第5章金融IC卡管理系统需求分析和设计方案
金融IC卡管理系统的建设目标是为了实现业务流程优化措施。本章首先结合业务流程优化的信息技术支持原则,对业务流程优化措施进行分析总结,将需要技术手段支持的措施归纳为金融IC卡管理系统的业务需求,并将其转化为技术需求。其次,为了保证管理系统的成功实施,制定了管理系统建设原则。最后在需求分析的基础上,以IT风险理论和行业应用拓展理论为指导,提出了金融IC卡管理系统的安全性和架构设计方案。
5. 1需求分析
5.1.1业务需求分析
为保证金融IC卡业务流程优化措施的顺利实施,K分行金融IC卡业务团队将信息技术巧妙地运用到金融IC卡业务拓展过程中,对业务需求进行了细致梳理,归纳如下:
(1)针对校园一卡通业务流程优化措施,利用K分行短信平台实现一卡通账户圈存,为持卡人和学校一卡通管理部门提供便捷的一卡通账户充值或缴费功能;(2)为支持校园一卡通或企业一卡通业务拓展,逐步引导K分行金融IC卡的推广模式由行业主导向银行主导转变,通过信息技术实现对行业应用的数据管理和密钥管理,减少企业一卡通推广的成本;(3)针对加大电子现金应用推广的业务流程优化措施,应对特色业务平台的应用功能进行适当改造,推动行业电子钱包模式向电子现金模式转变,增加银行资金沉淀;(4)针对打造差异化产品的推广战略,应加强与移动支付运营商的合作,实现对SD卡或SIM卡的脱机交易支持;(5)针对制卡流程优化措施,改造个人化系统满足行业数据动态加载需求;(6)使ATM设备具备行业应用圈存功能,取代圈存机。
5. 1.2技术需求分析
为实现金融IG卡业务需求,K分行金融IC卡业务团队需要合理选择技术实现方式,将金融IC卡业务需求转化为可实施的技术需求。
(1)选择技术实现方式
要实现对行业应用拓展的必要技术支持,首要问题是确定行业数据准备模式及密明管理方式。行业应用的数据准备及密朗管理方式可分为四种模式,如图5-1所示,其中B (Bank)—表示银行提供、I (Industry)—表示行业提供。
B-B型是指行业密f月和行业数据均由银行提供,因此银行应当建立行业应用密钥管理体系和行业数据准备体系。
B-I型是指行业密钢由银行提供,因此银行应当建立行业应用密钥管理体系;行业数据由行业自行提供,需要银行特色业务平台与行业应用平台相联,完成数据的获取工作。
I-B型是指行业密钢由行业提供,因此由行业负责将密胡装入个人化系统专用加密机中,以便完成制卡;行业数据由银行自行提供,因此应当建立行业数据准备系统。
I-I型是指行业密明和行业数据均由行业提供。其业务模式有三种:
①银行一次发卡,装入银行借贷记应用,并建立行业应用区域和行业应用安全域,同时将授权密胡写入行业应用安全域中,行业应用平台利用自己的应用主控密朗替换授权密铜后,由应用程序根据自己的密胡和数据完成二次发卡。
②双方先协商一个共享发行密钥,行业先进行一次发卡,然后银行进行二次发卡,并将共享发行密朗替换为银行独享金融发行密朗。
③采用系统相联,行业远程发卡的模式利用银行建立的安全通道进行动态应用加载。由于行业应用的多样性,以及各行业应用需求及实施能力的不同,行业对于行业应用数据及行业电子钱包的规划可能有以下4种方式:
①行业应用专用扇区。
由于行业区不存在行业钱包应用,只保存行业信息。对于该种情况,由于行业区只存在数据,不存在密钥。因此仅仅需要考虑数据的数据准备及个人化,不需要考虑密钥的数据准备及个人化。适用于I-B及I-I型数据准备方式。
②行业应用专用电子现金。
对于该种情况,由于行业区中可能存在数据和密钥。针对密销及数据的不同提供方,1-1、I-B、B-I、B-B四种数据准备方式均有可能。
③借用金融应用扇区的信息域。
行业区不存在行业钱包,且行业信息保存在金融域的特定标签中。对于上述情况,仅存在行业数据,不存在行业密铜,适用于I-B及I-1型数据准备方式。
④借用金融应用的电子现金。
行业应用直接使用金融钱包进行消费,对于以上情景,因行业共用金融钱包,不涉及行业密钥的数据准备,适用于I-B及I-I型数据准备方式。通过以上分析,在“逐步引导金融IC卡推广模式由行业主导向银行主导转变”的策略指引下,在充分考虑行业应用的多样性和管理系统的兼容性的基础上,金融IC卡业务团队确定采用B-B模式,建立行业应用密朗管理体系和行业数据准备体系。
(2)确定技术需求。
在确定行业数据准备模式及密朗管理方式后,K分行金融IC卡业务团队经过讨论研究,将金融IC卡业务需求逐条转化为了技术需求,具体如下:
①完成K分行特色业务平台与短信平台的对接,实现空中圈存和空中缴费功能;②增设行业应用数据准备系统和密管理系统,负责集成行业数据形成制卡文件;③加强K分行特色业务平台与分行前置系统的接口研究,实现电子现金脱机消费模式的数据传输和资金清算及对账功能;④增设移动支付平台,实现SD卡或SIM卡的交易接入;⑤改造个人化系统为二次个人化系统,实现制卡数据动态加载功能、制卡程序的规范管理和动态发放SD卡或SIM卡。⑥通过ATM设备软硬件改造,使ATM支持行业应用圈存功能。
为满足上述技术需求,需要对K分行现有的金融IC卡技术支持平台进行分析,找出薄弱环节进行技术改造。虽然金融IC卡技术支持平台完整实现了金融IC卡金融应用的脱机消费功能和账务处理功能,但缺乏对行业应用拓展的必要技术支持,主要体现在特色业务平台基于C语言的开发平台,而IC卡应用加载普遍基于JAVA平台,K分行特色业务平台仅可以实现银行与行业的应用对接,但针对众多中小型企业或学校等行业单位,无法满足对包括行业密钢管理、数据准备和个人化等功能的有效支持。
最终,K分行金融IC卡业务团队得出如下结论:通过搭建金融IC卡管理系统,实现对金融IC卡行业应用的多应用管理和密锡管理,并通过二次个人化系统实现动态加载行业应用等功能,金融IC卡管理系统是技术需求中涉及的相关系统的集八口。
5.2建设原则
通过需求分析,确定了搭建金融IC卡管理系统的总体方案,要保证系统建设工作的顺利完成,实施过程中须遵循以下原则:
5.2.1统筹规划和整体设计的原则
统筹规划是管理系统成功建设的前提和基础。需要重点考虑以下四+方面:
(1)由于系统建设的对象涉及面广,必须进行充分调研,对各业务条线、各类型客户的业务应用需求进行认真梳理,对各种例外要评估分析,并在此基础上进行总体规划和整体设计;(2)要做好与系统建设、需求管理、应用开发相关的组织机构、制度规范、流程设计等工作;(3)合理界定目前K分行的客户拓展能力和系统建设能力,并对K分行金融IC卡管理系统的建设提出现实、可行的目标;(4)统筹规划K分行金融IC卡管理系统架构体系,包括整体设计组织模式、制度规范和相关技术支持系统。
5.2.2遵循标准和切合实际的原则
遵循标准和切合实际是管理系统成功建设的基本要求。K分行金融IC卡管理系统建设,要做到:(1)遵循PBOC标准,借鉴国内外、系统内的优秀成果、成功经验和最佳实践,以指导和规范建设与管理,避免重新探索、走弯路、低水平建设;(2)充分考虑市场现状和K分行实际需求,将国际标准与和K分行实际需求紧密结合,形成一套科学规范、切实实际的建设方案。
5.2.3防范技术风险的原则
在技术风险防范方面,要通过制定和完善技术风险管理制度,对系统建设过程实施全流程监控,并进行及时、完整、准确的记录、统计分析和评估,特别注意对幵发人员道德风险、应用软件的技术漏洞、网络安全和操作风险等多方面进行全方位监控。同时,还要通过建立严格的后续监督机制和项目质量评估体系,用市场应用来检验工作效果,做出后续评价,对项目开发质量、软件安全性以及项目上线后的效益等进行跟踪评估,对于质量不高、未达预期目标的,应追究相关部门和人员责任,确保后续管理和应用工作效果和效率。
5.3安全性设计
安全性设计是金融IC卡管理系统建设的重要保障。金融IC卡管理系统需要完成个人化制卡数据传输和交易处理,对系统的安全性要求较高。为有效防范信息系统风险,K分行从卡片、网络传输、交易数据以及技术外包四个因素考虑,采用了严格的安全防范措施,制定了卡片和系统的安全密胡体系,保证整个系统运行高效、安全、可靠。如图5-2所示。
5.3.1卡片安全策略
金融IC卡采用CPU卡,与传统的磁条卡不同,IC卡片自带操作系统,可以通过内外部认证的机制,对收到的指令进行校验和认证,不能通过校验的指令不会得到执行和认证。芯片上存储密朗,具备运算能力,与读卡器之间的数据传输都是加密的,密钢体系分为公朗、私朗,通过密钥分散,每张卡都有独立的密钢,真正做到一钥一用。卡片支持非对称密钢长度,支持768位?2048位且长度可变。卡片用1024位长密胡进行与终端和交易无关的纯RSA签名运算,速度不低于500ms。
金融IC卡卡片个人化过程中可以使用卡片卡片主控密钥、应用主控密朗、传输密朗等。为有效避免系统商的攻击,在认证过程中引入PSAM?卡,将应用程序中的密胡转移到PSAM卡中,使安全认证成为卡-卡认证。
5.3.2网络传输安全策略
为保障行业接入时的网络安全,K分行采用专网与行业互联,将非法用户隔离在银行内部网络之外,并采用防火墙加以屏蔽过滤,这是保证金融IC卡管理系统安全的一项重要措施。网络环节往往是最易受到攻击的环节,除了专网、防火墙、防病毒等基本的安全措施外,还采用MD5验证、3层128位DES加密、动态密胡等多种先进的安全技术,以此保证系统的整体安全性。应用系统釆用三层非对称DES加密技术和动态密?月,通讯线路釆用主备两条光纤并联方式布线,可确保单机通讯故障时自动切换到备用线路,不会导致整个网络瘫痪。
在网络上施加严格的访问控制,仅允许接入方访问指定服务地址及端口,在K分行外联路由器、外联防火墙上做好行内外主机通信的地址转换及访问控制,如图5-3所示。行业外联单位通过专线接入K分行外联平台,网点客户端通过银行内部网络接入K分行外联平台,通过K分行外联平台访问行业外联单位的WEB服务器,分行特色业务平台通过外联平台与行业外联单位的一卡通管理系统进行访问交互,比如特色业务平台通过外联平台与ETC管理服务器进行交易对接,网络客户端须通过部署在K分行机房外联区的代理服务器登录ETC管理系统WEB服务器。
5.3.3交易数据安全策略
金融IC卡管理系统与行业外联单位交互的文件通过DES_CBC进行加密后全密文传输。电子现金交易的安全性通过交易证书(TAC码?)来保证,TAC码由终端设备根据金融IC卡的交易信息计算得出,由J商业银行总行的IC卡认证系统负责校验。
需要重点加密保护的数据在应用层面进行传输时,应实现点到点的加密数据传输。用于两点之间信息传输加/解密的密明,不应被非可信的行业方获悉?。用于数据、信息传输加/解密的密钥,必须设定有效期,不应采用固定密朗。密钥采用强口令标准。对含有私明信息的数字证书应存放在加密机、加密IC卡或者USBKey等硬件设备中,在能够保障主机系统安全的情况下,数字证书可以PKCSttl2文件方式保存,并应有强口令保护。
5.3.4技术外包安全策略
信息技术外包是信息科技专业化的必然结果,对于银行而言,信息技术部署并非核心竞争优势。外包可以降低成本。外包供应商的专业化程度高,能够达到水平更高的规模经济,因而成本更低。可以转嫁风险。技术和市场的变化如此迅速,使企业投资于不是自身核心竞争优势的业务存在巨大的风险,最好的办法是将风险转嫁给外包供应商。外包使企业既可以获得更高效率、更低成本的专业化服务,又可将全部资源专注于核心业务,有利于从总体上提高营运效率?。
针对金融IC卡管理系统,K分行金融IC卡业务团队结合信息科技人员严重不足的情况,在充分评估外包风险的前提下,计划将企业端的一卡通平台搭建及终端设备布放等工作外包给专业的公司,金融IC卡业务团队负责银行端多应用管理平台、二次个人化系统等的建设工作。
5.4架构设计
系统总体架构包括银行端和行业端两大部分。银行端包括总行交易主机、分行前置系统、分行特色业务平台、多应用管理平台、数据准备系统、密朗管理系统和二次个人化系统;行业端包括一卡通管理平台、行业前置系统和相关终端设备,如图5-4所示。本论文的研究重点为银行端系统部署,行业端系统部署工作计划外包给专业的公司承建,在架构图中仅作简要介绍。
5.4.1银行端系统架构设计
为实现对金融IC卡行业应用的规范管理,K分行金融IC卡业务团队将原有的金融IC卡技术支持平台的基础上,增加了多应用管理平台、数据准备系统、密钥管理系统、二次个人化系统和移动接入综合服务平台。多应用管理平台负责实现行业应用程序部署和对数据准备系统、密钥管理系统和二次个人化系统的统一管理。
在图5-4中,短信平台为J商业银行原有业务系统,为了实现空中圈存和空中缴费功能,将其引入金融IC卡管理系统架构当中。总行文件系统是总行为实现电子现金脱机消费文件清算新搭建的系统。分行特色业务平台、分行前置系统和总行交易主机属于原有的金融IC卡技术支持平台,分行特色业务平台负责与分行前置系统以及行业一卡通管理平台进行应用对接,分行前置系统负责与总行交易主机进行交易对接,总行交易主机负责金融IC卡主账户和电子现金账户的账务处理。
金融IC卡技术支持平台涉及的其他相关系统,此处不在一一赘述。
下面结合第5.1.3小节提出的5个技术需求,对系统架构进行详细说明。由于第1和4个技术需求均属于对分行特色业务平台功能的扩展要求,在此合并说明。
(1)扩展分行特色业务平台功能。
K分行金融IC卡业务团队通过对短信平台接口标准的研究,成功完成了 K分行特色业务平台与短信平台的对接。截至2013年底,空中圈存和空中缴费功能已在一所高校正式推广使用,通过提高圈存效率为持卡人提供了便利,为学校一卡通管理部门减少了人力成本,还为K分行带来了学校账户资金沉淀。
为实现电子现金脱机消费模式的数据传输和资金清算及对账功能,扩大电子现金的使用范围,金融IC卡业务团队认真研究《中国银联银行卡联网联合技术规范V2.1》中的文件接口规范,经过多次测试,于2014年1月正式与A市公交公司合作,实现公交IC卡电子现金脱机消费模式。具体流程为:持卡乘车客户使用金融IC卡电子现金刷卡消费后,公交公司一卡通管理平台将脱机清算文件发送到分行特色业务平台,分行特色业务平台进行数据处理后,再将清算文件上送到总行文件系统进行TAC码安全校验,校验通过后发送总行交易主机进行资金清算,清算完成后将结果文件依次返还分行特色业务平台、公交公司一卡通管理平台,如图5-5所示。
(2)增设数据准备系统和密钥管理系统。
数据准备系统负责集成行业数据形成行业制卡文件,只进行行业数据的转换和传送,但对行业卡内容信息不做留存。
密钥管理系统统一管理IC卡密钥、SD卡密钥、终端设备密钥、交易业务密钥和通讯保护密钥,负责利用卡片主控密钥安全加载行业应用IC卡程序。密钥的生成与使用隔离,密钥的使用遵循最小化原则,即本地不需要的密钥不部署在本地环境中。
为了实现对数据准备系统、密钥管理系统和二次个人化系统的统一管理,以及行业应用程序部署,增设多应用管理平台。
(3)增设移动支付平台。
移动支付平台主要负责SD卡或SIM卡的交易接入,K分行正在与移动支付运营商洽谈交易接口规则。平台投产后,用户可通过手持移动终端进行SD卡或SIM卡交易结算。动态发放SD卡或SIM卡的功能由二次个人化系统来实现。
(4)改造个人化系统为二次个人化系统。
二次个人化是指对已经有金融应用的IC卡进行二次写卡,写入所需的行业应用。具体流程为:数据准备系统将行业应用文件体系的定义信息转换为制卡文件,并将制卡文件加密后传至二次个人化系统,;二次个人化系统利用嵌入式的PSAM卡中存储的应用密钥,对制卡文件依次进行解密、加密后通过IC卡读卡器进行二次写卡,从而得到具有特定行业应用的IC卡。
二次个人化系统可同时实现对制卡程序的规范管理,制卡员可通过选择卡种名称自动联动相应的制卡程序。数据准备系统和二次个人化系统均部署在K分行中心机房,在营业网点部署连接IC卡读卡器的PC机作为客户端,通过IE浏览器访问二次个人化系统。
二次个人化适用环境为当IC卡已经发放到持卡人手中,持卡人决定在银行柜台办理新增应用加载的功能。当持卡人在柜面申请二次发卡时,二次个人化系统向多应用管理平台发起实时交易,通过密钥管理系统进行认证后,数据准备系统对数据进行处理,并将制卡数据实时返回给二次个人化系统进行应用信息写入。
在进行K分行行业卡数据准备及二次个人化时,应遵循以下原则:①银行卡卡片所属权为银行所有;②行业应用密钥与银行应用密钥应相互隔离;③行业应用域与银行应用域应相互隔离;④银行应用遵循PBOC规范,行业应用如果有自定义的规范,则按其规范执行,否则银行规范执行;⑤IC卡金融应用的个人化只能由银行实施。
(5) ATM软硬件优化对于接触式IC卡,K分行的跨平台ATM应用中的IC卡接口模块建立在旧有的磁条卡接口模块基础上,因此IC卡接口模块同样遵从WOSA标准接口,使用Kalignite跨平台中间件(简称KAL平台)调用。对于ATM跨平台应用来说,IC卡的读写只有一组标准接口,面向KAL平台,与厂商硬件无关。所以,行业的IC卡如果采用接触式IC卡,那就必须符合PB0C2. 0标准。对于非接触式IC卡,ATM将向厂商统一发布接口,要求厂商实现接口,提供DLL读写驱动。原则上,该接口也是遵循WOSA的IC卡接口标准。
ATM的IC卡接口模块对IC卡的读取操作、与后台交易接口的数据交换,均要求透明传输。IC卡接口模块不会对数据作任何逻辑处理。K分行ATM上的接触式读卡器均通过银联认证,由读卡器厂商提供,符合PBOC2.0规范。厂商提供的IC卡符合PB0C2.0标准,则无须额外提供卡片的读写驱动程序,只需要提供读写指令的详细文档即可。
K分行ATM上所有挂载的硬件的驱动程序全部由硬件提供商负责开发及维护,驱动程序只接受Windows下合法的DLL动态链接库文件。行业IC卡读卡器由行业负责维护,分行负责监督。行业与分行合作发行的行业IC卡,必须与现行PB0C标准全面兼容。优点在于:缩减开发同期,降低开发复杂度,有利于行业应用快速投产;多应用投产后,无须新增一个应用就多挂载一个行业IC卡读卡器,减少ATM机身中的读卡器数量。
5.4.2行业一卡通系统架构设计
一卡通管理平台的主要功能包括数据管理、应用管理、营运管理、支付管理和账务处理五个功能模块。数据管理管理模块负责管理原始数据,对数据进行备份、恢复、维护,并可查询各种原始记录。应用管理模块负责与K分行特色业务平台进行应用对接和交易数据传输。营运管理模块负责对原始数据进行处理、设置系统应用参数、查询各种营运统计报表和对操作员权限的管理。支付管理模块包括终端设备TAC码和交易数据认证、商户管理、黑白名单管理等;账务处理模块负责根据交易数据对IC卡分户账进行账务处理,进行错账调整并生成相应的营运统计报表?一卡通管理平台与银行相关业务系统相对独立,主账户采用银行个人储蓄账户,电子钱包账户开设在一卡通管理平台上,在银行交易主机中记总账,而在管理平台记分户账。
行业前置系统处理由终端设备发送的交易信息,负责终端设备与一卡通管理平台的通讯和对终端设备的接入管理。涉及主账户的交易信息(如圈存、圈提等交易信息)需发送给K分行特色业务平台进行处理,不涉及主账户的交易信息直接由一卡通管理平台处理。
综上所述,本章通过细致的需求分析,找到了 K分行现有金融IC卡技术支持平台的不足之处,并针对待改进的环节提出了建设金融IC卡管理系统的技术设计方案。通过搭建金融IC卡管理系统,可以提升K分行快速响应市场需求、提供差异化产品或服务的能力,实现信息技术与客户资源的有机结合,为金融IC卡业务发展创造更多的商机,逐步提高K分行的业务竞争能力。
