市民卡系统设计方案

1、1 市民卡系统设计（一卡通系统设计）1.1 市民卡系统总体设计1.1.1 市民卡的应用环境上图表示嘉兴市市民卡的应用环境。市民卡的应用环境主要包括：服务网点、自助终端、门户网站、呼叫中心、公交/出租车、政府部门、商户、金融机构等。1.1.2 典型应用流程1.1.2.1 卡发行业务流程卡发行业务流程包括数据准备和卡申领发放。数据准备：相关政府应用部门需要把部门数据交换到市民卡服务中心，市民卡服务中心通过交换比对形成市民基础数据；卡申领发放：1、市民在网点服务机构进行零星申领或单位/学校组织机构组织规模申领2、申领完后网点服务机构或单位/学校组织机构把申领表、照片数据发送到市民卡服务中心3、市民卡

2、服务中心进行数据录入、采集比对，比对通过后形成待制卡数据。4、市民卡服务中心把制卡数据发送到制卡商进行外包制卡。5、制卡完成后制卡商返回成品卡到市民卡服务中心。6、市民卡服务中心把成品卡配送到网点服务机构或单位/学校组织机构。7、网点服务机构通知市民领取市民卡或单位/学校组织机构把市民卡发给市民。1.1.2.2 商业应用消费业务流程1.1.2.3 公交消费业务流程1.1.3 系统总体架构设计上图示意了系统的总体架构。考虑到政府用数据、商业数据安全保密要求不同，因此，我们在设计嘉兴市市民卡系统的总体架构时，把市民卡相关数据分成两个独立的部分：社保及政府应用网络、商业数据交换网络。为了保证数据的保

3、密和安全，各应用分别有自己独立的数据库服务器，市民卡系统拥有自己的数据库来实现卡的管理。政府数据交换网络和商业数据交换网络互相物理隔离。公共事务平台提供的各种服务手段，如网站、呼叫中心、服务网点、自助终端等。1.1.4 系统逻辑层次结构各个系统在逻辑上可以分为物理层、支撑软件层、数据层、应用层这四个层次，结构如下图所示：物理层是市民卡系统的物理（硬件）、网络支撑平台，支撑软件层包括数据库系统、中间件系统等支撑软件系统。物理层和支撑软件层构成了市民卡项目的软硬件支撑平台。数据层包含市民基础数据、卡数据、应用数据等各类以数据库、数据仓库方式管理的数据资源。应用层则包括数据交换、数据比对、卡管理、清

4、算结算、共建部门服务系统等应用软件系统。底层系统为上层系统提供支撑，共同构成整体信息系统。1.2 市民卡应用设计1.2.1 卡片发行管理系统卡片发行管理系统由卡申领发放管理子系统、卡个人化制作子系统、卡应用管理子系统、卡片档案管理子系统、卡片维护子系统、密钥管理系统和系统管理子系统组成。其中密钥管理子系统在物理上相对独立，使用单独的专用密钥服务器进行管理，以保证密钥的安全。卡片发行管理系统将主要由相互物理独立的卡管理服务器和密钥管理服务器组成。其中卡管理服务器同时作为卡管理系统的数据库服务器和应用服务器，放置在市民卡数据中心。密钥管理子系统出于其安全性的考虑，单独放置在一台服务器上。整个卡管理

5、系统的功能模块组成如下图所示。1.2.1.1 卡片申领发放管理子系统卡片申领发放管理子系统主要负责市民卡申领采集管理，对卡片发放进行管理。1.2.1.1.1 卡申领管理l 业务流程设计市民卡申领可分为市民零星申领和单位组织统一规模申领，申领时候需要打印或填写申领表格，对于打印申领表方式需要打印市民原始基础数据（姓名、性别、身份证号等）在申领表上以便于市民核对、确认。市民基础数据和业务数据从各个部门通过数据交换平台汇集到数据中心，根据部门数据比对原则整理出哪些数据项以那一方数据为标准成为市民原始基础数据。市民提交申领表格后，表格上数据都需要录入到数据库，并且需要同市民原始基础数据关键项（姓名、性

6、别、身份证号等）数据进行一一核对，另外市民需要进行拍照，照片需导入到数据库。照片也可以通过部门交换到数据中心，核对通过后才能进行下一个流程（制卡流程或发放流程），对核对不通过的则需要通知市民进行身份信息确认，甚至到相应部门进行修改。项目第一阶段由于没有应用部门参与数据交换没有形成市民原始基础数据，因此不需要进行数据比对。业务流程图如下：l 功能模块设计1、 申请采集子模块：输入身份证号码和姓名，调出市民基础信息原始数据集（原始数据集保持与数据中心的个人身份基础数据库信息和个人业务基础数据库信息同步）中对应的市民申领表单，打印成表。2、 录入子模块：提供对申领表单的修改功能（姓名、身份证号、性别

7、、年龄、地址、电话号码、电子邮箱、文化程度、单位），保存到市民基础信息采集数据集。3、 照片导入子模块：提供照片图像压缩，按身份证号和姓名编制索引导入照片数据集。4、 数据核对子模块：根据表序号将市民基础信息采集数据库的表项与市民基础信息原始数据库的表项做比对，如果有关键信息项不符合，则显示该表项错误，对该市民表单做重录标志，否则将表单存储到市民基础信息核对数据集中。1.2.1.1.2 发放管理l 业务流程设计市民卡发放可通过零星发放和规模发放两种方式完成。零星发放需要市民直接到指定网点领取市民卡，另外考虑到市民卡可能由单位组织规模申请，因此需要在制卡时把相同组织方式的市民卡打成包，制卡完后把

8、相应的市民卡配送到单位（也可以通知对方到卡中心进行领卡），再由单位组织把市民卡发给市民。单位根据交接清单上的名单发卡，对未发出的市民卡或有质量问题的卡需要返回给市民卡管理部门，另外对已经发掉的金融功能的启用市民需要到关联银行进行开通。l 功能模块设计1、 市民卡管理机构与单位交接时需要记录卡数量，双方人，交接时间等。2、 单位把未发掉或有质量问题的市民卡返回到市民卡中心时需要记录返回卡情况。3、 对已经发掉的市民卡需要进行社保功能开通，开通后需要把市民卡启用数据通过交换平台交换到相应的部门。1.2.1.1.3 退卡管理l 业务流程设计市民卡发放之后，会产生质量问题卡需要换卡、需检测卡、卡主已经

9、死亡收回卡、市民拾到上交卡，另外单位组织发放的卡由于找不到市民退回卡等各种情况造成的退卡，还有市民由于要离开嘉兴市户籍已经转出需退卡，需要根据各种退卡情况统一进行退卡处理。l 功能模块设计1、 对各种情况退回的市民卡逐一进行登记，记录退卡原因、卡号、退卡时间、退卡人等信息2、 需要对退回的市民卡进行处理，记录处理结果。对好卡可以重新发放启用，对质量问题卡或死亡卡、市民要求退卡的则需要注销。1.2.1.2 卡个人化制卡管理子系统市民卡包括政府应用功能和金融功能，卡里包含大量市民个人基础数据和业务数据，因此在制卡时需要对白卡现场建立文件结构、卡片个儿化，加载密钥。流程：申领核对制卡发放，从市民开始

10、申领到市民卡发放中间时间会较长。从制卡途径上考虑，个性化制卡可以通过外包给制卡商进行批量制卡，另外市民卡中心可购买制卡设备进行补换卡、零星制卡。补换卡和零星制卡可以在物理上完全同系统隔离单独环境中制卡，为了减少数据导出、密钥导出、数据和密钥发送、返回数据导入等中间环节本地制卡可以嵌入到系统中制卡，但必须保证密钥安全性可以设置密钥加密机只容许指定的机器可以访问。l 业务流程设计本模块的业务处理流程如下图所示：1) 将市民基础核对信息和卡应用规划信息加密下载到光盘，对下载历史数据进行记录。2) 购置白卡并进行管理。3) 密钥文件输出，并进行记录。4) 将数据光盘发送到个人化制作中心，对发送历史数据

11、进行记录。5) 将白卡发送到个人化制作中心，对发送历史数据进行记录。6) 将密钥发送到个人化制作中心，并进行记录。7) 个人化制作中心使用制卡数据，并进行数据管理。8) 个人化制作中心使用白卡，并进行白卡管理。9) 个人化制作中心使用密钥，并进行密钥管理。10) 卡个人化完成后的制卡数据的销毁。11) 卡个人化完成后密钥的销毁。12) 废卡的销毁。13) 个人化后的卡片及制卡后需返回的数据返回，对返回卡片的历史数据进行记录。如果还有金融应用发卡的，则外包管理模块还要有成卡传送及管理，个人金融数据传送和管理，金融复合卡回收及管理的过程。l 功能模块设计本模块的功能模块图如下所示：各个子模块功能如

12、下：1、 卡数据导出子模块：导出市民制卡数据，记录导出操作日志。2、 密钥导出子模块：导出密钥数据库的密钥信息，记录导出操作日志。3、 卡数据监控管理子模块：需要监控卡数据发送、制卡、销毁各环节中数据安全性，记录各环节中相关信息。4、 密钥监控管理子模块：需要监控密钥发送、使用、销毁各环节中密钥安全性。5、 卡片监控管理子模块：在卡监控数据集中，按批次记录白卡的购置数量、时间和采办人资料，按批次记录白卡的传送数量、时间和经办人资料，按批次记录耗费白卡的数量、时间和记录人资料，按批次记录废卡的数量、时间和记录人资料，按批次记录销毁废卡的数量、时间和经办人资料，按批次记录成品卡的数量、卡号、时间和

13、记录人资料，按批次记录收回成品卡的数量、卡号、时间和经办人资料。6、 返回数据导入：需要导入制卡后返回的数据。1.2.2 卡片维护子系统卡片维护子系统主要跟市民卡本身相关的卡自身维护，其主要由卡启用模块、补卡换卡模块、挂失模块、解挂模块、密码修改重置、卡注销模块、卡数据维护、应用锁定解锁、卡片检测模块、黑名单模块构成。1.2.2.1 卡启用模块市民卡发放以后，对于有社保功能的卡状态档案中扔处于未启用（封存）状态，该卡扔不能使用，需要对卡作激活以后才能正常使用。1.2.2.2 补换卡模块持卡人补卡换卡后领卡，联机启用卡和应用，并圈存个人帐户。换卡时如果旧卡能够读取电子钱包余额，则将余额转入新卡，

14、否则同补卡处理流程，即电子钱包余额为约定免责期之后的帐户余额。在补卡和换卡操作中不会补写卡内交易流水记录。l 业务流程设计本模块的业务处理流程如下图所示：流程说明：1、 操作员登录系统。2、 补换卡受理业务，打印申请表单，由申请人填表。3、 申请信息录入系统，提交到后台。4、 后台核准申请。5、 制卡数据直接从卡应用档案数据集、卡片状态档案数据集和持卡人信息数据集中得到。6、 卡个人化。7、 新卡发放启用。l 功能模块设计各个子模块功能如下：1、 补换卡受理子模块：输入身份证号码、姓名或原卡号，调出持卡人信息数据集中对应的持卡人基本信息表单，并打印成申请信息表单，市民填写申领表单后录入到数据库

15、，受理成功后产生新的待制卡数据，原卡状态数据发生改变。2、 卡个人化子模块：把新产生的待制卡数据形成发卡数据送给到制卡机处理卡片个人化制作。3、 卡发放子模块：市民卡制作完成后可对该卡发放启用，新数据启用信息通过交换平台发送到部门前置机。1.2.2.3 挂失模块l 业务受理设计本模块的业务处理流程如下图所示：持卡人丢失卡片，需要及时向指定机构（市民卡办事大厅、市民卡服务网点）挂失，并提供身份证。如果是代理挂失，需提供挂失市民卡的持卡人身份证号和代理人的身份证。在申办人持有效证件申请办理此项业务时，操作员在自己权限许可的前提下，向自己的业务主机提出卡挂失申请，主机自动将该申请转发给卡管理中心；卡

16、管理中心将卡号放入黑名单。系统接受口头（电话）挂失和当面挂失。但口头挂失后，需持有效证件在24小时内办理当面挂失，否则系统自动解挂失。系统一旦发现卡号在挂失名单，会通知相关系统将该卡片所有市民卡应用锁定。l 功能模块设计各个子模块功能如下：1. 挂失受理子模块：输入卡号或身份证号和姓名，调出持卡人信息数据集信息，打印申请表单。2. 审核子模块：输入申领表单内容，经操作员确认，生成卡挂失发布信息数据集，数据集信息有口头挂失和当面挂失的区别。操作员对该信息项拥有修改权限。3. 挂失应用子模块：输入挂失发布信息数据集，更新持卡人信息数据集中信息、卡片状态数据档案集。4. 自动解挂子模块：检索挂失发布

17、信息数据集中符合电话挂失记录、满24小时的信息记录，自动调用解挂子模块。1.2.2.4 解挂模块l 业务流程设计持卡人凭本人身份证和市民卡，到指定机构（市民卡办事大厅）解挂，解挂必须由持卡人本人办理，不接受代理解挂。操作员在自己权限许可的前提下，向自己的业务主机提出卡解挂申请，主机自动将该申请转发给卡管理系统。电话挂失满24小时未当面挂失的情况下，管理系统也将自动进行解挂；卡管理系统将提交解挂名单。系统一旦发现卡号在解挂名单，会将该卡片所有市民卡应用解锁。l 功能模块设计各个子模块功能如下：1. 解挂受理子模块：插入市民卡，输入、检验PIN密码，校验通过后读出卡号，调出持卡人信息数据集信息，并

18、打印申请表单。2. 审核子模块：输入申领表单数据，经操作员确认，生成卡解挂发布信息数据集。3. 解挂应用子模块：输入挂失发布信息数据集，更新持卡人信息数据集中信息、卡片状态数据档案集。1.2.2.5 密码修改重置模块l 业务流程设计市民卡可设置多个密码，包括劳动保障部门使用的密码和金融电子帐户密码。此只针对劳动保障部门使用的PIN密码，市民卡出厂后默认可以设置劳动保障部门初始密码或为空，由于安全性考虑市民拿到卡后立刻需要对卡里PIN密码进行修改。另外市民由于忘记PIN密码或者多次输错密码被锁卡则需要到指定网点进行密码重置，密码重置后重新设置为初始密码。l 功能模块设计 1. 卡密码修改模块：插

19、入市民卡，输入、校验PIN密码，校验通过后读出市民卡卡号，通过卡号查询持卡人信息，打印申领表单，进行密码修改。2. 卡密码重置模块：输入卡号或身份证号、姓名查询持卡人信息，打印申领表单，进行密码重置。1.2.2.6 卡注销模块l 业务流程设计由于安全或其它特殊原因，如持卡人死亡、迁移、出国等，卡片的遗失，被盗，被恶意攻击等，需要通过规定手续注销市民卡时，可将市民卡连同相关证明文件到业指定网点办理销卡业务，将卡片收回，在一定条件下销毁，防止密钥外泄。本模块的业务处理流程如下图所示： l 功能模块设计各个子模块功能如下：1. 注销生成子模块：输入卡号，调出持卡人信息数据集信息，打印成表。2. 审核

20、子模块：输入申领表格上数据，经操作员确认，生成卡注销发布信息数据集。3. 注销应用子模块：输入注销发布信息数据集，将卡片上锁，更新持卡人信息数据集中信息、卡片状态数据集，根据卡片物理销毁情况更新卡片状态档案数据集信息。1.2.2.7 卡数据维护l 业务流程设计市民卡发放之后，由于各种原因引起卡里非基础数据同实际数据不一致，这需要对卡里数据作数据更新，以便真实反映该市民的实际情况。 市民原始基础数据（姓名、性别、身份证号等）发生变动需要换卡操作。业务流程图如下： l 功能模块设计 1. 信息维护受理子模块：插入市民卡，输入、检验PIN密码，检验通过后读出卡号，查询持卡人基础信息，打印申请表单。2

21、. 审核子模块：录入申领表单上内容，操作员审核通过后修改卡里数据。1.2.2.8 应用锁定模块l 业务流程设计应用锁定有两种情况：一种是持卡人认为卡内某项应用没有使用需要，要求将该应用取消，可以通过相应服务窗口办理应用注销手续，同时锁定相应应用；另一种情况是，在卡片使用过程中，因为错误操作等原因卡片不能在一种或多种应用中继续使用，则系统会锁定相应的应用。本模块的业务处理流程如下图所示：l 功能模块设计各个子模块功能如下：1. 锁定申请子模块：输入卡号或身份证号和姓名，调出持卡人信息数据集信息，并打印成申请表单。 2. 审核子模块：输入申请表单内容，经操作员确认，生成应用锁定发布信息数据集。3.

22、 锁定应用子模块：输入应用锁定发布信息数据集，更新持卡人信息数据集中信息、卡片状态数据档案集和资源应用监控数据集。1.2.2.9 应用解锁模块l 业务流程设计持卡人需持有效证件在指定机构校验身份合格，且满足系统条件下，解锁应用。解锁应用时，卡片的卡号一定在系统的应用锁定列表中。本模块的业务处理流程如下图所示：l 功能模块设计.各个子模块功能如下：1. 解锁申请子模块：输入卡号或身份证号和姓名，调出持卡人信息数据集信息，打印成申请表单。2. 审核子模块：录入申请表单数据，经操作员确认该应用确实开通，同意应用解锁操作。3. 解锁应用子模块：输入应用解锁发布信息数据集，更新持卡人信息数据集中信息、卡

23、片状态数据档案集和资源应用监控数据集。1.2.2.10 卡检测模块市民卡发放后由于市民在正常使用过程中无法使用而退回的卡，需要对卡里芯片（接触式芯片和非接触式芯片），卡里数据项正确性进行检测。1.2.2.11 黑名单模块黑名单根据不同类别，由各应用系统自行生成，提交市民卡管理中心统一管理和发布。金融支付应用的黑名单由相应开户银行自行产生和管理。市民卡黑名单的统一由市民卡管理中心发布。管理中心产生的黑名单通过公共事务平台网络平台发布，规定在24小时内传送到系统前端。前端网点前置机系统与后台数据中心进行数据交换的时候，黑名单数据下发到前端网点前置机存储。联机终端黑名单的下载通过定时下载的方式，时间

24、间隔应一天内完成。脱机终端黑名单的更新通过指定的商业服务网点本地下载更新，时间间隔应一天内完成。l 业务流程设计1. 接收各应用系统送到数据中心的各类黑名单，将黑名单分类存入到各发布数据集。2. 系统最终产生的黑名单，从各发布数据集中取出送到数据中心。1.2.2.11.1 黑名单的分类l 卡片死亡黑名单：包括注销但未能收回的卡，挂失且已经补办的卡等。这类卡系统一旦发现，会将其永久锁定，不得使用。l 挂失黑名单：办理挂失的卡，系统一旦发现，会将其暂时锁定，所有应用不得使用。持卡人可以到指定网点办理解挂、解锁等手续，恢复正常使用。l 解挂名单：解挂的卡，系统一旦发现，会将其锁定解锁，所有应用恢复使

25、用。l 应用锁定黑名单：系统禁止对市民卡相应应用的业务操作。l 应用解锁名单：系统恢复对市民卡相应应用的业务操作。l CA证书黑名单：挂失、过期等情况下，CA管理中心自行生成黑名单，递交给市民卡管理中心统一管理。系统将禁止进入黑名单的证书进行任何操作。l 金融止付黑名单：市民卡挂失、金融帐户透支超限等情况下，金融开户银行会自行生成黑名单。金融止付黑名单由银行自行管理。由市民卡管理中心递交的挂失手续等情况，银行会有相应的信息回馈。1.2.2.11.2 黑名单的定义黑名单种类编号（1字节）：种类死亡挂失解挂应用锁定应用解锁CA证书金融止付编号12345671.2.2.11.3 应用系统黑名单管理接

26、口提交黑名单：种类编号、卡识别码，应用编号发布黑名单：种类编号、卡识别码，应用编号1.2.3 卡片应用管理子系统卡应用管理子系统主要是对卡应用服务过程的管理，对卡内应用规划进行管理，新应用远程下载。整个子系统的功能模块组成如下。 1.2.3.1 应用过程控制市民卡应用的日常管理工作主要由卡管理系统来完成，其主要功能有：完成日常的市民卡申领管理、修改卡上电子存折的密码、电子钱包充值、更改个人在卡上联系电话等辅助信息、补/换卡管理、卡挂失/解挂、卡的注销以及系统黑名单管理及密钥管理。市民卡应用根据实际的应用范围，可分为以下三类：Ø 综合型即由市民卡中心在服务大厅、基层街道或社区建立的提供

27、各种公益性卡服务网点所用的应用服务，该网点的应用服务可完成卡的申请、卡的发放、卡的挂失/解挂、卡的密码修改及卡的注销和补/换卡等具体的市民卡业务操作流程。同时，该应用终端还可以为市民提供基于各种相关政府业务部门的各种公共信息查询服务，如：查询个人的医疗个人帐户余额，查询个人的公积金帐户情况，查询个人的养老保险金的待遇支付情况，查询医疗保险、养老保险、公积金等业务的实际缴存明细情况等。也可同时查询IC卡上电子存折或电子钱包的实际消费明细、余额等情况。Ø 业务型由各个共建单位建立的各种办事大厅或办事窗口等具体的业务办理网点中的应用服务，该类型的应用服务只能对本单位或本行业的卡内业务信息实

28、施授权操作。该类应用将主要负责协助办理具体的个人事务，如：在医院使用市民卡就诊看病、在民政部门办理婚姻登记、在公积金中心办理个人住房贷款手续等。Ø 商业型由各个与市民卡中心签约的特约商户，在服务银行的授权支持下建立的各类商业性消费应用服务，提供各种基于电子钱包或电子存折的联机/脱机刷卡服务，例如：商场的刷卡消费、公用IC卡电话服务、公交IC卡、自动售货柜员机(ATM)等。当然，该类应用服务还包括服务银行各网点提供的各种金融类服务。卡应用管理子系统将需完成对以上三类应用服务的安全管理和操作监控，具体包括：确保卡片应用的安全性、对卡片的应用操作实施各种错误处理和恢复机制，记录相关的交易流

29、水和交易过程日志，并保存于后台数据库。 1.2.3.2 卡应用规划管理l 业务流程设计本模块的业务处理流程如下图所示：l 功能模块设计本模块的功能模块图如下所示：各个子模块功能如下：1、 文件规划：根据输入的规划级别编码、规范版本号、应用编码、文件编码等数据项从数据库调取并显示相应的记录内容，本级的规划还可以对相应的内容进行修改操作。记录内容包括：文件定义、文件标识符、读控制、写控制、文件结构和可选性。最后将操作的结果保存到数据库。2、 安全规划：根据输入的规划级别编码、规范版本号、密钥文件编码等数据项从数据库调取并显示相应的记录内容，本级的规划还可以对相应的内容进行修改操作。记录内容包括：密

30、钥分类、密钥名称、用途、适用应用范围。最后将操作的结果保存到数据库。3、 数据规划：根据输入的规划级别编码、规范版本号、应用编码、文件编码等数据项从数据库调取并显示相应的记录内容，本级的规划还可以对相应的内容进行修改操作。记录内容包括：标志、数据项、类型、长度、选择性、备注。最后将操作的结果保存到数据库。4、 应用版本查询：根据规划级别编码、规范版本号、应用编码、文件编码等数据项，查询某个版本应用的文件结构、数据内容和密钥等相关应用规划信息。1.2.3.3 卡新应用远程下载l 业务流程设计通过远程下载的方法可在指定的卡终端上实现卡新应用区自动建立、新应用密钥下载、应用数据的写入等卡应用升级服务

31、，大大方便了市民卡各种应用功能的扩展和升级。卡应用系统可采用B/S或C/S应用结构，市民可带上自己的市民卡在相关服务网点办理卡新应用下载业务。基于浏览器结构的卡应用下载服务将通过ActiveX方式与中心卡管理服务器及密钥管理服务器通讯，并根据新应用的分区要求，实施具体的卡内新应用分区，然后下载该应用的应用密钥，最后下载该应用所需的相关应用数据。基于C/S结构的卡应用管理将直接与后台卡管理服务器和密钥服务通讯，根据新应用的要求，下载相关的应用数据及密钥。操作工作站将支持各种读写器的卡接口中间件，工作站与读写器通过串口或USB口相连。新应用下载的具体根据来自于对卡应用的规划与设计，其整体结构图如下

32、：l 功能模块设计该部分的整个功能模块组成如下图所示。卡新应用远程下载系统参数设置模块新应用建立模块新应用查询模块控件下传模块各功能模块说明：Ø 参数设置模块设置系统运行时所需的参数，包括卡类型、终端类型和通讯口等。Ø 控件下传模块当系统采用浏览器远程下载时，要完成卡新应用调用端需有相应的ActiveX控件、卡接口中间件及有关的终端动态链接库支持。这些可从卡管理服务器、密钥管理服务器远程下载，本模块即实现此功能。Ø 新应用建立模块创建新应用使用分区、新应用密钥及新应用所需的相关数据。Ø 新应用信息查询模块通过后台卡管理数据库或卡内信息，查询新应用的有关信

33、息。F 参数设置参数设置包括：通讯接口设置、卡终端设置、卡型选择设置等。通讯口设置子模块是可选择串口或USB口，串口用COM1、COM2或COM3表示，USB口用COM5表示。具体情况视终端的连接口而设定。选择终端子模块是本系统支持多种卡终端，选择哪种终端视使用的具体卡终端而定，对卡操作时，会调用相应的不同厂家或不同型号卡终端的动态访问链接调用库。卡型选择子模块是本系统支持多种符合市民卡选型的卡片，不同卡片其读写卡命令格式不同，一旦选择了卡片，卡系统接口中间件(是位于各个厂家基础之上,且调用或使用接口统一、一致的系统组件或动态库)会自动选择相应的命令，应用开发者无需知道底层不同卡的卡操作指令。

34、F 控件下传考虑到控件下传及控件使用时对环境的具体需求，实际的控件下传内容将包括ActiveX控件下传、卡接口系统中间件、卡终端动态库下传这几个部分。ActiveX控件是B/S模式下支持卡应用系统对卡操作调用的最高一层的卡接口模块，由应用程序开发者直接调用，需从卡应用管理服务器下传到本机工作站的有关系统目录，如：WINDOW SYSTEM、SYSTEM32或当前目录下，具体目录的指定将根据控件下载的配置文件内容而定。卡接口系统中间件为封装不同厂家或各种不同终端和不同卡片操作指令的一级统一的卡接口访问控制模块，并提交给ActiveX控件调用，该卡接口系统中间件必须下传到调用机的有关目录，才能实现

35、相关的卡操作功能。卡终端动态库为终端厂商和终端一起提供的支持对卡操作的最底层卡设备接口操作调用，若工作站中有此动态库则系统会自动不用下传，除非版本有升级。F 新应用建立新应用建立过程包括：新应用分区、应用数据及应用密钥下载三部分。新应用分区是为新的应用规划新的使用存储地址及空间。应用数据将以文件的形式下载到卡片上，以支持新应用所需的相关卡内信息检索。为保证应用的安全使用，还需要下载新应用的相应密钥数据，从而完整地完成卡新应用的下载升级。该过程具体流程如下图所示。F 新应用查询包括联机查询及脱机查询两部分内容。联机查询将查询后台有关新应用的信息，包括新应用的使用方法、范围、注意事项等。脱机查询将

36、主要是查询卡上信息，包括新应用区的信息。该查询过程如下图所示。1.2.4 密钥管理子系统密钥管理体系是IC卡应用的安全核心，密钥管理为市民卡密钥的生成、存储、使用、分发等提供安全的服务。1.2.4.1 设计原则市民卡的密钥管理体系除了支持中国人民银行、劳动和社会保障部要求的密钥体系规范外，应该能够支持将来卡中多种应用的扩展。市民卡的卡片主控由嘉兴市公共事务局统一管理和维护，各个行业应用的主控和维护密钥由各个相关部门管理和维护。市民卡的密钥管理系统的设计必须遵循严格的安全设计规范。市民卡以“一卡一密、一次一密”的原则来生成和使用市民卡中应用的密钥，提高市民卡的抗攻击能力。1.2.4.2 行业密钥

37、体系介绍1.2.4.2.1 劳动和社会保障部密钥体系介绍劳动和社会保障部密钥体系采用国家级密钥管理系统、省（直辖市）级密钥管理系统和地市级密钥管理系统三级管理体制。全国通用的消费/取现主密钥由全国密钥管理总中心产生，并逐级下传到各地市，其余IC卡密钥由各地市密钥管理中心自行产生和管理。三级密钥管理中心严格按其职责范围实现其功能义务。上级中心负责生成下级中心的发卡系统母卡，下级中心在上级中心的指导与监管下运行。全国密钥管理中心负责生成各省级密钥管理中心的发卡母卡和控制卡，并且产生所有PSAM卡。省级密钥管理中心负责生成各地市级密钥管理中心的发卡母卡和控制卡，统计本省各地市PSAM卡需求上报全国密

38、钥管理中心，验证来自全国密钥管理中心的PSAM卡。地市级密钥管理中心根据省级密钥管理中心发卡母卡和控制卡，发行本地市社会保障（个人）卡。另一方面，地市级密钥管理中心负责PSAM卡的二次发卡，即验证来自省级密钥管理中心的由全国密钥管理中心产生的PSAM卡，并写入本地市社会保障（个人）卡相关内容。1.2.4.2.2 中国人民银行密钥体系介绍中国人民银行采用三级的密钥体系，各级密钥管理中心利用密钥管理系统来实现密钥的安全管理。密钥管理中心采用全国密钥管理总中心、二级密钥管理中心、成员行密钥管理中心三级管理体系。整个安全体系结构主要包括三类密钥：全国通用的消费/取现主密钥GMPK、发卡银行的联机交易密

39、钥和发卡银行的其他主密钥。根据密钥的用途，系统采用不同的处理策略。体系结构如下：1.2.4.3 两级密钥管理系统建立一套完整的密钥管理体系来管理市民卡公司掌握的密钥体系，整个密钥体系采用两级的密钥管理体系。一级密钥管理由相关市领导直接管理，统一管理市民卡的根密钥和各应用通用密钥。二级密钥管理由市民卡管理中心负责，作为整个市民卡密钥管理平台，具体负责各个应用密钥体系的生成和管理，为市民卡各种应用提供一个密钥管理、应用管理和安全保障的基础平台。1.2.4.3.1 管理模式一级密钥管理主要生成和管理市民卡根密钥，以及负责二级密钥管理主控密钥的生成和管理。通用的消费/取现主密钥由一级密钥管理中心产生，

40、并下传到二级密钥管理的各应用，其余密钥由二级密钥管理中心为各应用自行产生和管理。二级密钥管理主要负责具体应用密钥的生成和管理，负责生成并保管市民卡的卡片主控密钥、卡片应用主控、卡片维护密钥、联机交易（圈存、圈提）密钥等市民卡卡片密钥；负责由二级主控母卡中的密钥根据各应用的标识离散为各应用的所有应用密钥。1.2.4.3.2 体系结构1.2.4.4 密钥管理实现1.2.4.4.1 密钥的属性与种类用于一种特定功能的密钥按功能相互分割，不能混用，这样可以保证各应用之间安全的相互独立性，如各种应用密钥、传输密钥按种类及功能分别产生，互不相同。由于市民卡同时支持多种不同的应用，为保证各个应用相互独立，需

41、要使用多类应用密钥，包括：l 全市通用的密钥：该类密钥用于对市民卡中需要实现全市通用的相关信息控制，由一级密钥管理中心产生，经分散后写入用户卡中。l 应用专用密钥：该类密钥用于对市民卡中仅在本应用内使用的相关应用信息进行控制，由二级密钥管理中心产生，经分散后写入用户卡中。市民卡管理中心将根据不同前台的业务需求，分配不同权限的密钥组给PSAM卡，保证市民卡一卡多用的安全性。1.2.4.4.2 密钥的生成l 密钥生成系统主要负责系统中全部密钥的产生。根据生成密钥功能不同，由不同算法产生，并要求保证生成的密钥的强度和安全性。l 密钥生成系统包括一级密钥管理中心密钥生成系统和二级密钥生成系统。l 密钥

42、生成系统通过硬件安全模块实现。密钥生成后根据需要存放到硬件安全模块和IC卡。l 密钥原始码单必须是可以相互制约的，即码单必须是可以分成N份，得到其中N-1份不能为攻击密钥提供任何便利。l 密钥生成办法必须是可复现的，即输入相同的码单，得到相同的密钥。l 密钥生成算法必须是不可逆的，即得到任意多的密钥也不能为攻击码单提供任何便利。l 密钥生成算法所生成的所有密钥必须是不相关的。l 码单的使用必须进行一致性和完整性检查，防止码单被错误使用。l 密钥生成的安全性不以任何方式依赖于对密钥生成算法的保密。1.2.4.4.3 密钥的存储l 密钥生成后，由密钥存放系统负责密钥的存放，作为生成密钥的备份或作为

43、分发载体，供密钥下装系统下载到系统的其它安全模块内。l 密钥存放系统要求保证密钥的安全存储，密钥不能被泄露。当主密钥在硬件安全模块内生成后并要求输出到加密机外时，不能以明文的形式输出。l 密钥存储可以采用多种方式，如IC卡、加密机、密码信封等。l 无论哪种密钥存储方式，密钥的存储介质必须是可以相互制约的，即介质必须是可以分成N份，得到其中N-1份不能为攻击密钥提供任何便利。l 密钥存储介质必须是不能复制的。l 密钥存储介质必须有辅助的保护措施（如PIN保护等），即使在失窃、遗失等情况下也能保证不会被非法使用。1.2.4.4.4 密钥的备份l 为了保证因意外因素导致的密钥丢失能快速恢复，要求各级

44、密钥管理中心必须且只能对本中心控制的密钥进行备份。l 密钥备份可以采用密钥卡的形式。l 密钥备份不能存在安全隐患。1.2.4.4.5 密钥的装载与分发密钥装载系统主要实现以下功能：上级密钥管理中心将需分发给下级密钥管理中心的各种密钥可以从密码机导入到密钥卡中；下级密钥管理中心将上级密钥管理中心分发下来的密钥从密钥卡中导入到密码机中。密钥的分发过程必须是不可逆的，即不能以任何方式由下一级的密钥反推出本级的密钥，同时，同级的密钥也不能相互推导。由于密钥母卡存取控制卡上含有控制信息，包括密钥母卡卡片数目，分解算法、密钥类型、版本、索引、校验等信息，在密钥母卡下装后能对最终的主密钥进行验证。验证正确后

45、用安全模块内部的基本主密钥保护存放，为确保安全，密钥下载过程中的操作须有授权机制，并在多人控制下方可操作。密钥装载采用安全报文的方式。密钥管理系统必须保证分发出去的密钥不能被非法使用，或者即使被非法使用，也不能因某个机构的非法使用而影响整个系统的安全。密钥装载的控制过程如下：l 新的卡片主控密钥在原卡片主控密钥的控制下更新。l 卡片维护密钥在新的卡片主控密钥的控制下装载和更新。l 应用主控密钥在卡片主控密钥的控制下装载。l 应用主控密钥在主控密钥的控制下更新。l 应用维护密钥在应用主控密钥的控制下装载和更新。l 应用主工作密钥在应用主控密钥的控制下装载和更新。1.2.4.4.6 密钥的使用l

46、所有密钥在其生存周期内使用。密钥按期更换，原来使用过的密钥过期后清除销毁。l 密钥管理系统必须以最小权限的原则为业务系统提供密钥服务，比如：发卡系统只能使用密钥进行发卡，不能进行其他如圈存、TAC计算等交易，而交易系统只能使用密钥进行消费、圈存等交易认证，不能进行任何发卡操作。l 密钥的使用必须有辅助的安全保护措施，如发卡操作必须有PIN保护等。l 密钥在整个系统的任何节点均只能存放在硬件安全模块中（密码机或密钥卡片），不能以明码输出到安全模块之外。l 某密钥受威胁或泄露后，由产生该密钥的密钥管理中心对其冻结。l 应用主密钥不允许直接读取。l 密钥必须在主控密钥的控制下更新。l 消费/取现主密

47、钥不能被外界直接访问，只能接受内部操作。l 应用中适时产生的临时密钥不能被外界直接访问。1.2.4.4.7 密钥的周期与更新l 市民卡用户卡发卡时卡片内存应放多组密钥，至少存有2 组密钥。相应的PSAM卡中只能保存一组有效密钥，即当前版本的密钥，以支持有效期内所有版本的用户卡。l 根据发卡量和安全性的要求需要确定密钥的使用周期。l 当前密钥被攻破时，或者当前密钥到达使用周期时，系统当前密钥停止使用。旧的密钥被废止的同时，系统启动用户卡内新的一组应用密钥，系统中所有的PSAM卡需全部重新制作，或者对所有的PSAM卡的密钥进行密钥更新。l 旧密钥废止后，系统需要能够及时生成一组新的应用密钥。在一定

48、的时间段内，用户卡中通过联机设备与后台数据中心实时联机进行密钥更新，用新的应用密钥覆盖已经废止的旧的应用密钥。对超过指定时间没有进行密钥更新的用户卡，卡片状态设置为挂起状态，要到指定地点进行密钥更新。l 系统能为用户卡提供密钥更新手段，用户卡和PSAM卡的选型和设计要留有密钥更新的通道。1.2.4.4.8 密钥的销毁密钥定期更新后，旧密钥必须安全归档，并在安全管理负责人的严格监督下，由管理负责人销毁。1.2.4.4.9 多应用的密钥管理l 新应用的增加，要能够在已有的密钥体系的保护下，向卡片内分散新的应用密钥控制新的文件结构的建立，符合逐步扩展应用的需求。l 新应用开通时，市民卡二级密钥管理中

49、心将需增补的密钥以密钥卡的传递形式保存在市民卡管理中心授权的各服务网点的硬件加密机中，为己投入使用的用户卡，根据用户卡标识分散后，增补新应用所需密钥，方便用户办理新应用的开通。1.2.4.5 密钥管理系统设计1.2.4.5.1 一级密钥管理中心一级密钥管理中心负责生成并保管市民卡根密钥，为二级密钥管理中心制作二级主控母卡。市民卡根密钥由两位领导分别向一级密钥管理中心的硬件加密机中输入A、B种子码单，硬件加密机根据A、B种子码进行加密运算，生成市民卡根密钥。A、B种子码单分别制作成A、B卡，由两位领导自行严加保管。根据市民卡根密钥和不同的应用标识符，分别经硬件加密机离散为市民卡通用消费主密钥、通

50、用主控主密钥、通用维护主密钥，并制作成二级主控母卡，下发给二级密钥管理中心。一级密钥管理中心应该分别设置安全管理员、操作员和保管员，各岗位不能由同一人担任。一级密钥管理中心应配备硬件加密机、加密读卡器、操作控制系统等软硬件设备。由于一级密钥管理中心管理的是市民卡根密钥，其更新周期相对较长，操作步骤相对简便，操作次数较少，因此，一级密钥管理中心在人员构成和设备配备上相对简单。同时，由于市民卡中所用的绝大多数密钥是根据市民卡根密钥经离散得到的，一级密钥管理中心的行政管理措施应该最为严密。一级密钥管理中心建议由市政府直接管理。1.2.4.5.2 二级密钥管理中心二级密钥管理中心为市民卡的扩展应用安全

51、与密钥管理平台。二级密钥管理中心负责生成并保管市民卡的卡片主控密钥、卡片维护密钥、扩展应用的应用主控、应用维护密钥、PIN重装密钥、PIN解锁密钥、联机交易（圈存、圈提）密钥等市民卡卡片密钥；负责由二级主控母卡中的密钥根据各应用的标识离散为各应用的所有应用密钥。市民卡的卡片密钥用于创建和维护市民卡中的文件、信息，是市民卡的根本密钥。由市民卡管理中心的两位不同部门领导在二级密钥管理中心的硬件加密机中分别输入卡片的A、B种子码单，硬件加密机根据卡片A、B种子码进行加密运算，生成市民卡的卡片主控密钥、卡片维护密钥、扩展应用的应用主控、应用维护密钥、PIN重装密钥、PIN解锁密钥等密钥。卡片A、B种子

52、码单分别制作成A、B卡，由两位领导自行严加保管。相应于市民卡中的多种应用功能，市民卡管理中心分别为每项应用规定一个标识作为应用种子C码。当市民卡中需要扩展新应用时，为了加强各应用主管部门对所属应用的管理和监控作用，由应用主管部门的两位领导在二级密钥管理中心分别输入该应用的A、B种子码单，与应用C码共同经硬件加密机进行加密运算，生成该应用的应用标识。该应用的A、B码单分别制作成A、B卡，由两位领导自行保管。二级密钥管理中心由二级主控母卡中的密钥根据应用标识分别离散为应用消费主密钥、应用主控主密钥和应用维护主密钥。再将应用主控主密钥和应用维护主密钥根据约定的应用中各功能的标识，分别离散为应用主控密

53、钥和应用维护密钥。由二级密钥管理中心制作SAM卡发卡母卡（包含通用消费主密钥、应用主控密钥、应用维护密钥、圈存密钥、圈提密钥等）、SAM卡洗卡母卡（包含SAM卡主控密钥和SAM卡维护密钥等）和用户卡发卡母卡（应用消费主密钥、应用主控密钥、应用维护密钥、圈存密钥、圈提密钥、PIN解锁密钥、PIN重装密钥等）、用户卡洗卡母卡（包含用户卡主控密钥和用户卡维护密钥等）。其中SAM卡发卡母卡和SAM卡洗卡母卡用于制作各种应用的SAM卡；用户卡发卡母卡和用户卡洗卡母卡下发给发卡单位，根据用户卡标识离散后，初始化至用户卡。由于SAM卡中需存放市民卡的各种应用主密钥，必须由二级密钥管理中心统一制作、严格保管。

54、 二级密钥管理中心需配备硬件加密机、加密读卡器、小型制卡设备、密钥管理软件。其中密钥管理软件具备对密钥分级管理、操作，支持多应用，易于扩展等特性。二级密钥管理中心建议由市民卡管理中心负责管理。1.2.4.6 PSAM发卡流程设计二级密钥管理中心负责统一制作和发行管理市民卡扩展应用配套的PSAM卡。在IC卡生产过程中，IC卡生产厂商在卡中设置生产商密钥，控制IC卡的安全运输，以防止在IC卡生产商和卡发行机构间被人替换。在将IC卡交给发卡机构的同时，也将装有生产商密钥（kMprd）的母卡交给发卡机构。l 相关应用的主管部门提出PSAM需求申请。l 如果是新增应用，还应当详细指明业务所需求的市民卡操

55、作权限（组）种类，以及每种类别的详细权限要求。中心根据管理规范审批备案。l 二级密钥管理中心采购白卡，同时得到生产商密钥（母卡）。l 密钥管理中心接到这一批IC卡后，首先按统一编号规则给每一张IC卡分配PSAM序列号（PSN）。每张IC卡具有唯一的PSN，不同的IC卡具有不同的PSN。l 密钥管理系统向高速发卡机送指令，送入一批卡片，利用生产商母卡上的kMprd来验证IC卡。l 如果验证通过，加载密钥管理中心的市民卡主控密钥（kIctlR）：用kMprd将kIctlR加密，将密文3DES（kMprd，kIctlR）载入IC卡，在卡中使用kMprd解密得到3DES-1（kMprd，3DES（kM

56、prd，kIctlR），即kIctlR。l 在kIctlR的控制下，创建MF下的EF文件和ADF文件。l 在kIctlR的控制下，加密载入卡片维护密钥和应用主控密钥。l 在应用主控密钥控制下，加密载入通用消费密钥、应用维护密钥和其他需要的应用密钥。l 在卡上打印PSAM序列号。l 如果在写卡的过程中出现错误，则将卡作废，重新制作一张同样卡号的卡片。1.2.4.7 与其他相关密钥管理系统的关系社保密钥体系和PSAM发行由劳社部负责统一管理。金融密钥体系和PSAM发行由人民银行负责统一管理。1.2.4.8 硬件安全模块要求密钥管理的安全机制主要基于密钥管理加密机的硬件加密设备。加密机可以通过硬件电路提供产生密钥所需的真随机数，在硬件上具有一定的防物理攻击能力，在软件上对密钥的生成、存放、备份和运算进行权限控制，并可采限一定策略进行审计，同时硬件安全模块要求具备攻击防范能力，所有密钥运算在安全的物理环境中完成。加密机要求本身提供管理接口和监控接口，密钥可以在加密机中得到有效的管理，密钥的生成、作废、替换等等工作都可以通过加密机接口提供，从而使密钥管理工作大为简化。为了整个密钥管理体系的安全，所有加密机应在密钥管理中心（市民卡管理中心）进行统一的初始化，装载传输密钥，以后所有的密钥装载工作都必须在传输密钥的控制下进行。l 安全设备本身的安全性