商业银行ic卡总体方案书

商业银行ic卡总体方案书内容摘要：

要完成对终端设备、系统参数、密钥、黑名单等数据的管理、查询，监控系统对交易状态和系统资源进行监控和管理。 交易处理核心 交易处理子系统是整个前置机系统的关键，它包含交易 处理守护进程，安全认证，交易日志的管理和交易转发模块，与其它的相关子系统的关系如下： 图表 7 前置机交易处理核心结构 交易处理守护进程与接口守护进程一般是通过消息队列进行通 交易处理子系统 基于 TCP/IP 交易转发模块 安全认证 日志文件 交 易 处 理 守 护 模 块 接 口 守 护 进 程 监 控 系 统 讯，或者两者融为一体。 前置机系统的主要任务是预处理和转发批量的脱机交易数据，在设计交易处理子系统时，必须具有较高的处理速度和能力。 以下的系统设计过程中，都以实现这个目标为前提。 消息驱动 这种方式将传统意义上的应用 ( 服务进程 )根据不同的功能，相互独立起来，各个子服务进程 ( Services )之间读取消息队列中某一特定类型的交易消息，与不同的请求 ( 客户端的消息源 ) 建立有机的联结，交易处理后并将结果返回。 消息驱动的方式适用于不同操作系统之间的 TCP / IP 通信。 图表 8 消息驱动的交易处理核心 并发机制 交易处理守护进程接收到请求后， 通过 fork( )调用 ， 复制自己调用不同的服务来处理不同的请求，以达到并行处理的目的。 子进程处理完毕，将结果回送相应的通讯端口，并写监控消息队列。 交易监控信息 批上送接收服务进程 下传黑名单服务进程 交易监控系统 交易消息队列 TCP 接 口 守 护 进 程 请求 １ 请求 N 这种方式用 于处理销售终端 ( POS ) 经网控器 ( NAC ) 上送的交易。 图表 9 并发机制的高效处理 交易处理守护进程 读进程 写进程 与网控器 ( NAC )联结的通信端口 子进程 1 子进程 N 交易监控 信息 交易处理守护进程 交易请求 队列 交易结果 队列 批次号的管理 接收客户端批量上送的脱机交易，是前置机提供的主要服务。 前置机通过对批次号的管理来保证接收到的数据的正确性。 批次号是此批上送数据的唯一标识，批上送接收服务进程接收到客户端的数据后 ，将先检查此批次号的数据是否已被处理过。 如果曾被处理，则直接将成功的结果返回。 在前置机上建立一记录批上送信息的流水帐表 ，如有新的批上送业务，处理成功后保留其批 次号和此批交易的总笔数与总金额等信息。 报文安全认证 安全认证是交易的必不可少的部分，也是业务发展的要求。 每笔交易都需经安全认证系统的校验。 校验信息 ( MAC )的生成主要采取基于 DES 的 标准算法。 交易转发模块 交易转发有实时转发（联机交易）和临界值转发（脱机交易）两种方式。 通过修改参数文件的配置或根据交易信息来实现两者之间的转换，兼容以前的磁卡交易。 从联网的角度出发， 前置机应提供动态的路由寻址，可将不同区域的不同卡种的交易转发到目的地。 对 于 脱 机交 易 的批 上 送， 需 启 动一 批 处理 守 护进 程 ( Batch_Server )接收批上送服务进程发来的消息，判断已处理的交易笔数是否已达到临界值（每批上传到后台处理的交易笔数），以便搜索数据库，将未上送的脱机交易打包，送往后台中心。 交易处理子系统返回给客户端的结果并不是真正的实时记帐的处理结果。 上送服务进程 ( Batch_Send ) 从批处理消息队列中读到消息后，按起止顺序号查找流水帐并锁住这一批记录，按照约定的格式打包发送，并根据中心返回的结果修改流水帐或记录异常流水。 批处理守护进程 ( Batch_Server )每次启动时 先查找流水帐 ，统计库中未处理的交易，防止由于上次 (异常 )退出时批处理消息队列中未处理的消息长时间未处理。 上送进程 ( Batch_Send ) 利用中间件通信平台提供的函数，与 IC 卡后台主机的服务进程建立联结，完成批上送的任务。 交易日志 凡涉及更改数据库的交易，须写日志文件或者记录到交易流水帐中，以备以后的核对和查询统计。 如果在交易过程中出现错误，在日志文件有详细的记载。 监控子系统 作为一个完整的监控系统，应包括实时交易监控，系统资源和守护进程的监控三大部分，它们是相对独立的。 实时交易监控 实时交易监控从监控消息队列中读取信息， 经过格式转换后，将其写到实时交易监控窗口上。 通过实时交易监控，可以查看当天的最后一批交易处理的时间及结果，相应的统计信息 ( 如总笔数，总金额等 )。 对交易进行时间段统计，管理人员根据高峰期和相对空闲期，调整日终处理，其它与实时交易关系小的服务（如下传黑名单）的时间，合理利用系统资源，提高系统的运行效率。 系统资源监控 系统资源指运行整个 IC 卡前置机系统必需的相关硬件和软件运行环境。 系统资源监控是系统管理人员有力的维护工具。 CPU 的忙闲 数 据库的状态 文件系统的可用空间 后台进程运行状态 守护进程监控 对系统的守护进程进行监管，除了获得进程的运行状态（最后的活动时间，暂停，异常，死亡），还可以自动地重启死亡或僵死（ zombie）的进程，以达到交易的连续性。 同样，可以让系统管理人员手工地关闭某些进程。 在系统的守护进程启动或退出时，需修改活动进程表的状态标志及时间，为进程监管提供依据。 进程监控还可以定期或在收到其它进程发来的消息后，对交易消息队列进行清理，比如，删除等待时间已超过某一上限的消息。 对交易进行时间段统计，管理人 员根据高峰期和相对空闲期，调整日终处理，其它与实时交易关系小的服务（如下传黑名单）的时间，合理利用系统资源，提高系统的运行效率。 另外， 中间件产品提供了强有力的管理平台，可以配置中间件的运行参数，修改各个服务 ( Services )的运行数目，最大限度地利用系统资源。 系统管理 系统参数配置 将系统运行参数化，是系统生命力强的表现之一。 在此为管理人员提供菜单式的易于使用的界面，对系统参数的进行配置： 批上送控制笔数 自动申请黑名单的时间间隔 可用的 IC 卡卡号段 系统清理历史数据的时间 系统守护进程的启 动数目 查询统计 在前置机系统为管理员提供界面，可对帐户明细，交易，各类登记簿和其它信息进行查询统计。 每一项的查询都包含基本信息，详细信息，统计信息和信息打印等功能。 数据维护 数据维护是系统安全运行的保障之一。 根据数据的冗余性，能及时地恢复损坏的数据。 这就要求有多种手段 ( 硬盘，磁带，磁盘等 )对系统关键数据进行备份和恢复。 黑名单的管理 将在下一章详细介绍。 端末设备 1) 商户 POS 现有 POS 只要能支持 ISO78161 2 3 ，符合《中国金融集成电路（ IC）卡规范》第三部分终端规范的 POS 产品，有两个以上的 IC卡读写器（一个用户卡读写器，一个 PSAM 卡读写器），开发出相应的应用程序，都可在本系统中继续使用。 2) 自动圈存机 3) 就餐机 5 黑名单管理 IC 卡的电子存折和电子钱包可以进行脱机交易处理的特性，使黑名单管理在 IC卡交易处理系统中显得尤为重要。 为了保障脱机交易的安全性，原则上脱机交易都应检查黑名单。 电子钱包可以不检查黑名单，因为由 POS/密码小键盘来处理黑名单是比较耗时的操作，并随着黑名单数量的增长而更加显著。 因此，对于电子钱包这类可视同于现金的电子货币可以不查黑名单；但是，发卡行如果开放电子存折脱机消费功能，受理行的 POS 必须支持电子存折的黑名单管理功能。 为了减少黑名单的管理数量，在 IC 卡应用系统中设置两种有效期，一种是 IC 卡本身的有效期，一种是黑名单的管理有效期。 黑名单管理有效期一般设为三个月或六个月，超过管理有效期的黑名单不再保存在端末设备中，只保存在主机数据库中。 当 IC 卡进行脱机交易时，首先检查 IC 卡的上次交易时间，若距离当时已经超过了管理有效期，则自动进行联机交易，查主机黑名单记录。 6 密钥管理系统 KMS 设计 完全符合人行《密钥管理系统设计方案》，略。 7 发卡系统设计 发卡简介 IC 卡发卡系统的主要是用来驱动打卡机、 IC 卡读写器或 POS，在空白 IC 卡内写入持卡人个人信息，完成空白 IC 卡到用户卡 IC 卡生命过程；或在空白 IC 卡内写入交易安全控制信息，完成空白 IC 卡到PSAM 卡的生命过程。 同时 IC 发卡信息还能提供发卡资料的管理、查询和统计报表的功能 以下是卡片初始个人化过程说明： 在 IC 卡生产过程中， IC 卡生产厂商在卡中设置生产商密钥，控制 IC卡的安全运输，以防止在 IC卡生产商和卡发行机构间被人替换。 在将 IC 卡交给发卡银行的同时，也将装有生产商密钥的密码信封 (或订购卡 )交给 发卡银行，建议采取密码信封的形式。 发卡银行收到 IC 卡后，在打卡时首先用发卡银行洗卡密钥（由XXXXKMS产生）替换生厂商密钥。 发卡银行接到这一批 IC 卡后，首先按统一编号给每一张 IC 卡分配应用序列号（ ASN）。 每张 IC 卡具有唯一的 ASN，不同的 IC 卡具有不同的 ASN。 PC 机利用外接的安全加密设备（ XXXX750 密码键盘）中的发卡密钥母卡，用主密钥对每张卡片的 ASN 加密分散，得到卡片子密钥。 PC 机向高速发卡机发指令，送入一批卡片，利用存放于发卡密钥母卡中的洗卡密钥来验证 IC 卡。 如果验证通过，创建 IC 卡 文件、写入密钥、写入公共数据。 写磁，在卡上打印卡号（磁卡卡号）。 如果在写卡或打卡号的过程，出现错误，则将卡作废，重新制作一张同样卡号的卡片，写磁失败，可重复写磁。 本 IC 卡发卡系统的设计充分利用 XXXX商业 银行现有发卡设备资源，并综合考虑了未来发展的需要而设计的。 系统特点 操作简单，界面友好 本系统采用中文 WINDOWS95/98，自动的发卡方式，帮助您轻松完成发卡工作。 高度的系统安全管理 本系统具有严格的用户管理和操作员权限管理功能，确保发卡的安全，确保系统的安全运行。 安全方面控制如下： 片的生命周期过程受到严格的监控； ； ，杜绝非法人员访问； ，其操作受到严格的审计追踪。 完善的发卡资料数据库管理 本系统提供丰富的卡资料查询、统计和报表，利于提高系统管理水平。 全面解决 2020 年问题 在发卡系统的开发设计过程中，软件上无 Y2K 问题，硬件上要求打卡机生产厂商改造时采取各种措施在防止千年问题。 IC 卡发卡方式设计 当前，在金融 IC 卡应用建设中存在两种发卡模式，分别称为“储蓄卡即时发卡模 式”和“卡管理中心集中发卡模式”。 所为“储蓄卡即时发卡模式”，指的是由银行卡部中心事先完成 IC 空白卡的初始化处理（ IC 卡初始化、写磁、打凸字、烫金），并将初始化后的 IC 卡片分发给各储蓄所营业柜台，持卡人到营业网点申请 IC 卡时，可以从网点进行开户、卡启用 ,直接领到卡片，与现阶段磁条式储蓄卡、借记卡的发卡形式类似。 “卡管理中心集中发卡模式”有所不同。 持卡人填写申请表后，由营业网点定期送卡部中心，卡部中心根据持卡人申请资料进行 IC空白卡的初试化处理，并通过安全途径将卡片和初始 PIN发送到持人手中。 储蓄卡发 卡方式 卡由制造商运至银行； 银行将厂商密钥换成洗卡密钥 ,初始化卡； 按顺序批量个人化卡 ,此时的卡仅有卡号 ,有效期 ,发卡行标识等公共信息； 客户填写开卡申请单 ,要求填写个人姓名 ,身份证号 ,电话等个人资料； 在网点 终端 上 ,进行卡启用操作 ,将开卡信息送至主机开户成功后 ,网点终端将有关信息和签名写入卡中 , 将卡状态置为开户可用状态； 将个人姓名 , 身份证号等其他个人资料补登入主机。 卡管理中心集中发卡方式 这是较为传统的一类发卡方式。 此类方式的处理过程如下 : 卡由制造商运至银行； 银行初始化卡 , 将厂商密钥换成洗卡密钥 ,初始化卡； 顾客填写开卡单请表 ,其中包括详细的个人信息； 将申请表资料送到卡部生成发卡文件，录入发卡系统主机； 依照申请表顺序制卡 ,卡个人化 (出可采用顺序批次发卡 )； 卡被个人化后 ,被设置初始 PIN，并制成密码信封发放给用户。 本系统中，针对不同应用的卡，两种发卡方式并存。 快速发卡系统 一 体 化 打 卡 机主 密 钥 卡前 置 机 或 帐 务 主 机网 络 联 接IC 卡 务 管 理 系 统或 跑 盘 图表 10 快速发卡系统 由帐务系统生成加密的制卡文件，通过跑盘形式传 递到卡管理中心。