行业信息管理的电子化为目标，结合本系统中所涉及到的资金、信息、卡片等信息流，建议性地介绍如何建立IC卡交易支付系统、银行后台IC卡业务管理系统和资金清算结算系统、IC卡密钥管理系统、IC卡发卡系统、数据交换中心以及行业应

3、用信息管理系统，以满足桂林“一卡通”项目中资金流、卡片流和信息流的要求。一、总体方案概述1.1、总体结构 系统的总体结构示意如下：桂林市“一卡通”系统涉及资金、卡和信息，要定义和管理好资金流、卡片流和信息流。在总体设计中要处理好项目公司、银行方、资源方以及持卡者（市民）四者之间的关系。桂林市“一卡通”项目的目标是实现金融支付的电子化和行业信息管理的电子化。“卡”作为金融与信息的载体，持卡人通过持卡消费，才能达到这个目的。1.2、资金流、卡片流和信息流1.2.1、资金流在本系统中，持卡者卡片上的资金分为三个部分：一部分为电子存折、第二部分为电子钱包、第三部分是社保基金帐户。所以在资金流方面分为电

4、子存折资金流、电子钱包资金流和社保资金流三部分。持卡者（市民）在银行开设的电子存折与活期存款帐户相似，用于大额消费。电子存折的使用与目前各大商业银行的信用卡或储蓄卡相似，主要用于特约商户的消费以及与电子钱包的转帐。因此电子存折资金流与目前银行信用卡或储蓄卡的资金流相似，是单笔的资金流，每一笔资金流都有特定的流出帐号和流入帐号，是一种转帐的形式，是记名消费。从基本电子存折圈存到电子钱包也是电子存折资金流，流出方是持卡者（市民）的电子存折帐户，流入方是一卡通项目公司在银行中的帐户。电子存折资金流主要由银行进行管理，主要环节有银行方、持卡者（市民）与特约商户之间。电子钱包资金流可以是一种不记名消费，

5、主要涉及到持卡者（市民）、项目公司和资源方，银行方在这个资金流中可能只是帐户管理的功能。持卡者（市民）在公交公司等资源方消费后，资源方从卡片电子钱包中扣除相应的金额，然后定时将扣除的金额明细或汇总金额传到项目公司，由项目公司进行清算，并将划帐信息传到银行端，由银行端从项目公司的帐户中向各资源方帐户划帐。社保基金帐户资金流是社保行业专门的资金流，它受社保制度约束，它的应用涉及到社保部门、持卡者（市民）和银行。后面在“社保信息管理系统”章节中详细描述。涉及到资金流的系统点主要包括：前台IC卡交易支付系统、银行后台IC卡业务管理系统、交易点、资金清算结算系统等。1.2.2、卡片流在本系统中，卡片做为

6、资金和信息的载体，有着重要的作用。制定切实可行的制卡流程与发卡流程，对提高整个系统的效率起着重要的作用。卡片流包括用户卡卡片流和专用卡片卡片流两个方面。用户卡是指用户持有的，用于电子消费和电子支付的IC卡。专用卡片指用于认证和密钥管理的SAM卡等。卡片流涉及到的环节包括:卡商、项目公司、银行、资源方、发卡点、持卡人（市发）等方面。涉及到卡片流的系统主要包括：IC卡密钥管理系统、IC卡发卡系统、交易点等。在总体方案设计中，要规划好银行方、资源方、项目公司和持卡者四者之间的卡片流程，在详细调研的基础上，做好卡片流的规划和管理。1.2.3、信息流在本系统中，信息流分为两个部分，一部分是与资金流和卡片

7、结合在一起的信息流，包括资金转帐信息等；另一部分是纯粹信息流，主要是各行业内的应用信息。在信息流方面，主要是指纯粹的信息流，这部分主要是一些行业信息，是各行业信息管理系统的基础，所以起始点是各交易点，通过各交易点产生各类应用信息，项目公司数据交换中心负责信息的搜集及向各行业管理中心的分发工作，各行业管理中心对信息进行加工，并产生各种应用。与信息流有关的系统主要包括：网络系统、交易点、行业应用管理系统以及数据交换中心。1.3、各环节作用1.3.1、IC卡是城市居民用来进行消费的IC卡，用它来代替货币，这里称为桂林城市通卡。为了保证能在城市的各个消费行业通用，它格式和使用方式是通用的，不会因新的消

8、费业务而改动。记录用户信息，用卡号标记卡，用身份证号码标记使用者，对于不能用身份证标记的，用一个特殊号码标记，这个号码要作到全国统一，与身份证号码不能交叉。这类号码应考虑无身份证的人、单位用户、外国人员等。1.3.2、售卡、充值点负责向居民售卡，给居民IC卡充值。为了方便居民，售卡、充值点要多，一般可设置在银行网点中。1.3.3、消费终端是居民用卡进行消费的地方。有公共车、出租车、轮船等上的车载机，有公园、公厕、路桥等的收费机，还有各种手持收费POS机。消费终端一方面通过IC卡，向居民收费，一方面记录居民的有关消费信息，供行业部门进行管理。1.2.4、数据采集点对于整个系统来说，是一个中间环节

9、，一方面负责将消费终端的消费交易记录，收集起来上传到管理中心；一方面负责下载管理中心的黑名单等记录，将该黑名单记录下传到消费终端中。数据收集点一般和应用行业管理中心混合，即由行业部门进行管理，只是功能相对独立。如果数据收集点是由行业部门管理，则根据行业部门的级别，相应地分成多个级别，层层传递数据。数据收集点，不管是从消费终端向管理中心上传数据，还是从管理中心向消费终端下载数据，都是原样传递，不做任何的改动处理，保证两边的数据一致。1.2.5、“一卡通”管理中心是整个系统的管理中心，也是系统的最高层次环节，也是系统的数据转换、清算中心。它负责系统的统一规划、统一建设、统一标准、统一管理、统一发卡

10、、统一清算、统一维护、统一监控，隶属于项目公司。管理中心的管理职能如下： 负责本系统的协调管理工作。 是IC卡应用系统的组织者和系统维护与安全的负责机构。 负责制定桂林市城市一卡通规范和有关管理办法。 是IC卡发行总中心。 是IC卡应用系统的清算总中心。 是IC卡储值最终负责机构。 通过有效地对桂林市IC卡应用行业行使统一管理授权，使各应用行业在其应用条件成熟时，能顺利加入系统，并遵从系统的总体结构。 负责出面签定有关商务合同。 负责IC卡应用的舆论宣传工作。管理中心的业务职能如下： 负责落实系统的总体规划，开展方案论证，技术选型，项目建设资金筹措。 负责系统的管理和维护。 负责IC卡的发放及

11、发卡、储值网点的建设和管理。 负责IC卡预收资金的结算。 为系统内各应用行业的交易进行网络管理和安全管理。 对各应用行业终端进行初始化。 该管理中心向下连接各应用行业，根据各应用行业上传的交易数据，按照交易量、费率表，以及其它相关规则为清算中心（或银行）提供应用行业的清算结果。 为广大持卡人及应用行业提供一卡多用的相关服务，为发生的有关交易纠纷提供仲裁依据。 为接入到管理中心的各IC卡应用行业的子系统提供接入原则和接入标准。 为IC卡应用提供技术培训。1.3.6、银行方是系统资金的管理机构，一方面负责汇集售卡、充值资金，一方面负责根据管理中心的资金划拨通知单将资金划拨到各个应用行业指定的帐户上

12、，实现卡的交易。1.3.7、应用行业管理中心 是应用行业的管理部门，全面管理本行业与系统有关的事务。它的职能有： 负责规划本行业的应用规模，制定消费标准。 提交有关文件和资料，向IC管理中心申请加入城市一卡通系统。 配合IC卡管理中心，采购设备，并对采购的设备进行安装、调试。 配合IC卡管理中心，制作本行业的业务管理软件。 配合IC卡管理中心，培训本行业有关人员。 使用所开发的本行业业务管理软件，从系统提取自己的业务消费数据，进行管理、查询、统计等。二、IC卡解决方案桂林市“一卡通”系统的核心是利用IC卡作为一种电子货币，来代替现金作为市民日常消费的支付手段，所以IC卡的选性问题则成为系统建设

13、成功的关键。根据桂林市“一卡通”系统工程总体设计招标文件的要求，可知桂林市“一卡通”系统对IC卡的性能有很高的要求：A、高度的安全性，能够实现脱机交易。B、通用性：实现一卡多用。C、灵活性：及有接触式应用的领域，也有非接触式应用的需要。D、可扩展性：为逐步纳入未来的应用行业的留有方便的实现方式。2.1、IC卡概述2.1.1、什么是IC卡IC卡(Integrated Circuit card)，中文名为集成电路卡，是将一个专用的集成电路芯片镶嵌于塑料基片中，封装成卡的形式。IC卡的概念是在70年代初提出来的。1974年法国人罗兰德.莫瑞诺(Roland Moreno)第一次将IC芯片放在卡片中。

14、1976年法国BULL公司首先制造出IC卡产品，并将此技术应用到金融、交通、医疗、身份证等多个行业。截止到90年代初，世界上先后有德国的西门子Siemens、G&D，美国的摩托罗拉Motorola和Atmel，法国的Gemplus和Thomson等相继投入了IC卡芯片的开发生产。2.1.2、IC卡应用功能IC卡的应用功能可归结为最基本的两点： 身份证明：例如用个人身份证卡，组织机构身份证卡，驾驶执照卡，门锁卡，仪器设备使用卡，医疗证卡，员工考勤卡和各种优惠卡以及用于工商的企业服务卡等。 金融卡应用：例如用IC卡作为信用卡，储蓄卡，付款卡，电子钱包，社会保障卡，交通自动交费卡，电子车票，收费卡(

15、水、电、煤气等)。IC卡能在如此广泛的领域应用的前提是：IC卡具有很高的安全可靠性。2.1.3、IC卡芯片种类按所嵌的芯片类型的不同，IC卡可分为三类：1、存储器卡卡内的集成电路是可用电擦除的可编程只读存储器EEPROM，它仅具有数据存储功能，没有数据处理能力。2、逻辑加密卡卡内的集成电路包括加密逻辑电路和可编程只读存储器EEPROM，加密逻辑电路在一定程度上保护着卡和卡中数据的安全。3、CPU卡卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM以及固化在只读存储器ROM中的卡内操作系统COS(Chip Operating System)。CPU卡相当于一台微型

16、计算机，只是没有显示器和键盘，因此CPU卡一般称为智能卡(Smart Card)。CPU卡中数据可分为外部读取和内部处理 (不许外部读取) 部分，以确保卡中数据的安全可靠。有的卡中还固化有 DES和 RSA等密码算法，甚至密码协处理器，在卡中就可以对数据作加密/解密和数字签名/验证运算。从IC卡芯片的分类来看：存储器卡上数据无任何保密性，数据完全公开；逻辑加密卡只是简单的对数据进行读写保护，一旦口令外泄卡上数据也是完全公开；而CPU卡则可对数据进行绝对的保护，设计者通过安全机制可控制数据的保密性，从而完全对数据进行保密。桂林市“一卡通”系统中的城市通卡实际上是一种金融卡，所有的应用的基于城市通

17、卡内的电子钱包和电子存折来展开的，尤其商业金融消费的消费额较大，城市通卡的电子存折要保存大额的资金，所以城市通卡要求绝对的安全性，中国人民银行只有对CPU卡的金融消费规范，而没有对逻辑加密卡制定相应的金融消费规范，就说明了只有CPU卡用于银行金融消费，所以也只有CPU卡才能完全符合“桂林市一卡通系统”的要求。下面就CPU卡着重进行详细介绍。2.1.3、CPU卡2. 1.3.1、CPU卡结构CPU卡结构包括： 微处理器CPU 程序存储器ROM 数据存储器EEPROM 随机存储器RAM 输入/输出接口I/O2.1.3.2、CPU卡特点1、存储容量大：内部有RAM、EEPROM。2、使用方便：体积小

18、而且轻，非常便于携带。3、适应外界环境能力强：CPU卡防磁、防静电，抗干扰能力强。4、使用寿命长：信息可读写十万次。5、保密性强：其本身具有硬件安全策略，且从设计到生产采取了一系列严密的安全措施，设置了多级密码，逐级验证，具有独特的不可复制且防外部侵入的存储区，并且提供了多种数据加密算法，从而有效保证了密码被窃或破译。6、使用简单：智能卡的读写机构比磁卡的读写机构简单，可靠，造价便宜，容易推广，维护简单。7、一卡多用：智能卡的存储容量大，内含微处理器，存储器可以分成若干应用区，便于一卡多用，方便保管。8、网络要求不高，可脱机工作：CPU卡的绝对安全可靠性和大容量的特点使其在应用中对计算机网络的

19、实时性、敏感性要求降低，有利于在网络质量不高的环境中应用。2.1.3.3、CPU卡操作系统就象PC机的操作系统DOS一样，CPU卡有自己的操作系统，通常称为芯片卡操作系统COS(Chip Operating System)。PC机的DOS是开放式的操作系统，而COS则很注重安全，COS通常都有自己的安全体系。COS的安全性能通常是衡量COS的重要技术指标。COS的功能包括：传输管理、文件管理、安全体系、命令解释。COS是用户的应用程序与卡的交互界面；是卡内各硬件部件(RAM、PROM、EEPROM)的总调度师；是卡的安全卫士；是实现各相关国际标准的基础。2. 1.3.4、CPU卡生产流程一张卡

20、从制造出来到销毁的整个过程成为生命周期。IC卡的生命周期一般可分为：1、芯片制造：IC卡厂家通过特定的制造工艺在硅片上整齐地排列上一个个电路。2、模块封装：将许多各种芯片安装在已制造好的有8个触点的印刷电路板上。3、卡片制造：将卡的操作系统等卡片控制系统掩模到模块中。4、卡片封装：将掩模好的模块镶嵌到塑料基片中。5、卡片初始化：设置卡片的基本参数。6、安装发行密钥：将发行单位的密钥写到卡上。7、卡片个人化：建立应用文件并写入持卡人基本资料。8、卡片应用：持卡人用卡完成各种卡的功能。9、卡片销毁：卡片应用一段时期后，应收回并销毁。2.1.3.5、CPU卡的安全性CPU卡从设计和生产环节就有多种措

21、施，从物理上和逻辑上保证卡的安全性。CPU卡的安全性是由CPU卡芯片的安全性、IC卡片的安全性、CPU卡操作系统的安全性以及CPU卡应用系统的安全性等多方面来保证的。A、CPU卡的安全性CPU卡用的芯片的安全性是整个CPU卡安全性的基础。IC卡厂家一般会采取下面的措施来阻止对CPU卡的攻击： 烧断熔丝，使测试状态不能再被激活，以确保只有卡中的程序才能控制芯片的操作。 控制对存储器的访问权限，例如只允许卡内程序修改某区域中的参数。 每个芯片中存有唯一的产品序列号。 卡内晶振和时钟，以保证芯片不被外部时钟控制。 芯片中设置多个探测器，以监视芯片运行状态，一旦状态异常，则锁死芯片。随着技术的发展与进

22、步，还有源源不断的新技术可以用来保护CPU卡芯片，避免其中数据被非法获取以及CPU卡芯片被滥用。B、CPU卡片的安全性前面一节介绍的措施可以保护CPU卡芯片的安全，在CPU卡片的生产和发行过程中，还可以采用下面的措施来保证IC卡片的安全, 防止IC卡被滥用。CPU卡芯片出厂前，芯片中的数据被一个制造商密钥保护起来。只有知道该密钥的IC卡制造商才能读出这些数据，并将芯片封装成完整可用的IC卡。这可防止偷窃到芯片的窃贼伪造IC卡。在卡片中封装入保密逻辑芯片，验证IC卡的操作密钥，控制对卡中EEPROM的访问。当芯片被封装到塑料卡片中形成CPU卡后，IC卡生产厂商可以把预处理数据(如卡序列号、厂商代

23、码等)写入卡中的EEPROM中，并把卡个人化密钥写入读保护存储区，每张卡有一个个人化密钥，用来保护该卡不被非法初始化为伪卡。CPU卡在发行到持卡人之前，需要将卡个人化，即在CPU卡中建立应用系统的结构(创建MF、DF和EF文件), 将持卡人的个人信息写入卡中的保护区里。在个人化过程中，可以设定文件的访问权限。每张卡中可以建立多个DF文件，每个DF文件中定义一套独立的应用，每个应用有不同的口令和不同的安全控制条件。对DF访问的控制条件存入MF中。个人化过程结束后，卡中还可以设置持卡人密码，以保护该卡的安全使用。C、CPU卡操作系统的安全性CPU卡的操作系统是保证整个卡的安全性的一个重要环节。CP

24、U卡操作系统本身在生产芯片的过程中固化到卡内的ROM中，这就保证CPU卡中的操作系统不会被替换掉。操作系统通过下面几方面保证卡中数据的安全：1、卡内文件的读写操作完全按照该卡在个人化时确定的权限进行，有密码 时，需要在卡内验证了密码才能对文件操作。2、控制CPU卡与卡终端间的通信，以避免数据泄密或被篡改。D、CPU卡应用系统的安全性一个应用系统安全与否是取决于其所有环节安全性是否可靠，而不仅仅是CPU卡是否安全可靠。因此在设计应用系统时，应该充分考虑各个环节，制定一个安全协议，既可防止有意识的攻击，又能防止无意识的误用带来的危害。目前在金融领域中，国际上各大集团、大公司已经针对CPU卡制定了一

25、些应用的协议，比如，Europay、MasterCard 和 VISA三大国际组织联合制定了一套EMV规范支付系统用的集成电路卡规范，它详细定义了CPU卡在支付系统中应用的各方面细节，从数据元、文件结构到交易过程。另外，ISO 9992 和 ISO 10202 也定义了使用CPU卡的金融交易系统的报文和安全结构。我们在开发自己的应用系统时，应该参照已有的国际标准，设计完整的安全协议。2.1.3.6、CPU卡的标准化由于当前世界各国经济正在向国际化方向发展，全球化的金融服务系统纷纷建立起来，这就带来了一个卡的互操作性问题。同一张卡，在不同的国家、不同的环境下都要能够使用。要解决这个问题，只有制定

26、一系列国际标准，使CPU卡及其接口设备制造商按照统一的标准，制造统一接口规格的产品，以保证不同国家、不同行业都采用统一的CPU卡软硬件技术规范开发应用系统，这样才能实现不同厂家生产的CPU卡之间的互换性和接口设备的共享。国际标准化组织从1987年开始，相继制定和颁布了CPU卡的国际标准。A、有关CPU卡本身的标准有： ISO 10536：识别卡非接触式的集成电路卡 ISO 7816：识别卡带触点的集成电路卡 ISO7816-1：规定卡的物理特性。卡的物理特性中描述了卡应达到的防护紫外线的能力、X光照射的剂量、卡和触点的机械强度、抗电磁干扰能力等等。 ISO7816-2：规定卡的尺寸和位置。 I

27、SO7816-3：规定卡的电信号和传输协议。传输协议包括两种：同步传输协议和异步传输协议 ISO7816-4：规定卡的行业间交换用命令。包括：在卡与读写间传送的命令和应答信息内容；在卡中的文件、数据结构及访问方法；定义在卡中的文件和数据访问权限及安全结构。B、有关金融领域CPU卡应用的标准有： ISO 9992：金融交易卡集成电路卡与受卡接受设备之间的信息 ISO 14443：识别卡非接触卡规范（距离10cm） ISO 10202：金融交易卡使用集成电路卡的金融交易系统的安全结构 EMV：支付系统的集成电路卡规范和支付系统的集成电路卡终端规范 中国金融集成电路(IC)卡规范：1998年3月中国

28、人民银行等近十家金融单位在采用国际标准和国外先进技术的原则下，以ISO标准和Europay、Mastercard、Visa三大组织研制的EMV96为基础，结合国内CPU卡的应用实际需要，对我国金融CPU卡的基本应用作出了具体规定。ISO和其它组织还有很多标准和规范涉及到CPU卡的应用，可根据需要查阅有关的标准。2.1.4、双界面CPU卡 IC卡按卡片是否与卡片读卡器接触，分为接触式IC卡和非接触式IC卡两类。有时非接触式IC卡又叫射频卡、感应卡。接触式IC卡是当卡的前端模块与读卡基座相接触时，两者互相传递信息，其机具较便宜。非接触式IC卡的信息传递是通过卡内天线与读卡器之间接受和发送信息来进行

29、的，省去了手工插入和拔出的动作。使用非接触式IC卡，使用者仅需进入阅读器的信号辐射范围，信息传递就会自动进行。这种卡也可用于对速度要求较高或插入、拔出不可行的应用环境。从功能上讲，非接触式IC卡完全具有接触式IC卡的所有功能。可以说，非接触式IC卡兼具磁卡、接触式IC卡、条码卡的所有特点，并在安全、可靠性、使用方便等方面克服了接触式IC卡因芯片外露，易受污染及接触不良等问题。非接触卡出现于近年，目前在国际国内已有一些应用，但前一般是逻辑加密卡，其中的典型例子就是飞利浦公司的MIFARE卡。另一类主要是HID卡，该卡只能存储并输出一个序列号，一般要求网络支持，目前主要是用于门禁系统。这两种卡都不

30、是CPU卡。虽然目前有一些应用，但是一些明显的不足阻碍了它们的大规模应用。首先从安全角度看，逻辑加密卡是一种基于简单的认证和加密的卡片，没有完整的安全体系，在脱机使用是容易受到攻击。这就是说卡片内部基于安全因素，只能有小额钱包，不可能有电子存折。这样与银行的清算非常困难，使大规模的应用受到限制。虽然逻辑加密卡的成本较低，但是无法一卡多用，非接触读写设备的成本比接触读写设备的成本高很多，导致平均成本非常高。目前，将非接触式IC卡和接触式IC卡合二为一，称为双界面卡，它兼具接触式IC卡和非接触式IC卡的双重特点。这样可以根据应用环境、特点，灵活地选择卡片的通讯方式，极大地扩展了IC卡应用范围双界面

31、CPU卡的问世，真正使非接触卡，甚至可以说IC卡的应用进入大规模使用阶段。它克服了早期非接触卡的缺点，继承了接触CPU卡的优点，使其具有了更大的工程可操作性。首先双界面CPU卡是真正的CPU卡，接触和非接触部分仅仅是卡片与外部通信的方式不同，接触部分使用电压，非接触部分使用电磁波通信。接触和非接触使用同一CPU管理同一EEPROM，两者的操做完全等效。这样双界面CPU卡继承了CPU卡的高度安全性，通过一系列的安全认证，加密，线路加密，线路保护，使卡片具有了高度安全性。摆脱了早期逻辑加密卡可能被攻击的情况，最大可能的保护了数据信息的安全。其次，双界面CPU卡可以真正实现一卡多用，满足一卡通的要求。由于CPU卡的高度安全性，所以双界面CPU卡支持所有的银行交易，满足了央行对于信用卡的安全要求。这样用户可以与银行联合发卡，既满足了自身的需要，又满足了银行的要求，实现了一卡通。CPU卡的密钥管理体系保证了使用的安全性，使密钥的泄露可能性趋于零，防止严重的泄密发生，既保证了同一卡片的多个应用相互独立，又保证了各应用有效安全的使用。双界面CPU卡具有两种界面，可以充分方便使用者。例如在公共交通方面一般使用非接触部分，在银行可以使用现有接触读写设备，对双界面CPU卡来