浅谈CPU卡的迁移及城市通卡综合业务平台打造

     近几年，在建设部IC卡管理中心的指导下，在地方政府的扶持下，在各地通卡公司的努力下，城市“一卡通”的发行量和使用量迅速增长，为市民提供了极大的便利，并且提升了“一卡通” 的品牌知名度，扩大了“一卡通”的市场影响，为全国“一卡通”建设的可持续发展奠定了良好的基础。面对大好形势，各地通卡公司没有固步自封，而是锐意进取，不断完善现有应用，不断寻求“一卡通”新的发展、新的突破，厚积薄发，为创造“一卡通”新一轮的爆发奠定了基础。同时，随着建设部IC卡管理中心的《建设事业IC卡应用技术2.0标准》及《城市互联互通卡通用技术标准》即将颁布，高屋建瓴地指导“一卡通”未来的发展方向。

    但是，城市“一卡通”发展目前也碰到了一些瓶颈，一是随着“一卡通”从交通领域向其他领域的拓展，政策层面、技术层面均存在一些难以解决的问题。政策层面在这里就不做太多的探讨；技术层面上主要问题是缺乏一个适合多行业应用的统一国家标准。但通卡公司为了自身发展需要，迫切需要探索出一条符合国家现行主流行业标准的技术道路。

    其二“一卡通”从单纯的交通行业的小额支付应用向多行业较大金额的支付应用过渡，无论从系统或者卡片也暴露出急需解决的安全性问题，比如卡片的安全性问题。目前各地通卡公司主要使用MIFARE 1卡作为应用载体，而MIFARE 1卡正遭遇到破解危局。在今年四月份，位于德国汉堡的Chaos Computer Club已经破解了NXP的热门Mifare Classic RFID芯片的加密方法。六月份，相同的事情也再次发生了，伦敦公交用的Mifare卡被成功克隆。随后，荷兰内务部大臣特霍斯特在接受媒体采访时表示，全球多达10亿张MIFARE 1安全卡中所使用的技术可以被轻易破解。MIFARE技术遭破解必将给“一卡通”造成了极大的隐患，一旦遭到大规模复制，“一卡通“系统将会面临巨大的灾难，这成了一个非常紧迫的问题。

    其三，“一卡通”业务模式的变革，也给现有城市通卡公司系统架构提出了新的挑战。随着“一卡通”在商场、医院、电影院、游乐场、代缴费等消费应用领域的大量应用，以及通卡公司的用户推广模式从单一个人购卡发展到整个企事业单位（集团）统一购卡，消费网点和持卡人都迫切需要城市通卡可以实现较大金额额的消费。但目前的卡片系统、交易处理系统最初的设计目标只是为了实现交通领域的小额消费，在大额消费上存在着先天上的安全隐患和处理上的缺陷。

    面对这些错综复杂的问题，有没有解决的办法了？应该是有。建议通卡公司引入新的技术标准，即采用《建设事业IC卡应用技术2.0标准》，兼容《中国金融集成电路（IC）卡规范2.0》（业内简称PBOC2.0规范）；卡片介质逐步实现从MIFARE1卡到非接触CPU卡过渡；系统架构从支撑公交领域的离线交易体系过渡到类似于银行的在线交易体系（当然也兼容原有的离线交易），建立一套符合国家标准，类似于金融机构的城市通卡综合业务系统（包括发卡、收单、清算系统）。

    下面我们从卡片的迁移、采用的技术标准及城市通卡综合业务平台的打造三个方面来做一个阐述。

    第一、卡片迁移

    卡片迁移的目的是为了提高安全性及满足新的业务发展需求。

    在这方面我们可以从金融行业近十几年来的发展历程得到启示，与通卡相似，银行的磁条卡也遭遇过安全危机，因为日益增长的卡片欺诈造成的损失使金融支付应用面临巨大挑战。所以国际信用卡组织VISA及MASTER 2000年12月发布了EMV2000的IC卡规范，中国人民银行也参照制定了PBOC2.0的IC卡规范。欧洲及亚洲发达国家已经完全实现了从磁条卡到 IC卡（智能CPU卡）的迁移，我国各专业银行的系统也已经完全实现了PBOC2.0的迁移，银行业采用卡片也在逐步实施向IC卡过渡。

    借鉴银行的经验，“一卡通”可以采取的应对方法就是升级应用的载体介质，即从MIFARE1卡升级到非接触CPU卡。同MIFARE1卡相比， CPU卡采用强大而稳定的安全控制器，增强了卡片的安全性，而非接触传输接口又能满足快速交易的要求（如公交的快速通过）。其原因在于：首先，非接触式 CPU卡在现有的技术条件下是不可伪造的；其次，非接触式CPU卡具有三种认证方式，持卡者合法性认证——PIN校验，卡合法性认证——内部认证，系统合法性认证——外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性；再次，在以上认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。

    同时，非接触CPU卡的大容量存储空间又可以满足预期的大金额消费应用所要求的更多客户信息的存储。而这时安全就不仅仅是存储在卡内的电子货币的安全，还包括个人信息的安全，非接触式CPU卡的安全机制可以为此提供良好的保障。

    当然，现下各地城市“一卡通”发行的绝多数是MIFARE1卡，使用的设备也主要支持MIFARE1卡，为了保护通卡公司现有的庞大投入，直接停止使用 MIFARE1卡而改用非接触式CPU卡不异于天方夜谭。这里同样可以借鉴银行的IC卡升级经验，也就是一段时间内MIFARE1卡和非接触式CPU卡并存，逐步增加非接触式CPU卡发行、回收MIFARE1卡，最终实现从MIFARE1卡到非接触式CPU卡的最终更替。

    要实现这一目标，需要完成卡片、终端、系统三方面的改造，这样的升级投入的资金是巨大的。但是采用合适的方法及适当的步骤可以大大减少升级的费用。首先，采用的非接触CPU卡要完全兼容现有的MIFARE1卡，即在CPU卡中模拟出一个MIFARE1卡的钱包，从而使新发行的CPU卡完全能够在通卡公司现有的系统及终端设备上能够使用，特别是在现有的交通领域的车载设备上能够使用；而在大额交易的商业场所（如医院、商场等）又能使用CPU卡的本身的电子存折或电子钱包，从而保证交易的安全性。所采用的CPU卡的卡片架构如下：
 

    第二、技术标准

    城市“一卡通”公司进行CPU卡迁移及系统升级的核心问题是所采用的技术标准。

    应该说城市“一卡通”在多应用拓展、跨地域应用的发展前景是光明的，但是一个权威、开放的标准或规范是支持这一发展的必不可少的条件。系统的升级及CPU 卡的迁移不是将“一卡通”原有体系推倒重来，而是在保证现有“一卡通”应用体系正常运行的前提下，在完全兼容现有技术标准的前提下，采用建设部IC卡管理中心提出的《建设事业IC卡应用技术标准2.0》及《城市互联互通卡》标准为主导，并从兼顾跨行业应用拓展的需求出发，兼容中国人民银行的《中国金融集成电路（IC）卡规范》，即PBOC2.0标准。这样才能保证系统的平滑升级及“一卡通”将来发展的需要。

    第三、城市通卡综合业务平台打造

    城市通卡综合业务平台是一个满足跨行业，多应用需求的类似于金融机构的实时在线交易处理平台，并兼容交通领域小额脱机交易的准金融业务平台。

    首先，综合业务平台支持实时在线交易。实时在线交易系统分为两个部分，即联机充值系统以及实时联机账户消费系统。

    从安全角度考虑，IC卡片的充值必须实时联机交易。无论国际金融组织IC卡规范EMV2000以及中国人民银行金融IC卡规范PBOC2.0均强制规定充值交易必须在线进行，这是因为脱机充值交易系统的充值设备一旦丢失或被别有用心的人员利用，就可以无限制的给卡片任意充值。在公交小额支付应用领域这个矛盾还不是很突出，但是如果卡内钱包余额上限比较大或者交易金额较高，那么就极其危险。而各地通卡公司在持卡人群急剧增长的情况下，为了满足老百姓日常频繁的充值需求，越来越多发展第三方的代理充值点，从管理及安全角度出发，更必须把脱机充值转变为联机充值。

    消费也是如此，单纯公交小额支付，脱机固然无妨，但大量跨行业较大金额的支付应用，完全离线交易的话存在着资金安全及资金清算的及时性问题，必然要引入在线账户交易。

    因此，随着地方政府着力打造真正含义上的城市“一卡通”，以方便老百姓的衣食住行。“一卡通”必将从公交领域拓展到其他众多商业领域；客户群也必将从个体发展到企业集团用户。由此带来电子钱包单笔消费金额大大上升，必将推动城市“一卡通”综合业务平台的更新建设，这个趋势不可逆转。

    综合业务平台类似于银行交易系统

    系统的网络结构如下图：
 

    系统的功能划分如下图： 

    系统对卡片的规划主要分为四个部分：电子存折、电子钱包、模拟MIFARE钱包、企业钱包。电子存折、电子钱包符合建设事业IC卡规范，兼容 PBOC2.0。模拟MIFARE钱包是为适用于当前应用环境而保留的电子钱包，可以在现有未改造的终端上进行使用，升级完成后可以取消该钱包的应用。企业钱包是针对某些行业客户的特定需求，在企业内部实现IC卡的电子支付功能（典型应用有企业内部食堂卡、商场购物卡）。系统对卡片的规划保证了向下兼容性和向上扩展型，同时提供了“一卡通”在特定行业中推广的物理条件。

    综合业务系统针对CPU卡提供独立的密钥管理系统，提供母卡及控制卡的生成、应用密钥的生成、应用密钥的下载、洗卡各项功能。条件许可的话，也可以采用原有的密钥管理系统。并完全在建设部IC卡中心指导下进行。

    卡片在个人化时，先由原有的建设部IC卡中心统一的发卡系统对卡片的模拟MIFARE钱包进行个人化，然后再由综合业务系统的发卡系统对卡片的电子钱包、电子存折、企业钱包进行个人化。条件许可的话，按照建设部标准将两套发卡系统整合，把各个钱包的个人化统一到一个操作中完成。

    系统提供卡片管理，实现卡片入库，密钥卡、SAM卡、用户卡领用、回收的管理功能，记录卡片个人化信息、操作日志，提供相关查询、报表。
    系统同时建立与卡片对应的持卡人账户信息，持卡人在终端设备上交易时可以选择从系统的账户交易，不必使用现金或电子钱包。

    系统支持的交易有：帐户余额查询、联机帐户消费、联机帐户消费撤销、脱机钱包消费撤销、联机帐户圈存、IC卡钱包现金充值、IC卡钱包现金充次、IC卡售卡、IC卡钱包圈存、签到、签退、批结算、批上送、联机交易的自动冲正。

    系统提供交易数据清算，实现与交易单位的交易数据的自动清分，并提供与银行的电子转账接口，实现自动转账。系统提供行业代缴费接口，实现使用“一卡通”就可以进行缴费。

    综合业务处理系统是一套面向城市互联互通、兼容PBOC标准的“一卡通”交易处理平台，同时兼容现有MIFARE1卡的交易。

    “雄关漫道真如铁，而今迈步从头越”，城市通卡综合业务平台打造及CPU卡的迁移是一项长期而艰巨的任务，但只要在建设部IC卡中心的领导下，在各地地方政府扶植下，通过各地通卡公司的自身努力，以及老百姓的支持及拥护，一定可以成功。

    福州索天电子有限科技公司长期以来一直从事银行金融业务系统的开发，近年来更致力于“一卡通”终端设备和应用系统的设计、开发。公司综合两方面的经验，开发完成了从终端设备到应用系统完整的“一卡通”综合业务平台，该综合业务系统已在成都“天府通”投入试运行。索天公司通过参与多个“城市一卡通”跨行业金融支付系统建设，积累了丰富的经验，本着兢兢业业、踏踏实实的精神，努力为“一卡通”的发展尽一份绵薄之力。

    （作者：福州索天电子有限科技公司 林晟）