商业银行金融IC卡系统的实现.doc

商业银行金融IC卡系统的实现 商业银行金融IC卡系统硇实坝 建设银行湖南省长沙市网管中心陈勇 金融Ic卡具有良好的安全 性,脱机交易方便快捷等优势,在 金融应用领域具有比磁条卡更广 泛的应用前景.为实现系统建设 的规范统一,交易的通用性和资 源的共享,人民银行在北京,上 海,长沙三地组织了金融Ic卡的 试点工作,并成立了相应的银行 卡中心.当前,由人民银总行,人 行地区分行,商业银行(发卡行) 组成的三级密钥管理系统已经建 立,为各商业银行开发Ic卡系统 提供了统一的标准.本文以银行 卡网络建设为背景,介绍了商业 银行金融Ic卡系统的设计与实 现 一 ,金融IC卡系统 的网络接口 在人民银行《中国金融集成 电路(Ic)卡规范》(以下简称(IC 卡规范》)的指导下,为保证标准 的统一和设备资源的共享,各金 融Ic卡试点城市建立了以人行 地区分行银行卡中心为主的Ic 卡交易网络,其中商业银行(发卡 行)金融Ic卡系统的网络结构如 图1所示.该系统由人行地区分 行银行卡中心,商业银行城市综 合网和Ic卡前置机系统三部分 构成. 1.人行地区分行银行卡中心 人行地区分行银行卡中心同 时是二级密钥中心,负责金融Ic 卡的取现/消费根密钥的分散和 PSAM卡的管理.因此各商业银行 的金融Ic卡可以在装有PSAM卡 的公共POS上脱机交易,人行地 区分行银行卡中心负责POS脱机 流水的接收,再通过网络将交易 流水分发到各商业银行的Ic卡 交易系统.此外,联机的POS交 阿点网点POS公共圈存机 图1 ‘中国信用卡)2oo1年第4期l总第59期 易,磁条卡交易和Ic卡的圈存/ 圈提交易也通过人行地区分行银 行卡中心转发,使得设在特约商 户的终端设备可以受理各家商业 银行的金融Ic卡. 2.IC卡前置机系统 各商业银行的Ic卡前置机系 统与人行地区分行银行卡中心联 网,同时进行Ic卡交易的预处理, 如Ic卡交易的MAC校验,回应包 的MAC生成,脱机交易的TAC值 校验和帐户的检查等工作.由于 {IC卡规范》要求交易的加密/解 密工作由加密机完成,因此Ic卡 交易的前置机系统与加密机,交易 主机一般在一个局域网上,并用 TCP/IP等协议进行通讯. 3.城市综合网 商业银行的城市综合网完成 Ic卡交易的帐务处理部分,并利 用银行内部网络完成Ic卡的异 地交易.金融Ic卡的交易必须符 台{IC卡规范》的要求,并进行相 关的安全认证. 二,金融IC卡交易的实现 金融Ic卡的交易包括电子 存折和电子钱包两种方式.对于 一 张金融Ic卡来说,它可以同时 支持电子存折和电子钱包两种应 用,也可以只支持其中的一种.根 据{IC卡规范》,卡片支持的交易 包括圈存,圈提,取现,消费和修 改透支限额等.金融Ic卡的帐户 一 般包括一个银行主帐户和电子 存折,电子钱包两个脱机帐户.由 主帐户向脱机帐户转帐的交易称 为圈存交易;由电子存折向主帐 户转帐称为圈提交易.电子存折 可以联机消费,也可以脱机消费, 而电子钱包只能脱机消费.Ic卡 可以保存10笔交易流水. 卡片进行交易的时候卡片内 部和Ic卡交易系统之间必须有 一 个相互认证的过程.这个过程 是通过存放在加密机里的银行密 钥M-kK和存放在用户卡中的密 钥文件D-kK来实现的.银行密钥 包括消费密钥MPK,圈存主密钥 MLK,圈提主密钥MULK,修改主 密钥MUK,签名主密钥MTK,重 装PIN主密钥MRPK,解锁PIN 主密钥MPUK和应用维护主密钥 MAMK.这些密钥根据用户卡卡号 进行分散(DES算法)分别生成对 应的用户密钥G-kK. 下面以Ic卡的圈存交易为 例,介绍Ic卡金融交易的实现, 如图2所示. 1.交易终端(圈存机)发出圈 存初始化Initializeforkad指令, 启动圈存交易. 2.IC卡收到Initializefor Load圈存初始化命令后,将进行 以下操作. (1)检查支持命令中包含的 密钥索引号能否被Ic卡支持. 如果不支持,则回送状态码 “9403”(不支持的密钥索 引),不回送其他任何数据,同 时终止命令的处理,过程结束. (2)IC卡产生一个伪随机数 (ICC),过程密钥SESLK和一 个报文鉴别验证码(MAC1), 用于主机验证圈存交易及Ic卡 的合法性.SESLK是被用于电子 存折或电子钱包圈存交易的过程 密钥. 圉2 弼卡处理 耋瓤赴趣 醇卡她理 《中国信用卡)2oo!牟第4期f总第59期 图3描述了交易进行时产生 过程密钥的机制.用用户卡中的 圈存密钥DLK对InputData进行 三次DES运算得到过程密钥.这 方法也用于不同交易类型的过程 密钥的产生,但输入的数据取决 于不同的交易类型.用来产生圈 存交易过程密钥的输人数据如 下:InputData=伪随机