本项目是在银行、邮电局、供电局等相关单位现有计算机系统基础上开发的,以用户持有的IC卡作为电子货币,通过银行来统一结算费用的一种计算机缴费代理业务。
包括石油、自来水、天然气、电力、通讯等能源及服务的供应单位都可以授权银行作为缴费代理。从而持卡人可以在加油站持卡加油、在自来水公司持卡交纳水费、在天然气公司和电力局持卡交纳气费和电费、到电信局交纳电话费用等等,代替原先的现金支付方式。这样就可避免各单位自行投入发行各种交费卡,进行重复建设,而且卡不能通用,形成“金卡满天飞”的混乱局面。
开发背景
我国上马“金卡工程”的目标就在于紧跟世界金融电子化潮流,普及信用卡。但目前我国许多金融非金融单位发行了各种与金融相关但用途各异的卡:提款卡、存款卡、加油卡、就餐卡、乘车卡等,形成了数目巨大的“持卡一族”。这样不仅重复建设,而且各种卡不能通用,形成了“金卡满天飞”的局面。这时银行就理应参与和协调各家单位的行动,统一发行交费卡,以金融背景为卡提供信用担保,为用户(持卡人)和各单位提供结算服务。
系统结构
硬件组成
城市IC卡系统在中心机房采用多用户结构,基于Unix组网,能够通过TCP/IP协议,支持与Windows NT、WFW、Netware等多种网络系统的无缝连接。授权网点与中心机房的远程数据传输通过远程登录进行。这样,城市IC卡系统在使用范围内形成一城域网。
系统与IC卡及IC卡读写设备的接口根据ISO7816系列标准开发。系统适用逻辑加密存储卡和CPU卡(2Kb以上可用存储单元)。前者已能达到较好的安全性能,功能上也能满足城市IC卡系统现有要求,CPU卡则能够提供更多功能,方便以后的功能拓展。但两者价格相差数倍,银行可以根据情况选用。
系统支持通用IC卡读写设备。
系统设计
一 系统概述
IC卡支付系统,其特点在于使用IC卡代替现金成为人们日常消费的支付手段。首先是公用事业领域的费用支付,例如城市居民需要定时缴纳的水费、电费、电话费用以及有线电视收视费用,还有各项保险费、交通罚款、交通规费等等,其次可以包括日常消费如商场购物、乘坐公共汽车、出租汽车等等,可以说其功能是无限扩展的。
城市IC卡由银行发行。当城市IC卡应用于公用事业领域的费用支付,并且要求银行代缴时,它具备专用帐户的功能;当城市IC卡应用于一些需要及时支付的费用时,由于技术上可以保证无须获得银行的授权即可进行支付,它相当于现金,即所谓“电子货币”。
二 设计目标
我们确定以下原则作为系统规范设计方案的取舍标准。
由于系统应用于金融领域,需要保证系统及数据的安全性,在系统设计一级尽可能防止针对金融业务的伪造、篡改、抵赖及其它非法行为。
系统可以24小时稳定运行,对可能出现的故障具有预见性,提供监控功能,提供远程维护功能,对由于管理及人为原因造成的灾难性事故提供修复的可能性。
系统是开放的,具备多方面意义:层次性设计,可以进行功能扩展;与硬件无关,支持多种硬件平台;形成开放体系,在一定条件下允许通过开放标准和其它系统兼容;
三 系统总体设计
城市IC卡系统通过中心机房对城市IC卡持卡人和各授权网点实现完全管理。
从硬件上看,中心机房由两台或多台服务器以EtherNet方式组成一小型局域网(LAN),并根据城市IC卡系统与银行现有网络之间约定的数据交换方式,连接进银行现有网络。
从软件上看,中心机房主要实现:
交易清算功能:定时对由城市IC卡支付产生的交易进行结算,输出结算文件或者结算报表(根据数据交换方式确定),提交银行业务部门以便处理。
网点管理功能:增加、删除授权网点,设置网点操作权限,发放网点电子钥匙;
操作员管理功能:发行操作卡,设置其级别及权限。
授权网点可以包括银行营业大厅及其附属网点(各分理处、储蓄所、支行),电信局各收费网点、自来水公司各收费网点、加油站等等,还可以包括商场、酒店。
授权网点的硬件组成比较简单,可以根据网点所在单位的要求及网点功能情况进行配置。一般由两种方案:一种基于Unix终端,采用集成型Unix终端,附带IC卡读写器、MODEM、X.25专线、简易票据打印机;一种基于普通微机,再配上IC卡读写机,调制解调器(MODEM)、票据打印机等分立设备。
网点功能由银行授权确定。当有关单位或商户向银行申请授权时,银行通过发放电子钥匙指定网点的功能权限。这些功能包括:
- 发行城市IC卡:包括发行和补发城市IC卡;
- 城市IC卡挂失处理:挂失的申请,挂失的撤消等;
- 卡上余额查询:查询城市IC卡卡上有关信息;
- 持卡付费:允许持卡人刷卡支付本网点涉及的有关费用。
授权网点与中心机房之间通过公用电话网络(PSTN)或者公用分组数据网(CHINAPAC)进行数据传输。这些由中国电信提供的电信服务的分布范围完全可以满足城市IC卡系统的要求。
由于IC卡良好的安全性能,持卡交易时,授权网点无须与中心机房实时连接,而是定时向中心机房传输交易数据,比如每隔4小时或24小时(具体根据业务量及网点的要求而定),这样可以大大降低系统运行时在通讯方面的开销。
安全体系
一 概述
本部分论述城市IC卡系统的安全体系。由于牵涉众多利益主体,针对城市IC卡系统的非法企图是客观存在的。综观城市IC卡系统的整个工作过程,以下环节存在被攻击的可能性,这种攻击可能是利益驱动下的恶意的非法企图,也可能是由使用环境导致的无意的故障:
- 伪造城市IC卡或操作卡:自行购卡,写入数据,进行消费或操作;
- 复制多张城市IC卡:将有效城市IC卡上内容复制到已失效的城市IC卡上;
- 篡改卡上数据:修改有效城市IC卡上数据以获取实际利益;
- 伪造交易数据:授权网点伪造交易数据发送至中心机房;
- 篡改交易数据:授权网点篡改现有交易数据;
- 系统级故障:由于管理、操作、断电等原因导致数据损坏、系统故障等等。
建立完整的安全体系还在于明确事故发生后的责任承担者。如果持卡人将身份证明、用户密码全部交给他人,由此引起的盗用显然应由持卡人自己承担,而不能视为银行的责任或系统的设计缺陷。这样,系统牵涉的利益主体必须制订严格的管理措施。
二 系统安全性
城市IC卡系统采用系统密码、电子钥匙、操作IC卡三层机制对系统存取进行控制(Access Control)。
2.1 系统密码
运行于任何终端或服务器上的城市IC卡系统软件,均设有系统密码,操作员在启动系统时,都需要输入系统密码,在核对正确后,才允许进一步操作。
如果系统属于初次运行,在启动后,操作员会被要求建立一系统密码。
系统密码对非法使用合法系统建立第一道屏障。
2.2 操作IC卡
对必须操作城市IC卡系统的人员,经各部门或单位提出申请,由银行发给操作IC卡。卡上存有操作员姓名、操作权限等有关信息。操作IC卡由城市IC卡发行银行进行审批、发行、撤消及权限设置,并建立操作人员档案进行统一管理。
操作员在执行任何有效操作之前,必须进行登录(Login)。登录就是插入有效的操作IC卡。操作员如果暂时离开系统一定时间,会被要求重新登录。操作员在关闭系统时,必须正确登出(Logout)方为有效。
在操作员正确登录后,所有操作都会带有该操作员代号数据,便于事后监督及责任承担。
操作IC卡建立了防止非法使用合法系统的第二道屏障。由于银行统一管理操作IC卡,大大降低了由内部人员参与作案的可能性。
三 数据安全性
城市IC卡系统中可能会受到攻击需要进行安全防护的数据分为三类:卡上数据(包括城市IC卡和操作IC卡)、途中数据和系统所在地数据(包括各网点终端和中心机房)。系统对这三类数据根据其特点分别采取安全措施。
3.1 卡上数据
对于卡上数据,系统存在三层防护措施:
用户密码是由不超过10个的数字和字符组成的序列。用户在申请城市IC卡时(即银行发行该卡之时),需要自己指定用户密码。此后用户(即持卡人)每次持卡消费时,必须正确输入该用户密码。用户也可以在有关授权网点自行修改该用户密码,修改密码时,必须先正确输入原来的用户密码。
系统根据用户密码生成该卡的存取密码用于读写IC卡。
用户密码可以有效地防止无授权使用城市IC卡。
存取密码(PIN)是IC卡独有的安全机制。PIN一般是2-4位的数据串,具体由所选卡型确定。系统在读写数据前,首先必须进行PIN校验。如果连续进行3次(或者4次)错误的PIN校验,IC卡将自毁,无法继续使用。这样IC卡可以防止通过尝试多次获得存取密码的行为。
IC卡的存取密码机制可以有效的防止伪造、复制城市IC卡等行为。
卡上数据采用DES加密算法进行加密。DES即Data Encryption Standard(数据加密标准)的简称。DES算法由IBM公司提出,于1977年由美国国家标准局(NBS)颁布作为数据加密算法标准,是国际上广泛使用的、极其安全的数据加密算法。
同时,卡上数据分块使用CRC循环冗余校验,保证数据的完整性。
有效的数据加密和校验可以防止非法篡改城市IC卡上数据的行为。
3.2 途中数据
途中数据需要对付的主要有以下事件:伪造假冒等非法企图、抵赖行为以及由于线路、丢失等故障。对途中数据,主要采用数字签名技术和数据加密校验技术。
数字签名技术(Digital Signature)是密码学的最新进展之一,它可以具有任何其它人无法伪造签名、签名者事后无法否认、可以进行仲裁等特点。城市IC卡系统对途中数据采用数字签名技术,可以实现以下目标:
确认数据发方真实性:当中心机房接收数据时,可以保证数据来源于授权网点,同样,网点在接收数据时,可以确信数据来源于中心机房,这样可以防止伪造假冒授权网点的行为;
防止事后抵赖:授权网点不能否认自己向中心机房发送的交易数据,中心机房也无法否认接收到有关交易数据,避免引起结算纠纷;
可以仲裁:如果数据收发双方关于签名真伪发生争执,可以在公正的仲裁面前通过验证签名进行鉴别。
系统采用公开密钥体制RSA算法实现数字签名。
途中数据同样采用CRC校验,可以保证数据被非法篡改或故障丢失后,不被接收。
3.3 本地数据
授权网点和中心机房的数据主要要防止人为破坏和操作事故。系统设计使得操作人员并不直接面对本地数据,也无须了解系统所涉及到的各种数据的结构,这样可以防止出现误操作,并对防止人为破坏起到一定作用。另一方面,系统重要数据全部存在数据库中,并可以充分利用数据库技术提供的各种防护手段。虽然系统对本地数据采用了各种防护手段,但是对操作人员进行职业道德和业务培训应该是最主要的措施。
操作人员只有通过城市IC卡系统才能面对系统数据,如果有人企图直接面对数据库,就需要输入数据库存取密码。数据库存取密码由城市IC卡系统设计人员在设计时指定。
数据库内数据经过加密运算,这样可以阻止操作人员或其他人以二进制方式查看或者修改数据库文件。
中心机房服务器和授权网点机器需要采用RAID技术、双机热备份或者硬盘镜像技术,如果由于断电、机器原因或者操作系统出错引起数据出错,数据可以实行修复操作
四 日志记录
系统设计了完整的日志记录功能,能够跟踪城市IC卡系统的整个运行流程。日志记录是系统运行过程中发生的事件的集合。一条日志记录包括事件代号、事件描述、事件参数、事件发生时间等内容。
4.1 事件分类
城市IC卡记录的日志事件可以分为三类:
- 一般事件:诸如通讯出错、线路忙、读写器连接出错、打印出错等;
- 系统事件:系统启动、操作员登录登出、数据交换、密码验证等;
- 严重事件:密码验证出错、交易撤消、数据校验出错等。
4.2 日志选项
系统级操作员可以更改日志选项,这些选项包括:
- 事件类别:确定一般事件或系统事件是否需要记录;
- 自动清除:是否定期自动清除过期事件记录;
4.3 日志管理
操作员可以浏览日志记录。系统级操作员可以及时清除过期记录。
五 事故恢复能力
城市IC卡系统事故大致可以分为两类:系统由于机器设置或者环境配置等原因无法启动,数据在系统中或在传输途中损坏。
5.1 系统事故
对于系统事故,需要仔细分析原因,考虑是由于机器(服务器、终端或者网络)引起的,还是由于系统参数设置不当引起的。对于后者,操作员首先可以通过浏览日志记录获得事故发生前的操作记录,为分析故障原因提供依据。还可以通过浏览参数设置,对故障原因进行分析。
对于系统事故的恢复,有以下解决办法:
- 如果能够迅速找出事故原因,可以在更正后重新启动;
- 如果采用双机热备份技术,可以迅速启动备份机器;
- 在参数设置工具软件里选择“缺省配置”,重新启动系统;
- 还可以要求进行远程维护;
5.2 数据事故
数据事故可能发生在传输过程中,也可能发生在本地。
对于传输过程中的数据事故,收发双方会再次协商,进行重发,直到正确接收为止。
对于在本地发生的数据事故,修复方法首选是根据数据热备份进行恢复数据;
5.3 远程维护
城市IC卡系统提供远程维护功能。系统发生事故后,操作人员可以与我公司紧急联系,提供维护所需的登录口令,我公司维护人员远程登录至系统主机,对系统进行维护。
六 管理措施
在安全体系建立方面,技术上的努力只是一部分,甚至是很小的一部分,主要在于严格的管理措施。这些管理措施包括:
- 职业道德培训:选择合适的人员接触本系统;
- 技术业务培训:尽可能避免误操作或其它失误;
- 资料保密:让不同级别的人接触相应的系统技术资料;
- 密码管理:经常更换密码,特别是职位有变动时。
运行管理
一 概述
本部分从运行管理的角度出发简要介绍城市IC卡系统的运行过程。
二 系统工作台
在城市IC卡系统内,需要从城市IC卡系统工作台上启动,因此城市IC卡系统具备统一的操作界面。
系统工作台包括基本功能块和指定功能块两部分。
基本功能有操作员登录、登出、日志浏览、操作卡上信息浏览、工作台设置、帮助以及退出工作台等功能。
指定功能包括由网点申请银行授权的城市IC卡功能,可以是发行、预付、挂失处理等等,还可以包括其他特定的应用软件,例如,电信局话费结算系统:话费交纳软件、话费查询软件、应用注册软件等等。
三 中心机房
3.1 系统启动
操作员开机后,将操作卡插入IC卡读写器后,选择“操作员登录”功能,进行登录。系统在操作员正确登录后,才允许操作员执行其它功能。
3.2 操作卡发行
中心机房通过操作卡发行软件管理城市IC卡系统的所有操作员(包括中心机房以及授权网点)
3.3 交易结算
中心机房通过交易结算管理软件完成交易结算功能。操作员需要定时运行交易结算软件。结算输出可以以报表的形式或者电子文件的形式提交给银行业务部门。
四 授权网点
4.1 系统启动
操作员开机后,启动城市IC卡系统,将操作卡插入IC卡读写器后,选择“操作员登录”功能,进行登录。系统在操作员正确登录后,才允许操作员执行其它功能。
4.2 持卡交易
系统通过银行指定功能或者特定应用程序,对持卡人进行服务,包括发行、预付、挂失处理、持卡消费等。
4.3 数据传输
交易数据可以通过多种渠道传输至银行中心机房。如果通过电话网络或者专线进行远程连接,数据可以实时或者定时传输,也可以人工通过磁盘或磁带进行传输。
4.4 交易结算
结算在网点将交易数据发送至中心机房后由中心机房自动进行。
五 持卡人
5.1 申请城市IC卡
城市IC卡的申请可以在银行有关规定下进行。
申请人可以到发行银行及其网点申领城市IC卡。申请时,需要提交身份证明,并设定卡的用户密码。
持卡人到银行或者授权预付网点往卡内存入一定费用后,即可在各网点刷卡付费了。
5.2 持卡消费
在授权网点持卡消费时,持卡人需要出具身份证明(由银行规定),在正确输入用户密码后,可以用卡支付有关费用。
5.3 服务
持卡人在银行及其授权网点可以获得以下服务:
- 查询卡上余额:了解卡上有关信息如发行时间、有效期、卡上余额;
- 更改用户密码:输入原来的密码后,设置新的用户密码;
- 申请挂失:在城市IC卡丢失后,出具申领证明,可以挂失;
- 撤消挂失:挂失后,又找到,可以撤消挂失,继续使用;
- 申请补发:挂失后,要求银行补发,卡上余额不变;
- 自动付费;可在公用事业付费方面要求自动付费,每月只须到临近银行网点,就可以一次交纳所有公用 事业费用,包括电话费、电费、水费等。
| 
