浅析IC卡交易系统应用原理——中国石化加油卡系统应用实例

浅析IC卡交易系统应用原理——中国石化

加油卡系统应用实例

露l

浅析IC卡交易系统应用原理

中国石化加油卡系统应用实例

IC卡交易应用原理

■岳永进

卡交易应用的基本原理

和传统商品交易模式相比,IC卡交易模式主要

运用的基本应用原理为充值和消费.卡充值和卡消

费是运用IC卡逻辑,数学运算处理以及数据存储

功效,即建立卡交易账户和相应交易额度(可消费

金额)的卡充值过程,针对实际消费金额对卡交易

账户和相应交易额度进行变更处理和变更记录的卡

消费过程.

(1)基于普通交易模式的基本原理

通常在IC卡交易系统中,IC卡的交易应用由

三方面组成:IC卡,应用终端,密钥方(加密机或

PSAM卡);整个交易过程主要分为认证,交易两

个主要部分.

认证过程主要目的是为了确保所应用IC卡与

密钥方在本次交易中的合法性并确认本此交易的可

能性.认证过程由应用终端发起,首先从密钥方得

到本次交易的基本信息;然后分别访问密钥方与IC

卡,选择本次交易所对应的应用.并通过双方反馈

的信息验证身份;当身份验证成功后.进行交易初

始化,确保交易的可能性;认证过程结束后.进入

正式交易过程;卡片完成交易后.应用终端将卡片

产生的交易信息发送给密钥方,由密钥方校验交易

是否正常完成.

(2)基于连续消费交易模式的基本原理

对于消费交易结果在卡片与密钥载体身份认证

前能够预先确定的消费交易应用可以采用上述普通

交易模式;对于消费交易结果在卡片与密钥载体身

份认证前不能确定,消费供给过程在身份认证后是

一

个连续的过程,例如加油站油品消费时的供给过

程就属于这种情况:所应用卡片置于应用终端与密

钥载体进行身份认证后开始消费交易过程.油品供

给流量的不断增加过程为实际消费交易过程.并且

在结束消费交易(交易结果产生)之前是一个连续

的过程,这种特征的交易模式称之为连续消费交易

模式.

在此种连续交易模式下的交易过程中,即有可

能出现中途退出交易的现象.使得所应用卡片交易

无法完成.为此,针对这种连续消费过程中的特殊

情况,需要采取特殊的交易应用保障措施(模式),

保证实际消费交易额度与卡片交易额度记载及账户

扣减交易额度的一致性.此种特殊交易应用保障措

施即是增加卡片锁定与解除锁定机制,确保在连续

消费交易过程中所应用卡片退出("逃离")交易

时.避免因"逃离"交易造成的卡片交易无法完成

的情况.其实现原理是在连续交易过程中.通过认

证,锁定卡片,交易,卡片解锁等基本过程(环

节)实现的.

认证过程确保IC卡与密钥方在本次交易中的

合法性并确认IC卡具有交易的可能性.同时保证

卡片锁定的可能性.认证过程由应用终端发起.首

先从密钥方得到本次交易的基本信息;然后分别访

问密钥方与IC卡,选择本次交易所对应的应用.

并通过双方反馈的信息验证身份:身份验证成功

后,先进行锁定初始化,确保卡片锁定的可能性.

再进行交易初始化.确保交易的可能性:认证过程

结束后,进入正式交易过程:第一步将卡片锁定.

当消费完成并确定消费金额后.卡片完成解锁同时

完成交易,将卡片产生的交易信息发送给密钥方.

由密钥方校验交易是否正常完成.

2.1C卡交易应用安全保障的基本原理

(1)IC卡芯片的物理安全性

IC卡的特殊应用环境要求IC卡用芯片具有较

小的体积和环境适应性.更为重要是IC卡使用的

数字化工/2005.1121

芯片的安全性.芯片级别的安全保证是IC卡安全

性的基础.在芯片的设计阶段就提供了完善的安全

保护措施,一般而言,对芯片的攻击主要有几个方

面的途径和方式:

★通过电子显微镜对存储器或芯片内部其他逻

辑进行扫描,直接进行分析读取:

★通过测试探头读取存贮器内容:

★通过从外部无法获取的接口(例如厂家测试

点)直接对存储器或处理器进行直接数据存取:

★激活IC卡所用芯片的测试功能,等等.

针对以上几个方面,IC卡所使用的芯片的安全

技术首先即从物理上加以防范,使其在物理层面受

攻击的可能性减至最小,最大程度地增加物理层面

攻击的复杂性和成本代价.

IC卡芯片级别的安全保护主要体现在几个以F

方面:

★通过烧断熔丝,使测试功能不可再激活,这

将大大提高IC卡的安全性.

★高/低电压的检测:

★低时钟工作频率的检测;

★防止地址和数据总线的截取:

★逻辑实施对物理存储器的保护(存取密码

等):

★总线和存储器的物理保护层等.

(2)密钥安全认证的运用

基于IC卡的特征和特性,在交易应用过程中,

实现了密钥承载认证保障,使得IC卡具备了在线

和非在线交易应用的合法安全认证的保障.

加密用来保护敏感信息的传输,保证信息的机

密性.在一个加密系统中,应用信息被所使用加密

密钥加密后,得到的密文传送给接收方,接收方使

用解密密钥对密文解密得到应用信息原文.目前主

要有两大类加密方法:秘密密钥加密(也叫对称密

钥加密)和公开密钥加密(也叫非对称密钥加密).

★秘密密钥加密

秘密密钥加密也称为对称密钥加密,加密和解

密使用同一个密钥.因此应用信息(数据)的发送

方和接收方必须共享一个密钥,数据加密标准DES

(DataEncryptionStandard)是秘密密钥加密算法.

密钥必须保持安全,才能保证应用信息(数

据)的安全性,在这种密钥应用机制当中,交易双

方在开始交易前必须进行密钥交换,如当人为交换

或网络交换等方式,为此需要增强辅助的交换保障

措施,以防窃取和侦听乃至于复制伪造.

★公开密钥加密

公开密钥加密也称为非对称密钥加密.在公开

密钥加密应用体系中每个交易实体拥有一对密钥,

这两条密钥是数学相关的,用其中一条进行加密的

信息,只有用另一条才能解密.把其中一条分发给

所有的许可交易公众的称为公钥,公钥在分发过程

中不需要保密;另一条由密钥对拥有的交易方保

存,称为私钥.从而构成一方非公开私钥针对多方

公开公钥的非对称密钥加密应用机制.交易双方在

交易之前通过网络等方式所进行的密钥交换内容为

公开的公钥传,从而,不需要实施特殊的辅助交换

保障措施.

交易对方在获得公钥之后,用公开的公钥进行

数据加密传送,用私密在接收过程中进行解密,从

而实现密钥加密方机制下的数据保密性.

为了实现不可否认性,一方向另一方发送数据

时用对方的公钥加密后,对所得的密文可以再用自

已的私钥进行加密:在另一方接收到这个密文后先

用对方的公钥解密,再用自己的私钥解密.因为私

钥只有密钥对的拥有者才有,所以不可能有其他人

能伪造他所发出的信息.

为了增强保密性,每个交易方可以拥有多个密

钥对,比如用一对密钥用来保证数据的保密性,另

一

对密钥用来保证不可抵赖性.

非对称算法能够比较好的解决对称算法所存在

难题,但是,非对称算法有突出的弱点:非常慢,

对称算法比非对称算法要快1000倍左右.为了把

两类加密算法的优点结合起来,发明了数字信封,

数据签名等技术.

★简单数据签名

数据签名用来保证信息传输过程中信息的完整

和提供信息发送者的身份认证.使用公开密钥算法

是实现数据签名的主要技术.

使用公开密钥算法实现数据签名技术,类似于

公开密钥加密技术.它也有两个密钥:一个是签名

密钥,它必须保持秘密,因此称为私有密钥,简称

私钥:另一个是验证密钥,它是公开的,因此称为

公开密钥,简称公钥.实现数据签名的过程如下:

信息发送者使用自己的私有密钥加密信息,该

过程称为实现数据签名;

222005.11/数字化工

信息发送者把信息本身和已签名的信息一起发

送出去:

任何接收者通过使用信息发送者的公钥来验证

数据签名.以确认信息发送者的身份和信息是否被

修改过.该过程称为验证数据签名.

使用信息摘要的数据签名

公开密钥算法的运算速度比较慢.因此可使用

信息摘要技术减小使用公开密钥算法的运算量.

信息摘要是通过使用一种单向散列函数而产生

的.对不定长的信息使用信息摘要技术可以产生一

固定长度的信息摘要.该信息摘要对于信息是唯一

的.从信息摘要中不能得出生成信息摘要的信息.

两个不同的信息一定会产生不同的信息摘要.所以

一

条信息摘要就可以唯一的标识一条信息.

使用信息摘要的数据签名的实现步骤如下:

i.信息发送者使用一单向散列函数对信息生成

信息摘要:

ii.信息发送者使用自己的私钥签名信息摘要;

iiiI信息发送者把信息本身和已签名的信息摘

要一起发送出去:

iv.任何接收者通过使用与信息发送者使用的

同一个单向散列函数对接收的信息生成新的信息摘

要.再使用信息发送者的公钥对信息摘要进行验

证.以确认信息发送者的身份和信息是否被修改

过.

双重数据签名

双重签名是为了保证在电子交易过程中三方安

全地传输信息的一种技术.

双重数据签名的实现步骤如下:

i.信息发送者甲发给乙的信息1生成信息摘要1:

ii.甲对发给丙的信息2生成信息摘要2:

iii.甲把信息摘要1和信息摘要2合在一起,

对其生成信息摘要3.并使用自已的私钥签名信息

摘要3;

iv.甲把信息1,信息摘要2和信息摘要3的签

名发给乙:

v.甲把信息2,信息摘要1和信息摘要3的签

名发给丙:

vi.乙接收信息后,对信息1生成信息摘要,

把这信息摘要和收到的信息摘要2合在一起,并对

其生成新的信息摘要.同时使用甲的公钥对信息摘

要3的签名进行验证.以确认甲的身份和信息是否

被修改过;丙接收信息后.对信息2生成信息摘

要,把这信息摘要和收到的信息摘要1合在一起,

并对其生成新的信息摘要.同时使用甲的公钥对信

息摘要3的签名进行验证.以确认甲的身份和信息

是否被修改过.

加密算法包括(对称算法,非对称算法,安全

哈什算法,数据签名,DES/3DES),卡的生命周

期.

(3)IC卡应用安全要求

无论IC卡采用哪种密钥体制加密.均需要对

密钥系统进行管理.密钥是一个加密系统中的可变

部分.在现代密钥学公开加密算法的前提下,密钥

成了加密系统的关键.因此.密钥管理也就具有了

极其重要的地位.

基于应用系统对信息安全方面要求.密钥的生

成,密钥的存放,密钥的下载为密钥管理系统中的

基本要素

密钥管理系统的主要功能体现在产生一系列的

主密钥和各种设备的下传密钥.并存储在IC卡中,

包括系统主密钥,应用主密钥,和传输主密钥.

系统主密钥包括:INTERIORAUTH,

EXTERIORAU,主密钥,PIN,VNLOOKPIN等;

应用密钥包括:储值密钥,签名密钥等;传输密钥

包括:PLKC,HLKC,TLKC等.

为了保护系统信息的安全可靠性,密钥管理系

需要对密钥的生成和密钥的存放方面进行管理.

★密钥生成

为了确保交易信息系统安全,保密,整个交易

系统只设一个密钥管理点.

生成密钥前只要选择一个适当的密钥版本号,

即使在种子密钥完全相同的情况下,不同的密钥版

本号将产生不同的密钥.通常有0～9共1O个密钥

版本.

针对所确定种子密钥,系统采用标准算法生成

一

系列主密钥,共分三大类:

i.系统主密钥(包括:内部认证密钥,外部认

证密钥,主密钥等)

ii.应用主密钥(包括:签名密钥,储值密钥

等)

iii.传输主密钥(包括:网点密钥,主机密钥

等)

★密钥存放

数字化工/2005.1123

采用密钥加密的基本要求是"秘密寓于密码"

之中,关键因素是加密用的密钥(KEY),因此,

密码的存放与保管就显得十分重要.密钥的存放和

保管注意以下两点:

i.密钥存放于不可见介质上,最好介质本身也

具有加密性,如加密智能卡.

ii.密钥的产生和保管相分离,即制定密钥者和

保管密钥者不是同一个人.

IC卡应用系统的数据传输安全属于逻辑安全范

畴,它是IC卡应用安全特性中最为重要的一个方

面.一般而言,在信息系统数据传输安全中面临以

下四个方面的安全问题:

i.保密性:防止系统用户信息被人窃听;

ii.有效性:鉴证系统用户交易信息的合法性:

iii.完整性:保障系统用户交易信息采集的完

整性:

iv.不可否认性(真实性):确保用户交易信息

具有唯一确定性:

解决这些问题的方法通常采用包括加密技术.

数字签名技术和认证技术等的数据安全技术.

lC卡交易应用系统

在加油站零售交易过程中的运用

1.应用卡片制作

(1)货币一卡片交易

在资金一卡片的交易过程中,通过充值过程销

售者将采购者资金转换为可等值的卡片,即在卡片

中建立与采购者个人相对应的可消费额度账户.

(2)卡片一商品交易

在卡片一商品的交易过程中,通过持卡消费过程

将采购者卡片中的可消费额度账户进行消费等值扣

减,即销售者向采购者兑付相应价格的商品.

(3)交易结算

在交易结算过程中,实现充值结果和消费结果

之间兑付,即最终完成资金和商品的实际交换(交

易)

C

加油站

油品销售结算

凭证)支付淮

用户

油品采购

…………

●

品付油:

…………

●

3.加油站传统零售交易管理模式

对于传统的加油站零售交易,其交易模式为现

2.基本交易应用模式

IC卡交易应用系统分为现金一卡片交易,卡

片一商品交易,交易结算个基本交易应用过程,

最终完成现金与商品的交换(交易).

金(凭证)与实物间的现场交换

(交易),现金(凭证),物交易直接

结果的账务结算:

(1)交易过程:

用户人工现场现金支付:

加油站人工现场现金核对:

现场机载付油:

加油站人工销售账务结算:

★企业零售账务结算销售管理:

(2)交易特征:

,

,

,

....….......…..........….….........................

,

,

,

,

,

货币一交易一商品>,

,

,

,

,

''一一一一一一一

,

,

,

★人工交易过程,用户

现金支付,加油站收付核对;

★人工交易信息采集,

加油站人工有限交易信息记

录:

人工采集信息汇总.

有限交易账务信息结算:

242005.11/数字化工

对:

★现场自动机载付油:

★加油站自动销售账

务结算:

★企业信息系统汇总

账务结算:

(2)交易特征:

★自动交易过程.用户资金充值.加油站自动

识卡核对付油:

★自动交易信息采集,加油站自动交易(并管

理)信息记载;

★系统自动采集信息统计汇总.系统信息交易

账务结算.

IC卡交易应用系统

运用于中国石化加油卡系统

1.所实现的零售交易管理模式

2.所构建的系统架构

3.所实现功能体系

★卡一资金交易功能:发卡;充值;圈存;圈

提:额度分配等:

★卡应用管理功能:卡片管理;账户管理;挂

失:卡限制管理等:

★消费一付油交易功能:卡机联动;POS终端;

持卡加油(员工卡,用户卡等);黑,灰卡加油限

制:卡加油限制等;

★消费付油交易管理:黑灰卡限制管理;油品

油价执行管理:加油站员工管理等:

★本地中心清算功能:本地交易结算;交易核

对等:

基于IC卡交易应用系统构建了零售交易信息

系统,基于所构建的零售交易信息系统构建了零售

管理信息系统,整体构成了中国石化销售业务管理

信息化的重要组成部分——中国石化加油卡系统.

★总中心清分功

能:异地交易结算;

交易核对等:

★本地中心一总

中心零售管理功能:

进,销,存,价管理:

进,销,存统计报表

管理;零售客户管理;

零售基本信息管理;

组织机构基本信息应

用管理等:

★客户营销奖励

功能:积分加油功能;

积分奖励结算功能等;

★客户服务功能:电话(传真)自动服务——

客户账户,客户消费明细等查询;挂失;额度分

配;人工座席服务——客户账户,客户消费明细等

查询;挂失;额度分配;业务咨询投诉;客服数

数字化工/2005.1125

据统计分析;系统交易数据综合分析等.

卡运用模式

(1)交易类型卡

用户卡:实际充值一消费用卡,分为单用户

卡和多用户卡类型,为实际现金充值一账户扣减消

费的用卡:

员工卡:间接充值一消费用卡,为实际现金

充值一账户扣减消费以外的交易记录用卡,例如:

现金直接消费,油票消费,提油凭证消费等;

维修卡:内部循环充值一消费用卡.为内部

付油机具维护过程中机走油品循环过程的记录用

卡:

验泵卡:内部循环充值一消费用卡.为内部

付油机具校验过程中机走油品循环过程的记录用

卡:

通过以上交易类型卡的运用,一方面实现付油

交易,一方面实现付油过程的完整记录.

(2)卡用户类型

相对于用户账户而言,分为单用户卡和多用户

卡:

单产卡

一

个用户账户下实用独立的一张主卡,主卡项

下不设立所辖可以分立消费的副卡,针对固定账户

和非固定账户还可以分为记名和不记名单用户卡:

多用户卡

一

个用户账户下实用一张主卡,主卡项下设立

所辖可以分立消费的副卡.

(3)账户类型

以上由单用户卡和多用户卡构成了实际现金充

值一账户扣减消费的销售用户管理应用,具体通过

系统对用户账户类型转

换过程的处理进行实

现.其中包括四个用户

账户类型的转换处理:

用户额度账:系

统针对用户充值金额所

确立的用户账户.属于

主卡直接支配余额账

户,对于实际消费用卡

(包括主卡本身和副卡)

具有消费额度分配作

用:

卡备付金账:系统对于用户额度账项下所辖

实际消费用卡所建立的额度分配账户(包括主卡本

身和副卡).对于实际消费用卡(包括主卡本身和

副卡)具有消费额度控制作用:

卡账:系统对于实际消费用卡的实际消费额

度所建立的账户(包括主卡本身和副卡),具有消

费额度许可认证作用:

卡钱包账:与卡账对应的消费用卡当中所建

立的实际许可消费额度账户.

四个用户账户类型的转换处理原理如图所示.

基于IC卡特性所构建的IC卡交易应用管理系

统.为中国石化加油卡系统所运用,在实现中国石

化零售交易管理信息化的过程中,构成了IC卡交

易应用管理系统实际应用的典例.所展现的系统应

用功能和系统运行特征为IC卡在交易应用领域提

供了实例,或许尚有待对其中的经验和教训进行进

一

步的总结分析乃至提升.本文旨在与业内同行进

行有益的探索团

262005.11/数字化工