金融IC卡在軌道交通領(lǐng)域的應(yīng)用研究

李煜平

（上海華騰軟件系統(tǒng)有限公司，200233，上?！胃呒壒こ處煟?/p>

伴隨著銀行IC卡產(chǎn)業(yè)升級，非接觸式金融IC卡的發(fā)卡量將逐步增加，受理環(huán)境也會(huì)有很大改善，未來金融IC卡的脫機(jī)消費(fèi)交易量將會(huì)有很大的增長。如何實(shí)現(xiàn)金融IC卡在城市軌道交通領(lǐng)域的應(yīng)用，是各發(fā)卡銀行和軌道交通公司共同關(guān)心的問題。

2005年3月，中國人民銀行正式頒發(fā)了《中國金融集成電路（IC）卡規(guī)范》（業(yè)內(nèi)簡稱“PBOC2.0”）。該規(guī)范補(bǔ)充完善了電子錢包和存折應(yīng)用，增加了與EMV（歐陸卡（Europay）、萬事達(dá)卡（MasterCard）、威士卡（VISA）聯(lián)系組織）標(biāo)準(zhǔn)兼容的借或貸記應(yīng)用，增加了非接觸式IC卡物理特性標(biāo)準(zhǔn)及電子錢包擴(kuò)展應(yīng)用指南、借或貸記應(yīng)用個(gè)人化指南等內(nèi)容［1］。在此基礎(chǔ)上，為了拓展金融IC卡的行業(yè)應(yīng)用，2011年2月，中國銀聯(lián)制訂了《基于非接觸式小額支付的擴(kuò)展應(yīng)用規(guī)范》。該規(guī)范制定了復(fù)合消費(fèi)交易流程，明確了復(fù)合應(yīng)用個(gè)人化要求，為金融IC卡在城市軌道交通中的應(yīng)用提供了可能。

根據(jù)中國人民銀行規(guī)劃，國內(nèi)所有銀行將停止磁條卡的發(fā)放，新發(fā)卡全部為智能IC卡，因此，由磁條卡向PBOC2.0標(biāo)準(zhǔn)的智能卡發(fā)展的產(chǎn)業(yè)升級成為大勢所趨。新的金融IC卡以其便利的小額脫機(jī)支付優(yōu)勢，將逐步進(jìn)入各行各業(yè)。城市軌道交通作為集中的小額支付領(lǐng)域，將是各金融IC卡進(jìn)入的重點(diǎn)行業(yè)。實(shí)現(xiàn)金融IC卡在城市軌道交通中的應(yīng)用，既可以方便乘客便捷乘車，也減少了各城市軌道交通公司的發(fā)卡成本，避免資源浪費(fèi)，具有良好的經(jīng)濟(jì)效益和社會(huì)效益。

1 金融IC卡總體應(yīng)用架構(gòu)

為實(shí)現(xiàn)金融IC卡在城市軌道交通中的應(yīng)用，需要城市軌道交通的AFC（自動(dòng)售檢票）系統(tǒng)、清分中心，以及金融IC卡發(fā)卡行、收單行甚至銀聯(lián)等單位的共同配合。金融IC卡應(yīng)用系統(tǒng)一般性總體架構(gòu)如圖1所示。

在金融IC卡應(yīng)用系統(tǒng)建設(shè)初期，發(fā)卡行和收單行可能為同一銀行，此時(shí)所有清算均可以由發(fā)卡行完成，脫機(jī)交易文件及清算均不需要通過銀聯(lián)；但隨著可以受理的發(fā)卡行的逐步增加，最終需要由銀聯(lián)完成清算。

從清算角度而言，城市軌道交通整體作為一個(gè)商戶，通過清分中心與收單行接入銀聯(lián)清算體系，由銀聯(lián)完成與發(fā)卡行和收單行的資金清算；銀聯(lián)清算完成后，由收單行與清分中心完成清算，城市軌道交通各條線路間的清算由清分中心完成。收單行具體是接入中國銀聯(lián)還是地方銀聯(lián)，可依據(jù)收單行接入情況而定。

圖1 金融IC卡應(yīng)用總體架構(gòu)圖

以寧波軌道交通AFC和ACC（清結(jié)算中心）系統(tǒng)建設(shè)為例，根據(jù)規(guī)劃設(shè)計(jì)，寧波軌道交通開通運(yùn)營時(shí)應(yīng)能受理寧波市民卡的金融IC卡。該卡采用TYPE A CPU卡，首次發(fā)放該卡的發(fā)卡行有中國建設(shè)銀行、鄞州銀行。按照系統(tǒng)總體結(jié)構(gòu)圖，寧波市民卡公司作為收單行完成與寧波軌道交通清分中心的對接，脫機(jī)消費(fèi)文件由寧波市民卡公司接收并轉(zhuǎn)寧波銀聯(lián)，寧波銀聯(lián)通過中國銀聯(lián)轉(zhuǎn)發(fā)卡行，由發(fā)卡行最終完成脫機(jī)消費(fèi)文件的交易合法性驗(yàn)證，中國銀聯(lián)完成與各行的資金清算，寧波市民卡公司完成與寧波軌道交通的清算。

2 金融IC卡應(yīng)用分析

2.1 主要交易

2.1.1 進(jìn)站

根據(jù)中國銀聯(lián)制定的非接觸式金融IC卡小額支付擴(kuò)展應(yīng)用規(guī)范，持卡人使用非接觸式金融IC卡進(jìn)城市軌道交通閘機(jī)時(shí)（檢票機(jī)），閘機(jī)將作如下處理：

（1）閘機(jī)讀卡器首先選擇和激活卡片，并通過AID（應(yīng)用標(biāo)示符）選擇判斷卡片是否支持復(fù)合消費(fèi)交易［2］。

（2）閘機(jī)讀卡器發(fā)出命令查詢復(fù)合應(yīng)用，判斷卡片是否支持城市軌道交通收費(fèi)應(yīng)用。如支持，則讀取此特定復(fù)合應(yīng)用專用數(shù)據(jù)，并根據(jù)數(shù)據(jù)進(jìn)行處理，如處理結(jié)果為不允許進(jìn)行進(jìn)站交易，則提示持卡人；如處理結(jié)果允許進(jìn)行進(jìn)站交易，閘機(jī)讀卡器進(jìn)行復(fù)合應(yīng)用消費(fèi)交易，其中交易金額為0。

（3）閘機(jī)讀卡器更新交易標(biāo)志、進(jìn)站時(shí)間、線路代碼、車站代碼、進(jìn)站閘機(jī)代碼等字段，卡片緩存要更新的CAPP（復(fù)合應(yīng)用）記錄內(nèi)容。

（4）閘機(jī)讀卡器根據(jù)AFL（應(yīng)用文件定位器）記錄的內(nèi)容讀取與交易相關(guān)的記錄，卡片在返回最后一條記錄后，完成實(shí)際的CAPP數(shù)據(jù)更新。

（5）閘機(jī)讀卡器根據(jù)交易過程中卡片返回的數(shù)據(jù)，對卡片進(jìn)行動(dòng)態(tài)數(shù)據(jù)認(rèn)證。

（6）如果卡片通過認(rèn)證，閘機(jī)讀卡器生成進(jìn)站交易報(bào)文發(fā)送閘機(jī)，閘機(jī)生成交易流水，并允許持卡人進(jìn)站。

2.1.2 出站

持卡人使用非接觸式金融IC卡出城市軌道交通閘機(jī)時(shí)，閘機(jī)將作如下處理：

（1）閘機(jī)讀卡器首先選擇和激活卡片，并通過AID選擇判斷卡片是否支持基于非接觸小額支付的復(fù)合消費(fèi)交易［2］。

（2）閘機(jī)讀卡器發(fā)出命令查詢復(fù)合應(yīng)用，判斷卡片是否支持城市軌道交通收費(fèi)應(yīng)用。如支持，則讀取城市軌道交通收費(fèi)復(fù)合應(yīng)用專用數(shù)據(jù)，并根據(jù)進(jìn)出站站點(diǎn)代碼從票價(jià)表中獲取票價(jià)金額；如處理結(jié)果為不允許進(jìn)行出站交易，則提示持卡人。

（3）閘機(jī)讀卡器更新城市軌道交通收費(fèi)復(fù)合應(yīng)用專用數(shù)據(jù)，填寫出站交易時(shí)間、出站交易線路代碼、出站交易站點(diǎn)代碼、出站交易閘機(jī)代碼、交易金額，保留城市代碼、運(yùn)營企業(yè)代碼、記錄格式版本號、進(jìn)站交易時(shí)間、進(jìn)站交易線路代碼、進(jìn)站交易站點(diǎn)代碼、進(jìn)站交易閘機(jī)代碼等字段記錄原值；卡片緩存要更新的CAPP記錄內(nèi)容，其中交易金額為票價(jià)金額。

（4）閘機(jī)讀卡器根據(jù)AFL記錄的內(nèi)容讀取與交易相關(guān)的記錄，卡片在返回最后一條記錄后，完成實(shí)際的CAPP數(shù)據(jù)更新。

（5）閘機(jī)讀卡器根據(jù)交易過程中卡片返回的數(shù)據(jù)，對卡片進(jìn)行動(dòng)態(tài)數(shù)據(jù)認(rèn)證。

（6）如果卡片通過認(rèn)證，閘機(jī)讀卡器生成出站交易報(bào)文發(fā)送閘機(jī)，閘機(jī)生成交易流水，并允許持卡人出站。

2.1.3 交易更新

當(dāng)IC卡因進(jìn)出站邏輯發(fā)生混亂而不能正常使用時(shí)，應(yīng)當(dāng)進(jìn)行交易更新。交易更新分為進(jìn)站更新、出站更新、超時(shí)超程更新等。交易更新的規(guī)則由運(yùn)營商制定。處于交易狀態(tài)的IC卡讀寫器收到該命令時(shí)，先根據(jù)規(guī)則和命令參數(shù)中的金額對IC卡進(jìn)行扣款，然后根據(jù)命令參數(shù)確定的更新類型更改IC卡上相應(yīng)的進(jìn)出站標(biāo)志，使IC卡能夠正常進(jìn)站或出站。具體讀寫卡流程同進(jìn)出站交易。

IC卡交易更新在BOM（半自動(dòng)售票機(jī)）上完成。2.1.4 IC卡充值（圈存）

技術(shù)上，系統(tǒng)可以實(shí)現(xiàn)在BOM上對金融IC卡的聯(lián)機(jī)充值（圈存）交易。該交易最好由清分中心作統(tǒng)一接入和轉(zhuǎn)發(fā)，車站和線路中央只在網(wǎng)絡(luò)層傳輸報(bào)文。清分中心應(yīng)部署發(fā)卡行充值認(rèn)證前置，由該前置直接與發(fā)卡行通信，BOM收到發(fā)卡行充值報(bào)文后完成寫卡動(dòng)作。

從交易成功率和安全角度考慮，一般不建議在BOM上實(shí)現(xiàn)對金融IC卡的充值。

2.2 脫機(jī)消費(fèi)文件傳送

（1）文件生成。城市軌道交通閘機(jī)根據(jù)讀卡器發(fā)送的進(jìn)出站報(bào)文信息，按照AFC線網(wǎng)規(guī)范打包生成脫機(jī)消費(fèi)文件；票房售票機(jī)根據(jù)讀卡器發(fā)送的更新報(bào)文信息，按照AFC線網(wǎng)規(guī)范打包生成脫機(jī)消費(fèi)文件。

（2）文件傳送。脫機(jī)消費(fèi)文件傳送按以下流程完成：閘機(jī)或BOM→車站計(jì)算機(jī)→線路中央計(jì)算機(jī)→清分中心→收單行→銀聯(lián)→發(fā)卡行。若為行內(nèi)收單，則不用通過銀聯(lián)。

（3）交易驗(yàn)證。發(fā)卡行收到脫機(jī)消費(fèi)文件后對每筆交易進(jìn)行交易證書驗(yàn)證，驗(yàn)證失敗的交易需查找原因并做人工調(diào)整。

2.3 交易清分

城市軌道交通清分中心收到脫機(jī)消費(fèi)文件后，根據(jù)AFC線網(wǎng)規(guī)范解包并將交易記錄入庫，通過清分應(yīng)用系統(tǒng)對入庫記錄完成交易清分。金融IC卡交易同單程票和城市通卡的交易一樣，適用相同的清分規(guī)則。

2.4 資金清算

收單行、發(fā)卡行及銀聯(lián)間的資金清算按銀聯(lián)清算辦法執(zhí)行，城市軌道交通公司通過清分中心與收單行完成金融IC卡交易的資金清算，城市軌道交通路網(wǎng)各收益方的二級清算由清分中心完成。

2.5 難點(diǎn)分析

由于脫機(jī)交易的非實(shí)時(shí)性，系統(tǒng)的安全保障體系是應(yīng)用的主要難點(diǎn)。根據(jù)PBOC 2.0，發(fā)卡行發(fā)行金融IC卡時(shí)，卡片保存的密鑰有應(yīng)用密文密鑰、安全報(bào)文認(rèn)證密鑰、安全報(bào)文加密密鑰和卡片公私鑰對等。這些密鑰充分保證了卡片本身的安全，并且為卡片交易應(yīng)用、安全報(bào)文MAC（報(bào)文鑒別碼）計(jì)算、脫機(jī)數(shù)據(jù)認(rèn)證等提供了安全密鑰。金融IC卡在城市軌道交通中應(yīng)用時(shí)，系統(tǒng)需完成卡片合法性認(rèn)證、交易報(bào)文安全傳送、擴(kuò)展應(yīng)用文件保護(hù)等安全措施。交易結(jié)束后，發(fā)卡行還需對每筆交易進(jìn)行合法性驗(yàn)證。

2.5.1 卡片認(rèn)證

閘機(jī)、票房售票機(jī)對金融IC卡卡片的認(rèn)證采用非對稱密碼體系，清分中心從收單行獲取認(rèn)證中心公鑰，以參數(shù)下發(fā)交易將公鑰下發(fā)到閘機(jī)和票房售票機(jī)，交易時(shí)以該公鑰完成簽名驗(yàn)證。

2.5.2 公鑰密碼體系

公鑰密碼體系，又稱非對稱密碼體系。它使用二個(gè)密鑰，一個(gè)用于加密信息，另一個(gè)用于解密信息。這二個(gè)密鑰間滿足一定數(shù)學(xué)關(guān)系，用二個(gè)密鑰中的任何一個(gè)加密的數(shù)據(jù)，只能用另外一個(gè)進(jìn)行數(shù)據(jù)解密。因此，可以保證任何收到該用戶公鑰的其它用戶，發(fā)送用此公鑰進(jìn)行加密的數(shù)據(jù)，只有該用戶用自己的私鑰才能進(jìn)行解密［3］。

2.5.3 擴(kuò)展應(yīng)用文件保護(hù)

金融IC卡卡片擴(kuò)展應(yīng)用文件的寫保護(hù)采用對稱密碼體系，密鑰保存在閘機(jī)及票房售票機(jī)的PSAM（終端消費(fèi)安全存取模塊）卡中。由于該密鑰保護(hù)的是復(fù)合消費(fèi)區(qū)，因此建議由城市軌道交通公司發(fā)行，甚至可與城市軌道交通單程票共用同一密鑰，這樣既節(jié)約投資也節(jié)省了機(jī)具的PSAM卡插槽。

2.5.4 安全報(bào)文傳送

數(shù)據(jù)完整性以及對發(fā)送方的認(rèn)證通過使用MAC來實(shí)現(xiàn)，數(shù)據(jù)的可靠性通過對數(shù)據(jù)域的加密來得到保證［4］。金融IC卡在城市軌道交通應(yīng)用時(shí)的安全控制，是整個(gè)金融IC卡系統(tǒng)安全控制的一部分。從已發(fā)行并投入脫機(jī)支付使用的金融IC卡使用情況來看，這些安全措施可以達(dá)到用戶的安全要求。

2.6 卡片結(jié)構(gòu)示例

支持復(fù)合消費(fèi)應(yīng)用的金融IC卡卡片內(nèi)部結(jié)構(gòu)示例如圖2所示。

圖2 金融IC卡卡結(jié)構(gòu)示例圖

行業(yè)應(yīng)用信息的文件放在同一個(gè)應(yīng)用中，可以避免因應(yīng)用的切換消耗更多的時(shí)間。在卡片容量許可的情況下，可以在一張卡片上建立多個(gè)行業(yè)應(yīng)用信息文件，以實(shí)現(xiàn)同一張卡的跨行業(yè)跨地域使用。

3 系統(tǒng)改造分析

對于已投入運(yùn)行的城市軌道交通AFC、ACC系統(tǒng)而言，要實(shí)現(xiàn)金融IC卡在城市軌道交通中的使用需完成部分系統(tǒng)改造。以上海為例，上海軌道交通建設(shè)起步早，目前已形成一定路網(wǎng)規(guī)模，為實(shí)現(xiàn)金融IC卡在上海軌道交通中的應(yīng)用，根據(jù)上述方案，系統(tǒng)改造工作主要有以下幾項(xiàng)內(nèi)容：

（1）擴(kuò)展《城市軌道交通自動(dòng)售檢票系統(tǒng)通用技術(shù)規(guī)范》，增加金融IC卡交易報(bào)文及脫機(jī)消費(fèi)文件規(guī)范。

（2）與發(fā)卡行共同制定IC卡個(gè)人化擴(kuò)展應(yīng)用文件規(guī)范。

（3）完成閘機(jī)、票房售票機(jī)的讀卡器改造，采用通過中國銀行卡檢測中心PBOC 2.0認(rèn)證的讀卡器。

（4）完成線路AFC及清分中心ACC軟件改造，ACC完成與收單行的對接，實(shí)現(xiàn)IC卡交易的資金清算、認(rèn)證中心公鑰下發(fā)、脫機(jī)文件傳送等。

由于金融IC卡的認(rèn)證采用非對稱密碼體系，交易的流程也比單程票和交通儲值卡復(fù)雜，因此，相對單程票和交通儲值卡而言，金融IC卡的進(jìn)出站交易時(shí)長將高于前者。縮短交易時(shí)間的主要方法有：在保障安全的前提下，盡可能選用較短長度的公鑰；盡可能地簡化交易流程；提高新讀卡器的硬件配置，減少交易時(shí)長；提高卡片運(yùn)算速度，縮短卡片響應(yīng)時(shí)間等。

4 結(jié)語

根據(jù)上述研究分析，可得出以下結(jié)論：

（1）通過一定的系統(tǒng)建設(shè)或改造，非接觸式金融IC卡可以實(shí)現(xiàn)在城市軌道交通行業(yè)的小額支付應(yīng)用。

（2）非接觸式金融IC卡在城市軌道交通行業(yè)的小額支付交易流程上，有安全控制并能實(shí)現(xiàn)多發(fā)卡方的資金清算。

（3）通過建立多個(gè)行業(yè)應(yīng)用信息文件，非接觸式金融IC卡可以實(shí)現(xiàn)跨行業(yè)跨地域使用。

［1］姜云兵，杜寧.基于非接觸式小額支付的擴(kuò)展應(yīng)用規(guī)范［S］.上海：中國銀聯(lián)股份有限公司，2011.

［2］JR／T 0025.12—2010中國金融集成電路（IC）卡規(guī)范第1 部分：電子錢包和電子存折應(yīng)用卡片規(guī)范［S］.