桂林市城市一卡通总体设计方案.doc 94页

'桂林市“一卡通”系统总体设计方案前言根据《桂林市“一卡通”系统工程总体设计招标文件》中的说明，桂林市“一卡通”系统工程（以下简称为：本系统）是要建设全市通用的卡系统。它涵盖桂林市社会保险、商贸、公交、旅游、公共事业等各种与支付有关的行业。它的目标是实现金融支付和行业信息管理的电子化，建设桂林市的IC卡系统。根据招标要求，我们将向贵方（桂林市“一卡通”系统工程指挥部）提供详细的总体设计实施方案、支持服务承诺以及相关的资格材料。此外，我们也将依据《桂林市“一卡通”系统工程总体设计招标文件》中的说明，根据我公司在“城市一卡通”、“社会保险”等IC卡应用项目中所积累的丰富经验，向贵方提出本《桂林市“一卡通”第94页共94页 系统工程总体设计方案》建议书，希望能对贵方起到借签作用，在中标后，我将按招标书和合同的要求，在深入调研和对典型地区的通讯等条件进行测试的基础上，制作既满足项目要求的有符合桂林市实际情况的《桂林市“一卡通”系统工程总体方案》，指导桂林市“一卡通”系统工程的建设。在本总体设计方案中，我们将根据建设桂林市“一卡通”系统的总体要求，以实现桂林市金融支付和行业信息管理的电子化为目标，结合本系统中所涉及到的资金、信息、卡片等信息流，建议性地介绍如何建立IC卡交易支付系统、银行后台IC卡业务管理系统和资金清算结算系统、IC卡密钥管理系统、IC卡发卡系统、数据交换中心以及行业应用信息管理系统，以满足桂林“一卡通”项目中资金流、卡片流和信息流的要求。第94页共94页 一、总体方案概述1.1、总体结构系统的总体结构示意如下：第94页共94页 桂林市“一卡通”系统涉及资金、卡和信息，要定义和管理好资金流、卡片流和信息流。在总体设计中要处理好项目公司、银行方、资源方以及持卡者（市民）四者之间的关系。桂林市“一卡通”项目的目标是实现金融支付的电子化和行业信息管理的电子化。“卡”作为金融与信息的载体，持卡人通过持卡消费，才能达到这个目的。1.2、资金流、卡片流和信息流1.2.1、资金流在本系统中，持卡者卡片上的资金分为三个部分：一部分为电子存折、第二部分为电子钱包、第三部分是社保基金帐户。所以在资金流方面分为电子存折资金流、电子钱包资金流和社保资金流三部分。第94页共94页 持卡者（市民）在银行开设的电子存折与活期存款帐户相似，用于大额消费。电子存折的使用与目前各大商业银行的信用卡或储蓄卡相似，主要用于特约商户的消费以及与电子钱包的转帐。因此电子存折资金流与目前银行信用卡或储蓄卡的资金流相似，是单笔的资金流，每一笔资金流都有特定的流出帐号和流入帐号，是一种转帐的形式，是记名消费。从基本电子存折圈存到电子钱包也是电子存折资金流，流出方是持卡者（市民）的电子存折帐户，流入方是一卡通项目公司在银行中的帐户。电子存折资金流主要由银行进行管理，主要环节有银行方、持卡者（市民）与特约商户之间。电子钱包资金流可以是一种不记名消费，主要涉及到持卡者（市民）、项目公司和资源方，银行方在这个资金流中可能只是帐户管理的功能。持卡者（市民）在公交公司等资源方消费后，资源方从卡片电子钱包中扣除相应的金额，然后定时将扣除的金额明细或汇总金额传到项目公司，由项目公司进行清算，并将划帐信息传到银行端，由银行端从项目公司的帐户中向各资源方帐户划帐。社保基金帐户资金流是社保行业专门的资金流，它受社保制度约束，它的应用涉及到社保部门、持卡者（市民）和银行。后面在“社保信息管理系统”章节中详细描述。第94页共94页 涉及到资金流的系统点主要包括：前台IC卡交易支付系统、银行后台IC卡业务管理系统、交易点、资金清算结算系统等。1.2.2、卡片流第94页共94页 在本系统中，卡片做为资金和信息的载体，有着重要的作用。制定切实可行的制卡流程与发卡流程，对提高整个系统的效率起着重要的作用。卡片流包括用户卡卡片流和专用卡片卡片流两个方面。用户卡是指用户持有的，用于电子消费和电子支付的IC卡。专用卡片指用于认证和密钥管理的SAM卡等。卡片流涉及到的环节包括:第94页共94页 卡商、项目公司、银行、资源方、发卡点、持卡人（市发）等方面。涉及到卡片流的系统主要包括：IC卡密钥管理系统、IC卡发卡系统、交易点等。在总体方案设计中，要规划好银行方、资源方、项目公司和持卡者四者之间的卡片流程，在详细调研的基础上，做好卡片流的规划和管理。1.2.3、信息流在本系统中，信息流分为两个部分，一部分是与资金流和卡片结合在一起的信息流，包括资金转帐信息等；另一部分是纯粹信息流，主要是各行业内的应用信息。在信息流方面，主要是指纯粹的信息流，这部分主要是一些行业信息，是各行业信息管理系统的基础，所以起始点是各交易点，通过各交易点产生各类应用信息，项目公司数据交换中心负责信息的搜集及向各行业管理中心的分发工作，各行业管理中心对信息进行加工，并产生各种应用。第94页共94页 与信息流有关的系统主要包括：网络系统、交易点、行业应用管理系统以及数据交换中心。1.3、各环节作用1.3.1、IC卡是城市居民用来进行消费的IC第94页共94页 卡，用它来代替货币，这里称为桂林城市通卡。为了保证能在城市的各个消费行业通用，它格式和使用方式是通用的，不会因新的消费业务而改动。记录用户信息，用卡号标记卡，用身份证号码标记使用者，对于不能用身份证标记的，用一个特殊号码标记，这个号码要作到全国统一，与身份证号码不能交叉。这类号码应考虑无身份证的人、单位用户、外国人员等。1.3.2、售卡、充值点负责向居民售卡，给居民IC卡充值。为了方便居民，售卡、充值点要多，一般可设置在银行网点中。1.3.3、消费终端是居民用卡进行消费的地方。有公共车、出租车、轮船等上的车载机，有公园、公厕、路桥等的收费机，还有各种手持收费POS机。消费终端一方面通过IC卡，向居民收费，一方面记录居民的有关消费信息，供行业部门进行管理。1.2.4、数据采集点对于整个系统来说，是一个中间环节，一方面负责将消费终端的消费交易记录，收集起来上传到管理中心；一方面负责下载管理中心的黑名单等记录，将该黑名单记录下传到消费终端中。数据收集点一般和应用行业管理中心混合，即由行业部门进行管理，只是功能相对独立。第94页共94页 如果数据收集点是由行业部门管理，则根据行业部门的级别，相应地分成多个级别，层层传递数据。数据收集点，不管是从消费终端向管理中心上传数据，还是从管理中心向消费终端下载数据，都是原样传递，不做任何的改动处理，保证两边的数据一致。1.2.5、“一卡通”管理中心是整个系统的管理中心，也是系统的最高层次环节，也是系统的数据转换、清算中心。它负责系统的统一规划、统一建设、统一标准、统一管理、统一发卡、统一清算、统一维护、统一监控，隶属于项目公司。管理中心的管理职能如下：l负责本系统的协调管理工作。l是IC卡应用系统的组织者和系统维护与安全的负责机构。l负责制定桂林市城市一卡通规范和有关管理办法。l是IC卡发行总中心。l是IC卡应用系统的清算总中心。l是IC卡储值最终负责机构。l通过有效地对桂林市IC卡应用行业行使统一管理授权，使各应用行业在其应用条件成熟时，能顺利加入系统，并遵从系统的总体结构。l负责出面签定有关商务合同。第94页共94页 l负责IC卡应用的舆论宣传工作。管理中心的业务职能如下：l负责落实系统的总体规划，开展方案论证，技术选型，项目建设资金筹措。l负责系统的管理和维护。l负责IC卡的发放及发卡、储值网点的建设和管理。l负责IC卡预收资金的结算。l为系统内各应用行业的交易进行网络管理和安全管理。l对各应用行业终端进行初始化。l该管理中心向下连接各应用行业，根据各应用行业上传的交易数据，按照交易量、费率表，以及其它相关规则为清算中心（或银行）提供应用行业的清算结果。l为广大持卡人及应用行业提供一卡多用的相关服务，为发生的有关交易纠纷提供仲裁依据。l为接入到管理中心的各IC卡应用行业的子系统提供接入原则和接入标准。l为IC卡应用提供技术培训。1.3.6、银行方是系统资金的管理机构，一方面负责汇集售卡、充值资金，一方面负责根据管理中心的资金划拨通知单将资金划拨到各个应用行业指定的帐户上，实现卡的交易。第94页共94页 1.3.7、应用行业管理中心是应用行业的管理部门，全面管理本行业与系统有关的事务。它的职能有：l负责规划本行业的应用规模，制定消费标准。l提交有关文件和资料，向IC管理中心申请加入《城市一卡通系统》。l配合IC卡管理中心，采购设备，并对采购的设备进行安装、调试。l配合IC卡管理中心，制作本行业的业务管理软件。l配合IC卡管理中心，培训本行业有关人员。l使用所开发的本行业业务管理软件，从系统提取自己的业务消费数据，进行管理、查询、统计等。第94页共94页 二、IC卡解决方案《桂林市“一卡通”系统》的核心是利用IC卡作为一种电子货币，来代替现金作为市民日常消费的支付手段，所以IC卡的选性问题则成为系统建设成功的关键。根据《桂林市“一卡通”系统工程总体设计招标文件》的要求，可知《桂林市“一卡通”系统》对IC卡的性能有很高的要求：A、高度的安全性，能够实现脱机交易。B、通用性：实现一卡多用。C、灵活性：及有接触式应用的领域，也有非接触式应用的需要。D、可扩展性：为逐步纳入未来的应用行业的留有方便的实现方式。2.1、IC卡概述2.1.1、什么是IC卡IC卡(IntegratedCircuitcard)，中文名为集成电路卡，是将一个专用的集成电路芯片镶嵌于塑料基片中，封装成卡的形式。IC卡的概念是在70年代初提出来的。1974年法国人罗兰德.莫瑞诺(RolandMoreno)第一次将IC芯片放在卡片中。1976年法国BULL公司首先制造出IC卡产品，并将此技术应用到金融、交通、医疗、身份证等多个行业。第94页共94页 截止到90年代初，世界上先后有德国的西门子Siemens、G&D，美国的摩托罗拉Motorola和Atmel，法国的Gemplus和Thomson等相继投入了IC卡芯片的开发生产。2.1.2、IC卡应用功能IC卡的应用功能可归结为最基本的两点：l身份证明：例如用个人身份证卡，组织机构身份证卡，驾驶执照卡，门锁卡，仪器设备使用卡，医疗证卡，员工考勤卡和各种优惠卡以及用于工商的企业服务卡等。l金融卡应用：例如用IC卡作为信用卡，储蓄卡，付款卡，电子钱包，社会保障卡，交通自动交费卡，电子车票，收费卡(水、电、煤气等)。IC卡能在如此广泛的领域应用的前提是：IC卡具有很高的安全可靠性。2.1.3、IC卡芯片种类按所嵌的芯片类型的不同，IC卡可分为三类：1、存储器卡卡内的集成电路是可用电擦除的可编程只读存储器EEPROM，它仅具有数据存储功能，没有数据处理能力。2、逻辑加密卡第94页共94页 卡内的集成电路包括加密逻辑电路和可编程只读存储器EEPROM，加密逻辑电路在一定程度上保护着卡和卡中数据的安全。3、CPU卡卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM以及固化在只读存储器ROM中的卡内操作系统COS(ChipOperatingSystem)。CPU卡相当于一台微型计算机，只是没有显示器和键盘，因此CPU卡一般称为智能卡(SmartCard)。CPU卡中数据可分为外部读取和内部处理(不许外部读取)部分，以确保卡中数据的安全可靠。有的卡中还固化有DES和RSA等密码算法，甚至密码协处理器，在卡中就可以对数据作加密/解密和数字签名/验证运算。从IC卡芯片的分类来看：存储器卡上数据无任何保密性，数据完全公开；逻辑加密卡只是简单的对数据进行读写保护，一旦口令外泄卡上数据也是完全公开；而CPU卡则可对数据进行绝对的保护，设计者通过安全机制可控制数据的保密性，从而完全对数据进行保密。桂林市“一卡通”系统中的城市通卡实际上是一种金融卡，所有的应用的基于城市通卡内的电子钱包和电子存折来展开的，尤其商业金融消费的消费额较大，城市通卡的电子存折要保存大额的资金，所以城市通卡要求绝对的安全性，中国人民银行只有对CPU卡的金融消费规范，而没有对逻辑加密卡制定相应的金融消费规范，就说明了只有CPU卡用于银行金融消费，所以也只有CPU卡才能完全符合“第94页共94页 桂林市一卡通系统”的要求。下面就CPU卡着重进行详细介绍。2.1.3、CPU卡2.1.3.1、CPU卡结构CPU卡结构包括：l微处理器CPUl程序存储器ROMl数据存储器EEPROMl随机存储器RAMl输入/输出接口I/O2.1.3.2、CPU卡特点1、存储容量大：内部有RAM、EEPROM。2、使用方便：体积小而且轻，非常便于携带。3、适应外界环境能力强：CPU卡防磁、防静电，抗干扰能力强。4、使用寿命长：信息可读写十万次。5、保密性强：其本身具有硬件安全策略，且从设计到生产采取了一系列严密的安全措施，设置了多级密码，逐级验证，具有独特的不可复制且防外部侵入的存储区，并且提供了多种数据加密算法，从而有效保证了密码被窃或破译。6、使用简单：智能卡的读写机构比磁卡的读写机构简单，可靠，造价便宜，容易推广，维护简单。第94页共94页 7、一卡多用：智能卡的存储容量大，内含微处理器，存储器可以分成若干应用区，便于一卡多用，方便保管。8、网络要求不高，可脱机工作：CPU卡的绝对安全可靠性和大容量的特点使其在应用中对计算机网络的实时性、敏感性要求降低，有利于在网络质量不高的环境中应用。2.1.3.3、CPU卡操作系统就象PC机的操作系统DOS一样，CPU卡有自己的操作系统，通常称为芯片卡操作系统COS(ChipOperatingSystem)。PC机的DOS是开放式的操作系统，而COS则很注重安全，COS通常都有自己的安全体系。COS的安全性能通常是衡量COS的重要技术指标。COS的功能包括：传输管理、文件管理、安全体系、命令解释。COS是用户的应用程序与卡的交互界面；是卡内各硬件部件(RAM、PROM、EEPROM)的总调度师；是卡的安全卫士；是实现各相关国际标准的基础。2.1.3.4、CPU卡生产流程一张卡从制造出来到销毁的整个过程成为生命周期。IC卡的生命周期一般可分为：1、芯片制造：IC卡厂家通过特定的制造工艺在硅片上整齐地排列上一个个电路。第94页共94页 2、模块封装：将许多各种芯片安装在已制造好的有8个触点的印刷电路板上。3、卡片制造：将卡的操作系统等卡片控制系统掩模到模块中。4、卡片封装：将掩模好的模块镶嵌到塑料基片中。5、卡片初始化：设置卡片的基本参数。6、安装发行密钥：将发行单位的密钥写到卡上。7、卡片个人化：建立应用文件并写入持卡人基本资料。8、卡片应用：持卡人用卡完成各种卡的功能。9、卡片销毁：卡片应用一段时期后，应收回并销毁。2.1.3.5、CPU卡的安全性CPU卡从设计和生产环节就有多种措施，从物理上和逻辑上保证卡的安全性。CPU卡的安全性是由CPU卡芯片的安全性、IC卡片的安全性、CPU卡操作系统的安全性以及CPU卡应用系统的安全性等多方面来保证的。A、CPU卡的安全性CPU卡用的芯片的安全性是整个CPU卡安全性的基础。IC卡厂家一般会采取下面的措施来阻止对CPU卡的攻击：l烧断熔丝，使测试状态不能再被激活，以确保只有卡中的程序才能控制芯片的操作。l控制对存储器的访问权限，例如只允许卡内程序修改某区域中的参数。l每个芯片中存有唯一的产品序列号。第94页共94页 l卡内晶振和时钟，以保证芯片不被外部时钟控制。l芯片中设置多个探测器，以监视芯片运行状态，一旦状态异常，则锁死芯片。随着技术的发展与进步，还有源源不断的新技术可以用来保护CPU卡芯片，避免其中数据被非法获取以及CPU卡芯片被滥用。B、CPU卡片的安全性前面一节介绍的措施可以保护CPU卡芯片的安全，在CPU卡片的生产和发行过程中，还可以采用下面的措施来保证IC卡片的安全,防止IC卡被滥用。CPU卡芯片出厂前，芯片中的数据被一个制造商密钥保护起来。只有知道该密钥的IC卡制造商才能读出这些数据，并将芯片封装成完整可用的IC卡。这可防止偷窃到芯片的窃贼伪造IC卡。在卡片中封装入保密逻辑芯片，验证IC卡的操作密钥，控制对卡中EEPROM的访问。当芯片被封装到塑料卡片中形成CPU卡后，IC卡生产厂商可以把预处理数据(如卡序列号、厂商代码等)写入卡中的EEPROM中，并把卡个人化密钥写入读保护存储区，每张卡有一个个人化密钥，用来保护该卡不被非法初始化为伪卡。CPU卡在发行到持卡人之前，需要将卡个人化，即在CPU卡中建立应用系统的结构(创建MF、DF和EF文件),将持卡人的个人信息写入卡中的保护区里。在个人化过程中，可以设定文件的访问权限。每张卡中可以建立多个DF文件，每个DF文件中定义一套独立的应用，每个应用有不同的口令和不同的安全控制条件。对DF第94页共94页 访问的控制条件存入MF中。个人化过程结束后，卡中还可以设置持卡人密码，以保护该卡的安全使用。C、CPU卡操作系统的安全性CPU卡的操作系统是保证整个卡的安全性的一个重要环节。CPU卡操作系统本身在生产芯片的过程中固化到卡内的ROM中，这就保证CPU卡中的操作系统不会被替换掉。操作系统通过下面几方面保证卡中数据的安全：1、卡内文件的读写操作完全按照该卡在个人化时确定的权限进行，有密码时，需要在卡内验证了密码才能对文件操作。2、控制CPU卡与卡终端间的通信，以避免数据泄密或被篡改。D、CPU卡应用系统的安全性一个应用系统安全与否是取决于其所有环节安全性是否可靠，而不仅仅是CPU卡是否安全可靠。因此在设计应用系统时，应该充分考虑各个环节，制定一个安全协议，既可防止有意识的攻击，又能防止无意识的误用带来的危害。目前在金融领域中，国际上各大集团、大公司已经针对CPU卡制定了一些应用的协议，比如，Europay、MasterCard和VISA三大国际组织联合制定了一套EMV规范－《支付系统用的集成电路卡规范》，它详细定义了CPU卡在支付系统中应用的各方面细节，从数据元、文件结构到交易过程。另外，ISO9992和ISO10202也定义了使用CPU卡的金融交易系统的报文和安全结构。我们在开发自己的应用系统时，应该参照已有的国际标准，设计完整的安全协议。第94页共94页 2.1.3.6、CPU卡的标准化由于当前世界各国经济正在向国际化方向发展，全球化的金融服务系统纷纷建立起来，这就带来了一个卡的互操作性问题。同一张卡，在不同的国家、不同的环境下都要能够使用。要解决这个问题，只有制定一系列国际标准，使CPU卡及其接口设备制造商按照统一的标准，制造统一接口规格的产品，以保证不同国家、不同行业都采用统一的CPU卡软硬件技术规范开发应用系统，这样才能实现不同厂家生产的CPU卡之间的互换性和接口设备的共享。国际标准化组织从1987年开始，相继制定和颁布了CPU卡的国际标准。A、有关CPU卡本身的标准有：lISO10536：识别卡－非接触式的集成电路卡lISO7816：识别卡－带触点的集成电路卡lISO7816-1：规定卡的物理特性。卡的物理特性中描述了卡应达到的防护紫外线的能力、X光照射的剂量、卡和触点的机械强度、抗电磁干扰能力等等。lISO7816-2：规定卡的尺寸和位置。lISO7816-3：规定卡的电信号和传输协议。传输协议包括两种：同步传输协议和异步传输协议lISO7816-4：规定卡的行业间交换用命令。包括：在卡与读写间传送的命令和应答信息内容；在卡中的文件、数据结构及访问方法；定义在卡中的文件和数据访问权限及安全结构。第94页共94页 B、有关金融领域CPU卡应用的标准有：lISO9992：金融交易卡－集成电路卡与受卡接受设备之间的信息lISO14443：识别卡－非接触卡规范（距离10cm）lISO10202：金融交易卡－使用集成电路卡的金融交易系统的安全结构lEMV：支付系统的集成电路卡规范和支付系统的集成电路卡终端规范l中国金融集成电路(IC)卡规范：1998年3月中国人民银行等近十家金融单位在采用国际标准和国外先进技术的原则下，以ISO标准和Europay、Mastercard、Visa三大组织研制的EMV96为基础，结合国内CPU卡的应用实际需要，对我国金融CPU卡的基本应用作出了具体规定。ISO和其它组织还有很多标准和规范涉及到CPU卡的应用，可根据需要查阅有关的标准。2.1.4、双界面CPU卡IC卡按卡片是否与卡片读卡器接触，分为接触式IC卡和非接触式IC卡两类。有时非接触式IC卡又叫射频卡、感应卡。接触式IC卡是当卡的前端模块与读卡基座相接触时，两者互相传递信息，其机具较便宜。第94页共94页 非接触式IC卡的信息传递是通过卡内天线与读卡器之间接受和发送信息来进行的，省去了手工插入和拔出的动作。使用非接触式IC卡，使用者仅需进入阅读器的信号辐射范围，信息传递就会自动进行。这种卡也可用于对速度要求较高或插入、拔出不可行的应用环境。从功能上讲，非接触式IC卡完全具有接触式IC卡的所有功能。可以说，非接触式IC卡兼具磁卡、接触式IC卡、条码卡的所有特点，并在安全、可靠性、使用方便等方面克服了接触式IC卡因芯片外露，易受污染及接触不良等问题。非接触卡出现于近年，目前在国际国内已有一些应用，但前一般是逻辑加密卡，其中的典型例子就是飞利浦公司的MIFARE卡。另一类主要是HID卡，该卡只能存储并输出一个序列号，一般要求网络支持，目前主要是用于门禁系统。这两种卡都不是CPU卡。虽然目前有一些应用，但是一些明显的不足阻碍了它们的大规模应用。首先从安全角度看，逻辑加密卡是一种基于简单的认证和加密的卡片，没有完整的安全体系，在脱机使用是容易受到攻击。这就是说卡片内部基于安全因素，只能有小额钱包，不可能有电子存折。这样与银行的清算非常困难，使大规模的应用受到限制。虽然逻辑加密卡的成本较低，但是无法一卡多用，非接触读写设备的成本比接触读写设备的成本高很多，导致平均成本非常高。目前，将非接触式IC卡和接触式IC卡合二为一，称为双界面卡，它兼具接触式IC卡和非接触式IC卡的双重特点。这样可以根据应用环境、特点，灵活地选择卡片的通讯方式，极大地扩展了IC卡应用范围第94页共94页 双界面CPU卡的问世，真正使非接触卡，甚至可以说IC卡的应用进入大规模使用阶段。它克服了早期非接触卡的缺点，继承了接触CPU卡的优点，使其具有了更大的工程可操作性。首先双界面CPU卡是真正的CPU卡，接触和非接触部分仅仅是卡片与外部通信的方式不同，接触部分使用电压，非接触部分使用电磁波通信。接触和非接触使用同一CPU管理同一EEPROM，两者的操做完全等效。这样双界面CPU卡继承了CPU卡的高度安全性，通过一系列的安全认证，加密，线路加密，线路保护，使卡片具有了高度安全性。摆脱了早期逻辑加密卡可能被攻击的情况，最大可能的保护了数据信息的安全。其次，双界面CPU卡可以真正实现一卡多用，满足一卡通的要求。由于CPU卡的高度安全性，所以双界面CPU卡支持所有的银行交易，满足了央行对于信用卡的安全要求。这样用户可以与银行联合发卡，既满足了自身的需要，又满足了银行的要求，实现了一卡通。CPU卡的密钥管理体系保证了使用的安全性，使密钥的泄露可能性趋于零，防止严重的泄密发生，既保证了同一卡片的多个应用相互独立，又保证了各应用有效安全的使用。双界面CPU卡具有两种界面，可以充分方便使用者。例如在公共交通方面一般使用非接触部分，在银行可以使用现有接触读写设备，对双界面CPU卡来说两者的操作等效，这样有效的保护了对硬件的投资，杜绝了不必要的浪费，使工程的成本有效的降低。第94页共94页 目前的双界面CPU卡既支持接触式界面（依据ISO7816-3标准）数据传输，又支持非接触式界面（依据ISO14443标准）数据传输。ISO14443标准有TYPEA和TYPEB两种。TYPEA标准已经确定，目前市场上的代表产品为飞利浦公司的MIFAREPRO卡。TYPEB标准要在今年十月确定，目前的准TYPEB产品主要是采用OTI技术的三星卡片和MOTOROLA卡片。SIEMENS的双界面CPU卡即将推出。2.2、IC卡选性综合前述，双界面CPU卡是实现本系统最终目标的最优方案，这样也才能全面满足系统建设的需要，虽然卡片的成本较贵，但随着更多行业应用的加入，多个行业分担卡片成本，反而降低了单个行业应用卡片的费用，同时方便了持卡人。关于CPU卡的操作系统，我们推荐我们公司自主版权的操作系统TimeCOS，下面对TimeCOS操作系统以及TimeCOS双界面CPU卡做以下介绍2.2.1、操作系统TimeCOSTimeCOS是德生集团依靠自身的技术力量与经验开发的符合ISO7816标准，具有自身独自的特点，应用于金融、保险、医疗、证件、安全控制、税务、工商、交通运输等多个领域的通用CPU卡操作系统。它并且已经经过中国人民银行测试，完全符合中国金融集成电路技术规范。随着CPU第94页共94页 卡技术的发展和应用需求的多样化，以及更强的安全性，更灵活的使用方便性，及一卡多用功能的要求，我们针对不同的使用环境和技术要求，在通用卡操作系TIMECOSV1.X的基础上结合芯片技术和软件技术的进步，遵循ISO7816、ISO14443、PBOC应用规范、JAVACARD2.0等一系列标准，推出了如下述一系列CPU卡操作系统。A：TimeCOS/PBOC：德生集团依靠自身的技术力量与经验开发的符合ISO7816标准，同时符合《中国金融卡IC卡技术规范》，并且通过了中国人民银行测试。该系统具有自身独自的特点，应用于金融、保险、医疗、证件、安全控制、税务、工商、交通运输等多个领域的通用CPU卡操作系统。B：TimeCOS/PK：该版本是在TimeCOS/PBOC的基础上，结合电子商务的要求，强化了公开钥密码体制的应用，充分利用芯片上的协处理器，能够快速完成RSA算法的签名、认证、加密、解密运算，具有密钥在卡内生成功能，并同时保留了中国金融IC卡技术规范的功能。C：TimeCOS/DI：该版本是在TimeCOS/PBOC的基础上结合最新的双界面卡技术，开发的最新一代支持接触/非接触两种通讯方式的CPU卡操作系统，该操作系统依然遵循中国金融IC卡技术规范，提供了接触/非接触共用环境下使用的条件。D：TimeCOS/Java：这是即将推出的最新一代支持JAVA语言的操作系统，32位RISC处理器，大容量EEPROM存储空间，满足多种应用需求。第94页共94页 E：TimeCOS/PSAM：PSAM卡是CPU卡应用系统中起安全保密作用的核心部件，应用系统利用PSAM卡和用户卡内部保存的密钥进行双向认证，来保障系统的高度安全。目前已应用于城市公共交通一卡通、社保行业、金融电子消费等行业。F：TimeCOS/SIM：是国内唯一获得国际GSM会员资格的卡片生产商，产品已经在若干个省市试发成功。卡片支持STK、电子签名等移动电子商务的新功能。2.2.2、TimeCOS双界面CPU卡2.2.2.1、TimeCOS/DI近几年来国内各大城市纷纷展开以IC卡收费为主导的信息系统建设，其中城市交通一卡通是主要的信息系统。为了向用户提出最先进的IC解决方案，我公司于1999年9月正式推出的一最新的支持接触式和非接触式两种通讯方式的卡操作系统，TimeCOS/DI(TimeCOSForDualInterface--双界面智能卡COS)。它是在TimeCOS/PBOC的基础上，根据城市交通一卡通应用的需要，结合最新的双界面卡技术，集接触式与非接触式接口功能于一个芯片的智能卡操作系统。她遵循ISO7816、ISO14443、中国金融集成电路（IC）卡规范等一系列标准。接触式与非接触式两种通讯方式共享同一个处理器和EEPROM。可支持TypeA、TypeB或TypeA/B的双界面卡。其特点如下：1、支持多种硬件平台。第94页共94页 lSLE66CL：TYPEA和TYPEB兼容的双接口保密控制器系列飞利浦lMifarePro：支持ISO14443TYPEA双接口微处理器l三星KS88C92008：支持ISO14443TYPEB双接口微处理器2、支持标准DES和三重DES算法：可自动根据密钥长度选择DES或三重DES算法。3、支持线路加密、线路保护功能：防止通讯数据被非法窃取或篡改。4、支持一卡多用：允许在一张卡上建立三级目录。5、支持电子钱包/存折功能：支持中国人民银行金融卡电子钱包和电子存折应用。6、支持多种文件类型：支持二进制、定长记录、变长记录、循环和钱包文件类型。7、支持多种通讯协议：接触式支持T＝0/1；非接触支持ISO14443TypeA/TypeB协议。8、支持多种通讯速率：接触式支持9.6K/19.2K/38.4K/76.8Kbps，非接触式支持106Kbps。9、支持多种EEPROM容量选择：可选择8K、16K、32K字节EEPROM空间。10、具有防止突然拔卡功能：交易处理过程中非正常拔出的卡片数据自动恢复。第94页共94页 2.2.2.2、TimeCOS/DI卡技术性能参数技术性能参数微处理器8位保密控制器程序空间ROM20K字节RAM256字节EEPROM8K字节时钟频率接触式操作为1~5MHZ可选，缺省为3.57MHZ非接触模式为13.56MHzEEPROM寿命500,000次擦写时间擦写1/2/4/8/16字节时需5.28/5.31/5.38/5.52/5.8毫秒数据保存时间10年工作电压接触式操作时为2.7~5.5V,缺省为5V工作电流小于10mA省电模式当TimeCOS4.3等待接收命令时处于休眠状态，最大电流100微安温度-25~+70摄氏度通讯速率接触模式下支持9600bps,19200bps,38400bps,76800bps可选,缺省为9600bps非接触模式下为106Kbps通讯协议接触模式下支持T=0,T=1可选。非接触模式下：ISO14443TypeAT=CL。APDU长度APDU的最大长度为183字节2.2.2.3、TimeCOS/DI主要指令运行时间A、接触模式（工作时钟3.57MHz、T=0协议、波特率9600bps)：指令运行时间第94页共94页 TripleDES时间0.2ms以下为PBOC指令执行时间圈存（存折）44ms圈提56ms修改透支限额39ms消费（存折）58ms消费（钱包）55ms解锁应用29ms应用锁定24ms重装PIN31ms解锁PIN31msB、非接触模式（MifarePro双界面卡芯片）：指令运行时间选择卡片主文件MF18ms读应用目录DIR文件10ms选择公交电子存折应用13ms电子钱包消费初始化14ms电子存折消费55msPSAM上的处理时间60ms一笔消费合计170ms2.2.2.4、TimeCOS/DI卡的应用特点A、高度的安全性第94页共94页 交通一卡通系统是一个面向多种行业的系统，系统最终所发行的卡片包括PSAM卡和用户卡。PSAM卡将放置在公交车辆、出租车、水表、气表等多种脱机使用的设备上；用户卡是由用户自己保存与使用的，存储有金额或相当于金额的可用水量、可用电量等电子资金信息。系统通过PSAM卡和用户卡的相互认证来保证系统的高度安全。系统的密钥的存储、传输都是使用CPU卡来实现的，因为CPU卡具有高度的安全性。用户卡（提供给最终用户使用的卡片）上的密钥根本无法读出，但在达到一定地安全状态时可以使用。PSAM卡（用来识别用户卡的认证密钥卡）中的密钥可以用来分散出用户卡的扣款等部分脱机使用的密钥，但也无法读出。各级发行密钥母卡上的密钥在达到足够的安全状态时可以导出，但导出的密钥为密文，只有送到同类的卡片内才可以解密。B、高可通用性、高可扩展性交通卡系统的建设的最终目标是实现城市通卡，即使用户可以使用一张卡，在城市的不同付费、消费行业实现缴费功能，替代现金。而各城市的各行业，受种种因素的制约，不可能同步采用相同的方式发行同样的用户卡。如何保障不同城市可根据具体情况灵活设置用户卡功能，采用自己的充值密钥，将用户的存款帐户设置在不同的部门，而用户又可以在各行业间使用一张卡完成缴费，这是一卡通系统的基本要求。这也是双界面CPU卡的主要特点之一。2.2.3、TimeCOS/PSAM卡TimeCOS/PSAM卡有高速和普通两种，其中高速PSAM卡是专门为城市公共交通IC第94页共94页 卡应用系统而开发的，它符合符合《中国金融集成电路IC卡PSAM卡应用规范》和《建设部安全模块技术要求》，主要用来和非接触CPU卡认证的。它有以下特点：l支持文件和密钥线路加密、线路保护功能；l支持密钥的密文装载和更新；l内置硬件DES加速器，硬件实现DES运算；l一次3DES运算时间为200微秒；l芯片内置数学协处理器；l支持多种通讯速率，可以实现卡片与读写器实现38400bps的通讯速度；l存储器擦写寿命大于500000次；l数据保存时间为10年；2.2.4、对MafreI卡的兼容方案双界面CPU卡是目前最先进的IC卡，成本较高，在大规模应用时，所需的投资较大。所以许多城市的公交“一卡通”系统采用MifareI卡，MifareI卡是一种非接触式的逻辑加密卡，成本较低，适合于公交等单行业IC应用系统中。但由于MifareI等逻辑加密卡在容量、扩展性，安全性上的局限性，很难适合于多行业IC卡应用系统，尤其有银行金融功能的IC卡应用系统。如果因资金的原因，系统先从公交行业作为起点，逐步建设全市的“一卡通系统”，我公司根据自己的丰富经验，这里提出一套逻辑加密卡和CPU卡兼容的卡片解决方案。本兼容方案的核心是在我们的“一卡通”第94页共94页 系统中同时支持逻辑加密卡和CPU卡，逻辑加密卡选择MifareI卡，CPU卡选择MifarePro卡。工程前期主要发行MifareI，主要实现公交等行业的IC卡应用，后期主要发行MifarePro卡，除了实现MifareI全部的功能外，全面实现“一卡通”系统的金融消费、社保、旅游、公共事业缴费等IC卡应用。MifareI是一种非接触的逻辑加密卡芯片。MifarePro是双界面的CPU卡芯片，MifarePro也是我公司双界面CPU卡操作系统（TimeCOS/DI）实现最成熟的卡片芯片类型。A、读写机具的兼容：Mifare1卡芯片和MifarePro卡芯片均出自飞利浦公司，它们采用TYPEB通讯模式，具有相同的天线和射频技术，对IC卡读写机具，只要经过简单的软件和驱动程序的兼容设计和改造，就可以使机具实现同时对于MIFAREONE和MIFAREPRO双界面卡的兼容操作。因此，逻辑加密卡和双界面CPU卡在同一系统中并存，共同使用，在技术上没有问题。B、卡片发行的兼容：在卡片初始化设备上，使用非接触方式对卡片操作，或者同时安装接触式IC卡读写器器和非接触IC卡读写器，根据进入发卡机的有效卡片的复位信息，使用非接触方式实现逻辑加密卡的初始化和使用接触或非接触方式对双界面CPU卡进行初始化。同时在“一卡通”系统的发行母卡上面存储用户卡上所需要的所有密钥，根据用户卡的不同类型（MifareI卡/MafrePro第94页共94页 卡），采用不同的方式从母卡上安全的导出密钥，安装到用户卡上。C、一卡一密钥l双界面CPU卡采用《中国金融集成电路（IC）卡》规范中定义的安全管理、认证机制以及交易流程，各交易主密钥用城市代码以及用户卡应用序列号经过多级分散机制，每张卡的分散代码是唯一的，所以写到用户卡上的交易子密钥各不相同，即一卡一密。交易中，按照卡片发行的方式，将分散代码送入PSAM卡，即可以产生与用户卡上相同的临时交易子密钥。l逻辑加密卡采用分区存储，通过分区的密码来控制分区的操作权限；卡片本身没有加密运算功能，所以不能采用CPU卡的认证机制，但是同样也可以在PSAM卡的控制下，实现一卡一密，不但可以认证卡片的合法性，而且每张卡片的每个扇区的密钥各不相同。具体实现方式如下：以扇区消费密钥为例，设其为KEYA。1)用户卡母卡上存储一条16字节双长度的消费主密钥，该密钥能够对送入的指定的分散数据加密后将加密结果送出；2)城市代码+卡片物理编号+卡片发行流水号组成一个该卡片的唯一标识，作为分散代码送给用户卡母卡，母卡对送入的数据加密后，将加密结果送出。3)第94页共94页 将加密结果的前4个字节作为卡片认证码，简称为MAC码，写入用户卡的指定扇区，将其设为只读，不可以修改；1)把卡片物理编号+流水号+卡片认证码的部分内容+扇区标识，作为分散代码送入用户卡母卡，得到的加密结果取其中的6个字节作为KEYA，完成了该密钥的发行过程。D、PSAM卡的支持：PSAM卡支持与逻辑加密卡认证的机制由一条建设部安全SAM模块专用的一条指令实现，该指令在认证用户卡合法性的同时并生成送出需要的扇区密钥。E、安全性的提高该指令的特点是将卡片合法性的判断和密钥的获得由一条指令实现，提高了逻辑加密卡在交易中的安全性，如果验证不通过就无法获得卡片的扇区密钥，而且每张卡片的验证码各不相同，与它的物理编号有直接关系，所以即使能够制造伪卡也无法产生相应的卡片验证码。改变了原来使用逻辑加密卡应用系统的密钥存储问题，以及用户卡上密钥相同的问题。交易过程中，根据对卡片的复位信息的判断，分别以不同的交易过程处理F、逻辑加密卡和双界面CPU卡存储相同的数据项，交易和卡片使用过程中涉及相同的数据，按照各自的存储方式和安全机制去管理。交易成功后产生的交易记录和上送的交易记录采用相同的格式，利用其中的一个字段区分产生交易的用户卡类型。第94页共94页 综合上述，在我们的桂林市“一卡通”系统中同时支持MifareI和MifarePRO（TimeCOS/DI）是完全可行的，事实上，我公司已经成功地实现了在同一IC卡机具上同时读写MifareI和MifarePro（TimeCOS/DI）。2.2.5、MifarePro卡和MifareI卡的比较下面对MifarePro（COS：TimeCOS/DI）卡和MifareI卡做一个比较：MifareI卡MifarePro卡相关国际标准ISO14443TypeAISO14443TypeA或TypeB或两者兼容载波频率13.56MHz13.56MHz传输数率106Kbps106Kbps发送信号调制ASK100%ASK100%ASK10%发送编码方式改进的米勒编码改进的米勒编码(TypeA),NRZ(TypeB)存储空间/分区1K字节16分区2K/8K/16K可选，文件管理，灵活设计访问权限控制只读/只写/读写/加/减对不同文件类型灵活设计只读/只写/读写/加/减密钥长度/个数48位单一密钥分别控制56位/112位多级多个密钥组合控制加密/认证算法专用不公开硬件逻辑算法通用公开软件或硬件加速算法读写/安全模块MCM算法内置密钥外送通用读写模块透明传输，配合SAM密钥算法交易流程简单不规范可以银行规范，也可由用户灵活设计一卡多用困难，不方便完全支持一卡多用，灵活、安全、方便2.3、桂林市“一卡通”卡片类型及其结构设计根据《桂林市“一卡通”系统》要求，系统卡片类型可分为以下几种：第94页共94页 l城市通卡lPSAM卡l管理员卡2.3.1、城市通卡是“一卡通”系统的应用卡，居民用该城市通卡进行电子消费。功能和结构描述：1、参照《中国金融集成电路（IC）卡规范》中关于卡片的要求；2、符合建设部关于城市建设一卡通系统中对于用户卡的要求；3、卡片上首期建立四个应用区，如果在以后系统增加其他的应用，在保证安全的情况下，经过一定的授权，可以在卡片上建立新的应用区，应用区的数量只受卡片容量的限制：lADF0001：公共信息区存储发卡机构和持卡人的基本信息。lADF0002：银行金融区依照金融标准建立的应用目录，文件结构和交易流程完全符合《中国金融集成电路（IC）卡规范》中的定义；密钥由发卡银行产生并写入；包括：电子存折文件、电子钱包文件（1）电子存折对应银行内的一个帐户，用于大额消费，消费和圈存时需要输入PIN（个人口令），可以挂失，计算利息；第94页共94页 （2）电子钱包用于小额消费，里面只可以存储少量的金额，消费时不需要提交个人口令，不能挂失，不计算利息。（3）除社保应用之外的其他所有与金额有关的消费操作都发生在银行应用目录下，根据行业的实际情况选择从电子存折或电子钱包中扣款。lADF0003：社保应用区属于社会保险部门，用于管理持投保人的社会保障信息和社会保障帐户的资金。该应用下的密钥由市医改办产生和管理，只有社保系统的IC卡读写设备可以访问用户卡上的社保应用目录。lADF0004：公交应用区属于公交公司，用于记录公交公司的应用信息，这里可以记录持卡人的优惠方式，也可以利用计次消费方式实现月票。只有公交公司的车载机和经过公交公司授权的IC卡读写设备可以访问该应用。1、在公交应用目录下，具有记载乘次功能的普通计量文件，计量文件可以象金融电子钱包一样，余额的增加和减少分别有不同的权限控制。2、第94页共94页 在《中国金融集成电路（IC）卡规范》中所描述的系统支付文件，采用不同的标志区分不同类型的卡片，使终端和读写器能够自动判断卡片类型；包括用户卡和操作员卡，同时能够区分用户卡的类型（储值卡、优惠卡、记帐卡等等）和操作员卡的类型。1、对于诸如公交乘车等不记名消费，使用银行金融区中的电子钱包，对于诸如商场购物等记名消费，使用银行金融区的电子存折（社保消费除外）。2、在充分发挥卡片的利用率，合理规划卡片设计和使用的原则下，在非社保应用行业，应充分利用银行金融区的电子钱包和电子存折。2.3.2、PSAM卡2.3.2.1、PSAM卡说明PSAM卡上建立2个应用目录lADF0001：银行金融区lADF0002：资源方行业应用区PSAM卡上的银行金融区存放银行方消费主密钥，所有的有关金融电子钱包和电子存折的交易都发生在该应用区下；资源方行业应用区是根据PSAM卡所要安装的行业和地点的不同而建立的，行业不同，那么这个应用区的定义和安装的密钥也不同，首期发行时，该目录为桂林社保应用区或桂林公交应用区。这样可以做到安装到社保系统消费终端的PSAM卡只支持社保应用，不能支持公交应用，反之亦然，作到社保消费终端和公交消费终端相互独立。第94页共94页 2.3.2.2、PSAM卡的文件结构PSAM卡文件结构符合ISO/IEC7816－4，示意如下：MF区域说明在PSAM卡的MF区域中，文件创建和密钥装载是在卡片主控密钥的控制下进行。(1)DIR目录数据文件DIR目录数据文件的说明参考《中国金融集成电路（IC）卡规范》，但DIR目录数据文件的入口地址必须包括全国密钥管理总中心应用ADF。(2)卡片主控密钥第94页共94页 卡片主控密钥是卡片的控制密钥，由卡片生产商写入，由发卡方替换为发卡方的卡片主控密钥。卡片主控密钥的更新在自身的控制下进行。发卡方必须在卡片主控密钥的控制下:l创建卡片MF区域的文件l装载卡片维护密钥、应用主控密钥l更新卡片主控密钥、卡片维护密钥卡片主控密钥的控制可通过外部认证操作实现，也可通过安全报文的方式实现。（3）卡片维护密钥卡片维护密钥用于卡片MF区域的应用维护，在卡片主控密钥的控制下装载和更新。卡片的管理者可在卡片维护密钥的控制下:l安全更新记录文件l安全更新二进制文件卡片维护密钥的控制通过安全报文的形式实现。（4）卡片公共信息文件卡片公共信息文件存放卡片的公共信息，在卡片主控密钥的控制下创建，可自由读，可在卡片维护密钥的控制下改写。（5）终端信息文件终端信息文件存放终端的信息，在卡片主控密钥的控制下创建，可自由读，可在卡片维护密钥的控制下改写。ADF区域说明在PSAM卡的ADF（ApplicationData第94页共94页 File）区域中，文件创建和密钥装载是在应用主控密钥的控制下进行。ADF下的文件结构可由应用发行者自行确定。全国密钥管理中心应用ADF的文件结构必须包括应用主控密钥、应用维护密钥、应用主工作密钥数据元、应用公共数据文件和终端应用交易序号数据元。(1)应用主控密钥应用主控密钥是应用的控制密钥，在卡片主控密钥控制下写入。发卡方必须在应用主控密钥的控制下:l装载应用维护密钥、应用主工作密钥；l更新应用主控密钥、应用维护密钥。应用主控密钥的控制可通过外部认证操作实现，也可通过安全报文的方式实现。(2)应用维护密钥应用维护密钥用于卡片ADF区域的应用维护，在应用主控密钥的控制下装载和更新。卡片的管理者可在应用维护密钥的控制下，l安全更新记录文件；l安全更新二进制文件；l进行应用解锁。卡片维护密钥的控制通过安全报文的形式实现。（3）应用主工作密钥应用主工作密钥用于卡片的交易，在应用主控密钥的控制下装载。第94页共94页 （4）应用公共信息文件应用公共信息文件存放应用的公共信息，在应用主控密钥的控制下创建，可自由读，可在卡片维护密钥的控制下改写。2.3.2.2、PSAM卡应用分析（1）支持金融卡应用.由于读写机具的安全控制采用SAM(SecureAccessModule)技术,符合<中国金融集成电路(IC)卡规范>之终端规范的要求,同时,选用的PSAM卡符合<中国人民银行金融PSAM卡规范>之PSAM规范.（2）采用高速芯片，内置硬件DES加速器和协处理器，将一次3DES运算的时间由普通CPU卡的37毫秒减少到0.2毫秒,运算的安全性和抗攻击能力也有了很大幅度的提高；为非接触方式通讯提供了有利条件。（3）PSAM卡由管理中心统一管理即统一采购,统一初始化,统一发放,任何机具厂商都无法私自提供可运行的机具加入系统运行,便于对机具的统一规划,统一管理,同时避免非法机具加入系统运行,提高了安全管理质量.2.3.3、管理卡根据对不同的对象使用的需要，设置不同的管理员卡，卡内储存有相应被管理对象的资料。第94页共94页 管理员卡的主要功能：工作人员进行设备操作时，必须具有内存有相应权限和密码的管理卡。工作人员应建立一个动态的管理，建立工作人员、管理员卡、登录时间、操作权限、工作内容的对应关系，并进行记录管理。管理员卡的主要分类有：系统维护员、线路管理员、维修管理员、总站管理员、车辆管理员、维修员、一般操作员、司机等。管理员采用与用户卡同样的卡片介质。2.4、桂林市“一卡通”密钥系统2.4.1、系统分析1）桂林市“一卡通”系统工程应建立一套统一规范的密钥管理系统，以实现跨行业、跨系统、跨平台的通用。同时应与各发卡银行和资源方保持充分的兼容和良好的业务扩展2）各个行业分别有自己的密钥系统，产生各行业的业务主密钥并生成发卡母卡，提交到一卡通管理中心，用来发行一卡通系统的用户卡；各行业的密钥系统分别自行管理，各不相干，保证了自己行业的密钥只有本行业来发行、管理和维护；3）PSAM卡由一卡通管理中心统一发行，然后由各行业业务系统领取安装到各自的消费终端上；2.4.2、系统功能密钥系统主要功能包括三部分：密钥生成、密钥发行、密钥更新。按照这个划分，密钥管理系统包括三个子系统：密钥生成子系统、密钥发行子系统、密钥更新子系统。第94页共94页 密钥生成一般采用集中方式产生，即由项目的最高管理机构产生系统所需的各种主密钥组，其它密钥由该组密钥分散产生。密钥的发行采用梯级方式，即由上一级生成下一级所需的子密钥，既便每一级密钥泄露后，只影响该级密钥，而不会由此造成平级或上级的密钥也泄露。密钥更新作为密钥管理系统的重要组成部分，提供对系统密钥泄露后的补救措施。2.4.2.1、密钥生成子系统密钥生成子系统的主要功能是产生系统的各种业务主密钥和传输密钥，并将这些密钥保存在IC卡上，以便密钥的下发和使用。业务密钥是指完成系统功能本身所需的密钥，传输密钥是指确保业务密钥安全下发的密钥。密钥产生有两种基本方法：1.不重复的密钥产生：随机过程；2.可重复的密钥产生：密钥变换，密钥衍生。传输密钥一般采用随机产生的办法生成，由系统随机产生传输密钥，写入传输卡中保存，不需人工干预，速度快，安全性能高；业务主密钥一般采用可重复的密钥变换或密钥衍生办法生成，在密钥变换过程中，密钥以密文形式出现，这样既保证了密钥变换的绝对安全，又使整个系统方便、好用。2.4.2.2、密钥发行子系统密钥发行子系统的主要功能是将上级单位为下级单位生成的业务密钥安全地下发给下级单位，并安全地发放用户卡和终端PSAM卡。第94页共94页 密钥的发行以卡为载体，利用智能卡的高度保密性来确保密钥在下发过程中的安全。上级为下级产生所需的业务密钥，存放在业务密钥卡上，下发给下级单位，下级单位将业务密钥卡上的业务密钥安装到用户卡、终端PSAM卡上。用户卡上密钥安装过程进行密钥分散，确保每张用户卡上的业务密钥都不一样。终端SAM卡上密钥安装采用直接安装方式。2.4.2.3、密钥更新子系统作为一个以密钥安全体系为支撑的应用系统，系统应具有密钥更新的功能，否则系统存在潜在的不安全因素。当密钥的生命周期结束或系统密钥泄露后，需要进行密钥更新。密钥更新一般分为正常情况下的更新和紧急更新两种。密钥更新的基本原则是保护持卡人的利益不受损害，不影响持卡人的正常交易；密钥更新的全过程一定要保证系统的安全性能不受损害。A、正常密钥更新常用的正常密钥更新方法是更换密钥组。在用户卡和终端SAM卡上，同一种业务密钥存放多组，由卡上基本数据文件中的应用版本号标识正在起作用的密钥组。当一组密钥到期后，修改卡中的应用版本号为新密钥组的标识号，用新密钥组代替原来工作的密钥组，实现了密钥的正常更新。正常密钥更新的周期由具体应用系统确定。B、紧急密钥更新第94页共94页 一旦系统密钥泄露，必须立即进行紧急密钥更新。紧急密钥更新的处理较为复杂，常用的更新方法有丙种：一是安装紧急备用密钥组。在用户卡和终端SAM卡上，安装紧急备用密钥组，一旦正在使用的密钥组泄露，立即通过网络发送命令到各级机构，并通知各设备使用备用密钥进行交易，停止原密钥组的使用。二是一旦密钥泄露，立即停止系统的使用，并生成新的密钥组，重新发行到各级实施机构，同时通知用户到具体实施单位更新用户卡上的密钥组，完成泄密系统密钥体系的重新构成。2.4.3、系统的安全保障2.4.3.1、智能卡的安全特性CPU卡就是一台微型计算机，它不仅存储容量大，而且具有很强的数据处理能力和保密性能。CPU卡的安全体系从概念上可以分为安全状态、安全属性、安全机制、密码算法和密钥管理机制。密钥的安全特性为CPU卡的安全奠定了基础。密钥的安全特性表现在以下几方面：·密钥具有独立性，密钥的功能完全由密钥的类型来决定。用于某种特定功能的密钥不能被其他功能使用。·密钥的使用都有一定的权限控制，CPU卡上的密钥在满足指定的权限后，可以修改和使用，但不可读出。·主控密钥用于密钥的加密装载；传输密钥用于保护要传送的报文；维护密钥用于文件的加密写入。2.4.3.2、加密/解密算法A、标准的DES算法第94页共94页 在密钥管理系统中，密钥长度均为16字节，采用标准的3DES加密算法。16字节密钥K由左8字节KL和右8字节KR组成K=（KL||KR），密钥将8字节明文数据块X加密成密文Y的方法如下：Y=DES（KL）[DES-1（KR）[DES（KL[X]）]]解密的方法如下：X=DES-1（KL）[DES（KR）[DES-1（KL[Y]）]]B、密钥分散算法简称Diversify,是指将一个双长度（16字节）密钥MK，对某种代码进行分散处理，推导出一个双长度的密钥DK。在密钥管理系统中，上级为下级产生密钥以及生成用户卡上密钥时，均采用密钥分散算法。推导DK左半部分的方法是：·将分散数据的最右16个数字作为输入数据；·将MK作为加密密钥；·用MK对输入数据进行3DES加密运算。推导DK右半部分的方法是：·将分散数据的最右16个数字取反，作为输入数据；·将MK作为加密密钥；·用MK对输入数据进行3DES加密运算。2.4.3.3、安全报文传送第94页共94页 卡与外界进行数据交换时，若以明文方式传输，容易被攻击者劫获，掌握卡中的数据，并可能篡改传输的数据。为了避免以上情况的发生，在数据传输过程中，采用安全报文传输。三种常用的安全报文传送方式为：1.完整性保护，即对传输的数据附加4字节MAC码；2.机密性保护，即对转输的数据进行DES加密；3.机密性和完整性保护，即对传输的数据进行DES加密后再附加4字节MAC码。数据完整性和对发送方的认证通过MAC码实现，数据的可靠性通过对数据的加密来得到保证。2.4.3.4、密钥管理机制密钥管理机制符合“中国金融IC卡试点PSAM卡应用规范”。各种密钥的装载、更新和导出必须采用安全报文传送方式实现。PSAM卡的结构严格遵循“中国金融IC卡试点PSAM卡应用规范”的规定。卡结构严谨、安全性能好。在MF/DF下，文件创建和密钥装载是在卡片/应用主控密钥的控制下进行的；DIR目录数据文件记录各子应用的入口地址；卡片/应用维护密钥控制MF/DF下数据文件的安全更新。2.4.4、系统特点密钥管理系统的显著特点是通用，安全，标准，操作方便。l通用性密钥管理系统可广泛应用于金融、工商、建设等各种领域的IC卡应用系统中。在功能各异的各种IC卡应用系统中，密钥管理功能是相同的，密钥管理系统具有很强的通用性。l安全性第94页共94页 密钥管理系统能够确保密钥在产生，下发，更新过程中绝对保密，从而保证卡在发行，使用过程中的安全性。l标准性密钥管理系统严格遵循“中国金融IC卡试点PSAM卡应用规范”和中国金融集成电路卡规范。l实用性密钥管理系统功能强大，具有良好的用户操作界面和联机帮助，操作简单、方便，具有很强的实用性。该密钥管理系统将在建设事业城市一卡通系统中得到广泛应用，目前已通过建设部的专家评审。2.5、桂林市城市通卡发卡系统桂林市“一卡通”系统工程发卡管理系统负责将卡片厂商提供的空白卡制作成桂林市城市通卡成品卡，然后将成品卡发到持卡人（市民）的手中，同时将发卡数据和持卡人信息存到项目公司数据交换中心的数据库中。IC卡发卡系统的建立应在充分考虑各发卡银行和用卡单位（资源方）现有的系统、业务管理模式以及“一卡通”未来的发展模式。2.5.1、卡片档案管理对于系统使用的卡片型号、供应厂家、版本、容量、文件结构、表面图案等要求建立档案，存档管理；第94页共94页 2.5.2、卡片出入库管理l每一批次出入库的卡片状态、数量、型号、用途、供应商等信息的管理；l认证卡片供应商提供的卡片的合法性，认证生产商传输密钥；l按照严格的测试方案测试卡片的性能：物理性能和软件性能；l将卡片供应商的传输密钥替换为卡片发行商自己的卡片主控密钥，即空白卡的洗卡过程。2.5.3、卡片发卡系统l建立卡片文件结构；l从母卡上导出密钥安装到用户卡的密钥文件中；l写入个人化信息；用户卡的发行过程分以下几个阶段：第一阶段：由项目实施最高管理机构发行生产商母卡和制造主密钥卡。经授权的卡片生产商领取生产商母卡后，将测试合格的芯片制成卡片并安装卡片制造密钥，项目具体实施单位直接向卡片生产商订购卡片，领取卡片后，使用项目实施最高管理机构下发的制造主密钥卡来检验所订购卡片的合法性。确保卡片在运输过程中的安全，并有效防止非法指定生产商提供的卡片被使用。第二阶段：第94页共94页 项目具体实施单位使用项目实施最高管理机构为其发行的业务密钥卡来发行用户卡。项目具体实施单位为每张用户卡产生一个唯一的应用序列号，即用户卡卡号，使用业务密钥卡中的业务密钥对应用序列号进行分散，产生对应的业务子密钥安装在用户卡上，因此，每张用户卡上的业务子密钥都具有唯一性，提高了安全性。第三阶段：卡片的个人化。由项目具体实施单位将用户的个人基本信息写入用户卡。第四阶段：项目具体实施单位将卡发放给用户，用户进行卡片初始充值交易后，即可使用卡片。第五阶段：如果系统在投入使用一段时间后，其他新的应用要增加到本系统中，最安全的方式是把所有已经发行的卡片收回，建立新的应用后再发还到用户手中，可是这种方案的可操作性差，费时费力；可行性的方式是授予指定的某个或某几个发行点具有添加新应用的权限，利用下发的具有添加应用功能的密钥母卡和相应的发行程序，在不影响卡片上已存在的应用的情况下，将新的应用添加到用户卡上，同时启用新应用；添加应用的操作要严密控制其进行，具有最高的安全性。2.5.4、发卡模式桂林市“一卡通”第94页共94页 系统所发行使用的城市通卡是跨行业、多应用的IC卡，同时还要具有金融功能，所以在发卡方面涉及的单位或行业较多。另外也要考虑到卡应用的可扩充性。桂林市“一卡通”系统工程在IC卡发行方面有两种模式，一种是统一发卡模式，另外一种是分散发卡模式。2.5.4.1、统一发卡模式在统一发卡模式下，银行和各行业将自己的密钥卡及密钥控制卡交项目公司数据交换中心，由项目公司数据交换中心统一对IC卡进行初始化，并导入相应的密钥。用户申请城市通卡时，在售卡、充值点填入相应的个人信息，并在银行中建立相应的电子存折帐户。售卡、充值点将相应的发卡信息上传到数据交换中心和银行，并通过网络下传到各行业应用中心，这样在整个系统中，持卡人的城市通卡就能应用了。对于一些特殊行业，如社保，持卡人在拿到城市通卡后，还要到相应的行业管理中心进行注册，行业管理中心中IC卡中本行业的应用目录中填入相应的信息（如社保要加入个人社保信息）后，城市通卡才能在本行业中使用。在统一发卡模式下，城市通卡上IC卡各行业应用目录在初始化时就全部建立起来了，相应的密钥也已经导入。2.5.4.2、分散发卡模式第94页共94页 在分散发卡模式下，项目公司数据交换中心在做IC卡初始化仅建立基本应用目录，导入交换中心的基础密钥，然后IC卡再拿到银行进行初始化。城市居民在申请城市通卡中，填入个人基础信息，银行为持卡人建立电子存折帐户，即在城建通卡上开通金融应用。售卡、充值点将发卡信息和个人信息传输入到银行主机和项目公司数据交换中心。如果持卡人要在卡上开通其它行业应用，要到相应的行业管理中心开通该行业应用。由行业管理中心在城市通卡上加入相应的行业应用区，并导入行业应用密钥。写入相应的行业信息，这样就持卡人就可以在该行业进行应用了。在分散发卡模式下，城市通卡上IC卡各行业应用目录是在加入行业应用时建立并导入相应的密钥，2.5.4.3、两种发卡模式的比较如上所述，统一发卡模式IC卡所有行业应用目录是在IC卡初始化时建立，用户拿到卡时，所有的行业应用目录都已经存在，一些不需要进行行业个人化的行业应用可以当时就开通。对于要进行行业个人化的行业只需到相应的行业管理中心进行个人化即可。因为在卡上已经留有空余的空间，可以进行系统扩展，再加入新的应用时，需建立新的应用目录。所以统一发卡模式下发卡较方便，也具有系统升级扩展能力。分散发卡模式下，由于市民初次申请的IC卡只有基础应用和金融应用，如果要加入某一行业应用，还要到该行业管理中心开通该行业应用。加入新的应用目录，并导入该行业密钥，城市通卡使用时开卡较复杂。但这种发卡方式较统一发卡模式基升级时较简，只需加入新的行业应用就可以了。2.5.4.4、发卡模式选择第94页共94页 根据上面的论述，我们认为在桂林市“一卡通”系统中，采用统一发卡模式较为适合。城市通卡发放点可以设在银行网点，城市居民在申请城市通卡时，同时开通行业应用。第94页共94页 三、系统网络方案3.1、概述本系统是一个分布集中式的网络应用环境，在城市范围内，跨多个行业进行实施的，在网络结构上分成一卡通管理中心、应用行业管理中心、银行、前置机等多级网络，另外前置机还应该可以通过远程访问的形式进行数据收集和数据下传。另外在每级网络内部还要组成一个小型的局域网，所以系统网络是由各个环节的局域网和它们之间的广域网组成，它的建设也将分为广域网建设和局域网建设两部分。随着计算机网络的不断发展，在网络建设方面应遵循以下原则：l网络设计本着经济的原则，应该具有较高的性能价格比；l为适应高速发展的网络技术，网络设计一定要有可扩展性；l为保证网络的安全与稳定性，应采用先进与成熟的网络技术；l网络的传输速度要适应不同传输信息的要求；l网络设备应该具有简易的安装与方便的管理方式；l网络的设计应遵循通用的国际标准及开放性；l网络设计一定要考虑到用户需求。第94页共94页 3.2、广域网设计方案3.2.1、广域网的组建模式随着通信技术和计算机技术的发展，建立集成通信与计算机融合为一体的高速信息网络，实现信息的高速传输和交换，为开展“城市一卡通”项目提供服务，目前有多种组网模式可以采用，下面对这几种模式加以比较。u数字数据网(DDN)是利用数字信道提供半永久性连接电路传输数据信号的数字传输网络。DDN有数字电路和DDN复用（或交叉连接节点）组成，网络设备包括网络节点、网络接入单元和用户设备，能够提供端到端的高速率、低延时、高质量的数据通道，利用节点机或复用器组成点到点、一点到多点的语音、数据、图像通信。DDN的优点：lDDN主要提供端到端的高速数字专线连接。l数字信息传输全程采用数字传输技术，传输质量高。l信息传输速率高，网络延时小。l网络数据信息传输透明度高，可开展多种业务。l适合于数据信息流量大的数据通信。l网络运行管理简洁方便等等。DDN的缺点：由于信道是时分多路复用（T第94页共94页 DM），故速率是固定的，信道利用率低，网络只能适用电路交换方式，要满足多种业务需要，需具备较多信道。uX.25网络即：分组交换网。主要采用分组交换技术,向用户提供多种X.25业务。X.25网是中国最早建立的广域数据通信网，其特点是覆盖面广，支持PVC和SVC，技术成熟。但X.25网传输效率低，同时收费又不尽合理,目前已趋于淘汰。uF.R网络FrameRelay是目前国际上应用比较多的广域网通信技术之一，我们国家正在积极地推进F.R网络的建设。目前FrameRelay网络主要向用户提供永久虚电路，即PVC的连接。相同速率的FrameRelay接入，与DDN端口相比，月租费用较低。有些电信局可能不提供相应业务。uPSTN网络即：公用电话网。主要提供拨号服务，传输速率及可靠性都相对比较低。从网络设计的先进性来考虑，基本不作为大网的远程网的通信信道。uISDN网络ISDN的优点：ISDN是一种先进的网络，在用户终端之间传输数字化信号，可传输多种综合业务，如：语音、数据、传真、图象、视频等。ISDN第94页共94页 在计算机联网、远程通信、图象传输等领域能够提供有效的连接。用户只须配备一部ISDN终端适配器，便可在保护原有的投资的同时，享受ISDN服务。由于ISDN本质上是拨号网络，所以，使用ISDN，只需付呼叫接通时的通信费，费用远远低于DDN专线的费用；又因为ISDN提供的传输速率较高，其通信效率则远在PSTN之上。ISDN的缺点：由于ISDN近一年左右电信部门才开始引入的通信手段，首先在开通的区域不象DDN与X.25那么广，而且进行数据服务的方式尚在实验阶段，容易给工程实施，尤其是要求实施时间比较紧迫项目会带来很大的困难。3.2.2、广域网组建方式位于本系统数据交换中心内的计算机局域网和服务器，是本系统的数据处理中心。它将通过广域网与分布在全市的几十个信息点连接(包括行业管理中心、售卡充值点及数据采集点)，这些信息通讯点有些是网络，有些是单独的PC或专用设备。综合上一节对组网方式的比较，结合“城市一卡通”项目的特点，降低系统成本和运行费用，建议在系统中全部采用PSTN联网方式，对于远程访问接入设备，在IC管理中心采用高性能、多功能、多接口、可扩展的中心级路由器，在行业管理中心和数据采集点可采用普通路由器。广域网拓扑结构：第94页共94页 第94页共94页 在这个设计方案中，城市一卡通管理中心通过远程访问服务器和中心路由器连接到广域网中，另外也通过广域网与资金管理中心（一般为当地银行）连接；行业管理中心通过远程访问服务器或边界路由器与广域网相连接；售卡、充值点和数据采集点通过调制解调器与广域网相连。行业管理中心和数据采集点具有级连的功能，即行业管理中心下面还可以再分为行业管理子中心等部门（如公交总公司和公交分公司），几个数据采集点数据可以先汇集到一个区域性的数据采集中心。有点数据采集点（采集中心）设在行业管理中心内，这样数据采集点应就可以利用已有的网络设备进行通信。项目公司数据交换中心还要通过WEB服务器向社会提供信息和卡片查询服务。3.3、局域网设计方案3.3.1、概述在桂林市“一卡通”系统，有些点，如一卡通管理中心、行业管理中心，由于其计算机数量较多，需要连成局域网。但也有一些数据采集点或售卡、充值点可能只有一台微机，不需要连成局域网。在局域网设计方案中只考虑一卡通管理中心局域网设计和行业管理中心的局域网设计。3.3.2、局域网的组建方式局域网（LAN）最初是以一种非结构化方式出现,大部分以同轴电缆为基础将每个工作站嵌入电缆中,这就产生了性能和故障隔离问题。随着以太局域网的不断增长,出现了称为10Base-T的较为结构化的方法,它将所有连接设备链接到电缆箱的集线器上,这样有助于与故障点的隔离,并为局域网的扩展提供了一种更为规范的系统方法。但集线器一般缺少智能,这种拓扑结构称为共享式局域网。共享式局域网对常规数据库共享，文件共享是能够胜任的。但共享式局域网的机制决定了10Mbs的网络带宽由所有工作站共享,这将导致网络流量高峰期间带宽拥挤。随着工作站数量的增加,每台工作站仅能得到很少局域网带宽,在40-50第94页共94页 个节点以上的局域网中,这种传输的网络框架会使网络的访问效率呈指数降低，在网络访问高峰期部分节点甚至不能通讯，更不用说视频、声像等多媒体技术在网络上的应用。解决带宽冲突的普通方法是采用内部/外部路由多网段结构。这种结构当网段间的流量不太高时效果较好,但随着网段间的流量的增加,互连设备可能会出现瓶颈(Bottleneck)。目前在新一类的互连产品既提高了负载过重的传统网络的带宽,又利用了现有的电缆和适配器,这就是局域网交换器(LANSwitch)。它能够大大提高局域网总带宽,因为它允许其端口之间同时交换包,即多网段信息互访不是共享10M/100M而是各自独占10M/100M带宽。从功能上来讲,交换器类似于网桥(Bridge),但它能提供高得多的性能。一般来说,交换器和网桥以及路由器的区别体现在以下几个方面:l功能简单得多l较高的总带宽l小得多的时延(指cut-through结构)交换器能够连接两种类型的以太网段,共享网段(多站点)或专用网段(单站点)可以连到任何一个交换器端口上。多个共享式以太网段(多站点)可以连接到交换器的多个端口而替代路由器端口或网桥端口,第94页共94页 网段之间的通讯通过交换器建立。类似于多媒体之类的对网络带宽要求很高的应用不能容忍很长的时延或大的jitter(时延的变化)。这些要求在传统的共享式局域网环境下往往得不到满足,但通常可以通过专用以太网段(单站点)把适配器和局域网的整个带宽分配给每个站点得到满足。这种方式尤其适合服务器及高带宽客户机。以太网双绞线以太网以非屏蔽双绞线为传输介质，在物理上是一以以太网集线器（HUB）为中心的星型结构。分10M、100M与1000M以太网（千兆以太网尚在标准最后确定阶段，所以不作讨论）。各类以太网传输的帧格式相同，但快速以太网提供的速度要快得多，其传输速率为100Mbps。快速以太网可以运用现有的10BASE-T布线系统，同时，不需要协议转换或更换应用和网络软件，数据传输可轻而易举地从10Mbps升级到100Mbps。FDDI网络FDDI以光纤为传输媒介，网络采用双环结构，一个主环用于传输数据，一个备环用于容错。FDDI的传输速率为100Mbps，而且支持优先级控制。FDDI网络标准成熟，价格适中，可以通过设置优先级来满足对时延有较高要求的应用。由于采用双环结构，FDDI具有很高的容错能力。FDDI不会象以太网那样当流量上升到一定程度后性能迅速下降。FDDI虽有以上的优点，但我们认为它已经走过了它的顶峰时期，很快会被ATM网络所替代。ATM网络第94页共94页 ATM是一种新型技术，它的信元交换机制使其可以为每个工作站分配专用带宽，可保证用户数据的低时延、实时性传输。ATM网络的数据传输是面向连接的。传输速率从25Mbps到155Mbps、622Mbps或更高。目前，ATM网络已经逐步走向成熟，但各项涉及技术还未完全标准化。局域网技术比较、选型现将10Mbps以太网、100Mbps快速以太网、FDDI和ATM网络做一技术指标上的比较，如图3所示：图3：当前主要局域网技术指标比较定义10M以太网100M以太网FDDIATM速率10Mbps100Mbps100Mbps25、100、155Mbps拓扑总线/星型星型双环交换式结构方式CSMA/CDCSMA/CD令牌点到点方式介质双绞线、光纤双绞线、光纤光纤、光纤双绞线、光纤最大距离100M(双绞线)2KM（光纤）100M（双绞线）412M（光纤）2KM(多模)10KM(单模)2KM（多模光纤）10KM（单模光纤）最大节点不限10241024500可靠性备份线路备份线路双环备份线路价格最便宜较便宜较贵最贵网络规模小型网络中小型网络中小型网络大中型网络向ATM过渡平滑过渡平滑过渡不能平滑过渡成熟性成熟成熟成熟逐步成熟采用技术共享/交换共享/交换共享方式面向连接第94页共94页 3.3.3、一卡通管理中心局域网经过对局域网组网方式的比较，根据上面所提的组网原则，考虑到管理中心实际情况，管理中心采用100M交换以太网。采用具有10/100M自适应端口的交换机，连接数据库服务器、工作站、访问服务器、WEB服务器、路由器等设备。3.3.4、行业管理中心局域网行业管理中心由于设备不会很多，且只有一个数据库服务器，所以推荐使用100M快速以太网方式（如右图），使用一台100M智能集线器（HUB）连接行业管理中心的各类设备。第94页共94页 四、“一卡通”系统软件4.1、桂林市“一卡通”系统软件方案综述从桂林市“一卡通”总体结构图上可知，系统总体上分为：一卡通管理中心、数据采集点、IC消费终端、IC卡售卡充值点、资金管理中心（银行）以及应用行业管理中心六个环节，这六个环节一方面独立处理自己的业务，又相互有机连接，形成整个城市一卡通系统。因此，系统将整个软件系统分成一卡通管理中心子系统、数据转换子系统、IC卡售卡充值子系统、应用行业管理子系统、资金管理子系统和IC卡应用机具软件。其中“资金管理子系统”、“IC卡售卡充值子系统”是由银行负责建设，“IC卡应用机具软件”是各种IC卡应用机具内嵌的程序的总合，在工程实施时根据实际需求具体设计。这里就不再描述。第94页共94页 4.2、一卡通管理中心子系统一卡通管理中心子系统是专门为一卡通管理中心开发的，全面实现一卡通管理中心业务管理的计算机化。它的功能结构示意图如下：1、日终处理对每天的售卡、充值、交易记录以及卡片管理记录进行综合处理，要完成的业务如下：l检查原始记录的合法性。l更新中心数据库。l业务统计，生成总的业务日报表和各个应用行业的日终报表。l资金清算，生成资金状况报表和资金划拨通知单。l打印业务日报表、资金状况报表和资金划拨通知单。l将资金划拨通知单传递给资金管理中心，进行资金划拨。2、城市通卡管理第94页共94页 管理在系统中流通的所有城市通卡，功能包括：查询卡片信息；卡片统计；挂失、解除挂失、报损、解除报损、暂吊、解除暂吊、吊销卡片以及补卡、退卡等卡片管理。3、资金管理查询、统计、管理资金变动情况。4、黑名单管理查询、统计、管理城市通卡的黑名单情况。5、充值员卡管理管理充值员卡的发放，回收，并给充值员卡的充值额度进行充值。6、持卡人资料管理管理本系统城市通卡持卡人的个人信息。7、应用行业管理管理纳入系统的应用行业的信息，接收新的应用行业的注册。8、IC卡机具管理管理系统中所使用的各种IC卡机具，随时掌握机具的使用情况。9、IC卡片库存管理管理IC卡片的采购、入库、出库、发放等，对原始空白卡进行初始化工作，同时也管理报废的卡。10、数据管理负责系统交易数据的收集、对帐、清算、分析等，并且向管理部门提供数据查询服务功能。11、统计报表根据需求，对城市通卡的流通、使用情况、资金的流动情况，行业的收益情况等各种主要信息数据进行统计，并打印出统计报表。第94页共94页 12、系统管理配置系统运行环境，管理系统用户，维护系统运行4.3、数据交换中心系统第94页共94页 五、应用行业信息管理子系统5.1、社会保险信息管理系统社会保险做为城市生活的一项重要内容，是本系统的“一卡通”应用中主要的一项应用。社会保险包含：医疗、养老、工伤、生育、失业等五大保险，目前医疗保险的应用比较成熟，所以在本系统的社保系统中，先以医疗保险为起点，建立社保系统，同时为其它4大保险作好扩展接口。下面就主要以医保为蓝本进行介绍。在本系统的IC卡上要专门为医保建立专用的应用区，该应用区中包含个人医保的专用帐户和专有信息。专用信息包括，记载职工医保资金的使用、结算情况。投保人在医保领域发生个人自付行为时，可以自付现金，也可从银行金融区的电子存折中转支。社会医保IC卡系统由医保中心、医院、银行等三个部分组成。这三个部分的功能划分如下：医保中心负责社会医保保险制度的制定，保险费用的征缴、分配，医保资金使用的管理，监督参加社会保险的单位，审查和控制参保人员的使用状况，对授权医疗机构进行监督和审查，完成与银行间的资金结算。医院受理参保人员的医疗要求，并依据制度给予相应的治疗完成医疗费用的相应计算。第94页共94页 一卡通管理中心负责IC卡的发行与管理，银行负责社会保险资金的代收代付（包括个人帐户与基金帐户），完成与医保中心、医院的资金结算。5.1.1、系统功能⑴、基础档案子系统：对诸如参保单位档案、个人档案、医疗机构、医保中心任务编码、政策参数等基础数据进行管理。此系统可与其它保险系统通用。⑵、基金征集子系统：对参保单位的基金应征及缴纳提供管理手段，采取与社会中心任务直接进行电子数据交换的方法，实行基金托收；如果是多险种统一托收的基金，可在托收后再按比例分配到其它保险；⑶、人事变动子系统：此系统主要对参保人员的各种人员的各种人事变动情况，如在职转离退休，调节、调离、死亡等到进行处理；⑷、医疗监督子系统：对所有的医疗费用分类、分级进行处理，包括对定点医疗机构发送的医疗费用数据的处理，是整个系统中使用最频繁、工作量最集中、模块最多的子系统；⑸、分析报表子系统；打印输出各类统计分析报表，辅助决策和查询；⑹、专用卡发放子系统：负责社会保险专用卡的发放管理；⑺、网络管理子系统：提供对系统的安全性管理，用户授权管理、月度结转、数据备份等到功能；第94页共94页 ⑴、医疗机构收费系统。相对独立于信息管理系统之外的一个子系统，用于对定点医疗的管理收费结算，并及时将有关数据发往医保中心汇总处理。5.1.2、医疗收费系统（1）、划价收费本系统由下列几部分组成门诊划价收费系统门诊药房管理系统住院划价收费系统住院药房管理系统科别核算系统（2）、收费系统完成对发生费用的计算、发票打印、医疗卡处理、与医保中心通讯等到功能。5.1.3、业务流程描述由于各单位状况不同，需要充分考虑到由银行代收以及暂时没有代收的单位，还需要考虑使用社会保险IC卡和没有使用IC卡的参保人的情况，所以设计时考虑了不同的要求。为便于管理和结算，系统要求凡是使用IC卡的单位必须由银行代缴保险金。第94页共94页 下面以一个参保单位为例：⑴、单位需要将职工信息交到医保中心，由医保中心录入单位的个人信息。⑵、医保中心分单位生成交给银行的代缴基本信息。⑶、银行依据代缴基本信息生成个人社会医保主帐户。⑷、银行生成制卡文件的IC卡帐户，交给制卡中心制卡。⑸、银行代缴保险金，按照比例分别记入个人社会医保主帐户和统筹帐户。⑹、银行将代缴后生成的数据返回社会中心，医保中心依据入帐数据入医保中心个人帐户和统筹帐户。⑺、持卡人在银行储蓄所或圈存机上完成个人帐户圈存。⑻、持卡人在定点医疗机构接受治疗，医院划价系统能够根据卡上存储的信息计算出相应的费用与组成。一方面使用卡上的个人帐户，同时将历史数据也记入卡片中；另一方面划价系统记录相应的处方，费用等数据，以便于医保中心审核。⑼、银行收到POS传送的IC卡个人帐户交易数据，结算后将相应的金额转入医疗机构的暂收帐户中。（不将统筹帐户的金额也采用该方式记入医疗机构的暂收帐户中是由于：统筹帐户很可能出现透支，直接记统筹帐户有较大的风险，而个人帐户不会出现透支可以直接结算）⑽、第94页共94页 医疗中心收到医疗机构收费点传送的原始单据，可以对医疗费用进行审核，并计算出应该支付给予医疗机构的费用。社会中心不需要银行的个人帐户转帐信息。⑴、社会中心决定应该支付给医疗机构的费用，并将金额通知银行，银行首先划转该医疗机构的暂收帐户的余额，如果不足则由医保帐户支付。不使用IC卡的参保人，在到定点医院治疗时需要将社会保险手册交给划价人员，划价人员需要将基本住信息输入划价系统计算费用和组成。没有使用划价系统的医疗机构不能接受IC卡，只能使用社会保险手册。5.1.4、医院收费点医院收费点系统功能医院受理参保人员的医疗要求，并依据制度给予相应的治疗完成医疗费用的相应计算。⑴、标准数据管理：能够装入社会中心提供的药品种类和收费种类数据。⑵、收费标准管理：可以对各项药物、收费的价格进行调整。⑶、IC卡计费：对使用社会保险IC卡的参保人计费，由IC卡中读入信息，计算各项费用，并使用IC卡保险帐户收费，对于自负部分可以用现金或IC卡电子存折支付。⑷、第94页共94页 手式计费：对不使用社会保险IC的参保人计费，手工输入参保人的基本信息，计算各项费用，手工登陆记保险手册，对于自负部分可以用现金或IC卡电子存折支付。⑴、医疗记录管理：将系统中记录的医疗记录通过电话网或者软盘传送到社会中心。POS交易：可以读取IC卡上的社会保险应用的信息，完成社会保险应用的交易。可以操作电子存折帐户。以上是对社会保险信息管理系统的简介描述，详细设计见《桂林市“一卡通”系统社会保险信息管理系统》总体设计方案。5.2、公共交通信息管理系统公共交通系统是本系统最主要的应用行业，它要涉及到所有的市民，是市民日常消费最频繁的行业，也是最迫切需要电子购票的行业。利用IC卡，取代现金购票，也最能体现IC卡的优越性。5.2.1、基本模式在公共交通行业使用IC卡购票的基本的解决方式是：公交部门在公交车辆上安装特制的IC卡车载机，持卡人乘车时，用自己的IC卡，在车载机上进行刷卡，车载机根据票价，自动在持卡人IC卡中的电子钱包扣除相应票款，实现电子购票。在先期的系统中，使用是接触式IC卡，市民在刷卡时，是将IC第94页共94页 卡插入车载机中进行刷卡，但公交系统的乘客流量非常大，一台车载机的插卡工作过于频繁，再公交车的工作环境比较恶劣，使车载机的寿命大大降低，同时IC卡的寿命也会降低，这也就影响了系统的效率。现在出现了非接触式IC卡，使用它进行刷卡，就不需要将卡插入到车载机中，只需将卡在车载机前轻轻一晃，就完成了刷卡，消除了接触式刷卡所带来的弊端，同时车载机可以全部封闭，消除公交车辆不良环境对车载机的影响。目前非接触式卡的技术已经很成熟，在公交系统中，建议使用非接触式IC卡。5.2.2、票价计价方式利用IC卡进行购票，同无人售票一样，最好采用一票制，既该路线的公交车，全程统一票价，这样乘客只需在上车时刷一次卡，完成购票，适合用在大多数市区路程较近的路线。但有些路线，比如在郊区路线采用一票制，则不太合理，这时要采取分段计价方式，既根据乘客实际的乘车路程进行收费。对分段计价收费方式，解决的方案有以下几种方式。1、人工输入票价乘客乘车时，司机或售票员，根据乘客的实际路程，在车载机上利用小键盘输入票价，车载机根据所输入的票价扣款收费。这种方式需要人员干涉，不能自动完成售票，比较适合在长途路线。2、递减式计价第94页共94页 乘客上车刷卡时车载机以当前站数（可由报站器传入）为准，计算从当前站到终点站的票价，以此票价对乘客进行扣款收费。这种方式对中途下车的乘客多收费，适合于大多数乘客在终点下车的路线。3、递增式计价同递减式计价法相反，乘客上车时不刷卡，下车时再刷卡，刷卡时车载机以当前站数（可由报站器传入）为准，计算从起始站到当前站的票价，以此票价对乘客进行扣款收费。这种方式对中途上车的乘客多收费，再需要监督乘客下车刷卡。适合于大多数乘客在起始站上车，中途下车的路线。4、二次刷卡计价乘客乘车时刷两次卡，上车时刷第一次卡，记录上车地点，下车时再刷一次卡，记录下车地点，车载机根据这两次刷卡的记录和票价规定，计算实际票价，对乘客的卡进行扣款收费。这种方式，自动收费，且收费合理。但实际运行起来，司机监控乘客下车比上车困难的多，会有乘客只刷一次卡，既下车时不刷第二次卡，对此可以如下解决。A、增加专人进行监控，强迫乘客进行第二次刷卡，这样会增加人员，比较适合在较远市郊路线。B、在乘客上车的第一次乘车时，先按从当前地点到终点的最大票价，进行收费，乘客下车时，在第二次刷卡时，在按实际的路程进行实际收费，对第一次收费进行修正。这样，既方便在终点下车的乘客，减少第二次刷卡，又可防止中途下车乘客逃避第二次刷卡。第94页共94页 一般，乘客在前门上车，后门下车，要实施二次刷卡，就要在前门和后门配备两台车载机，成本加大。再对于乘客的卡面余额的控制较严，即卡面余额不够到终点费用的卡不能使用，使那些只够中途下车而不够终点下车的乘客不能上车，如果对乘客的卡片余额的控制较松，只要卡面有余额，就允许上车，在刷卡时，当卡片余额不够时，按卡片最大余额进行刷卡。这样会给行业带来一定的经济损失。它比较适合在市区和不太远的市郊路线。对于夜晚还运行的车辆，计价还要考虑自动加费功能，比如21时以后，加价50%，24时到次日的6时，加价100%等。除了普通的乘车购票外，还有月票，公交系统内部职工乘车等，在IC卡也相应地设置月票功能，对于内部职工，月票的收费是零。为了防止月票的借用，可以通过限制乘车次数来限制，在购买月票时，根据乘客的每月需要的乘车次数，譬如每日4次，一月按工作日23天计算，设置一个乘车次数，乘客每乘一次车，就自动扣除一次，当次数用完时，就按普通标价收费。5.2.3、车载机在公交车辆实现IC卡电子购票，最关键的设备就是在安装在车辆上用来对IC卡车票进行读写的专用IC卡读写器，这里称之为IC卡车载机，简称车载机。第94页共94页 由于车载机是安装在公交车辆上，使用环境相对恶劣，对其可靠性要求很高。它必须能够预防汽车电源感应，汽车启动时电火花离车载验票机40公分以外，不影响车载验票机正常工作。工作电压有多种，电源插口应有防误插措施，并有过压保护。车载验票机要小巧结实，防冲击能力不低于3G（一种国家标准，用来测试机具的抗冲击、抗震动性能）。车载验票机的允许出错率小于使用次数的10万分之一。车载验票机读写窗与卡的读写距离不大于10公分应能正确读写。车载验票机数据库容量应能存储一辆车一天的刷卡记录。车载验票机数据输出接口要求采用快速、可靠、牢固的连接头，考虑防尘、防水、尽量密封。车载验票机内储存的数据在停电时仍能保持完整。车载验票机用红色辉光数码管、指示灯和声音来发出各种指示。这里，我公司提供一种BIV系列车载机，其工作环境如下：l输入电压:9~18VDC或18~36VDC(一般12/24VDC),最大电流1.5A/24Vl保护:反极保护和过压保护l工作温度:0°C~+70°Cl储存温度:-20°C~+85°Cl工作湿度:10%~90%特性及性能lMifare非接触式IC卡读写核心模块；l独一32位设备认别硬件序列号；l读写距离可达70mm；l具有软件控制的LCD背光图像显示器；LCD之分辨率128x64点。第94页共94页 lLED软件可控制指示灯(红色交叉、绿色箭头)；l音频模块可预录音效并重放；l电池备用之实时时钟；l两个串行通讯口,其中一个可利用软件设定为标准RS232口或标准4线RS485口,别一个信道则固定为3线RS232口作为软件开发及调试之用；l连接GPS或无线电波通讯之专用接口；l4MB可移动闪速EEPROM内存；l坚固塑料外壳,达防水标准(IP54)；l可调节位置之显示模块,具有锁定安装排孔的接口受保护电缆；l2MB动态储存器DRAM；l512KB闪速EEPROM；l32bit微处理器；l具有耐撞击、防止破坏之设计；lMTBF在20,000小时以上。5.2.4、车载机管理对于车载机的管理，一般有两种方式：司机卡和附带小键盘。A、司机卡：每个司机发放一张专用的IC第94页共94页 卡，称之为司机卡，每次司机出车时，起始车站系统先给司机的卡授权，下载路线、计价标准等有关数据，然后司机用经过授权的司机卡启动车载机，并对车载机进行初始化，设置路线、司机、计价标准等数据。收车时，将司机卡拔下，关闭车载机。中途，司机也可以随时拔下司机卡，关闭车载机。用司机卡可以规范车载机的管理，避免司机手工设置车载机所带来的失误。B、附带小键盘：司机每次出车时，用车载机附带的小键盘来开启车载机，并对车载机进行路线、计价标准、司机等进行设置，达到管理车载机的目的，使用简单方便。但会因司机的手工操作失误易造成错误。5.3.5、数据采集目前车载机的数据采集方式有三种：数据采集盒、数据采集卡和无线数据采集。A、数据采集盒这种方式是车载机装备一个可以随时拆卸的数据盒，车载机将刷卡数据就保存在该数据盒内，需要进行数据采集时，司机将该数据盒拿下，送到数据采集点，将数据从该数据盒中传送到计算机中，完成数据采集。B、数据采集卡另一种数据采集的方式是利用数据采集卡来进行，该数据采集卡是一张大容量的IC卡第94页共94页 。采集数据时，先将数据库采集卡插入到车载机专门的入口，车载机中的数据就回自动下载到卡上，然后，将数据采集卡插入到与数据采集点计算机连接的IC卡读写器上，将数据输入到计算机中，完成数据采集。数据采集卡的容量可以做的很大，可以同时容纳多辆车的数据。这种方式和前一种方式，成本低，但自动化程度不高，需要人工采集。C、无线数据采集：最好的采集方式是进行无采集。进行无线数据采集的车载机有一个无线发射装置，在终点站等数据采集点配备一套相应的无线接收装置，当车辆完成一个来回回到终点站等数据采集点时，两方的无线通讯装置自动感应、自动通讯，车载机上的数据自动被采集到采集点的计算机中，完成数据采集。这种方式采集速度很快，且不需人工干涉，完全自动化。以上几种数据采集方式，车载机的数据在采集后并不马上清空，而是采用循环记录方式，新数据循环将旧数据覆盖掉，这里提供的车载机可以同时保存多天的数据，所以当一次数据采集不成功时，可以在数据没有被覆盖掉之前重新采集。对于数据采集点的设置，建议设置在公交终点站，这样可以给终点站配置一套计算机管理系统，实时掌握车辆的乘客流量情况，及时作出路线的乘客流量变化图，辅助车辆调度人员更合理地调度车辆的运营。第94页共94页 以上是对公共交通信息管理系统的简介描述，详细设计见《桂林市“一卡通”系统公共交通信息管理系统》总体设计方案。5.3.6、公交公司信息管理系统长天补充或从少扶方案中提取5.3、商业金融消费方案如前述，在桂林市“城市通卡”中有专门的银行金融区，在该区中有电子存折和电子钱包。所以，该卡具有金融功能，也是一种金融卡。商店或宾馆等部门可以做为发卡银行方或城市一卡通项目公司的特约商户。银行方或项目公司将自己的PSAM卡以及消费终端安装到特约商户，用户在进行购物等消费时，就可以在消费终端中划帐交易，免去了付现金的麻烦。特约商户在加入桂林市“一卡通”系统时，可以选择是从城市通卡的电子存折中划帐或从电子钱包中扣款，或选择同时具有这两种划帐扣款模式，从而取得专用的PSAM卡和消费终端。电子存折交易有些类似于目前的信用卡或储蓄卡划卡交易，持卡人（市民）在交易终端中输入个人的密码，然后特约商户在消费终端上从城市通卡的电子存折中将相应的款项转帐到自己的帐户上。电子存折交易一般适用于数额较大的交易，该交易是记名交易，特约商户最后从银行结算，由银行将最终的结算额从持卡人（市民）个人帐户中划入特约商户在银行的帐户中。第94页共94页 电子钱包交易与目前使用现金交易类似，持卡人（市民）在特约商户交易时，如果选择电子钱包交易，特约商户在专用消费终端上从持卡人（市民）城市通卡中扣款。一天或一段时间的交易结束后，特约商户将扣款信息通过网络传到项目公司数据交换中心，由数据交换中心进行结帐清算，然后由数据交换中心通知银行将相应数额的款项从数据交换中心在银行中的城市通卡电子钱包帐户中转帐到特约商户帐号。电子钱包交易适用于小额交易。在商业金融消费应用中，主要处理资金流的问题，如上所述，在本应用中涉及到的资金流包括电子帐户资金流和电子钱包资金流。电子帐户资金流的起点是持卡人（市民），经过银行转帐和项目公司数据交换中心的信息处理，终点是特约商户。电子钱包资金流的起点也是持卡人，经过项目公司数据交换中心的信息处理和清算，通知银行进行划帐，终点也是特约商户。这两者之间的主要区别有两点，一点是划帐帐户不同，电子存折交易是从个人帐户划帐到特约商户，电子钱包交易是从项目公司电子钱包帐户划帐到特约商户；另一点是划帐处理的主体不同，电子存折交易以银行处理为主，将处理后的信息传到数据交换中心，而电子钱包交易以数据交换中心为主，交易记录首先传到数据交换中心，由数据交换中心进行清算和平帐，然后根据清算的结果通过银行进行划帐。第94页共94页 在金融消费应用中涉及到的设备包括：消费终端、网络设备等。涉及到的系统包括：数据交换中心管理系统、前台IC卡交易支付系统、银行后台IC卡业务管理系统和资金清算结算系统。对于本应用中可以不开发专用的系统，而是将上述系统进行整合，使之既适用于本应用，也适用于其它应用。在本应用中，要考虑ATM取现的功能，通过ATM机的改造，使用之能够处理IC卡交易，使用城市通卡，持卡人（市民）能够方便的取出现金。以后长天有更好的方案就采用长天的5.4、其它行业应用扩展在本系统中，整个项目包括城市通卡都要具有一定的行业应用扩展性。对除以上提到的几个行业以外，其它行业的扩展分为金融扩展和系统扩展两种扩展模式。金融扩展主要指金融消费扩展到不行的行业，也就是说其它行业以金融消费特约商户的形式加入到桂林一卡通项目中。这类行业包括：非月票制的公园收费、公厕收费、路桥收费和出租车收费等，煤水电收费也还采用这种模式扩展。系统扩展主要是指要在卡上加入新应用的行业，如煤、水、电预收费等应用，在卡上要开辟专用的区域，存放专用数据，以便在这些应用中使用。第94页共94页 行业以系统扩展模式加入一卡通项目，首先要从项目公司申请卡应用区，然后与项目公司一起生成行业使用密钥，与其它行业应用中需要的密钥合起来生成行业PSAM卡，并在城市通卡中加入本行业的应用区。然后行业根据城市通卡和PSAM卡的要求，依据本行业的特点，建立行业管理信息系统，做为一卡通项目的一个行业节点加入项目中。以预付费水表应用以系统扩展的方式为例：卡片上的建立一水表应用目录，该目录内包括一个计量文件和相应的密钥，当用户去预购水量，在从银行应用的电子存折或电子钱包中扣除购水费用的同时，在计量文件中写入购买用水的的数量。通常以立方米为单位。然后在用户将卡片插入到自家的水表中时，经过合法性认证后，计量文件内的数值转移到水表中，完成了整个的购水的过程。5.5、WEB信息服务系统长天补充5.6、财政统发工资系统长天补充第94页共94页 六、运行环境6.1、概述“桂林市一卡通”系统是一个分布式的应用系统，如以上总体设计和软件方案所述：在运行部门上分为一卡通管理中心、应用行业管理中心、售卡充值点、数据采集点、资金管理中心和IC卡消费机具内嵌软件几个部分。其中一卡通管理中心做为整个系统的管理中心，数据量大，运行环境要求高；公交公司是一个特殊的应用行业，它的数据量大，和IC卡管理中心的数据量是一个数量级，所以要求的运行环境也较高。而其它的应用行业的数据量较小，运行环境要求较低；资金管理中心一般是银行，所以可以不做考虑；售卡充值等部门业务单一，数据量小，一般以单机的形式存在。由于系统庞大，数据多，应用行业多样，所以对数据的安全性和可靠性要求很高，整个系统运行的平稳性也要求很高，因此在关键部门和数据量大的部门，如一卡通管理中心和公交公司，数据库要选择可靠性高的大型数据库系统，比如Oracle、SYBase等数据库，在其它数据量较少的应用行业部门最好也采用与一卡通管理中心一样的运行环境，便于开发和维护。而单机操作模式下可采用SQLAnyWhere、SQL7DeskTop、FoxPro等单机版数据库。在整个系统开发工具方面最好使用目前流行的信息管理系统开发工具：PowerBuilder，辅以VisualC++、VisualBasic等其它开发工具。第94页共94页 6.2、一卡通管理中心一卡通管理中心是整个系统的关键部门，数据交换中心设置在该中心，业务数据量大、功能繁多，所以系统建设性能要求很高，在运行环境方面要选择高可靠性的软、硬件设备。环境配置情况基本如下：l服务器操作系统：建议采用SCOUnix，组成双机热备份系统；l服务器数据库系统：采用大型数据库，建议采用Oracle或SYBase；l工作站操作系统：Windows95/98/2000;l网络协议：采用TCP/IP、NETBEUI等协议。另外、一卡通管理中心还要配置IC卡发卡设备及相应的软件平台。6.3、应用行业管理中心应用行业管理中心管理对“城市一卡通”在某个行业的应用进行管理，负责汇总管理本行业的消费记录和消费情况。对于公交公司，数据量很大，运行环境方面可以采用一卡通管理中心的配置。其它的应用行业的配置如下：l服务器操作系统：WindowsNT企业版；l服务器数据库系统：采用大型数据库，建议使用Oracle、SYBase、MSSQLServer；l工作站操作系统：Windows95/98/2000;l网络协议：采用TCP/IP、NETBEUI等协议。第94页共94页 6.4、IC卡售卡、充值点IC卡售卡、充值点负责IC卡的申请、发放和充值等工作，分散面较广，工作单一，一般采用单机的方式脱机处理，所以运行环境配置较低，具体如下：l操作系统：Windows95/98/2000；l数据库：SQLAnyWhere、SQL7DeskTop、FoxPro等桌面级数据库系统；l网络环境：TCP/IP协议、NetBeui协议，使用拔号网络。第94页共94页 七、系统安全保障体系7.1、城市通卡的安全机制城市通卡是本系统的电子交易支付介质，所以它的安全性是系统最关键的环节。作为城市通卡的CPU卡，从设计、生产、运输、制作、应用等各个环节从物理上、逻辑上全面保证卡的安全性。CPU卡的安全性是由CPU卡芯片的安全性、CPU卡片的安全性、CPU卡操作系统的安全性、CPU卡应用系统以及CPU卡库存管理的安全性等多方面来保证的。CPU卡芯片的安全性、CPU卡片的安全性的安全性前面已经描述。CPU卡操作系统的安全性由操作系统的开发商来保证。在本系统中一定要选择通过人民银行总行IC卡金融应用测试、并且有大量应用实例的操作系统。CPU卡的库存管理由用户保证。用户应该为系统中所有的卡建立严格的管理体制，严格控制每张卡的流向。7.2、黑名单的控制当城市通卡被挂失，或者出现了伪卡，本系统将挂失的卡和伪卡称之为黑卡，这些黑卡是要在本系统禁止使用，本系统将所有的黑卡记录在一个黑名单中。车载机、充值终端、POS第94页共94页 机等各种IC卡机具在对城市通卡进行验证时，和机具内部保存的黑名单对比，如果发现是黑卡，则禁止使用，甚至可以锁死黑卡，使黑卡再不能使用，保证系统安全性。随着系统的使用，黑名单是不断增加的，时间一长，就会超出系统设计的容量。这里我们在非接触式IC卡上记录最新的使用时间，当一年内非接触式IC卡没有使用时，非接触式IC卡就自动停用，持卡人要继续使用该卡时，就要到BOM等进行复查，如果该卡片不在黑名单，又是有效的，则激活卡片，继续使用。否则没收卡片。这样黑名单只需保存最新的记录，对于过时的记录，则清除掉，减少容量。此外，采用合适的方法保存黑名单，比如对于卡号连续的黑名单，就只需保存起始卡号和结束卡号。所有新产生的黑名单定时传输到一卡通管理中心，由一卡通管理中心综合、确认后，形成最新的黑名单，再下发到各个应用机具。7.3、数据传输的安全机制本系统各个环节要传输大量数据，为了保证数据传输的可靠性、完整性、一致性，将要开发专用的数据传输系统，负责整个系统的数据传输工作。数据传输系统在进行数据传输时，为了防止数据被盗窃，保证数据传输的安全性，针对不同数据，采取对称密码算法或者非对称密码算法对数据进行加密传输第94页共94页 7.4、工作站安全机制本系统的工作站遍布城市，有的结点通过专用线路接入系统，有的结点则要通过公共电话网来接入系统，这就有可能遭到网络黑客的攻击，危害系统的运行。为了防范，系统将在有远程访问服务的主机服务器上配置安全、可靠的防火墙系统，拒绝非本系统指定的工作站进入。系统的所有工作站都是要得到一卡通管理中心注册授权的，整个系统也是封闭的，在访问控制方面只有系统注册授权的工作站才能进入系统，非注册授权的拒绝访问。7.5、应用环境的安全性系统的应用环境也要具备严格的安全机制，不但要使系统的硬件、网络、软件满足行业安全标准，还要对系统的应用人员进行严格的安全管理。在网络登录上增强安全限制，利用放火墙等手段，使只有系统内部指定的人员在指定的机器上用特定的帐号才能登录到系统内部来，且不同类型的用户访问到的系统资源不同，防止因帐号的泄露而导致黑客的侵入。第94页共94页 八、系统运行维护保障体系8.1、系统软件升级体系当需要对系统设备或软件升级时，根据总体设计方案，设计升级方案，组织人员进行系统升级。8.2、系统软件远程分发基于“一卡通”系统的网络环境，建立系统软件自动分发系统。当系统升级或软件更新时，升级和更新后的系统或软件，通过系统网络，自动分发到各个相关工作站，实现系统升级和软件更新。8.3、系统远程监控体系当系统发生问题时，用户方技术人员利用有效手段向德生及时通报，由我方技术人员通过调制解调器（Modem）或其它远程接入手段进入用户的网络系统，对网络、主机或应用故障进行远程在线诊断，确认合适的解决方案，指导用户方人员进行现场操作。第94页共94页'