WelcometoHUAWEITechnologiespresentation

金融IC卡通用數(shù)據(jù)存儲應(yīng)用業(yè)務(wù)需求介紹中國銀聯(lián)產(chǎn)品創(chuàng)新部2011.1第一頁，共四十六頁。目錄金融IC卡多應(yīng)用情況金融IC卡數(shù)據(jù)存儲規(guī)范情況金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范的業(yè)務(wù)需求探討第二頁，共四十六頁。金融IC卡未來應(yīng)用領(lǐng)域門禁系統(tǒng)

會員卡網(wǎng)絡(luò)登錄電子票務(wù)代金券優(yōu)惠券電子病歷忠誠積分第三頁，共四十六頁。金融IC卡多應(yīng)用困惑?誰的青春我做主,引發(fā)二次發(fā)卡問題?

為什么IC卡項目聯(lián)名發(fā)卡上總是1+1<2,能否找到一種商業(yè)方法徹底解決二次發(fā)卡或多次發(fā)卡問題.想說愛你不容易,合作代價居高不下問題?

與銀行合作發(fā)點門禁卡、會員卡、代金券、優(yōu)惠券、電子票和積分卡等普通業(yè)務(wù)，需要我建設(shè)聯(lián)合發(fā)卡系統(tǒng)、密鑰管理中心、數(shù)據(jù)準(zhǔn)備系統(tǒng)、個人化系統(tǒng)、會員管理系統(tǒng)這么多系統(tǒng)，還要我經(jīng)過那么多安全檢測，難道吃點豬肉非要殺頭豬嗎？是否你就是我的唯一,業(yè)務(wù)模式太復(fù)雜問題?

相同業(yè)務(wù)，每家銀行業(yè)務(wù)模式和技術(shù)標(biāo)準(zhǔn)都不一樣，合作伙伴不知道怎么做？

第四頁，共四十六頁。目錄金融IC卡多應(yīng)用情況金融IC卡數(shù)據(jù)存儲規(guī)范情況金融IC卡通用數(shù)據(jù)存儲應(yīng)用的業(yè)務(wù)需求探討第五頁，共四十六頁。通用存儲標(biāo)準(zhǔn)的目的為發(fā)卡者提供一個公共的開放平臺

發(fā)卡行可以積極的拓展行業(yè)用戶減小或消除發(fā)卡行在業(yè)務(wù)開拓時的技術(shù)障礙，保護(hù)發(fā)卡行投資快速的推動對智能卡多應(yīng)用市場的開發(fā)通用化方面提供一個開放的平臺，盡量滿足行業(yè)應(yīng)用的特點和需求，定義應(yīng)用參與方之間的認(rèn)證和安全機(jī)制，保護(hù)各行業(yè)應(yīng)用的獨立性和私密性，互操作性方面詳細(xì)定義智能卡多應(yīng)用的技術(shù)細(xì)節(jié)，不同應(yīng)用開發(fā)商開發(fā)的應(yīng)用可以相互兼容，創(chuàng)建和支持一個智能卡多應(yīng)用的技術(shù)規(guī)范，使NATIVE卡都可以在多應(yīng)用上具備開放的功能。第六頁，共四十六頁。通用存儲標(biāo)準(zhǔn)的現(xiàn)狀國際VISA的VS3規(guī)范：《VisaSmartSecureStoragespecification》，MasterCard的MODS規(guī)范：《MasterCardOpenDataStorageTechnicalSpecification》國內(nèi)-中國銀聯(lián)的SMAS:《金融IC卡多應(yīng)用存儲規(guī)范1.0》(2006年)----但是，都沒有具體推廣成功第七頁，共四十六頁。VISA智能安全存儲的特點（VS3）以發(fā)卡行為中心為VASP服務(wù)Cell、CellGroup的概念CellEFCellGroupDFTOC目錄基于ISO7816文件系統(tǒng)實現(xiàn)支持發(fā)卡后的非支付應(yīng)用的添加刪除操作第八頁，共四十六頁。萬事達(dá)卡開放數(shù)據(jù)存儲規(guī)范的特點（MODS）以持卡人為中心容器(Container)的概念Container應(yīng)用(AID標(biāo)識)Object數(shù)據(jù)對象(Tag標(biāo)識)容器的操作：Create/Delete;Lock/Unlock對象的操作：Create/Read/Delete/Update目錄服務(wù)第九頁，共四十六頁。萬事達(dá)卡開放數(shù)據(jù)存儲規(guī)范的特點（MODS）第十頁，共四十六頁。以發(fā)卡行為中心采用容器和對象的概念目錄服務(wù)整合提煉容器與對象的操作支持開放平臺或非開放平臺金融IC卡多應(yīng)用存儲規(guī)范---基本原則第十一頁，共四十六頁。3、容器在現(xiàn)實中…樓宇、娛樂場所城市、村莊IC卡(MF、DF、EF等對象)JavaCard（Applett對象,JCRE是管理Applet的容器)金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十二頁，共四十六頁。3、容器（Container）（1）積分積分代幣券演出票ADFObject金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十三頁，共四十六頁。3、Container（2）物理對應(yīng)一個卡上的DFAID標(biāo)識定義專用指令支持容器的操作金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十四頁，共四十六頁。3、Container

（3）創(chuàng)建對象1我想放一個“對象”，可以嗎？Issuer2可以，這是房間鑰匙3INSERTOBJECT金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十五頁，共四十六頁。3、Container

（4）存取對象1我想改一個“對象”的地址信息，可以嗎？2OK，這是AC3ACCESSOBJECT金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十六頁，共四十六頁。3、對象Object（1）基本信息

持卡人信息，Owner信息等可公開信息敏感信息

點數(shù)、金額或座位信息等機(jī)密信息權(quán)限信息

對象的使用、修改、刪除條件金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十七頁，共四十六頁。ShortSI_Cipher(TRuningEnvre,TAPDUObjectao){TKOkey=re.reference(OID);TRNDrnd=re.getChallengeObject();TDOdata=re.reference(OID_DATA);

…..return0x9000;}

3、Object（2）對象的種類及關(guān)系密鑰對象KeyObject(KO）數(shù)據(jù)對象DataObject(DO)

引用

保護(hù)

接口對象(APDUObject)金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十八頁，共四十六頁。Object（3）結(jié)構(gòu)定義OIDAttribOACContent對象標(biāo)識符屬性對象的存取條件內(nèi)容金融IC卡多應(yīng)用存儲規(guī)范---基本概念第十九頁，共四十六頁。對象標(biāo)識符OID（1）定義采用ASN.1的定義樹狀結(jié)構(gòu)，容易擴(kuò)充12122312311313321322銀聯(lián)非支付應(yīng)用票務(wù)類積分類電影院商店…電信商家金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十頁，共四十六頁。OID（2）OID最后一個域的內(nèi)容規(guī)定為對象標(biāo)識號對象標(biāo)識號取值范圍為0－2551.21.311.1.11.2.840.113549.12A864886F70D013D82370101pkcs-1應(yīng)用-1

OID的存儲格式金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十一頁，共四十六頁。屬性Attrib標(biāo)識對象類型和屬性（2字節(jié)）Byte1KO:Byte2金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十二頁，共四十六頁。對象存取條件OAC引用條件刪除條件引用(Reference)刪除(Delete)對象的使用條件(AC)（2字節(jié)）對象操作AC值域定義值定義01－FEFFFree對象編號Never金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十三頁，共四十六頁。對象實體Content（1）自定義應(yīng)用數(shù)據(jù)項的格式數(shù)據(jù)項使用條件列表ACL自定義數(shù)據(jù)項數(shù)據(jù)項使用條件列表(ACL)TAGacl

LENacl

Tag1

AC

Tag2

AC

Tag3

AC….注：如果Tag是自定義模板，則所有模板內(nèi)的數(shù)據(jù)項受模板的AC保護(hù)自定義數(shù)據(jù)項TAGcontent

LENcontent

TAGacl

LENaclACLT1L1V1T2L2V2

T3L3V3….金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十四頁，共四十六頁。Content（2）自定義應(yīng)用數(shù)據(jù)項的操作讀/加(Read/Increase)寫/減(Update/Decrease)數(shù)據(jù)項的使用條件(AC)（2字節(jié)）RIACUDACAC值域定義值定義01－FEFFFree對象編號Never密鑰的使用條件(AC)（2字節(jié)）COUNTERUpdateAC21345678Counter定義最大值初始值金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十五頁，共四十六頁。積分應(yīng)用示例1.21.311.1.100

00037015

71039300029006“88Shop”

930F91010292022710

基本信息1.21.311.1.28003

00037016

7102FF03

501011223344556677889900112233445566

維護(hù)密鑰1.21.311.1.38002

00

037016

7102FF03

501011223344556677889900112233445566

管理密鑰自定義應(yīng)用數(shù)據(jù)

Tag意義

90商戶

91VIP級別

92發(fā)卡機(jī)構(gòu)代碼

93模板

94集點數(shù)

積分對象1.21.311.1.440

0003700B

71039205069404000086A0

1.21.311.1.58003

00037016

7102FF03

501011223344556677889900112233445566

加值密鑰1.21.311.1.68003

00037016

7102FF03

501011223344556677889900112233445566

減值密鑰金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十六頁，共四十六頁。Container示意1.21.311.1.11.21.311.1.21.21.311.1.31.31.311.1.21.31.311.1.1192.168.79.168.1192.168.79.168.2192.168.79.168.3只有同類才可引用，否則在引用時報6A88金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十七頁，共四十六頁。SMAS的指令I(lǐng)nsertObjectAccessObjectListApplicationClass金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十八頁，共四十六頁。InsertObject定義對象將對象寫入容器時必須得到容器創(chuàng)建時設(shè)置的條件可創(chuàng)建多個DO、KO或AO金融IC卡多應(yīng)用存儲規(guī)范---基本概念第二十九頁，共四十六頁。InsertObject-formatCLAINSP1P2LcData80/844000P1：76543210

X

X

DataType:10:ObjectData01:AuthenticDataother:RFUxxModeforAuthenticObject:10:Install01:Update0000RFUAuthenticDATA：OID+CryptoMsgObjectDATA：

OID+Attrib+OAC+Contents金融IC卡多應(yīng)用存儲規(guī)范---基本概念第三十頁，共四十六頁。AccessObject存取、修改對象內(nèi)的數(shù)據(jù)項刪除對象金融IC卡多應(yīng)用存儲規(guī)范---基本概念第三十一頁，共四十六頁。AccessObject-formatCLAINSP1P2LcData80/844200P1：76543210Mode:001:Reference010:Delete011:Read100:Update101:Increase110:Decrease10000RFUDataforRead/Write:OID+TAGDataforReference/Delete:OID金融IC卡多應(yīng)用存儲規(guī)范---基本概念第三十二頁，共四十六頁。目錄金融IC卡多應(yīng)用情況金融IC卡數(shù)據(jù)存儲規(guī)范情況金融IC卡通用數(shù)據(jù)存儲應(yīng)用的業(yè)務(wù)需求探討第三十三頁，共四十六頁。金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—業(yè)務(wù)范圍身份識別：門禁卡會員卡折扣卡積分計劃：商戶積分銀行積分銀聯(lián)積分

電子優(yōu)惠券：打折券優(yōu)惠券代金券電子票務(wù)：火車票交通票公園票電影票演出票

金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范注：可探討大型數(shù)據(jù)存儲，如電子病歷等第三十四頁，共四十六頁。金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—業(yè)務(wù)需求集體宿舍合租單間別墅樓房精裝修房間復(fù)式樓房電子優(yōu)惠券特點：價值不高，商戶要求簡單；信息安全性要求不高；隨意性強(qiáng)，可互聯(lián)網(wǎng)或手機(jī)方便下載；數(shù)據(jù)存儲要求：能存儲即可無需私有密鑰身份識別卡：特點：信息準(zhǔn)確性要求高；信息安全性一般；需要在一定場所或設(shè)備開通；信息不經(jīng)常變動；數(shù)據(jù)存儲要求：要安全存儲，并保證不經(jīng)常變動，合法驗證者才能讀出信息或驗證信息電子票務(wù)或代金券：特點：信息真實性要求高；信息安全性要求高；信息變動較快，一次性使用；信息價值較高；數(shù)據(jù)存儲要求：能安全存儲，信息可更新和廢除，需一條私有維護(hù)密鑰電子票務(wù)或積分計劃：特點：信息準(zhǔn)確性要求高，票務(wù)或身份信息不經(jīng)常變動，而相關(guān)部分信息屬性常變動，如計數(shù)器、打票狀態(tài)等；信息安全性要求高；數(shù)據(jù)存儲要求：能安全存儲，信息可更新和廢除，需要多條維護(hù)密鑰特殊電子票務(wù)或積分計劃：特點：信息安全要求高；獨立意識強(qiáng)；數(shù)據(jù)存儲要求：能安全存儲，信息可更新和廢除，需要應(yīng)用主控制密鑰和多條維護(hù)密鑰；信息安全性建議商戶確定：信息真實性，可通過信息后簽名保證；信息是否可讀，可選擇加密保存和銘文保存；第三十五頁，共四十六頁。數(shù)據(jù)存儲是商戶需要驗證和安全存儲信息,與個人信息存儲設(shè)備完全不同;

數(shù)據(jù)存儲模式與商戶經(jīng)營業(yè)務(wù)和業(yè)務(wù)模式息息相關(guān);數(shù)據(jù)存儲安全要求和商戶存儲信息價值相關(guān);數(shù)據(jù)存儲安全積分\月票\次票等計數(shù)器安全小于電子錢包,可以外部終端修改后保存,而非自運算加減;

建議給予商戶權(quán)限應(yīng)與商戶經(jīng)營業(yè)務(wù)類型不同,而設(shè)置:金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—業(yè)務(wù)特點

戰(zhàn)略商戶,可以在通用存儲下自建ADF或容器,需要業(yè)務(wù)開通操作;重要商戶,可以安裝多條私有維護(hù)密鑰或交易密鑰,需要業(yè)務(wù)開通操作;重點商戶,可以安裝一條私有維護(hù)密鑰,不需要開通;一般商戶,可以在循環(huán)文件中寫入信息,不需要開通;U盤和移動硬盤第三十六頁，共四十六頁。金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—模式選擇面向?qū)ο竽Ｊ?，即類和?shù)據(jù)對象模式優(yōu)點：靈活性較強(qiáng)、應(yīng)用層開發(fā)難度小、便于二次開發(fā)缺點：較大改變底層COS編程語言和編譯器都要修改面向結(jié)構(gòu)模式，即文件結(jié)構(gòu)和指令模式優(yōu)點：底層COS改變較小、開發(fā)難度小、個人化模式未大改變?nèi)秉c：靈活性差、二次開發(fā)煩瑣兩者共性內(nèi)容,含ADF建新應(yīng)用模式和Contain建新應(yīng)用模式

(一)相同的密鑰元素和安全級別,主控密鑰\維護(hù)秘鑰\交易密鑰(二)相同的文件元素和文件類型(三)相同的個人化過程第三十七頁，共四十六頁。應(yīng)用初始化和個人化的安全工作機(jī)制不改變;二次個人化數(shù)據(jù)更加\更新\改寫機(jī)制不變;密鑰分散機(jī)制不變,形成主控密鑰和維護(hù)密鑰通過發(fā)卡機(jī)構(gòu)\卡片序列號\商戶號碼的三層分散體系(但商戶積分\月票\年票等計數(shù)器加減的交易密鑰需要自行掌握);內(nèi)部認(rèn)證和外部認(rèn)證的方式改變?yōu)榉菍ΨQ模式,內(nèi)部認(rèn)證采用金融IC卡DDA模式,外部認(rèn)證也采用證書認(rèn)證(證書格式采用PBOC方式)模式;更加\更新\改寫的維護(hù)密鑰由金融IC卡動態(tài)產(chǎn)生,并通過外部公鑰保護(hù)送給終端成為臨時過程密鑰,來進(jìn)行特定文件內(nèi)記錄的操作;卡片根據(jù)商戶類型權(quán)限判斷安全狀態(tài)和內(nèi)部操作;商戶外部認(rèn)證通過后,可以使用交易密鑰對敏感數(shù)據(jù)進(jìn)行操作;注釋：也可以使用對稱密鑰體系，則PSAM里存放的是根密鑰；若采用非對稱密要體系，PSAM里存放的銀聯(lián)頒發(fā)的商戶證書、商戶私有維護(hù)密鑰和商戶存儲信息驗證密鑰（DES、3DES或ECC）金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—密鑰機(jī)制探討第三十八頁，共四十六頁。驗證脫機(jī)PIN后，才能初始化或個人化；驗證脫機(jī)PIN后，持卡人可以通過專用金融IC卡工具管理通用存儲的相關(guān)內(nèi)容。金融IC卡多應(yīng)用數(shù)據(jù)存儲規(guī)范—脫機(jī)PIN管理第三十九頁，共四十六頁。一、用戶數(shù)據(jù)文件（外部文件）Coupon文件,循環(huán)文件,可隨意拋棄；T