搜索
南航项目一卡通系统解决方案深圳达实信息技术有限公司2018年6月2第一章项目概述1.1.项目背景Mifare系列IC卡是荷兰Philips公司的经典IC卡产品,它被广泛应用国内机场、校园、政府、公交领域,估计有几亿张在投入使用,在2009年初,德国和美国的研究人员成功地破解了Mifare1芯片的安全算法,它的安全性涉及到众多的运营单位和持卡人的利益,众多Mifare的用户开始担心自己系统的安全。1.2.达实CPU卡一卡通简介达实公司作为国内一卡通知名厂家,时刻关注一卡通行业的发展,根据此情况研发并推出了CPU卡一卡通。1.2.1.CPU卡简介CPU卡又叫智能卡,卡内具有中央处理器(CPU)、随机存储器(RAM)、程序存储器(ROM)、数据存储器(EEPROM)以及片内操作系统(COS),犹如一台超小型电脑。它可以根据一定的加密算法对卡片进行认证,可以进行密文数据传输,大大提高了卡片的安全。如下图:CPU卡采用了多种芯片级防攻击手段,基本上不可伪造,CPU卡所特有的内外部认证机制以及以金融IC卡规范为代表的专用认证机制,能够完全保证交易的合法性;在认证和交易过程中,CPU密钥永远不会外露,它每次送出的都是经过加密的随机数。在认证和交易过程中所使用的密钥都是在安全的发卡环境中产生并密文安装到SAM卡和用户卡中,整个过程密钥不外露。CPU卡作为智能卡的一种,是智能卡技术与技术的融合,可在一个智能卡芯片上,同时实现ISO/IEC14443和ISO/IEC7816两个(无触点/有触点)集成电路IC卡国际3标准的双界面,也可仅支持ISO/IEC14443标准的纯CPU卡。●标准:完全符合ISO/IEC144431/2/3/4●协议:支持ISO/IEC14443?D4的T=CL通信协议●通讯:支持TypeAorTypeB●容量:8Kbytes(可选4-80Kbytes)●规范:支持PBOC2.0的电子存折/电子钱包/借贷记应用;●符合ISO/IEC14443中描述的防冲突机制●支持防插拔处理和数据断电保护机制●卡片具有防冲突机制,允许多张卡片同时进入交易区●支持一卡多应用(多应用、防火墙功能)1.2.2.CPU卡的特点1)CPU卡智能卡与逻辑加密卡相比,拥有独立的CPU处理器和芯片操作系统,所以可以更灵活的支持各种不同的应用需求,更安全的设计交易流程。但同时,与逻辑加密卡系统相比,CPU卡智能卡的系统显得更为复杂,需要进行更多的系统改造,比如密钥管理、交易流程、PSAM卡以及卡片个人化等。密钥通常分为充值密钥(ISAM卡),减值密钥(PSAM卡),身份认证密钥(SAM卡)。2)CPU卡智能卡可以通过内外部认证的机制,例如像建设部定义的电子钱包的交易流程,高可靠的满足不同的业务流程对安全和密钥管理的需求。对电子钱包圈存可以使用圈存密钥,消费可以使用消费密钥,清算可以使用TAC密钥,更新数据可以使用卡片应用维护密钥,卡片个人化过程中可以使用卡片传输密钥、卡片主控密钥、应用主控密钥等,真正做到一钥一用。CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(SAM卡)相互发送认证的随机数,可以实现以下功能:通过终端设备上SAM卡实现对卡的认证。CPU卡与终端设备上的SAM卡的相互认证,实现对卡终端的认证。通过ISAM卡对CPU卡进行充值操作,实现安全的储值。通过PSAM卡对CPU卡进行减值操作,实现安全的扣款。在终端设备与CPU卡中传输的数据是加密传输。通过对CPU卡发送给SAM卡的随机数MAC1,SAM卡发送给CPU的随机数MAC2和由CPU卡返回的随机数TAC,可以实现数据传输验证的计算。而MAC1、MAC2和4TAC就是同一张CPU卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解CPU卡的密钥。3)CPU卡智能卡可以使用密钥版本的机制,即对于不同批次的用户卡,使用不同版本的密钥在系统中并存使用,达到密钥到期自然淘汰过渡的目的,逐步更替系统中所使用的密钥,防止系统长期使用带来的安全风险。4)CPU卡智能卡还可以使用密钥索引的机制,即对于发行的用户卡,同时支持多组索引的密钥,假如当前使用的密钥被泄漏或存在安全隐患的时候,系统可以紧急激活另一组索引的密钥,而不用回收和更换用户手上的卡片。5)CPU卡智能卡系统中,PSAM卡通常用来计算和校验消费交易过程中出现的MAC码,同时在计算的过程中,交易时间、交易金额、交易类型等交易信息也都参与运算,使得交易更安全更可靠。某些情况下,CPU卡智能卡系统中的PSAM卡还可以用来支持安全报文更新数据时MAC的计算,以及交易TAC的验证。因此,与逻辑加密卡系统相比,CPU卡智能卡系统中的PSAM卡支持更广泛的功能,也更为灵活、安全和复杂。通常CPU卡智能卡系统的PSAM卡还支持不同的密钥版本。6)CPU卡智能卡的个人化通常可以分为卡片洗卡和卡片个人化两个独立的流程,前者创建卡片文件结构,后者更新个人化数据,并注入相应的密钥。在信息更新和密钥注入的过程中,通常都采用安全报文的方式,保证数据和密钥更新的正确性和安全性。而且密钥注入的次序和相互保护的依存关系,也充分体现了密钥的安全设计,比如卡片主控密钥通常被用来保护导入应用主控密钥,应用主控密钥通常被用来保护导入其他应用密钥,比如消费密钥等。1.2.3.达实公司的CPU卡的密钥实现方式软密钥:终端机具中没有SAM卡座,这个密钥的运算实际上是由终端机具完成的,这样客户的密钥就等于存在终端机具中,厂家拿回终端机具维修时,极易造成密钥流失。1.2.4.CPU卡与M1卡的安全性比较项目MIFAREI卡CPU卡相关国际标准ISO14443TypeAISO14443TypeA/B载波频率13.56MHz13.56MHz传输数率106Kbps106Kbps发送信号调制ASK100%(信号有断续)ASK10%(TypeB信号连续)5存储空间/分区最大4K字节,固定扇区,分块管理2K/8K/16K可选,文件管理,灵活设计访问权限控制只读/只写/读写/加/减对不同文件类型灵活设计认证方式只读/只写/读写/加/减密钥长度/个数6字节密码,分扇区控制16字节密钥,可多级多个密钥组合控制加密/认证算法专用不公开硬件逻辑算法(已被破解)通用公开软件或硬件加速算法(金融标准),可定制读写/安全模块算法内置密钥外送。认证方式为卡片与专用基站芯片认证(认证通讯协议已破解)通用读写模块透明传输,配合SAM密钥算法,认证在双方卡内部进行,传输中为加密后的随机数交易流程简单不规范,需自定义防拔流程有银行标准规范,也可由用户灵活设计,内置防拔流程1.3.方案特点本系统设计以“经济实用”为原则,遵循先进性、实用性、安全性、开放性和经济性的原则,系统具有以下特点:1、先进的体系架构:采用“1+N”(1个平台+N个子系统应用)”的体系架构,统一规划功能、数据库结构、卡片结构和通讯协议,在平台上可以根据机场需要增加用户应用子系统扩展而不需要改变平台,所构建的系统不仅可以满足机场当前一卡通应用的要求,还满足将来建设的技术要求,真正实现了卡通、库通、网通,决非仅共用卡片的拼凑型系统。2、统一数据平台:数据中心设在网络中心,使用SQLSERVER数据库整合基础数据资源,从而构建统一数据平台,实现数据共享、同步和交换。3、开放的数据接口:系统提供多种数据接口,实现一卡通系统第三方系统的的数据交互、数据共享。4、安全的密钥体系:本方案采用达实公司专有的“智能卡一卡一密方法和系统”的发明专利技术设计一卡通系统密钥体系。从卡片数据结构、机具读写卡片、机具存储数据、数据通讯加密、网络安全、数据库安全、用户权限、应用系统签到签退等一系列环节采取了完整严密的安全策略,确保一卡通所有数据的安全。该安全体系的密钥由机场掌控。5、多钱包管理:系统的用户卡片内规划了多个具有独立功能的小钱包,支持专款专用消费,多钱包账户结算和专款专用,支持银行圈存转账、现金充值、自动补助充值,可以满足机场子系统扩展的需要。6、可靠的读写机具:智能卡读写机具既可在线联网运行,也可离线单独工作,日6常读写卡业务完全不依赖网络或计算机或数据库。消费机在断网停电故障下仍可继续工作2小时而不会丢失刷卡记录。故障消除后数据可上传到数据中心进行处理。7、使用方便:系统操作简单、功能强大。特别是自定义报表功能和自定义桌面功能可以充分满足用户的个性化需求。8、严密的户权限管理:系统可严格按照业务流程、岗位职责分配不同的操作使用权限,一卡通设备和应用软件的签到和签退必须经过系统的认证,防止非法用户滥用功能和篡改重要的数据。9、完整的数据记录:每一张卡片的每一次刷卡、每一台机具的每一次读写卡、管理人员的每一次业务操作均有流水记录,保证在故障情况时丢失数据后可以追索任何一次交易行为的数据,为数据审计提供技术手段。7第二章一卡通总体设计2.1.系统设计原则系统配置和方案设计应按以下原则进行:1)稳定性和可靠性:系统安装调试后,应运行稳定、可靠,在正常使用寿命内,不应该出现任何系统和设计缺陷。2)经济性:系统配置要具有较高的性能价格比,在满足系统功能要求的前提下,应当考虑经济性,减轻用户负担,并充分考虑系统的运行成本。3)先进性:系统设备配置及系统集成具备合理性,并且保证系统具备先进性。4)可集成性:系统能够为IBMS综合集成管理系统提供数据通讯接口,能够提供国际标准的开放性通讯协议和技术,并提供完成集成工作的技术支持。5)可扩展性、适应性:整个系统应具备良好的扩展性,可以平滑升级,满足将来系统容量的增大和系统级别的提高。6)开放性:系统配置应遵循开放性原则,各系统应提供国际标准的软件、硬件、操作系统等诸多方面的接口,使系统具备良好的灵活性、兼容性和可移植性。7)易维护性:在各产品的选型中,应尽可能选用同一厂家的产品,以方便系统的维护。8)安全性:系统应具有较高的抗干扰、防止非法侵入能力,具有自我诊断,即时报警、以保证系统的安全。9)电磁兼容性:各系统及其设备和线路敷设应能符合电磁兼容的国家和国际标准。2.2.设计依据本方案的设计依据如下:GB/T50314-2006智能建筑设计标准GB50339-2003智能建筑工程质量验收规范.GB50303-2002建筑电气工程施工质量验收规范GB50343-2004建筑物电子信息系统防雷技术规范GB50348-2004安全防范工程技术规范GB/T50311-2007综合布线系统工程设计规范GB50396-2007出入口控制系统工程设计规范ISO14443TYPEA/B非按触式IC卡读写标准8PBOC2.0中国金融集成电路(IC)卡应用规范(V2.0电子钱包应用)用户项目需求2.3.需求分析通过对机场的实际需求进行分析,整个一卡通系统必须实现以下功能:身份识别用机场卡取代各个机场以前的各种证卡(包括工作证、借书证/卡、医疗证、出入证等),实现身份识别“一卡通”。所有用证、用卡的信息管理系统,其身份识别部分(实现身份认证、门禁、考勤、签到等)等功能都借助机场卡作为介质连通的统一身份认证系统完成,实现身份识别的数据共享。电子支付在机场内部做到以卡代币,凡涉及到现金使用的任何一个消费网点,机场卡的电子钱包都能通用,如:缴费、膳堂、超市、餐饮、小卖部、浴室、洗衣、上机收费管理、电控管理、水控管理等等。信息查询及系统集成实现“一卡通”系统与机场各部门原有的管理信息系统(如机场目前已有的HR系统、ERP、财务管理系统等)对接,经过系统授权或通过中间服务器,以机场卡为媒介,持卡人可以共享“机场一卡通”的公用数据,查询个人信息,随时了解自己的考勤、消费等信息;机场管理部门结合管理信息查询、后勤信息查询、消费信息查询等应用系统,统计、分析机场内职工工作、生活的数据,准确地掌握第一手资料。这既有利于机场集中管理,也可为管理决策提供了依据。2.4.总体规划通过对机场的需求进行分析,我们按照“总体规划、分布实施”的原则,并根据根据机场的实际需求,我们提出了“C3数字化机场一卡通整体解决方案(以下简称C3系统)”,对机场