中钞PBOC2.0密钥管理中心及数据准备系统技术方案

1.PBOC2.0产品结构及功能
1.1 系统整体架构
本期项目建设中，整体IC卡功能相关的主要包括以下几个部分的系统：
1.1.1 IC卡业务系统：
核心功能主要提供IC卡的电子现金账户管理、账务处理、清结算处理等电子现金相关的资金功能。同时提供标准借贷记交易的IC卡特性预处理功能，如安全验证、卡片写卡脚本处理等。
1.1.2. 密钥管理中心系统
1.1.3. 发卡数据准备系统
1.1.4. 卡片个人化系统
1.1.5. 银行其他关联渠道系统
包括借贷记核心系统、柜面系统、ATM系统、POSP系统、综合前置系统等，需要增加IC卡特性处理和电子现金交易处理功能。
1.2 各部分系统层次划分结构
1.2.1 安全及发卡体系
         安全发卡体系包括：
         1) 密钥管理系统（KMC）
         2) 数据准备系统（DP）
         3) 个人化系统（CP）
1.2.2 银行卡支付体系
         银行卡支付相关的业务系统需要改造和建设的系统包括：
         1) 银行核心系统
         2) IC卡业务系统
         3) 各类前置系统及终端设备系统
         已存在的前置系统和终端系统的升级改造工作，具体有：
?     前置系统：ATMP，POSP，金卡前置，柜面前置等。
?     终端系统：柜面终端，POS，ATM，圈存机，查询终端等。
1.2.3 多应用体系

1.2.3.1 行业应用系统实际上是多应用业务的支撑平台，集安全控制，卡片规划，统一接入，行业规范，业务流程及数据梳理的工作于一体的复杂系统，它的建设目标是为银行的多应用接入降低技术难度，简化行业应用的多样性和复杂性，从而保障行业多应用的快速稳定的拓展。
           多应用体系主要建设内容有：作为金融IC卡体系与行业应用体系的对接平台，将行业应用个性化的需求抽象为统一、标准的系统接口；细分各类行业应用特点，支持各种行业IC卡的数据结构、发卡流程、密码算法及业务逻辑等； 提供行业IC卡交易处理、发卡等业务平台的功能服务，简化银行与行业应用合作的复杂性，降低工程实施技术难度。
2.密钥管理中心系统(KMC)
2.1产品概述
密钥管理中心系统建设完全符合《PBOC规范》2.0标准，统一实现《PBOC规范》2.0标准相关的借贷记应用CA证书申请、管理及签发、应用主密钥管理及下发等所有的密钥管理功能。
IC卡密钥管理系统完全能够满足总行级金融IC卡发卡行证书及业务开展。目前系统支持单次签发十万张证书，完全能够满足现阶段发卡行的需求；而且系统具备良好的扩展性，包括应用扩展和容量扩展。
系统能够与中国银联的PBOC2.0标准金融IC卡支付体系根CA系统实现对接，实现总行发卡行证书注册、申请、接收及管理，以及IC卡证书产生、管理，IC卡静态签名数据产生，能够支持按银行全辖一级机构生成、管理应用主密钥等功能。
2.2产品逻辑

根据业务需求及系统本身设计要求，密钥管理中心系统软件系统主要实现以下统一管理界面、安全服务及WEB应用三部分功能：
1. 统一管理界面功能
? 发卡行管理：发卡行证书统一管理
? 证书签发：IC卡证书签发
? 管理员管理：系统管理员管理
? 密钥管理：发卡行密钥、用户密钥管理
? 数据管理：制卡数据、密钥加密数据管理
? 系统管理
2. 安全服务相关功能
? 密码机引擎：支持密码机集群，多并发处理
? 密钥池管理：预生成密钥服务功能
? 证书签发：证书申请、签发与管理功能
? 证书策略：根据不同的证书策略签发相应的证书
? 磁条数据管理：支持磁条数据管理
3. WEB应用相关功能
? 管理员管理：系统管理员生成、注销等管理功能
? 备份与恢复：系统核心文件备份、恢复
? 日志审计：系统日志、业务日志备份与审计
? 配置管理：外围系统配置功能
? 权限管理：根据不同的业务需求，可分配管理员不同的权限
2.3产品功能
2.3.1密码服务功能
与密钥管理系统配套的硬件密码机主要实现以下功能：
? 发卡行本地主密钥(LMK)产生
? 卡片主控密钥（MDK/MDKENC/MDKMAC）产生和装载
? 交换密钥（KEK）和传输密钥（TK）装载
? PBOC MAC运算
? TK到LMK转加密
? LMK到TK转加密
? 密钥分散运算
? 生成公私钥对
? 公钥运算
? 获取密钥密文
? 私钥解析
? 数据转加密
? 密钥的备份/恢复
2.3.2业务处理功能
在密钥管理中心软件系统中，业务相关功能主要由发卡行证书管理子系统，IC卡证书及签名管理子系统及密钥管理子系统实现，以上三个核心子系统的主要功能描述如下：
1. 发卡行证书管理子系统
负责与中国银联根CA中心进行交互，完成发卡行证书管理的功能。实现功能主要包括：
• 发卡行证书申请文件的产生
• 发卡行证书文件的接收、存储、验证。
主要的日常发卡行证书申请业务操作步骤及流程为：
1) 运行发卡行证书及密钥管理系统软件；
2) 配置发卡行公私钥对及证书的参数，主要包括：
• 公钥模长
• 公钥指数：包括65537和3两种。
• 发卡行机构标识（BIN）。
• 证书有效期。
• 申请记录号：由根CA中心分配。
• 服务标识，包括四种：借记（01010100）、贷记（01010200）、准贷记（01010300）、借贷记（01010000）。
3) 调用加密机接口产生发卡行公私钥对；
4) 根据《金融IC 卡借记/贷记应用根CA 公钥认证规范第2 部分 技术规范》要求，产生发卡机构公钥输入文件（YLxxxxxx.INP）。其中需要调用加密机接口产生自签名发卡机构公钥数据。
5) 根据《金融IC 卡借记/贷记应用根CA 公钥认证规范第1部分 业务规范》流程，由发卡行安全员将发卡行公钥输入文件递交根CA中心。
6) 根CA中心受理发卡行申请，签发发卡行证书，产生发卡行公钥证书输出文件（AAAAAA.INN）。
7) 发卡行接收公钥证书输出文件并导入系统进行验证并存储。
2. IC卡证书及签名子系统
IC卡证书及签名模块主要完成IC卡的证书签发、静态数据签名功能。其主要功能包括：
• IC卡证书模板管理
• IC卡证书产生及管理
• IC卡静态数据产生
3. 密钥管理子系统
密钥管理模块负责实现的功能主要包括：
? 对称密钥管理
? 发卡行应用主密钥产生、存储和分发；
? 卡片应用子密钥分散；
? 卡片个人化主密钥（KMU）产生、存储和下发；
? 发卡行与数据准备系统的交换密钥KEK导入；
? 其他行业应用密钥管理
? 非对称密钥管理
? 发卡行公私钥对的产生和管理；
? IC卡公私钥对的产生和管理；
? 密钥池管理；
? 密钥的备份和恢复：包括系统中所有的对称密钥和非对称密钥。
2.3.3系统管理功能
密钥管理中心系统作为IC卡应用系统安全核心，在安全实现业务功能的基础上，系统本身的安全管理与操作的便捷性方面也做得相当完善，主要体现在以下方面：
? 分行管理功能─ ─各个发卡行的BIN号管理、信息登记及参数配置。如：密码机密钥绑定等。
? 证书模板管理功能─ ─完成所有应用相关的证书模板数据的定义，包括数据项定义模块、证书模板模块。支持的模板包括PBOC2.0规范中所有的证书模板
? 服务监控功能─ ─对IC卡密钥池状态、硬件加密机工作状态进行实时监控
? 备份与恢复功能─ ─实现系统数据和配置的完全备份和恢复功能，使系统的安全性与可靠得到进一步提高
? 日志管理控制功能─ ─系统自动对运行状况、管理员操作等事件进行记录并提供相应的日志查看、审计功能
? 系统配置功能─ ─完成系统所用的配置信息的管理功能，增强系统的灵活性
? 权限管理功能─ ─提供严密的权限管理服务，对不同的系统用户进行严格的控制，系统用户证书的采用单向逐级签发机制实现，有效的提高人员管理的效率与系统的安全性
? 报表统计管理功能─ ─进行相关的查询统计，并按指定格式导出。包括根CA公钥证书信息、成员行注册信息、发卡行证书信息等
2.4支持卡种
对于各分行金融IC卡发卡业务，该密钥管理系统目前支持以下卡种：
? 标准借记/贷记IC卡
? 记名/不记名电子现金卡
? 非接触式qPBOC电子现金卡
? 支持磁条卡一般交易业务处理(PIN加密，PIN转加密，报文校验等)
2.5系统接口
? 与数据准备系统接口
? 与密钥管理硬件密码机接口
? 与银联CFCA接口
? 与多应用管理平台的拓展接口
2.6软硬件配置
? 系统支持PC服务器、IBM小型机、HP等主流服务器
? 系统采用Java语言开发，支持各种主流操作系统
? 系统支持DB2、Oracle、Sybase数据库
系统目前支持SJY49KMC密码机，该产品已在各银行PBOC2.0业务中广泛应用，实现发卡行CA及密钥管理业务，确保业务稳定性和高效性。其他品牌密码机需要定制开发接入。
2.7产品优势
? 具备全国级密钥管理中心的建设实施经验。
? 已成功投产至少3个以上金融IC卡密钥管理中心产品实施案例。
? 系统同时支持PBOC1.0标准、PBOC2.0标准的电子钱包/存折、借贷记、电子现金整体的密钥管理功能。
? 系统支持EMV标准的VISA卡、MasterCard卡的密钥管理及证书签发能力，并具备已投产的项目案例。
? 具备国密局认可的专用于金融IC卡密钥管理系统的安全产品资质。
? 系统操作员登录控制管理采用USB Key证书方式实现。
? 系统接口支持实时服务接口、手工批量文件接口、自动化文件扫描处理功能。
3.数据准备系统(KMC)
3.1产品概述
数据准备系统平台作为银行开展符合《PBOC规范》2.0标准的银行IC卡业务发卡工作中必不可少的部分。系统主要负责完成卡片个人化数据解析和整理，包括发卡行应用数据、规范模板数据、证书及密钥数据等所有卡片个人化相关的数据项，其输出的制卡数据文件可直接提供发卡行个人化系统进行IC卡的个人化操作。数据准备系统主要核心功能：
? 数据转换功能
对发卡行系统的接口模块，负责发卡行提供的发卡数据文件转换成系统内部的数据格式，并导入数据库中。
? 应用模版设计功能
用户可以预先设计和生成卡片应用模版，设置各类应用的数据项参数信息。系统提供灵活的模板管理，可以根据用户需求制定应用模板及卡模板，系统默认支持当前银联所有卡种模板如下：
• 模板 1：借记卡—SDA, 联机PIN,发卡行认证, 和授权控制
• 模板 2—借记卡—DDA, 联机PIN,发卡行认证, 和授权控制
• 模板 3—贷记卡—DDA, 联机PIN,发卡行认证, 和授权控制
• 模板 4—贷记卡—DDA, 签名,发卡行认证, 和授权控制
• 模板 5—贷记卡—DDA,脱机PIN＋签名,和授权控制
• 模板 6—贷记卡—CDA,脱机PIN＋签名,和授权控制
• 模板 7—准贷记卡—DDA,联机PIN,发卡行认证,和授权控制
• 模板 11—预付卡—DDA, 无需CVM
• 模板 12—借记卡+电子现金+非接触式IC卡支付
• 模板 13—贷记卡+电子现金+非接触式IC卡支付（1）
• 模板 14—贷记卡+电子现金+非接触式IC卡支付（2）
? 数据解析功能
结合应用模版，分析发卡数据，设计数据准备流程。
? 数据准备处理功能
根据数据分析模块的流程脚本执行数据准备工作，完成所有数据的采集，然后结合应用模板，形成完整制卡数据文件。卡数据包括：磁条的编码数据、凸印/印刷数据、需要置入芯片的PBOC应用数据、其它芯片数据。
? 多行业应用的扩展支持
? 完备的统计报表
中钞IC卡数据准备系统作为一套完整的系统平台，在完成以上核心功能的基础上，具备平台系统级各方面功能，如：登录认证、角色权限设置、统计报表、大型数据库支持等等。同时，数据准备系统对多应用需求下的IC卡个人化数据能很好的支持，通过新增应用模板，应用数据关联设置等，实现多应用IC卡个人化数据准备的功能。
3.2产品功能
3.2.1业务处理功能
1. 证书及密钥数据管理
1) 根CA公钥证书管理：
按照PBOC2.0规范及中国银联《金融IC 卡借记/贷记应用根CA公钥认证规范》，严格检查和验证中行密钥中心（KMC）下发的根CA公钥证书文件数据。包括以下几个方面：
? 检查根CA公钥证书文件名是否符合规范要求
? 检查根CA公钥证书格式是否符合规范要求
? 提取根CA公钥数据，采用规范要求密码算法进行根CA证书自签名证书验证
? 根CA公钥数据和自签名证书数据入库，采用规范要求的索引方式管理
2) 发卡行证书管理：
按照PBOC2.0规范及中国银联《金融IC 卡借记/贷记应用根CA公钥认证规范》，严格检查和验证中行密钥中心（KMC）下发的发卡行证书文件数据。包括以下几个方面：
? 检查发卡行证书文件名是否符合规范要求
? 按照规范中的定义，获取根CA公钥索引，并使用根CA公钥采用规范要求算法进行“发卡行证书恢复”；
? 按照规范要求的步骤和验证规则，检查从发卡行公钥证书中恢复数据的格式和各个字段，均通过后即可获取发卡公钥并暂存于系统内存，以备后续使用。
? 对发卡行证书进行入库管理。
3) IC卡证书及静态签名数据管理：
按照PBOC2.0规范,校验中行密钥中心（KMC）下发的每一张IC卡证书和静态签名数据。主要包括以下几个：
? 对IC卡证书和静态签名进行“签名恢复”操作，检查恢复数据格式和字段是否符合规范要求
? 采用规范要求密码算法规则，验证IC卡证书和静态签名是否有效
4) IC卡密钥管理：
主要完成IC卡相关的密钥验证和管理功能。包括以下几点：
? 采用KEK加密和校验密钥及高强度算法，确保IC卡私钥、对称子密钥数据的安全性和完整性。
? 完成IC卡私钥分量解析、加密等功能
? 完成IC卡私钥、对称子密钥密文转加密为个人化系统密文功能
? 验证IC卡私钥与IC卡证书公钥的匹配关系
2. 发卡行IC卡数据导入及管理
按照PBOC2.0个人化指南规范要求，系统实现了发卡行IC卡持卡人信息及账号信息等数据的导入、加密、验证、管理等功能。主要包括以下几点：
? 发卡行业务系统（中行ICCD）提供的数据的数据项格式检查（如类型、长度等）是否符合规范要求
? 数据字段校验和加密处理，如：PAN号编码校验、PIN加密处理、二磁信息加密及验证等。
? 整体分析和验证发卡行定义的各个业务参数是否符合规范要求，参数之间是否存在冲突，与模板和证书是否匹配等
3. PBOC2.0标准IC卡应用模板管理
系统预置规范14个应用模板，严格按照规范预置数据值，用户可直接选择使用，同时支持用户自定义数据项和应用模板。主要包括以下几点：
? 需要全面了解和熟悉PBOC2.0所有卡片应用模板，系统实现各个模板的参数定义，数据参数组合等功能。
? 系统灵活支持用户自定义增加、修改和设置数据项，包括数据项格式、长度、默认值等。
4. IC卡个人化制卡数据整合生成
系统整合证书数据、密钥数据、应用模板数据、持卡人数据这四方面的数据元，结合系统制卡任务设置（包括KEK设置、发卡行证书设置等），生成每一张IC卡的制卡个人化数据文件。主要包括以下几个：
? 证书、密钥、应用模板、持卡人这四种数据元的统一关联和整合。
? 制卡任务管理，包括任务监控、拆分，KEK设置等
3.2.2系统管理功能
系统管理功能主要是实现对系统本身或附加设备的参数配置，如加密机IP地址，端口等。具体描述如下：
? 数据库配置
配置系统后台数据库类型，地址，端口等信息。
? 加密机管理
增加/修改加密机信息。如IP地址、端口号等。
? 系统配置备份与恢复
为了方便系统的迁移与保证系统安全性，系统提供了系统配置信息备份与恢复功能。既使系统重新部署也能够快速的恢复系统原有的配置。
? 系统运行环境与状态检测
该功能的实现的主要目的是使用户能够简单快速的检测系统的运行环境信息，以及系统各子模块间的网络连接状态。方便了用户对系统的日常维护。
3.3系统接口
• 与IC卡业务系统接口
• 与密钥管理系统接口
• 与多应用管理平台接口
• 与个人化系统接口
• 与发卡硬件加密机接口
3.4软硬件配置
• 系统支持PC服务器、IBM小型机、HP等主流服务器
• 系统采用Java语言开发，支持各种主流操作系统
• 系统支持DB2、Oracle、Sybase数据库
系统目前支持SJY49KMC密码机，该产品已在各银行PBOC2.0业务中广泛应用，实现发卡行CA及密钥管理业务，确保业务稳定性和高效性。其他品牌密码机需要定制开发接入。
3.5产品优势
? 具备全行级数据准备平台的产品实施经验。
? 已成功投产至少5个以上金融IC卡数据准备平台产品实施案例。
? 支持PBOC2.0全套个人化数据模板，支持不停机动态的模板扩展能力。
? 系统支持EMV标准的VISA卡、MasterCard卡的数据模板和数据准备能力，并具备已投产的项目案例。
? 系统操作员登录控制管理采用USB Key证书方式实现。
? 系统接口支持实时服务接口、手工批量文件接口、自动化文件扫描处理功能。
? 系统支持灵活的制卡文件打包策略配置，能够实现按照分行机构、卡产品等进行文件打包、解包、数据分类提取等功能。