论全国通卡应用的系统建设

     一、前言

    （一）城市一卡通应用蓬勃发展

    自1999年建立上海公共交通IC卡应用系统以来，城市一卡通应用系统在全国范围内得到了迅速发展。到目前为止，在北京、上海、天津、南京、石家庄、广州、哈尔等大中城市均已建立起了城市一卡通系统，更多的城市正在或计划从单纯的行业（公交）应用向一卡通应用（多领域）升级。

    一卡通应用系统的建立，方便了城市居民的日常生活，带动了相关行业的发展，推动了城市经济的发展；同时，政府利用城市一卡通应用数据实行各项补贴，使得针对城市公交的补贴更加准确、合理；政府针对特殊群体的优惠政策通过城市通特种卡进行落实，增强了政策落实的有效性。城市一卡通应用具有极大的经济价值和社会价值。

    （二）区域互联需求不断涌现

    随着区域经济联系不断加强，城市一卡通的城市间、区域间的互通需求越来越多迫切。一方面，城市居民希望能持有一张IC卡能在多个城市进行消费；另一方面，通过城市间的互通，可联手多家卡公司共同进行一卡通应用的市场开拓，同时可在经济区域内让更多的市民享受政府的优惠政策。

    鉴于此，几个大的经济区域在尝试着进行区域间的互通应用，如长三角地区的上海、南京、杭州的互通，粤通卡的规划，鄂通卡的武汉城市圈等。这些地区通过互通实践取得了一定的成功经验，但在此过程中也遇到到了一些问题，其原因主要是因为这种基于单个城市建立的一卡通系统有其局限性，要更大面积地推广区域互通，则必须采用新的思路。
 
    （三）更多的中小城市在城市一卡通系统建设中面临着困难

    在全国城市一卡通应用迅速发展的同时，许多中小城市也对城市一卡通系统的建设表现出了强烈的需要，而且从一卡通应用的整体发展来说，更多的城市开展一卡通应用，将更有利于一卡通市场的拓展。但很多中小城市在发展一卡通应用时，受到了多方面的制约。首先是资金投入的问题，他们要建立一个完备的一卡通系统，往往投入的资金是他们无法承受的；其次是市场规模的制约，由于这些城市的市场规模较小，建成的系统由于达不到应有的规模而导致系统的运营成本极高；同时，由于中小城市人才方面的限制，系统运营所必需的技术人才缺乏，系统的管理、维护压力巨大。

    鉴于以上几个方面的原因，寻找一个有效的系统建设、运营模式，以满足一卡通应用的发展需要将十分必要。

    二、全国通业务开展特点

    全国通应用系统的建设，是以全国一卡通应用为主要目的。通过有效的业务实现方法，达到全国互通应用。

    （一）卡片发行

    要实现全国范围内的城市“一卡多用，一卡通用”的目标，采用统一的全国一卡通卡片（简称全国通卡）是最基本的前提。全国通卡采用非接触式CPU卡作为卡载体，以保证全国通应用的安全。

    为保证卡片层面的全国应用互通，卡片在选型及全国通卡结构设计时将遵从建设部发布的《建设事业非接触式CPU卡芯片技术要求》、《建设事业非接触式CPU 卡COS 技术要求》标准的要求；采用统一的卡结构设计；所有的全国通卡向城市定向发行，以支持各个城市的个性化业务需求。

    1、密钥管理系统

    为保证全国通卡发行的安全性和权威性，系统采用住房和城乡建设部IC卡应用服务中心专门为全国通卡应用开发的“城市公用事业IC卡密钥管理系统”。新的密钥管理系统在原有密钥管理系统成功应用的基础上进行了完善和加强，使之在满足全国通应用的前提下，卡片应用安全得到了进一步的保障。

    2、安全认证码

    可作为全国通卡应用的CPU卡必须在生产环节中加写一个安全认证码后才能成为全国通卡的空白卡。

    全国通卡的安全认证码与CPU卡中的MID||UID0 UID1 UID2 UID3（共5字节）相对应，通过“建设事业IC卡密钥管理系统”按照特定的算法计算出四字节的识别码，最终由MID|| UID0 UID1 UID2 UID3||识别码（共9字节），由卡片生产厂家写入CPU卡中；该认证码一旦写入卡片后将不可篡改，并在卡片交易过程中充当合法性校验的重要组成部分。

    当卡片生产厂商生产全国通CPU卡时，首先必须从数据中心申请到相应的安全认证码。

    3、发卡

    全国通卡发卡就是将空白卡制作成一张符合全国通卡应用规范的成品卡的过程。

    全国通卡采用一次性发卡模式，即由发卡方（区域中心、城市卡务中心或城市一卡通）一次性完成全国通卡的制卡工作。在一次性发卡模式下，由发卡方直接向卡片生产厂商购买符合全国通应用需求的空白卡片，利用从数据中心获取到的密钥及本地掌握的充值密钥进行制卡。

    为保证全国通卡应用的安全，全国通卡采用一卡一密的基本策略。制卡时，发卡系统利用本地加密机计算出其消费相关密钥及消费TAC密钥，卡消费、维护等相关密钥则需从数据中心获取。

    4、售卡

    售卡是将全国通成品卡转换成全国通用户卡的过程（卡启用）。

    各地（区域中心或城市）可根据自己的应用需求确定卡类型及各类型全国通卡的应用规则，如全国通卡在公交行业应用中的折扣优惠、有效期控制等。常见的卡类型主要有：普通卡、学生卡、特种卡等；不同的类型的全国通卡可有不同的售卡模式，包括：出租、出售、免费提供等。

    （二）用户卡充值

    每张合法的全国通卡中设计有一个电子钱包，全国通卡可利用该电子钱包中的“资金”进行消费支付。用户卡充值是实现向全国通卡电子钱包中充入资金的过程。充值业务可有多种实现方式：窗口充值、自助充值、后台充值等。所谓后台充值是指在后台进行批量用户卡的充值，再通过特殊设备将充值金额写入对应的用户卡钱包中。对于全国通卡的本地充值业务，可采用联机或脱机两种方式实现充值。在脱机方式下，充值机具依靠ISAM卡计算出相应卡的充值操作密钥；在联机模式下，充值则需通过网络连接到后台系统获取充值相关密钥。

    根据全国通应用系统对充值业务的需求，系统必须提供全国通卡异地充值的业务支持，因而系统必须采用联机充值的方式进行全国通卡的异地充值。

    在全国通应用系统中，全国通卡的充值相关密钥由各个区域中心（或城市）掌控，针对不同区域发行的全国通卡具有不同的充值相关密钥，因而不可能提供一张统一的ISAM卡实现所有全国通卡的充值。当某一全国通卡在异地充值时，系统必须以联机的方式到卡属区域中心获取到相应的充值操作密钥；在充值业务成功完成后，充值交易必须在交易发生区域中心、卡属区域中心及数据中心等三级系统中进行正确的处理，从而最终实现异地充值业务的正确清算。

    在技术实现上，可有两种方式实现全国通卡的异地充值业务：全国通自有网络充值和银行网络充值。两种方式各有利弊，具体选择可视业务开展情况及网络建设、运营成本来确定。

    1、全国通自有网络充值

    在全国通应用系统中，各个区域中心通过网络实现了与数据中心的连接，因而充值业务可以在此网络基础上有效地实现，具体充值业务实现过程如下图所示： 

图 二－1 用户卡充值处理协作图

    从用户卡充值处理协作图可看出，全国通应用系统支持用户卡的本地充值和异地充值应用。

    －本地充值

    针对本区域全国通卡的充值业务。对于本地充值，区域中心将通过7、8、9等步骤实现相应的交易处理。

    －异地充值

    针对非本区域全国通卡的充值业务。对于异地充值，交易发生地的区域中心将通过10、11、12、13等步骤实现充值交易的处理，充值业务的最终处理者为卡属区域中心；异地充值最终交易记录会在数据中心、交易发生区域中心和卡属区域中心进行保存。

    采用本方式实现全国通卡的异地充值业务，所有的充值业务在全国通卡系统内部实现，方便了充值业务系统的开发和业务调整，有利于充值业务的控制和管理；但由于充值业务在全国通卡应用业务中，充值业务的重要性不言而喻，因而要求区域中心与数据中心间的网络具有更高的安全级别。

    2、银行网络充值

    加强与结算银行的合作，借助于银行业务网络实现全国通异地充值业务是提高充值业务安全、降低对全国通业务网络安全要求及建设成本的重要手段。其业务流程如下图所示： 

图 二－2 银行网络支持异地充值业务协作图

    在此技术方案下，充值终端由区域中心（或城市）进行统一开发，机具的投放则由区域中心与当地结算银行协商投放。

    － 当本地卡在充值机具上进行充值时，充值业务与银行业务独立

    － 当异地卡在此机具上交易时，由区域中心向当地银行以银行中间业务的方式向银行业务系统发送充值业务请求，由银行业务系统通过自己的业务网络将充值业务路由到卡属地银行，再与卡属地银行与卡属区域中心系统进行交互（包括验证卡的合法性、获取卡充值操作的相关密钥、处理充值交易等），最终实现全国通卡的异地充值业务。具体业务过程如图中10至16步所示。

    采用银行中间业务的方式进行全国通卡异地充值业务的实现，可充分利用银行网络的安全性，加强全国通应用与合作银行的合作，但要求合作银行在其业务系统中增加相应的中间业务支持，在充值业务需求发生变更时可能需要银行的相关业务系统做出响应的变更。

    （三）消费

    全国通卡消费是指持卡人用全国通卡进行消费支付的过程。

    全国通卡的消费以脱机消费为主，即通过用户卡中的电子钱包进行支付，在交易过程中机具利用机具中的PSAM卡完成卡钱包的扣款，并将交易交易记录在本地缓存，在适当的时候将缓存的交易以文件的形式发送到后台系统进行处理、清算；交易实现过程中无需后台系统的参与。

    根据区域中心的业务发展，未来亦可在特殊应用领域提供支持联机消费的业务需求。

    1、交易实现

    全国通卡消费以全国通卡为载体，在布设的合法机具上完成全国通卡消费交易。

    为保证交易的合法性及对跨区域消费的支持，消费机具中利用部级全国通PSAM卡实现交易过程中的安全控制，包括全国通卡操作所必须的密钥（钱包消费子密钥、卡片维护子密钥、卡片认证子密钥、TAC验算子密钥等）。

    PSAM卡在每次交易时必须必须有一个开启的过程，交易完成后将自行关闭，直至下一次交易时再行开启。PSAM卡的开启需要应用全国通卡中的安全认证码，对于没有安全认证码的CPU卡将不能开启PSAM卡。

    全国通消费机具必须具有标准的交易流程，保证全国通卡消费的统一和一致性；对于具有非全国通卡应用的地区，机具可以在标准交易流程的基础上定制本地化的应用需求。在消费交易实现过程中，用户卡和机具必须进行双向认证，只有在通过双向认证后交易才可进行下去，从而确保消费交易的安全。

    2、交易处理

    全国通消费交易的处理过程如下图所示： 

图 二－3 用户卡消费协作图

    在交易处理过程中，根据用户卡的所属地的不同，参与交易处理的系统亦有所不同。

    －对于本区域的用户卡交易，由区域中心独立完成交易的处理

    －对于跨区域的用户卡，由交易发生地区域中心、数据中心、卡属区域中心共同协作完成交易的处理

    在交易数据采集环节，交易打包不区分卡的所属地，所有交易打包在同一个交易文件中；在区域中心，属于本区域卡的交易直接在本地进行处理，而对于非本区域卡的交易，则必须重新组包发送到数据中心；在数据中心，系统将从交易发生区域中心接收到的交易重新按卡属区域中心进行打包，并发送到卡属区域中心进行处理。

    在交易的处理过程中，交易的合法性校验是其重要的一环。交易合法性校验主要包括以下几个关键环节：

    －交易TAC码校验，依靠密钥管理系统（加密机）进行

    －机具合法性校验，依靠交易发生方校验

    －卡帐户合法性校验，依靠卡属方（卡帐户所在区域）校验

    数据中心的交易处理结果、卡属区域中心的处理结果最终会同时在数据中心、交易相关的两个区域中心中保存。

    3、黑卡控制

    为保证全国通卡消费交易的安全和合法性，全国通黑卡控制在全国通应用中至关重要。

    全国通黑卡控制过程如下图所示： 

图 二－4 全国通黑名单卡控制协作图

    全国通黑卡控制过程中，有下列一些关键点：

    －数据中心是全国通黑卡名单发布的唯一合法机构

    －黑卡名单面向全系统的机具进行统一发布

    －数据中心发布的黑名单文件有三种类型

    >全量黑名单文件，包含所有当前有效的黑卡名单

    >增量黑名单文件，包含最新发布的黑卡名单

    >减量黑名单文件，包含已被成功捕捉或取消的黑卡名单

    －某张用户卡是否进入黑名单由卡属区域中心确定并报数据中心

    －黑名单卡可由系统中的所有机具进行捕捉

    －为增加黑卡生效的时效性和控制黑（卡）名单文件中黑卡的规模，数据中心应及时发布增量黑名单文件和减量黑名单文件

    （四）帐务数据清算

    帐务数据清算就是指系统对当日的交易进行分类统计汇总，最终确定当日各机构间（区域中心与区域中心之间、区域中心与运营单位之间）的资金划拨关系。

    数据中心清算系统和区域中心清算系统分别负责不同类型交易的帐务清算：

    －对于本区域的卡交易，由区域中心清算系统完成

    －对于跨区域的卡交易，由数据中心清算系统与区域中心清算系统完成

    1、本区域帐务清算

    本区域帐务清算完成本区域卡交易的清算及区域中心（城市）与各运营单位间的资金划拨关系。本区域帐务清算过程如下图所示： 

图 二－5 本区域帐务清算协作图

    区域中心清算系统每天在指定的日切时间开始进行帐务清算批处理，完成当日的业务清算工作。

    帐务清算批处理主要完成当日交易的统计及帐务清分工作。

    交易统计主要完成本区域当日各类交易的分类统计。对于异地卡在本区域发生的交易，在统计环节将其视同本地卡处理，差别只在交易的处理结果上，即本地卡的消费以本区域的处理结果为准，而异地卡交易的结果则由数据中心的处理结构为准。在异地卡交易的清算上，区域中心作为统一的“代理”与数据中心、其他区域中心进行资金结算。

    在此清算过程中，对于由区域中心直接管理的运营机构（自主运营模式），清算结果反映出区域中心与运营机构的资金结算数据及资金的划拨关系，并将清算结果下发给相应的运营单位（城市卡务中心中转）；对于城市卡务中心自己管理的运营机构（合作模式），清算结果反映出城市卡务中心与运营机构的资金结算数据及资金的划拨关系，清算结果下发给城市卡务中心，由城市卡务中心核准后实现和运营机构的资金划拨。

    2、跨区域帐务清算

    跨区域帐务清算完成全国通卡跨区域交易的业务清算任务，其处理过程如下图所示： 

图 二－6 跨区域帐务清算协作图

    跨区域帐务清算的交易主要为跨区域消费交易和异地卡充值交易。在帐务清算过程中，清算结算反映的是数据中心与区域中心之间、区域中心之间的资金分类清算结果，不涉及各区域中心下属各运营单位的资金清算结果。每天的清算结果分别下发到各区域中心，发往各区域中心的清算结果只包括当天与本区域中心有业务关系的区域中心间的清算数据。区域中心在完成本地本地的当日清算批处理，并接收到数据中心的帐务清算结果之后会自动启动跨区域交易对帐过程，当对帐结果出现差异时，可与数据中心进行协商处理。

    （五）资金结算

    资金结算是全国通应用中的核心业务之一，实现资金在不同业务运营主体间的划拨，划拨的资金主要包括交易结算资金和服务费用资金两种。

    1、合作银行的确定

    在全国通应用业务开展过程中，数据中心与结算银行总行进行业务合作完成全国通资金结算业务。

    在数据中心选定一家合作银行（总行）后，各个区域中心选定其当地的分行作为自己的全国通资金结算银行，要求各区域中心在当地结算银行开设基本资金帐户和结算资金帐户，资金的划拨通过这两个帐户进行。

    －充值资金必须上缴到资金结算帐户上

    －交易结算资金的划拨必须通过资金结算帐户上进行

    －服务费用划拨到基本资金帐户上

    2、资金管理

    全国通应用业务中，资金关系到相关各机构的切身利益，资金的管理必须根据业务开展模式的不同选择不同的管理模式。

    －数据中心在结算银行总行开设结算备用金帐户和服务费用资金帐户

    >结算备用金接收各区域中心上缴的结算备用金、接收各区域中心划拨的交易结算资金（应收）及从该帐户向区域中心划拨资金（应付）

    >数据中心作为一个中心机构，为区域中心提供服务，并从区域中心及结算银行（总行）收取服务费用；服务费用由区域中心划拨到服务费用资金帐户

    >数据中心可以运营一个特殊的区域中心在特定城市开展全国通业务，在此部分资金的管理与区域中心相同

    －区域中心可在自己的业务区域内直接发展自己的运营单位，由区域中心管理相关的资金

    >在自主城市发售（出租）全国通卡，自行管理售卡资金（卡押金）

    >管理自主城市全国通卡的充值资金

    >管理自主城市运营单位的资金划拨

    >负责自主城市充值资金的收缴

    >异地卡在本区域内充值资金的划拨

    > 收取合作城市的服务费用

    －部分城市卡务中心与区域中心采取业务合作的模式开展业务，由城市卡务中心管理自己的资金

    >在本城发售（出租）自己的全国通卡，自行管理售卡资金（卡押金）

    >管理本城全国通卡的充值资金

    >管理与自己的运营单位的资金划拨

    >负责本城充值资金的收缴

    >异地卡充值资金的划拨

    3、 具有资金划拨关系的业务主体

    根据全国通业务具体的运营模式，具有资金划拨关系的业务主体对有下列多种：

    －区域中心与运营单位

    当区域中心以自主模式在城市中开展业务时，区域中心与运营单位间形成资金划拨关系

    －区域中心与区域中心

    当全国通卡跨区域使用时，交易发生区域中心与卡属区域中心间形成资金划拨关系，资金包括充值资金（异地充值）和支付资金（跨区域消费）；区域中心与异区域的运营单位或城市发生资金划拨关系，当与异区域运营单位或城市发生资金关系时，由区域中心代为进行

    －数据中心与区域中心

    数据中心为各区域中心提供数据清算，两者间形成资金划拨关系

    －数据中心与结算银行总行

    数据中心与结算银行总行进行合作，结算银行总行向数据中心缴纳服务费用，形成资金划拨关系

    －区域中心与城市卡务中心

    当区域中心与城市卡务中心以合作的模式拓展业务时，区域中心与城市卡务中心间形成资金划拨关系

    －城市卡务中心与运营单位

    城市卡务中心以合作模式在本城市拓展全国通业务，城市卡务中心与运营单位直接进行资金结算，两者间形成资金划拨关系 

    4、资金结算周期

    账务清算按日进行清分，资金结算则可以按照指定的周期进行结算，一般采用的周期为周、旬、半月、月等，具体可视业务资金量而定。

    5、跨区域资金划拨过程 

    跨区域交易清算资金划拨可采用两种策略。

    （1）结算备用金策略

    －结算备用金帐户

    >数据中心在结算银行设立结算备用金帐户，将各个区域中心上交的结算备用金存入该资金帐户

    >区域中心上缴的备用金金额视各区域中心的业务量及跨区域交易的量而定，并可根据实际发生的结算金额定期进行调整

    >各个区域中心的结算银行帐户只与结算备用金帐户发生关系，即结算备用金帐户与区域中心结算帐户间进行资金划拨，区域中心间不进行资金的划拨

    －资金划拨

    >数据中心按钆差方式计算各个区域中心在指定结算周期内应划出或划入的资金

    >对于应划出资金的区域中心，数据中心通知该区域中心，由该区域中心财务人员确认后向其结算银行发出划帐指令，结算银行将资金划入结算备用金帐户

    >对于应划入资金的区域中心，经数据中心财务人员确认后向结算银行发出划帐指令，结算银行将资金划入相应区域中心的结算帐户

    （2）点对点划拨

    在全国通应用系统中，系统资金主要包括全国通卡的充值资金、卡押金、售卡资金等；另外，结算银行会根据资金结算情况向数据中心支付一定的服务费用，具体金额通过结算银行（总行）与数据中心协议确定。

    资金划拨流程如下图所示： 

图 二－7 资金划拨流程

    资金划拨过程中，要实现生产数据向财务数据的转换，财务人员确认过程是十分重要的，通过该环节保证相应资金的安全。

    －数据中心每日清算结果是与跨区域交易资金相关的生产数据，在下发到相关区域中心的同时，将结果通知到结算银行总行

    －具有资金管理职能的机构（区域中心、城市卡务中心）各自具有自己的财务人员对生产数据进行确认，从而完成生产数据向财务数据的转换

    －结算银行（分行）在完成了资金划拨后，必须将执行结果上报到结算银行总行，总行根据上报的结果向数据中心支付相应的服务费用