金融IC卡基礎(chǔ)知識培訓培訓講學

金融IC卡基礎(chǔ)應(yīng)用培訓天用唯勤內(nèi)部培訓使用IC卡的定義與類型IC卡的定義：就是所謂的集成電路卡，全稱為：IntegratedCircuit(s)Card，即在一張塑料卡片上嵌入一個或多個集成電路芯片，這些芯片中存儲與處理相關(guān)的交易信息數(shù)據(jù)。IC卡的常見類型：存儲器卡：集成電路芯片只提供基礎(chǔ)的信息存儲功能，相關(guān)的訪問接口是全開放的，任何掌握了這個訪問接口標準的讀寫卡設(shè)備都可以對這些數(shù)據(jù)進行讀取和改寫操作。這種卡片的特點是：成本低，存儲容量大，安全標準低（與常見的銀行磁條卡的安全標準相同）。邏輯加密卡：集成電路芯片除了提供基礎(chǔ)的信息存儲功能外，還設(shè)置了訪問密碼，外部讀寫卡設(shè)備在使用預(yù)定義的訪問接口進行數(shù)據(jù)操作時需要提供該密碼。這種卡片的特點是：成本較低，存儲容量大，安全標準較低。日常生活中常用的IC電話卡、公交卡等很多都是使用這種卡。智能卡：集成電路芯片中內(nèi)置了一個小型的專用操作系統(tǒng)：COS（CARDOS，卡片操作系統(tǒng)）。外部讀寫設(shè)備不能通過接口直接訪問芯片中存儲的數(shù)據(jù)，只能通過COS所提供的訪問接口向COS發(fā)出交易請求，COS會處理交易請求后返回處理結(jié)果數(shù)據(jù)給外部讀寫設(shè)備。這樣就可以在COS中實現(xiàn)對于交易信息的全面的安全認證處理，保證交易的安全性。與磁條卡、存儲器卡、邏輯加密卡相比，智能卡中存放的數(shù)據(jù)外部不能直接訪問，必須通過COS進行處理，COS會按照相關(guān)的規(guī)范檢查本次交易是否安全，只有安全的交易才可以繼續(xù)處理，就如同卡片擁有了“智能”可以自行決定交易的處理結(jié)果。金融IC卡一定是智能卡金融應(yīng)用要求高度的安全性，所以金融IC卡一定是使用智能卡。金融IC卡與金融磁條卡的差異金融磁條卡使用卡片表面粘貼的磁條來存儲信息，磁條中可以保存三個磁道信息，金融應(yīng)用一般是使用二、三磁道來存儲信息。磁條中只保存有應(yīng)用信息，沒有密鑰信息。磁條中的磁道信息是全開放的，任何一個可以讀取磁條信息的設(shè)備都可以完整地提取一張磁條卡中的磁道信息安全性低，容易被復制。磁條信息是全開放的，很容易被非法的設(shè)備提取后進行復制，在交易過程中只能依靠交易密碼來保證交易的安全?，F(xiàn)實生活中，一旦交易密碼被其他人知道就很容易通過偽造磁條卡來進行非法交易，安全性較低。成本低，銀行發(fā)卡時可以不考慮卡片成本，也不會向持卡人收取卡片成本。金融IC卡：使用智能卡（集成電路芯片）來存儲信息。芯片中同時存儲應(yīng)用信息與密鑰信息，通過密鑰信息進行交易過程中的安全認證處理。芯片中的信息不能被外部直接訪問，只能向COS發(fā)起交易來訪問，這些交易都需要由COS使用存儲在芯片中的密鑰依據(jù)應(yīng)用規(guī)范進行安全認證，相關(guān)的信息每次都會變動。外部只能獲得交易過程中的應(yīng)用信息，所以即使外部截獲了這些信息也無法復制出金融IC卡安全性高。還沒有發(fā)現(xiàn)被復制。在現(xiàn)實生活中，即使帳戶密碼被其他人知道也無法通過偽造IC卡來進行非法交易，安全性高成本高，銀行發(fā)卡時一般會向持卡人收取卡片成本。這稱為阻礙金融IC卡發(fā)展的主要障礙。1.0規(guī)范的安全機制－雙向認證傳統(tǒng)的磁條卡只支持聯(lián)機交易，在交易中由發(fā)卡行主機系統(tǒng)驗證持卡人的密碼來認證交易的合法性，這種做法存在明顯的弱點發(fā)卡行缺乏對于卡片真?zhèn)涡缘尿炞C，磁條卡的唯一保證就是用戶密碼，所以很容易出現(xiàn)用戶密碼被竊取后的偽造磁條卡的非法交易用戶密碼必須由發(fā)卡行的后臺系統(tǒng)進行驗證，所以磁條卡只能支持聯(lián)機交易處理（交易信息必須實時發(fā)送到發(fā)卡行主機系統(tǒng)，發(fā)卡行主機系統(tǒng)處理后將處理結(jié)果實時返回到受卡終端，然后受卡終端依據(jù)發(fā)卡行主機系統(tǒng)的響應(yīng)決定是接受還是拒絕該交易）金融IC卡使用雙向認證的機制來保證交易的安全交易時用戶卡片可以認證外部的交易環(huán)境是否非法。卡片對交易受理環(huán)境進行驗證，保證卡片一定是在經(jīng)過發(fā)卡行授權(quán)的交易環(huán)境中發(fā)生交易，防止卡片被偽造的交易終端所使用。交易時發(fā)卡行系統(tǒng)（交易受理環(huán)境）對用戶卡進行驗證。保證本次參與交易的用戶卡一定是發(fā)卡行發(fā)行的合法卡（非偽造卡），防止偽造的用戶卡參加交易。1.0規(guī)范的安全機制的實現(xiàn)策略－卡片認證外部交易環(huán)境外部交易環(huán)境需要在交易過程中對于外部交易指令信息產(chǎn)生MAC信息首先依據(jù)發(fā)卡行主對稱密鑰，使用本次交易的用戶卡號作為密鑰，采用三次DES算法加密計算出對應(yīng)該用戶卡的子對稱密鑰其基本的策略是對交易指令信息中的關(guān)鍵信息（例如卡號、發(fā)生額、流水號）利用特定的算法產(chǎn)生出“摘要”，然后使用前一步驟計算出來的子對稱密鑰對該“摘要”進行三次DES加密，最終產(chǎn)生對對應(yīng)本次交易指令的MAC信息然后將原始交易指令信息（明文）與計算出來的MAC信息一起發(fā)送給用戶卡片卡片收到外部交易指令信息后完成對于外部交易環(huán)境的認證處理采取相同的算法對外部交易環(huán)境傳入的交易信息中的關(guān)鍵信息產(chǎn)生出“摘要信息”，然后使用本用戶卡的子對稱密鑰對該“摘要”進行三次DES加密，產(chǎn)生出對應(yīng)本次交易指令的MAC信息比較卡片計算出來的MAC信息與外部環(huán)境在交易指令信息中輸入的MAC信息是否一致，如果一致就可以認為外部交易環(huán)境是合法的（擁有正確的主對稱密鑰與算法），否則卡片就認為外部交易環(huán)境是非法的（沒有正確的主對稱密鑰與算法）卡片只在外部交易環(huán)境認證通過時才會執(zhí)行相應(yīng)的交易指令，完成對芯片中信息的變動1.0規(guī)范的安全機制的實現(xiàn)策略－外部交易環(huán)境認證卡片卡片需要在交易過程中對于交易響應(yīng)信息產(chǎn)生MAC信息其基本的策略是對交易響應(yīng)信息中的關(guān)鍵信息（例如卡號、發(fā)生額、流水號）利用特定的算法產(chǎn)生出“摘要”，然后使用前一步驟計算出來的子對稱密鑰對該“摘要”進行三次DES加密，最終產(chǎn)生對對應(yīng)本次交易響應(yīng)的MAC信息然后將原始交易響應(yīng)信息（明文）與計算出來的MAC信息一起發(fā)送給外部交易環(huán)境外部交易環(huán)境收到卡片交易響應(yīng)信息后完成對于卡片的認證處理首先依據(jù)發(fā)卡行主對稱密鑰，使用本次交易的用戶卡號作為密鑰，采用三次DES算法加密計算出對應(yīng)該用戶卡的子對稱密鑰采取相同的算法對卡片返回的交易響應(yīng)信息中的關(guān)鍵信息產(chǎn)生出“摘要信息”，然后使用計算出來的子對稱密鑰對該“摘要”進行三次DES加密，產(chǎn)生出對應(yīng)本次交易響應(yīng)的MAC信息比較外部交易系統(tǒng)計算出來的MAC信息與卡片在交易響應(yīng)信息中輸入的MAC信息是否一致，如果一致就可以認為卡片是合法的（擁有正確的子對稱密鑰與算法），否則外部交易環(huán)境就認為卡片是非法的（沒有正確的子對稱密鑰與算法）外部交易環(huán)境只在卡片認證通過時才會執(zhí)行后續(xù)的交易處理，完成對外部交易系統(tǒng)中信息的變動IC卡交易的特點－脫機交易傳統(tǒng)銀行磁條卡只支持聯(lián)機交易磁條卡只是作為交易介質(zhì)參與交易交易過程中的數(shù)據(jù)都需要通過網(wǎng)絡(luò)傳遞到發(fā)卡行，由發(fā)卡行主機系統(tǒng)依據(jù)后臺系統(tǒng)中存儲的帳戶信息進行交易處理，交易受理點（銀行網(wǎng)點、POS、ATM等）只需要依據(jù)后臺系統(tǒng)返回的處理結(jié)果來決定交易是否能夠完成處理金融IC卡交易特點－支持脫機交易金融IC卡芯片中建立有客戶的帳戶信息進行脫機交易處理時由金融IC卡依據(jù)芯片中存儲的帳戶信息進行處理，交易受理點（銀行網(wǎng)點、POS、ATM等）只需要依據(jù)IC卡芯片返回的處理結(jié)果來決定交易是否能夠完成處理在交易過程中不需要與發(fā)卡行后臺系統(tǒng)發(fā)生聯(lián)機信息交換，只需要在每日交易結(jié)束時將交易信息發(fā)送到發(fā)卡行進行結(jié)算處理脫機交易與聯(lián)機交易的比較聯(lián)機交易需要有較好的網(wǎng)絡(luò)支持環(huán)境，適合進行交易金額較大的交易處理脫機交易對網(wǎng)絡(luò)環(huán)境要求低，適合支持類似出租車、公交車、小區(qū)商業(yè)等網(wǎng)絡(luò)環(huán)境不是很好、交易金額比較低的應(yīng)用IC卡帳戶分類－簡述標準的金融IC卡帳戶主要有以下幾個分類主帳戶、電子錢包結(jié)算帳戶、電子存折結(jié)算帳戶、電子錢包芯片帳戶、電子存折芯片帳戶其他可能還存在的擴張帳戶主要有：XX特色應(yīng)用結(jié)算帳戶、XX特色應(yīng)用芯片帳戶帳戶間的關(guān)系主帳戶是發(fā)卡行后臺系統(tǒng)開立的一個普通個人帳戶，主帳戶與IC卡結(jié)算帳戶間形成簽約綁定關(guān)系，后續(xù)可以通過主帳戶完成圈存、圈提、結(jié)息等特殊帳務(wù)的帳務(wù)處理結(jié)算帳戶是發(fā)卡行后臺系統(tǒng)為IC卡芯片帳戶開立的對應(yīng)的結(jié)算帳戶例如客戶持IC卡到商戶POS上使用電子錢包執(zhí)行脫機交易（消費50元），客戶卡片中的電子錢包芯片帳戶的余額減少50元，商戶只是收到了某某客戶的卡的電子錢包消費50元的電子信息，這個時刻商戶還沒有拿到客戶應(yīng)當支付的50元錢；商戶在每日定時將收到的脫機交易信息發(fā)送到發(fā)卡行后臺系統(tǒng)，發(fā)卡行后臺系統(tǒng)就可以依據(jù)這些脫機交易的電子信息由客戶的電子錢包芯片帳戶對應(yīng)的后臺結(jié)算帳戶上將這50元錢轉(zhuǎn)入商戶在銀行開立的結(jié)算帳戶中，這樣商戶就實際地收到了這50元錢芯片帳戶是開立在IC卡芯片中的，芯片帳戶存放的信息是客戶實際可以用于交易的帳戶信息為了支持脫機交易，必須在IC卡芯片中存儲對應(yīng)的帳戶信息（余額、交易明細等）客戶實際發(fā)生交易時以芯片帳戶中的信息為準IC卡帳戶分類－主帳戶主帳戶基本上都是采取現(xiàn)有的普通磁條卡帳戶主帳戶與IC卡結(jié)算帳戶間只是建立了一個簽約綁定關(guān)系主帳戶的主要作用由于IC卡交易的特點決定了芯片中的帳戶的重要意義，所以不能輕易對結(jié)算帳戶進行操作，一旦操作就需要考慮與芯片中信息同步的問題，所以可以利用主帳戶來執(zhí)行不需要與芯片帳戶同步的交易。例如：結(jié)息、扣卡片年費等通過綁定關(guān)系可以方便后續(xù)的圈存、圈提等聯(lián)機交易的處理，減少客戶在交易過程中的信息輸入量，簡化操作IC卡帳戶分類－結(jié)算帳戶結(jié)算帳戶主要包括：電子錢包結(jié)算帳戶、電子存折結(jié)算帳戶、XX特色應(yīng)用結(jié)算帳戶等。結(jié)算帳戶開立在發(fā)卡行后臺交易系統(tǒng)中，與普通的存折帳戶類似。結(jié)算帳戶與芯片帳戶的關(guān)系：結(jié)算帳戶與芯片帳戶一一對應(yīng)結(jié)算帳戶為芯片帳戶發(fā)生的脫機交易提供最終的交易資金結(jié)算服務(wù)結(jié)算帳戶不能直接參加脫機交易，都是由芯片帳戶交易后提供的電子結(jié)算信息驅(qū)動完成最終的交易資金結(jié)算處理結(jié)算帳戶與芯片帳戶的余額可能是不一致的芯片帳戶發(fā)生脫機交易時余額是被實時扣去的，但是結(jié)算帳戶需要在發(fā)卡行后臺系統(tǒng)收到電子結(jié)算信息后才會進行余額扣減處理結(jié)算帳戶發(fā)生了無卡圈存（或充值）時結(jié)算帳戶余額會實時增加，但是芯片帳戶的余額需要由持卡人辦理信息同步（補登）業(yè)務(wù)時才會增加IC卡帳戶分類－電子錢包芯片帳戶標準IC卡金融應(yīng)用中支持的一種帳戶電子錢包帳戶不能掛失、凍結(jié)，在交易過程中不需要使用密碼，又稱為電子現(xiàn)金普通的人民幣是不會允許掛失、凍結(jié)的，任何人只有持有非偽造的人民幣都可以正常使用（不管是自己的、揀到的還是竊取的）IC卡電子錢包同樣不允許掛失、凍結(jié)，任何人都可以使用一張沒有過期的IC卡中的電子錢包帳戶中的余額購物缺陷：很明顯，主要是不能掛失，這和人們傳統(tǒng)上使用銀行卡可以掛失有點矛盾優(yōu)勢：可以有效地替代小額現(xiàn)金的使