QR-19-02石家莊商行密鑰管理系統(tǒng)需求(v

1、石家莊商行密鑰系統(tǒng)需求 Enabling the new China economy for the world石家莊商行密鑰管理系統(tǒng)需求第1.0版上海華騰軟件系統(tǒng)有限公司Shanghai Huateng Software Systems Co.,Ltd.二零零三年十一月文檔歷史記錄日期姓名版本更改內(nèi)容更新記錄2003-1125俞海宏第1.0版Original目 錄1概述31.1目的和內(nèi)容31.2讀者對象32總體需求42.1項目概述42.1.1整體結(jié)構42.1.2建設模式42.1.3工程實施計劃52.2總體需求52.2.1城市一卡通密鑰管理方案概述52.2.2城市一卡通發(fā)卡方案概述52.2.3

2、功能需求53密鑰管理需求63.1金融密鑰管理需求63.2行業(yè)應用密鑰管理需求63.3其它需求74發(fā)卡加密機需求74.1用戶卡發(fā)卡74.2PSAM發(fā)卡7圖 表 目 錄圖表 21 一卡通系統(tǒng)整體結(jié)構圖41 概述1.1 目的和內(nèi)容本文檔是石家莊商行密鑰管理系統(tǒng)的需求文檔，主要描述了石家莊商行城市一卡通IC卡密鑰管理系統(tǒng)的用戶需求，作為石家莊城市一卡通系統(tǒng)建設方案的補充。本文檔主要包括如下內(nèi)容：² 總體需求² 密鑰管理系統(tǒng)需求² 發(fā)卡加密系統(tǒng)需求1.2 讀者對象本文檔的主要目標讀者包括：² 商行一卡通系統(tǒng)應用集成商² 商行密鑰管理系統(tǒng)的開發(fā)商²

3、; 商行一卡通系統(tǒng)業(yè)務部門² 商行一卡通系統(tǒng)科技和管理人員2 總體需求2.1 項目概述2.1.1 整體結(jié)構城市一卡通系統(tǒng)整體結(jié)構如下圖所示：圖表 21 一卡通系統(tǒng)整體結(jié)構圖2.1.2 建設模式整個石家莊城市一卡通系統(tǒng)由業(yè)務和清算系統(tǒng)、安全系統(tǒng)、卡個人化系統(tǒng)、終端交易系統(tǒng)、行業(yè)機構管理系統(tǒng)、通訊系統(tǒng)組成。石家莊城市一卡通系統(tǒng)以銀行卡為基礎卡，在金融支付功能的基礎上實現(xiàn)各種行業(yè)應用，石家莊城市商業(yè)銀行是城市一卡通的清算行和主辦行，石家莊市信息辦是整個石家莊城市一卡通工程的管理機構。2.1.3 工程實施計劃城市一卡通一期工程定于2003年12月8日實現(xiàn)正式發(fā)卡，開通金融應用和出租應用，出租

4、應用采用金融電子錢包實現(xiàn)。2.2 總體需求2.2.1 城市一卡通密鑰管理方案概述石家莊城市一卡通密鑰管理系統(tǒng)由主辦行密鑰管理系統(tǒng)和信息辦密鑰管理系統(tǒng)組成，各種城市行業(yè)應用密鑰由主辦行代為產(chǎn)生和管理，信息辦密鑰管理系統(tǒng)負責產(chǎn)生和管理卡機認證密鑰（在進行除金融外的行業(yè)應用交易開始前對用戶卡和交易終端進行驗證，確認是石家莊城市一卡通IC卡）。城市應用密鑰由城市應用根密鑰根據(jù)行業(yè)代碼和發(fā)卡行標識進行二次分散后傳遞到各發(fā)卡行，分散順序為根密鑰先按照行業(yè)代碼分散，分散結(jié)果再按照發(fā)卡行標識進行分散。城市應用根密鑰通過安全方式裝載到清算行的交易驗證加密機中，所有的城市一卡通應用聯(lián)機交易驗證和脫機交易校驗由清算

5、銀行完成。城市應用管理密鑰（包括應用維護密鑰、PIN解鎖密鑰、PIN重裝密鑰）通過安全方式下發(fā)到各發(fā)卡行（清算銀行除外），城市應用管理類交易由各發(fā)卡行系統(tǒng)實現(xiàn)。用戶卡卡片主控密鑰和卡片維護密鑰由信息辦產(chǎn)生和管理，并通過安全的方式下發(fā)到各發(fā)卡行，各發(fā)卡行密鑰管理系統(tǒng)必須具備接受信息辦密鑰系統(tǒng)產(chǎn)生的卡片主控密鑰和卡片維護密鑰功能。2.2.2 城市一卡通發(fā)卡方案概述城市一卡通用戶卡由信息辦進行一次發(fā)卡，裝載卡片主控、卡片維護和卡機認證密鑰，經(jīng)過一次發(fā)卡的用戶卡傳遞到發(fā)卡行進行二次發(fā)卡，裝載金融應用密鑰和行業(yè)應用密鑰。城市一卡通PSAM卡經(jīng)過信息辦一次發(fā)卡后，統(tǒng)一由清算行進行發(fā)卡，裝載城市一卡通應用行

6、業(yè)消費密鑰（由城市一卡通應用根密鑰根據(jù)行業(yè)機構標識進行分散后產(chǎn)生）。2.2.3 功能需求商行密鑰管理系統(tǒng)實現(xiàn)如下功能：² 符合PBOC標準的金融IC卡三級密鑰管理系統(tǒng)功能² 石家莊城市一卡通應用密鑰管理功能² 接收信息辦下發(fā)密鑰功能² 向其它發(fā)卡行傳遞城市一卡通應用密鑰功能商行發(fā)卡加密系統(tǒng)實現(xiàn)如下功能：² 用戶卡批量發(fā)卡加密認證功能² 金融PSAM卡批量發(fā)卡加密認證功能² 行業(yè)應用PSAM卡批量發(fā)卡加密認證功能3 密鑰管理需求3.1 金融密鑰管理需求石家莊商行密鑰管理系統(tǒng)提供標準的人行三級密鑰管理功能，主要包括：²

7、 接收人行下發(fā)的三級消費密鑰² 產(chǎn)生商行PBOC應用專有密鑰（除標準PBOC專有密鑰外，增加密鑰類型為0x30至0x35的擴展密鑰，密鑰產(chǎn)生兩組）² 將商行PBOC專有密鑰和三級消費密鑰裝載至交易認證加密機² 接收信息辦下發(fā)的卡片控制密鑰² 將金融密鑰傳遞到發(fā)卡加密系統(tǒng)3.2 行業(yè)應用密鑰管理需求石家莊商行是石家莊城市一卡通的主辦行和清算行，負責產(chǎn)生和管理城市應用密鑰，商行密鑰管理系統(tǒng)實現(xiàn)如下行業(yè)應用密鑰管理功能：² 行業(yè)應用密鑰產(chǎn)生功能（產(chǎn)生應用主控密鑰、應用維護密鑰、消費密鑰、圈存密鑰、圈提密鑰、PIN解鎖密鑰、PIN重裝密鑰、TAC密鑰、

8、透支更新密鑰，另加密鑰類型為0x30至0x35的擴展密鑰，密鑰產(chǎn)生兩組）² 行業(yè)應用密鑰下發(fā)功能，將行業(yè)應用密鑰按照機構號和銀行代碼分散兩次后，下發(fā)到各發(fā)卡銀行，下發(fā)密鑰屬性為不分散直接傳遞² 行業(yè)應用密鑰裝載功能，將行業(yè)應用密鑰直接傳遞到商行交易認證加密機，密鑰屬性設置為使用前進行三次分散² 行業(yè)應用密鑰傳遞功能，將行業(yè)應用密鑰直接傳遞到商行發(fā)卡加密機，用戶卡發(fā)卡區(qū)的密鑰屬性為必須進行三次分散，PSAM卡發(fā)卡區(qū)的密鑰屬性為必須進行一次分散3.3 其它需求² 在密鑰傳遞到商行交易認證加密機時，密鑰區(qū)和欲裝載的密鑰可以由用戶選擇、指定。4 發(fā)卡加密機需求4.1 用戶卡發(fā)卡發(fā)卡加密機用戶卡發(fā)卡區(qū)實現(xiàn)對商行城市一卡通應用IC卡的批量發(fā)卡認證功能，實現(xiàn)支持金融應用和行業(yè)應用用戶卡的發(fā)卡。² 金融應用密鑰在發(fā)卡加密機的屬性必須進行一次分散² 行業(yè)應用密鑰在發(fā)卡加密機的屬性為必須進行三次分散² 卡片主控密鑰、卡片維護密鑰的屬性為必須進行一次分散4.2 PSAM發(fā)卡PSAM發(fā)卡區(qū)實現(xiàn)對商行PSAM卡的批量發(fā)卡認證功能，包括如下幾種PSAM卡² 人行下發(fā)的PSAM卡，實現(xiàn)更新TID功能和二次發(fā)卡功能² 商行柜員PSAM卡，裝載金融應