农贸市场菜场一卡通系统技术方案

　　售卡充资网点应用系统功能：
　　交易数据入库处理：交易数据合法性检查及入库
　　明细查询：按交易时间、设备编号、设备操作员编号等条件分类查询
　　对帐处理：与清分中心进行帐务核对
　　帐务清算：按采集点、设备编号、设备操作员编号等进行帐务清算
　　帐务分类统计：按时段、设备编号等条件对帐务数据进行分类统计
　　手工帐处理：按票据存根处理丢失数据
　　帐务信息查询：按采集点、设备编号、设备操作员编号等对帐务数据进行分类查询
　　报表生成：按明细、统计结果生成相关报表

　　1.4.3 交易流程和密钥系统

　　注：以下部分内容省略，如需进一步了解，请联系无锡华捷技术支持
　　A) 交易流程概述
　　1签到交易流程(略) ]
　　2正常交易流程(略)
　　3冲正交易流程(略)
　　4对帐交易流程(略)
　　B) POSP密钥管理
　　a 密钥体系(略)
　　b主密钥（MK） (略)
　　c存储加密密钥(SEK) (略)
　　d传输加密密钥(TEK) (略)
　　e终端主密钥(TMK) (略)
　　f 数据密钥(略)
　　g终端主密钥的分发(略)
　　h密钥的销毁(略)
　　i配置信息库(略)
　　j通信线路配置(略)

　　1.5 IC卡及相关设备介绍

　　1.5.1 关于菜场一卡通IC卡的选型

　　随着城市”菜场一卡通”系统的发展与成熟，”菜场一卡通”系统不仅限于交通行业内的使用，而是将会成为城市信息化平台的一个重要组成部分，应考虑选择非接触式CPU卡。非接触式CPU卡以其支持PKI体系（公开密钥）等高安全特性成为IC卡技术的发展趋势。非接触CPU卡在内部能够完成数据的加解密运算和双向认证，能够灵活的分配存储空间、定义访问权限和文件结构。其强大的功能和安全性，适合在广阔的领域实现各种应用，完全能够满足”菜场一卡通”系统的迅猛发展。

　　跟据建设部积极倡导的“优先采用符合行业标准的CPU卡”的精神，结合的现状及今后的发展，”菜场一卡通”系统IC卡的选型如下：
　　“菜场一卡通”系统新发行的IC卡采用非接触式CPU卡；
　　建设事业集成电路（IC）卡产品检测》(标准号CJ/T243－2007)国家行业标准；
　　《建设事业非接触式CPU卡芯片技术要求》和《建设事业非接触式CPU卡COS技术要求》国家行业标准；
　　《中国金融集成电路IC卡规范》和《中国金融集成电路IC卡应用规范》

　　1.5.2 系统中卡的分类

　　本系统使用的卡种类 本非接触式IC卡收费系统中使用的IC卡分为消费卡（储值卡）和控制卡两种。 用户卡（储值卡）指顾客所持的用于在菜场消费的IC卡。 功能卡指在收费系统运作过程中用于各种管理的卡，包括：参数卡（用于签到、签退）、菜场管理卡等。

　　1.5.3 CPU卡选型：

　　本方案采用FM1208是复旦微电子股份有限公司设计的单界面非接触CPU卡芯片，产品支持ISO14443-A协议，CPU指令兼容通用8051指令，内置硬件DES协处理器，数据存储器为8Kbyte的EEPROM.该芯片是符合银行标准的接触式CPU，COS同时支持PBOC2.0标准（电子钱包）及建设部IC卡应用规范，具有较好的安全性。 该芯片提供8K存储容量，满足了全国互通的需要，同时为菜场一卡通的拓展留有足够的技术准备。

　　主要特点：
　　通讯协议：ISO14443-A ；兼容FM11RF08（Miare S50）非接触卡芯片；MCU指令兼容8051；
　　支持106Kbps数据传输率；Triple-DES协处理器；程序存储器32K×8bitROM；
　　数据存储器32K×8bitEEPROM；256×8bit iRAM；384×8bit xRAM；
　　低压检测复位；高低频检测复位；EEPROM满足10万次擦写指标

　　典型处理时间：识别一张卡 3ms；EEPROM擦写时间 2.4ms；典型交易时间 < 350ms

　　安全性：

　　FM1208M安全机制为：
　　1.有反电源分析模块
　　2.有高低频检测复位模块，芯片工作频率超出检测范围自动复位 3.ROM反逆向提取，存储器数据加密

　　1.5.4 菜场POS机

　　该款WXHJIC-2081型车载POS机由无锡华捷自主研发生产，产品外观小巧，模具精细，线条流畅优美，备有多种不同颜色可供选择，展现各种优势，堪称设计典范。 该产品应用中远距离无线通讯方式，为2010年国内首创，产品性达到国内领先水平。

　　1、菜场POS机组件 菜场POS机负责对用户卡的合法性进行检验，并对合法的用户卡进行扣款收费，对非法的卡进行报警。菜场POS机组件包括一个主电脑板、感应天线及两组显示器、键盘。组件安装在塑料机壳内。主电脑板上包括感应距离为100mm的读写模块、高品质CPU、程序存储器、数据存储器、显示控制器及通讯接口（GPS/GPRS/中远距离无线）等。

　　2、功能

　　2．1消费扣款（交易）功能 从用户卡中扣款，扣除金额数是根据经营者通过键盘输入的实际数额，并修改卡内交易计数器。扣款操作是由安全模块经双向认证后进行，具有防误扣功能。

　　2．2显示报警功能
　　显示扣款金额（基价）及每次扣款后卡内余额，累计扣款次数或累计扣款金额。
　　每当完成一次有效的消费扣款，有蜂鸣声并且背面经营者可以看到“交易成功“的字样。无效操作或有异常情况时，有相应语音进行提示。

　　2．3语音提示功能 具有提示语音，指导使用者和管理者合理使用本产品。 按键操作功能 基本按键有：汇总、清除。

　　2．4数据上传功能
　　交易数据的上传，POS机自动将未上传的记录通过无线方式上传。
　　上传的数据记录文件包含交易时间及交易明细(支持手工上传？)。
　　能上传上一次已上传过的数据文件（称备份上传或补采）。

　　2．5数据下载功能
　　数据的下载通过红外或无线方式进行。
　　产品能下载黑名单表、费率表等，并按下载的执行时刻开始执行。
　　具有软件(程序)下载的能力，完成在线软件版本的升级。

　　2．6机内参数设定功能
　　机器设备号在出厂交收前设定在机内。
　　经营者通过签到/签退卡进行签到。

　　2．7数据安全性
　　应采用数据安全模块(SAM卡)设计卡认证码、交易认证码。
　　掉电、瞬间断电、参数、数据表、交易记录不被破坏，保证在电源正常后，机器继续有效地工作。
　　对设置的参数、下载的数据表、下载的程序均采用一定的安全手段来认证其合法性。

　　2．8开机、关机功能
　　机器出厂时参数已经设置好，经营者经签到操作后，进入启用开机状态(，经签退操作后，进入关机状态，以司售卡来完成签到/签退操作。
　　上电后，机器首先进行自检，若发现错误，则显示出错是信息并报警。如果原来是开机状态，则自检成功后，机器进入工作状态，如果原来是关机状态，则自检成功后，机器继续保持在关机状态。
　　在任意状态下，打开，关闭电源，均不破坏机器的状态和内部数据。

　　2．9可使用卡要求 以实际应用系统需求，可有多种功能的IC卡：管理卡、顾客卡（包括优惠卡）、参数卡„..不少于5种。

　　1.6 系统安全与保密

　　1.6.1 安全防范

　　本系统由于完成的是电子货币的交易和结算，涉及广大市民和各结算单位的切身利益，对系统的安全保密性有着较高的要求，而本系统具有规模大，网点分散，流动范围大等特点，给系统的安全保密性带来一定的难度． 华捷公司科技人员用积累多年在IC卡应用方面的经验，对系统各部分的安全状况进行分析，并提出如下的解决办法：
　　
　　1、保护措施之一一一对用户卡的保护

　　本系统采用非接触式IC卡（射频卡）作为用户卡，射频卡具有完善的密码体系，是可靠的电子货币的载体，每张射频卡具有世界上唯一和永久性的号码，本系统所设计的安全保密体系中对射频卡的安全认证的其中一项措施，就是利用射频卡这一号码而产生各种校验，使得在发行、消费、充值、查询等各个环节的设备都可按这一安全认证体系对射频卡进行确认，非本系统的射频卡是不能在本系统中使用，杜绝了伪卡的流入．另外，射频卡每个分区都有两组独立的密码进行保护，没有密码或密码错误的设备是不能使用的，密码被破译的可能性几乎等于零．当有人试图破译密码时，它会输入一些随机数，使人无法判别真伪，这个功能可有效地防止伪造。

　　2．保护措施之二——防止内部人员对控制卡的攻击，企图获取系统的密码

　　用于调整菜场POS机参数的非接触式IC控制卡，采用的是与乘客卡同样板机制的卡，要想通过破译它们而获得密码体系是徒劳的．

　　3、保护措施之三一一防止通过对IC卡读写设备的攻击，获得破坏的机会

　　IC卡设备，特别是菜场POS机设备，分散于各个菜场的各个，是破坏者最易于攻击的另一个目标，为了保证其安全，本系统除了对信息处理有严格安全规范外，在结构上，电路控制板上也采取了相应的措施：

　　确保信息的基本处理在芯片内进行，使输出到芯片外的信息保证已经是加密的，偷窃者即使采用“探针”检测也无济干事．
　　芯片具有自毁功能：芯片一旦检测到偷窃行为，会将芯片内容自毁，确保控制程序、密钥、信息等的安全。
　　芯片内是按其自己确定的法则将数据“无规律性”存放，使得从规则性方面的攻击完全落空．
　　机器内的数据存放是一式两份，最大限度地保证机器的数据的完整性。
　　离开机器的数据一定是已加密的．

　　4、保护措施之四一一防止通过对信息传输的线路进行监控，企图获得有关资料。

　　我们采取了如下的措施：
　　任何在网上传输的信息都是已加密的，系统实现了应用层的保护．
　　PC机与IC卡读写器间的通讯有严格的接口规范，它们之间具有动态的识别、加密传输功能，实现了包传输的加密，任何侦听、加插、伪造的操作都是无效的．
　　传输信息与校验信息一起传送，可防止信息的非授权更改．
　　管理中心在收到信息后，要在数据库中检查正确后才能入库，防止信息的重复投递．

　　5．保护措施之五——防止对中心网络攻击

　　实行严格的密码管理制度，每个在系统上工作的人员都有自己的编号和密码，该密码对任何人（包括上级人员）均保密。本系统密码对系统开发者（供货商）也是保密的。
　　通过严格的安全体系保证系统上的开发者、使用者、发行者之间互相绝缘，各有独立密码系统不被别人窃取。
　　网络管理中配备防火墙，路由控制等多重控制，因而任何想通过这些关卡进入网络中心是极其不易的。

　　6、保护措施之六 一一防止对中心数据库的攻击

　　中心数据库是信息汇集的地方，更是攻击的最终目标，系统采用目前客户服务模式，操作终端和数据中心严格分开，只有中心管理员才有权进行数据库级的操作，客户端的操作都是通过系统内部指令而进行．
　　按照系统的规定及时进行数据备份，及时互换密码，在行政的规范管理上保证系统的安全。

　　1.6.2 系统可靠性要求

　　为保证本系统能够长期稳定、可靠地工作，对系统各部分提出以下要求：

　　1、IC卡读写设备：本系统直接面向用户的基础设备，其好坏将直接影响系统是否能顺利运行，它们的工作环境恶劣，因此对其可靠性要求特别高，因此在设备生产时，其元器件必须经过严格的老化筛选，产品设计充分考虑使用环境和各种可能性，设计和生产工艺必须严格按照有关规范和设计标准执行.
　　2、各采集点、售卡充值点的设备：作为各种数据的基本汇总单元，担负着数据传递任务．其设备应选用质量稳定可靠的产品，为保证掉电（或停电）时数据不丢失，应配备UPS电源．数据传输时．应采用严格的校验措施，保证数据的准确性。
　　3．管理中心系统担负着整个系统数据和处理、存档，以及进行财务结算、信息统计等各项任务，是整个系统的核心，为保证任务连续不间断进行，主机服务器应采用双机热备份的工作方式。清分中心机房配备UPS电源并采用冗余电路设计保证中心机房的供电安全。 4、为使本系统各部门能稳定可靠地工作，对各级工作人员，操作人员要制定严格的岗位责任和操作制度，从管理制度上保证系统各设备的正常操作和使用，严禁各种错误操作和违规使用．

　　1.6.3 异地灾难备份

　　异地灾难备份，在日常业务中仅把清分中心每天把数据发送到异地备份中心进行数据备份。一旦清分中心发生不可抗拒的灾害，中心数据（包括本地备份数据）全部毁灭性破坏。异地备份中心数据将作为唯一一份真实可用的数据帮助清分中心进行信息重建。

 

　　异地灾难备份示意图

　　1.7 分行业拓展应用系统方案

　　1.7.1 小额消费

　　1）、系统概述：
　　菜场一卡通的另一大应用领域是小额消费。小额消费的应用范围广，可以在便利店、超市、卖场、西饼店、游乐场、快餐店、影院、各种专卖店、咖啡屋、餐饮业、休闲保健业、美容业、自动售卖机、图片社、洗衣店、个人护理品店方便的设立站点。顾客消费就可以直接用IC卡刷卡购物。 操作员根据用户消费金额扣款并打印出凭证给用户，停止营业后通过电话上传消费记录,下载黑名单，并打印出汇总凭证（用于和清分中心对帐）。小额消费数据管理系统把消费文件导入到数据库。小额消费结算中心生成消费报文，并把报文发到清分中心。清分中心检查消费报文后，把检查完的数据发回小额消费结算中心。 系统示意图如下: 

　　小额消费子系统结构示意图