金融IC卡在軌道交通領域的應用研究

李煜平

（上海華騰軟件系統有限公司，200233，上海∥高級工程師）

伴隨著銀行IC卡產業升級，非接觸式金融IC卡的發卡量將逐步增加，受理環境也會有很大改善，未來金融IC卡的脫機消費交易量將會有很大的增長。如何實現金融IC卡在城市軌道交通領域的應用，是各發卡銀行和軌道交通公司共同關心的問題。

2005年3月，中國人民銀行正式頒發了《中國金融集成電路（IC）卡規范》（業內簡稱“PBOC2.0”）。該規范補充完善了電子錢包和存折應用，增加了與EMV（歐陸卡（Europay）、萬事達卡（MasterCard）、威士卡（VISA）聯系組織）標準兼容的借或貸記應用，增加了非接觸式IC卡物理特性標準及電子錢包擴展應用指南、借或貸記應用個人化指南等內容［1］。在此基礎上，為了拓展金融IC卡的行業應用，2011年2月，中國銀聯制訂了《基于非接觸式小額支付的擴展應用規范》。該規范制定了復合消費交易流程，明確了復合應用個人化要求，為金融IC卡在城市軌道交通中的應用提供了可能。

根據中國人民銀行規劃，國內所有銀行將停止磁條卡的發放，新發卡全部為智能IC卡，因此，由磁條卡向PBOC2.0標準的智能卡發展的產業升級成為大勢所趨。新的金融IC卡以其便利的小額脫機支付優勢，將逐步進入各行各業。城市軌道交通作為集中的小額支付領域，將是各金融IC卡進入的重點行業。實現金融IC卡在城市軌道交通中的應用，既可以方便乘客便捷乘車，也減少了各城市軌道交通公司的發卡成本，避免資源浪費，具有良好的經濟效益和社會效益。

1 金融IC卡總體應用架構

為實現金融IC卡在城市軌道交通中的應用，需要城市軌道交通的AFC（自動售檢票）系統、清分中心，以及金融IC卡發卡行、收單行甚至銀聯等單位的共同配合。金融IC卡應用系統一般性總體架構如圖1所示。

在金融IC卡應用系統建設初期，發卡行和收單行可能為同一銀行，此時所有清算均可以由發卡行完成，脫機交易文件及清算均不需要通過銀聯；但隨著可以受理的發卡行的逐步增加，最終需要由銀聯完成清算。

從清算角度而言，城市軌道交通整體作為一個商戶，通過清分中心與收單行接入銀聯清算體系，由銀聯完成與發卡行和收單行的資金清算；銀聯清算完成后，由收單行與清分中心完成清算，城市軌道交通各條線路間的清算由清分中心完成。收單行具體是接入中國銀聯還是地方銀聯，可依據收單行接入情況而定。

圖1 金融IC卡應用總體架構圖

以寧波軌道交通AFC和ACC（清結算中心）系統建設為例，根據規劃設計，寧波軌道交通開通運營時應能受理寧波市民卡的金融IC卡。該卡采用TYPE A CPU卡，首次發放該卡的發卡行有中國建設銀行、鄞州銀行。按照系統總體結構圖，寧波市民卡公司作為收單行完成與寧波軌道交通清分中心的對接，脫機消費文件由寧波市民卡公司接收并轉寧波銀聯，寧波銀聯通過中國銀聯轉發卡行，由發卡行最終完成脫機消費文件的交易合法性驗證，中國銀聯完成與各行的資金清算，寧波市民卡公司完成與寧波軌道交通的清算。

2 金融IC卡應用分析

2.1 主要交易

2.1.1 進站

根據中國銀聯制定的非接觸式金融IC卡小額支付擴展應用規范，持卡人使用非接觸式金融IC卡進城市軌道交通閘機時（檢票機），閘機將作如下處理：

（1）閘機讀卡器首先選擇和激活卡片，并通過AID（應用標示符）選擇判斷卡片是否支持復合消費交易［2］。

（2）閘機讀卡器發出命令查詢復合應用，判斷卡片是否支持城市軌道交通收費應用。如支持，則讀取此特定復合應用專用數據，并根據數據進行處理，如處理結果為不允許進行進站交易，則提示持卡人；如處理結果允許進行進站交易，閘機讀卡器進行復合應用消費交易，其中交易金額為0。

（3）閘機讀卡器更新交易標志、進站時間、線路代碼、車站代碼、進站閘機代碼等字段，卡片緩存要更新的CAPP（復合應用）記錄內容。

（4）閘機讀卡器根據AFL（應用文件定位器）記錄的內容讀取與交易相關的記錄，卡片在返回最后一條記錄后，完成實際的CAPP數據更新。

（5）閘機讀卡器根據交易過程中卡片返回的數據，對卡片進行動態數據認證。

（6）如果卡片通過認證，閘機讀卡器生成進站交易報文發送閘機，閘機生成交易流水，并允許持卡人進站。

2.1.2 出站

持卡人使用非接觸式金融IC卡出城市軌道交通閘機時，閘機將作如下處理：

（1）閘機讀卡器首先選擇和激活卡片，并通過AID選擇判斷卡片是否支持基于非接觸小額支付的復合消費交易［2］。

（2）閘機讀卡器發出命令查詢復合應用，判斷卡片是否支持城市軌道交通收費應用。如支持，則讀取城市軌道交通收費復合應用專用數據，并根據進出站站點代碼從票價表中獲取票價金額；如處理結果為不允許進行出站交易，則提示持卡人。

（3）閘機讀卡器更新城市軌道交通收費復合應用專用數據，填寫出站交易時間、出站交易線路代碼、出站交易站點代碼、出站交易閘機代碼、交易金額，保留城市代碼、運營企業代碼、記錄格式版本號、進站交易時間、進站交易線路代碼、進站交易站點代碼、進站交易閘機代碼等字段記錄原值；卡片緩存要更新的CAPP記錄內容，其中交易金額為票價金額。

（4）閘機讀卡器根據AFL記錄的內容讀取與交易相關的記錄，卡片在返回最后一條記錄后，完成實際的CAPP數據更新。

（5）閘機讀卡器根據交易過程中卡片返回的數據，對卡片進行動態數據認證。

（6）如果卡片通過認證，閘機讀卡器生成出站交易報文發送閘機，閘機生成交易流水，并允許持卡人出站。

2.1.3 交易更新

當IC卡因進出站邏輯發生混亂而不能正常使用時，應當進行交易更新。交易更新分為進站更新、出站更新、超時超程更新等。交易更新的規則由運營商制定。處于交易狀態的IC卡讀寫器收到該命令時，先根據規則和命令參數中的金額對IC卡進行扣款，然后根據命令參數確定的更新類型更改IC卡上相應的進出站標志，使IC卡能夠正常進站或出站。具體讀寫卡流程同進出站交易。

IC卡交易更新在BOM（半自動售票機）上完成。2.1.4 IC卡充值（圈存）

技術上，系統可以實現在BOM上對金融IC卡的聯機充值（圈存）交易。該交易最好由清分中心作統一接入和轉發，車站和線路中央只在網絡層傳輸報文。清分中心應部署發卡行充值認證前置，由該前置直接與發卡行通信，BOM收到發卡行充值報文后完成寫卡動作。

從交易成功率和安全角度考慮，一般不建議在BOM上實現對金融IC卡的充值。

2.2 脫機消費文件傳送

（1）文件生成。城市軌道交通閘機根據讀卡器發送的進出站報文信息，按照AFC線網規范打包生成脫機消費文件；票房售票機根據讀卡器發送的更新報文信息，按照AFC線網規范打包生成脫機消費文件。

（2）文件傳送。脫機消費文件傳送按以下流程完成：閘機或BOM→車站計算機→線路中央計算機→清分中心→收單行→銀聯→發卡行。若為行內收單，則不用通過銀聯。

（3）交易驗證。發卡行收到脫機消費文件后對每筆交易進行交易證書驗證，驗證失敗的交易需查找原因并做人工調整。

2.3 交易清分

城市軌道交通清分中心收到脫機消費文件后，根據AFC線網規范解包并將交易記錄入庫，通過清分應用系統對入庫記錄完成交易清分。金融IC卡交易同單程票和城市通卡的交易一樣，適用相同的清分規則。

2.4 資金清算

收單行、發卡行及銀聯間的資金清算按銀聯清算辦法執行，城市軌道交通公司通過清分中心與收單行完成金融IC卡交易的資金清算，城市軌道交通路網各收益方的二級清算由清分中心完成。

2.5 難點分析

由于脫機交易的非實時性，系統的安全保障體系是應用的主要難點。根據PBOC 2.0，發卡行發行金融IC卡時，卡片保存的密鑰有應用密文密鑰、安全報文認證密鑰、安全報文加密密鑰和卡片公私鑰對等。這些密鑰充分保證了卡片本身的安全，并且為卡片交易應用、安全報文MAC（報文鑒別碼）計算、脫機數據認證等提供了安全密鑰。金融IC卡在城市軌道交通中應用時，系統需完成卡片合法性認證、交易報文安全傳送、擴展應用文件保護等安全措施。交易結束后，發卡行還需對每筆交易進行合法性驗證。

2.5.1 卡片認證

閘機、票房售票機對金融IC卡卡片的認證采用非對稱密碼體系，清分中心從收單行獲取認證中心公鑰，以參數下發交易將公鑰下發到閘機和票房售票機，交易時以該公鑰完成簽名驗證。

2.5.2 公鑰密碼體系

公鑰密碼體系，又稱非對稱密碼體系。它使用二個密鑰，一個用于加密信息，另一個用于解密信息。這二個密鑰間滿足一定數學關系，用二個密鑰中的任何一個加密的數據，只能用另外一個進行數據解密。因此，可以保證任何收到該用戶公鑰的其它用戶，發送用此公鑰進行加密的數據，只有該用戶用自己的私鑰才能進行解密［3］。

2.5.3 擴展應用文件保護

金融IC卡卡片擴展應用文件的寫保護采用對稱密碼體系，密鑰保存在閘機及票房售票機的PSAM（終端消費安全存取模塊）卡中。由于該密鑰保護的是復合消費區，因此建議由城市軌道交通公司發行，甚至可與城市軌道交通單程票共用同一密鑰，這樣既節約投資也節省了機具的PSAM卡插槽。

2.5.4 安全報文傳送

數據完整性以及對發送方的認證通過使用MAC來實現，數據的可靠性通過對數據域的加密來得到保證［4］。金融IC卡在城市軌道交通應用時的安全控制，是整個金融IC卡系統安全控制的一部分。從已發行并投入脫機支付使用的金融IC卡使用情況來看，這些安全措施可以達到用戶的安全要求。

2.6 卡片結構示例

支持復合消費應用的金融IC卡卡片內部結構示例如圖2所示。

圖2 金融IC卡卡結構示例圖

行業應用信息的文件放在同一個應用中，可以避免因應用的切換消耗更多的時間。在卡片容量許可的情況下，可以在一張卡片上建立多個行業應用信息文件，以實現同一張卡的跨行業跨地域使用。

3 系統改造分析

對于已投入運行的城市軌道交通AFC、ACC系統而言，要實現金融IC卡在城市軌道交通中的使用需完成部分系統改造。以上海為例，上海軌道交通建設起步早，目前已形成一定路網規模，為實現金融IC卡在上海軌道交通中的應用，根據上述方案，系統改造工作主要有以下幾項內容：

（1）擴展《城市軌道交通自動售檢票系統通用技術規范》，增加金融IC卡交易報文及脫機消費文件規范。

（2）與發卡行共同制定IC卡個人化擴展應用文件規范。

（3）完成閘機、票房售票機的讀卡器改造，采用通過中國銀行卡檢測中心PBOC 2.0認證的讀卡器。

（4）完成線路AFC及清分中心ACC軟件改造，ACC完成與收單行的對接，實現IC卡交易的資金清算、認證中心公鑰下發、脫機文件傳送等。

由于金融IC卡的認證采用非對稱密碼體系，交易的流程也比單程票和交通儲值卡復雜，因此，相對單程票和交通儲值卡而言，金融IC卡的進出站交易時長將高于前者。縮短交易時間的主要方法有：在保障安全的前提下，盡可能選用較短長度的公鑰；盡可能地簡化交易流程；提高新讀卡器的硬件配置，減少交易時長；提高卡片運算速度，縮短卡片響應時間等。

4 結語

根據上述研究分析，可得出以下結論：

（1）通過一定的系統建設或改造，非接觸式金融IC卡可以實現在城市軌道交通行業的小額支付應用。

（2）非接觸式金融IC卡在城市軌道交通行業的小額支付交易流程上，有安全控制并能實現多發卡方的資金清算。

（3）通過建立多個行業應用信息文件，非接觸式金融IC卡可以實現跨行業跨地域使用。

［1］姜云兵，杜寧.基于非接觸式小額支付的擴展應用規范［S］.上海：中國銀聯股份有限公司，2011.

［2］JR／T 0025.12—2010中國金融集成電路（IC）卡規范第1 部分：電子錢包和電子存折應用卡片規范［S］.