1、绵阳移动一卡通项目设计方案四川汇源吉迅数码科技有限公司2011年11月目 录第一章概要1一.一卡通含义1二.一卡通系统组成1三.中国移动手机一卡通系统的基本要求2四.名词解释与描述的约定4五.卡片选型介绍：RF-SIM卡4第二章一卡通中心管理平台功能方案7一.手机一卡通数据中心平台7二.密钥管理系统8三.系统集控、监控平台8四.采集服务8五.一卡通系统平台充值转账系统9六.一卡通自助平台9第三章应用管理子系统方案11一.消费管理系统11二.考勤管理系统15第一节考勤管理系统15第四章中国移动手机一卡通安全方案16一.安全设计需求分析16二.安全性应用分析17三.卡安全机制17第一章 概要 随着2、社会信息化时代的到来，社会的管理与资金的流通也将进入信息化的革命。人们在日常生活当中使用卡已成为一种趋势，各种各样的卡使人眼花燎乱；卡的使用迫切需要形成统一的规范，而“一卡通”正是这一信息化革命的产物-变量信息及移动信息。目前，“一卡通”正在许多领域得到应用，如公共交通、税控管理、宾馆服务、医疗保险等。随着政务园区的管理现代化方向意识不断增强，基于卡证应用的现代化管理模式已日趋普及，在园区管理中，食堂消费、停车管理、门禁考勤、会议签到管理等方式在单位内部管理中发挥着其特有的作用。一. 一卡通含义但究竟什么是“一卡通”？其概念含义到底是什么呢？有关专家根据多年对各种卡的探索、研究及智能卡管理系统3、工程的开发、运用，认为真正的“一卡通”概念应该是“一卡一库一线”，即一条网络线连接一个数据库，通过一个综合性的软件,各系统资源共享，实现对一张卡的设置、管理、查询等等的功能。“单位一卡通”系统是针对目前单位中使用的证件繁多、管理繁杂的情况而设计的，用一张卡代替单位目前使用的菜饭票、人员证、开门钥匙、巡检记录本、等等，从根本上实现“一卡在手，走遍单位”的设想。通过单位的单位网，逐步将各处的电脑联成一个比较大的数据网，实现全校各类数据的统一性和规范性。是单位走向科学化、现代化管理的重要象征，大大提高了单位的内部管理和内部形象。基于单位网络的智能卡应用系统(简称一卡通),以单位网为依托,实现在单位内4、部的电子货币、身份识别、出入口门禁管理、综合结算等诸多功能。有力地推进单位内部的网络化、信息化过程，为单位内部的集中管理与分散操作、高效运作提供了有效的工具。单位领导、工作人员人手利用一卡通作为身份识别的手段，可用于考勤、单位安全门禁控制管理、单位会议签到管理、车辆管理等等 。 作为单位内部的电子货币形式，可以用于单位内食堂、单位便利店消费等项目。二. 一卡通系统组成智能一卡通管理系统包括了中心应用管理平台系统、应用管理子系统：1）、中心总控系统：对各个子系统进行统一管理和监控，体现“统一管理、集中授权”的原则。中心总控系统负责管理应用程序提供给其访问者和使用者的权限，对所有系统的授权进行统一5、管理。2）、应用管理子系统：是一卡通系统中的对外服务模块，应包含单位生活的各个与人员管理、安全管理、资产管理、财务管理相关的各个模块，并可以进行相应的扩充和定制。三. 中国移动手机一卡通系统的基本要求手机一卡通系统最根本的需求是“信息共享、集中控制、方便快捷、及时准确”，因此系统的设计不应是传统一卡通与手机的简单组合，而应该是通过和手机卡的有机组合、统一网络平台、统一数据库、统一的身份认证体系、数据传输安全、各类管理系统接口、异常处理、与中国移动的系统接口、手机STK 菜单等软件总体设计思路的技术实现考虑，使各管理系统，各读卡终端设备综合性能的智能化达到最佳系统设计。系统设计应考虑企业统一的人6、员、管理、工作模式等基本管理信息系统数据库，手机卡作为个人身份ID，通过“一卡通”实现园区内信息充分共享，保证数据的实时性、准确性和完整性。系统软、硬件均应采用模块化结构设计，充分考虑中国移动实际需求的变化，其系统扩充和升级的方便性和灵活性，提供标准、通用的信息接口，并能与原有各部门的管理系统相兼容，还需考虑可能与其它下属机构或同级、上级部门“一卡通”系统友好相接。可确保用户投资的长期效益，避免资源重复投资。1. 统一标准以企业需求为目标，统一信息规范、统一身份认证、统一信息发布，构建一卡通的运行平台。提供标准的接口套件，满足原有的MIS系统和扩展应用系统的对接整合；2. 提高效率全面整合和优7、化业务流、数据流；提高办公质量，减少管理复杂度，规范办公流程。3. 开放性和自主扩展性模块化结构设计，为不断发展的应用需求提供相应个性化服务功能手机一卡通系统的建设使全体员工使用手机即可取代传统一卡通的全部功能，并提供信息查询、消息通知、移动办公等增值服务。全体员工在企业各处出入、办事、活动和消费等只需携带手机即可，使员工的生活更加方便、快捷。4. 基础信息完善企业手机一卡通建设中基础信息的完善是至关重要的，这不仅是系统设计、实施成败的关键，也直接影响到数字化企业模式下手机一卡通的建设。基础信息分为数据库信息和卡信息两类。5. 全面数据共享全面的数据共享，要遵循统一化和标准化，以便于信息共享和8、交流及将来的维护，具备灵活的扩展性和良好的可移植性，设计中硬件产品的选择和软件结构的设计都要坚持标准化原则。同时，信息的全面共享，必须以有效的系统安全机制为基础。系统采用分布式数据库设计。分数据库与主数据库之间的数据共享，通过数据同步复制与分发系统完成，达到系统信息的实时同步，全面共享。一卡通系统内，基础信息一次输入，多处、多点、多系统共享使用，根据不同访问权限，可以随时查询流水记录、汇总信息。6. 实现集中控制手机一卡通系统平台中的系统集控中心，实时对整个系统中运行的子系统、登录用户、以及设备实行集中控制，集中控制主要体现在提高系统的安全级别、以及对各个子系统之间的管理。一卡通系统中所有应用9、程序登录授权，必须通过管理中心的统一授权，提供多种登录认证方式。系统的认证方式有：口令认证、授权卡认证、数字签名认证、混合认证等，根据数据的安全级别，可使用一种认证方式或多种方式联合使用，以达到访问控制的安全。子系统和终端设备的增减需通过相关的管理软件进行授权。对于身份识别类应用，例如门禁、宿管等系统支持远程授权和控制。只有被许可的计算机或终端设备可以接入一卡通系统。第三方系统的接入，需要通过管理中心的授权和认证。四. 名词解释与描述的约定v 中国移动企业手机一卡通使用手机代替传统卡片，以刷手机方式替代刷卡。v 手机所用的SIM卡区别于普通的手机卡，称这为RF-SIM卡。其中集成了CPU卡功能10、区和普通的SIM卡功能区。v 在方案中，为了便于描述，我们将RF-SIM卡中实现普通手机卡的功能组件称之为SIM卡，而把其中的CPU卡功能组件称之为CPU卡或员工卡或用户卡。五. 卡片选型介绍：RF-SIM卡1. 卡片选型：在卡片选型中，我们选择了RF-SIM卡作为首选方案，RF-SIM卡，是可实现中近距离无线通信的手机智能卡，基于GSM网络，用于手机支付部分的功能与中国移动的网络功能无关，只需要更换手机SIM卡（不换号）来完成手机一卡通的各项功能。同时根据需要可以同时支持Mifare卡片或非接触式CPU卡。2. RF-SIM卡的特性RF-SIM卡是可实现中近距离无线通信的手机智能卡，专利技术11、是一个可代替钱包、钥匙和身份证的全方位服务平台。它的最大特点是不需换手机，现有手机换一张智能卡后就成了类 NFC手机，使用的频率是2.4G，通信距离可在10-500CM自动调整，单向支持100M(数据广播)，RF-SIM卡在逻辑上分为标准SIM功能部分组件和模拟Mifare One逻辑加密卡的数据机制。（模拟Mifare数据逻辑结构并符合PBOC2.0以及EMV电子信用卡的规范要求）组件。SIM 卡部分用于正常的手机移动通讯、鉴权，仅用作与手机的物理连接；使用微型RF模块并通过内置的天线与外部设备通讯。未来可以扩展到城市一卡通、公共交通、人个身份识别、金融（信用卡、银联卡）等应用领域，。3. 12、RF-SIM卡通讯特征：l 使用2.4G频段, 自动选频 l 通信速率1M，高可靠性连接与通信 l 支持自动感应和主动出发连接两种通信方法 l 双向通信距离10CM-500CM，可以根据应用调整 l 单向数据广播（半径100M） l 刷卡感应功能可自行启闭（节电） l 数据空中传输自动TDES加密， 防窃听数据，刷卡时双向认证。 4. POS机读、写卡机制l 采用32位ARM平台，真正基于CPU卡工作模式。l 双PSAM卡座设计，多种机型不同通讯模式可选，如：485、TCP/IP、ZigBee、GPRS、Modeml 可以以兼容Mifare S50、S70等逻辑加密卡的方式使用。l POS机基13、于双读写头设计，多卡种支持，工作频率同时支持13.56MHz和2.4GHz，以2.4GHz频率读写RF-SIM/SIMPASS的CPU卡组件（或模拟Mifare区）和13.56Mhz的频率读写CPU标准卡/异型卡、NXP Mifare系列逻辑加密卡（标准卡/异型卡）。l 支持RF-SIM卡、各种读写频率为13.56MHz的CPU标准卡/异型卡、NXP Mifare系列逻辑加密卡（标准卡/异型卡）、SIMPASS卡等。5. 信息结构6. 卡片信息结构l （1）、卡片加密体系：一人一密；l （2）、员工卡中的信息主要包括：l 基本信息区：姓名、工号、身份证、账号等信息；l 账户信息区：账户余额、总14、额、津贴余额、银行圈存信息，以及最近的消费、充值、津贴发放、银行转账交易流水记录等信息；l 身份信息区：持卡人身份（员工、员工等）、权限、借书证号、员工证号、医疗证号等信息。l （3）、卡片接口方式：机具验证、密码验证、权限验证方式。6.1. 一卡通系统数据库中的基础信息 基本信息：姓名、性别、学/工号、民族、国籍、拼音、身份证、院系班级、单位信息等； 扩展信息：入学录取信息、准考证号码、家庭住址、Email、医疗收费、学费缴费信息； 身份识别信息持卡人身份（员工、员工等）、权限、借书证号、员工证号、医疗证号、照片； 汇总统计信息各个收费/消费网点的收入支出汇总、各个身份识别应用点的统计汇总等15、。第二章 一卡通中心管理平台功能方案一. 手机一卡通数据中心平台1. 手机一卡通金融交易平台一卡通金融交易平台主要负责：一卡通内帐户消费交易记录信息的收集和综合汇总统计处理。金融交易应用的系统：餐饮及其它消费、联网式水表、联网式电表、集中式电表、集中式电控等小额支付等。主要功能是管理各种电子钱包的消费功能，在企业及生活区内，凡涉及到现金使用的任何一个一卡通消费网点，手机一卡通的电子钱包都能通用。2. 一卡通身份识别平台一卡通身份识别平台主要负责：一卡通身份识别的信息汇总统计和综合处理。身份认证应用：身份认证系统、门禁系统、考勤系统、人员监管、大门出入系统、移动身份识别等。3. 一卡通系统平台管16、理中心管理中心负责对一卡通系统运营的管理，主要功能包括系统参数设置、终端管理、人员管理、商户管理、系统数据管理和实时集控平台等。4. 一卡通系统平台结算中心结算中心负责对单位、消费经营户、持卡人在一卡通系统中的资金和账目进行管理。分为消费经营管理与结算，系统综合财务报表（营业和出纳），各种补助的管理与发放，卡业务注销与清算，主机现金充值，分类明细报表（年、月、日、餐、客户分类等报表）等模块。并支持清分清算功能。分类报表可以体现系统中各种报表，完成各种财务查询打印或结算功能，提供完善的会计结算凭证及结算程序。5. 一卡通系统平台制卡中心及补卡一卡通制卡中心是手机一卡通系统中一个重要的应用系统模块17、，在整个系统中占着举足轻重的作用。它的职责与任务是负责整个一卡通系统中所有用卡的初始信息录入，包括卡的物流管理，并生成相应的报表和流水记录。二. 密钥管理系统密钥管理子系统是手机一卡通系统的安全保证与应用基础，作用是规范卡应用系统密钥的产生、传输、分散、使用、管理。密钥管理系统主要手机一卡通系统内所涉及的人员、数据、设备、卡片、密钥传输和业务流程，是建立卡应用安全体系的规范性指导文件。整个密钥管理系统包括硬件、软件、卡、人员，硬件指用户密钥的生成、存储、分散的加密设备，包括加密机、加密卡、电脑主机。软件包括主控密钥生成软件、洗卡软件、制作功能母卡及相应的传输卡软件、发PSAM卡软件、卡片物流软18、件、发用户卡软件。卡片包括用户卡、PSAM卡、用户卡母卡、PSAM卡母卡、洗卡母卡、管理卡、密钥卡、各种传输卡。人员包括输入密钥控制因子的领导、卡片采购人员、卡片初始化人员、发PSAM卡人员、发PSAM卡母卡人员、发用户卡人员，这些人员可能是一个部门也可能不是一个部门的，根据实际需要每个软件功能可以授权给不同的操作人员。三. 系统集控、监控平台一卡通中系统子系统多、类型多、分布广，系统不易管理、不易维护，需要推出一种集控平台，为终端设备提供统一的监视和控制平台，并为采集服务提供人机交互界面。可集中监控的终端包括：各类型的POS机，售饭机、门禁机、考勤机、通道机以及其它各类服务及设备等。每一台接19、入系统的设备均要经过授权和认证，系统操作员登陆访问系统时，需要进行严格的认证，持操作员卡和密码进行身份认证，所有的操作都有日志记载，可追溯责任人。四. 采集服务采集服务程序是为了使POS机的消费数据及时、准确地上传到中心数据库，并实时响应系统的控制、下载设备参数和客户信息，保障消费系实时、稳定运行。五. 一卡通系统平台充值转账系统1. 员工卡充值转账系统的特点l 系统提供POS充值、软件充值、银行自助圈存充值、批量转账等充值方式。l 所有充值操作，全部采用联网模式在线操作，以确保安全。l 充值操作操作权限划分清晰，责任明确，只允许被授权的人员操作。2. POS充值利用充值POS机，给员工卡充值20、，充值POS可以分为以太网接口和RS-485接口两种，全部采用联网模式，在线操作。启用充值机必须在被授权的操作员成功登录后，方可进行充值操作。根据需要充值POS可以连接微型打印机，打印充值凭证和汇总信息。3. 软件充值利用计算机客户端软件和读写卡器，在计算机上实现员工卡的充值功能。软件充值同样需要被授权的操作员登录，方可进行充值操作。六. 一卡通自助平台1. 语音查询一卡通系统中提供了电话语音自助服务系统，通过内、外部电话网络可实现卡内余额查询，自主修改密码，卡片挂失，自动委托转帐操作等功能。2. WEB查询手机“一卡通”系统提供了基于WEB的网上自助查询子系统，向全体职工提供了一种方便、快捷21、的数据检索手段。在此WEB平台上可以访问一卡通系统综合信息服务网站，用户根据设定的登录权限，即可查询需要的信息，用户可以自助挂失，查询本人帐户的状态，个人信息，个人的历史消费记录、存取款记录和补助领取等记录。WEB查询需要授权方可进行，程序与后台中心数据库之间的访问均通过系统专用的加密通道进行数据交互，可防范网络攻击，确保系统安全。Web查询系统可以结合手机网络设置，提供手机WEB网络查询功能。3. 触摸屏自助信息查询在系统建设中，增设触摸屏自助系统，此系统可以全天候24小时为全体工作人员提供信息服务，在此系统上，安装有卡识别器，可以进行自助手机一卡通信息查询、自助挂失、解挂、查询历史消费记录22、存取款记录、补助记录等。第三章 应用管理子系统方案一. 消费管理系统1. 系统概述及拓扑结构消费管理系统通过独有的数据库，实现消费功能，主要应用与食堂、超市、商店消费等场所。系统主要功能包括消费扣款、发放补助、充值、报表统计等。2. 单位内部的各项支付功能：2.1. 用户卡的支付功能，完成在单位内部的各类消费的电子支付。v 餐饮消费管理；v 超市消费管理；v 其他需要消费扣款的地点。2.2. 持卡消费采用真正的电子钱包方式实现，有完善的卡信息、终端数据采集安全机制及日志管理。2.3. 消费管理系统功能v 软件运行可靠,数据安全性高。v 系统扩展性强，具有可扩展接口，方便增加消费点。v 结算中23、心实时查询消费、存取、圈存和补助明细（包括姓名、操作时间、操作的卡号、消费地点、消费额及消费时的卡内余额等），可以实时统计当前数据。v 各工作站的消费数据实时自动传送至主数据库服务器。对各个商户分权限、分区域对自己的营业帐目进行查询和打印。v 各个工作站只能操作本系统软件，无权限安装或者卸载软件。工作站的控制权归管理员，确保系统安全。v 方便的联机脱机控制、日志管理、黑卡消费控制和查询、报表功能等。v 系统在指定时间内，按规定的补助标准发放个人补助。系统应支持多种补助标准，支持补助标准的改动。持卡人只需在规定时间，在任意营业机上使用一次，其补助就可自动发放。v 密码控制消费功能，系统设有餐消费24、限额和日消费限额，可以控制每张卡在每一个餐别（早餐、中餐、晚餐、夜宵）一定额度的消费，超过额度，需要输入消费密码。同时可以控制每一天的消费额，超过限额数值，则需要输入消费密码。v 各商户消费营业情况的查询、统计、报表，中心财务数据结算的基础之上，不做本地明细结算，统一依照中心财务集中结算的数据。v 系统软件具有友好的人机界面，丰富的操作导航，用户易学易懂。v 系统软件具有较好的权限等级控制，操作员、出纳员、管理员等权限划分清楚，控制稳定。3. 主要功能：v 对POS机进行餐厅、营业分组、营业时间段等营业参数的设置；v 实时监控各终端机状态；v 按照商户及持卡人身份设置管理收取方式；v POS机25、键盘操作支持编码、现金、定额方式操作；v 系统具有脱机消费限额、密码消费限额机制来保护持卡人的利益；v 实时查询统计营业窗口明细表及消费汇总等账务情况；v 自定义查询各类报表，报表也可以在网上，通过权限限制打印；v 维护系统白名单，自动防止伪卡；v 整理黑名单，下传到POS机。4. POS机种类：一种是基于485通信协议方式，主要用于POS机比较集中，如食堂等场所，采用专线的方式和计算机通信；另一种是基于TCP/IP通信协议方式，主要用于POS机比较分散的地方，且有接入内部网的双绞线接口的场所，如超市、书店、复印店等场所，此类POS机中内嵌TCP/IP模块，接入安全方便。5. POS机消费模式26、：金额模式、定额模式、菜号模式及单价份数模式。终端机内有后备电池，平时使用市电，在出现电路或网络故障时，可以脱机使用，在故障排除后可立即传入计算机中处理，上传到中心数据库。终端机内有大容量存储器，存储器采用FLASH芯片，可防掉电丢失数据，脱机消费可存储记录达10万笔，黑名单存储容量可达10万笔，并可永久保存。6. POS运行模式无论是脱机运行还是联网运行，在终端机上均可识别伪卡，并启动报警装置，拒绝消费，并且列入黑名单之中，在其它终端机上也会拒绝消费。在任何一台营业终端机上可实现消费卡的个人密码修改，为了保护个人利益，终端机还会根据系统设定的次消费限额和日消费限额来限制消费，只有输入正确的个27、人卡密码才允许消费，否则拒绝消费并启动报警装置。在终端机接收到主机发过来的补助命令，就会响应补助命令，并且终端机上的补助灯亮，只要有补助的消费卡放在终端机上，就立即发放补助，并形成相应的补助发放记录，送回主机。终端机可以识别不同种类的卡，并可以控制某类卡是否可以在此终端机上消费。7. POS机数据采集终端机数据采集通过数据通讯网关，在通讯线路正常的情况下，进行7*24小时的不间断的集中数据采集、发送主机命令及处理记录，并实时监控终端的使用状态。在联网的状态下，系统会自动检查黑名单的更新情况，若有新进黑名单，则会自动发送到终端机上，终端机更新原有黑名单，并即时生效。8. 收费终端产品特点v 针对28、食堂环境，水、油、汽、烟污染严重，机壳采用全防水设计；v 生产环节中器件贴、插、焊、洗、烘等均采用进口生产线；v 模块化设计，LCD/LED显示板，不同卡读卡模块、TCP/IP协议/RS-485协议通讯模块，即插互换；v 大部分元器件选用贴片的集成芯片，不仅仅使POS机体积大大缩小，而且运行稳定、可靠、节能；v 支持全天候非断电情况下连续运行，平均无故障时间(MTBF)大于15000小时；v 采用独立的硬件时钟电路设计，可充的锂离子电池供电，可精确记录每笔流水记录的消费时间，便于跟踪管理；v 配备高性能后备电池，采用后备式电源供电方式，可靠的充放电电路设计，大大提高了电池的使用寿命；v 国内同29、行业中首创的POS机内嵌应用程序在RS-485通讯方式下在线升级功能；v 采用零散和批量等多种黑名单处理方式v 上传的消费数据同时包括卡唯一账号和卡流水号；v 能够显示本次消费金额和卡内余额；v 窗口POS机具有防误刷机制；v 提供RS485或TCP/IP接口；v 内含蜂鸣器，各种正常、异常使用均有声音提示;v 具有双面、液晶或数码显示；v 完全支持脱机运行，脱机可存储10万条消费流水记录；v 个人消费密码限制功能，具有餐别消费限额、日消费限额的限制，超限额消费必须输入个人密码，充分保障在客户卡丢失的情况免遭恶意消费。最大限度的保护持卡人利益；v 支持金额、单价、份数、菜单等四种运行方式；v 30、可根据上层软件的控制授权信息，每月定期给客户发放生活补贴费，补贴发放与消费同时自动完成，无须单独操作，补贴发放与消费同时自动完成，无单独操作提高了财务部门的工作效率；v 独特的前后双键盘设计。前键盘可供用于密码输入；v POS机型分为挂式、台式两种；v POS机交易流水存储采用加密方式，防止非法伪造芯片内流水数据。二. 考勤管理系统第一节 考勤管理系统一、 系统概述考勤管理系统的读卡可以配备专门的考勤读卡设备，也可以利用已经安装的门禁读卡设备进行考勤。一卡通服务器软件实时采集的考勤记录，也可以输出给第三方专业考勤财务软件进行深化处理。在大楼底层大厅内各设3个考勤点。由于考勤记录需要实时和主动上31、传，我们采用以太网型联网考勤系统。二、 系统组成硬件：专门的考勤读卡器、考勤控制器或者门禁读卡器、门禁控制器、以太网通讯模块软件：一卡通服务器软件、考勤管理软件三、 系统特点 采用TCP/IP通讯方式；以太网结构，需要在内部管理网上提供3个IP地址。 系统设置：工作班次设定、公众假日设定、员工班次安排、调整休息日、员工请假、类别维护等。 数据采集、处理：考勤机自动记录并存贮考勤人员刷卡日期、时间、卡号等相关信息，并实时主动上传给服务器。考勤管理软件将原始数据进行分析汇总，只保留每天有效的考勤信息，保存在中心数据库中。 数据维护：当员工需要补办事假、病假等手续时，须由操作人员手动更改数据，给出正32、常的考勤报表。 统计查询：将数据库中的数据进行统计、自动生成各种报表，以供查询、打印。其主要报表有：员工每月出勤报表、部门出勤异常报表、员工月出勤率合计报表等。 第四章 中国移动手机一卡通安全方案一. 安全设计需求分析1. 如手机RF-SIM卡中集成的CPU卡以模拟逻辑加密卡方式使用时，其中的密钥可能被破解，导致卡被伪造或非法使用；2. POS终端可能被伪造，非法读取或修改用户RF-SIM卡上的信息；3. 交易过程可能被截获、篡改，导致非法交易；4. 数据采集过程需要经过一级和二级物理网点的中介，最终到达结算中心。这些物理网点可能会篡改采集到的数据，导致非法交易数据；5. 不同实体之间传输的数33、据可能被截获、篡改，导致非法数据，以及用户私有信息的泄露；6. 结算中心存放大量敏感信息，一旦一卡通结算中心网络或数据库主机被攻破，会造成系统数据泄露和整个应用系统的瘫痪。二. 安全性应用分析l 系统的安全性设计应充分考虑到各方面的因素，包括：RF-SIM卡、读卡机具、应用系统服务器、网络数据传输、中心数据存储、系统管理软件、应用系统软件和运行管理等。l 技术手段和管理手段结合，通过加强安全管理来保证系统的安全性设计得以有效实行。l 随着技术的发展，需要不断对系统进行重新评估，采用新的安全技术，以满足系统的安全需要。三. 卡安全机制卡安全机制主要有消费密钥，充值密钥，个人信息，余额信息等。如果34、卡被破解，将导致卡的伪造和非法使用，所以卡本身的安全非常重要。终端POS交易终端需要带有PSAM卡，交易终端可以与用户RF-SIM卡进行双向身份认证，同时存放交易信息和黑名单信息，可以修改用户RF-SIM卡中的信息，其安全也非常重要。1. 卡安全设计遵循的原则(1) 卡的密钥必须是一卡一密，一应用一密，以防止整个应用系统的安全体系被攻破。(2) POS终端的密钥和算法存在PSAM卡中，密钥和算法无法读出。系统的安全性是以算法读写模块的安全为基础的。(3) 保证卡与读写机具之间的通信数据正确传输，防止通信数据被非法窃取或篡改。(4) POS机的设计以通用性、开放性为目标，与安全体系无关。2. 卡35、务管理安全体系方案(1) 用户RF-SIM卡以模拟逻辑加密卡工作时一区一密用户RF-SIM卡有唯一的卡序列号（CSN），在制卡过程中，主密钥根据该唯一的序列号分散得到用户RF-SIM卡上的子密钥，实现一卡多密、一区一密的机制。这样即使一张用户RF-SIM卡的密钥被破解，不会对其他用户RF-SIM卡造成影响。(2) 用户RF-SIM卡以CPU卡方式工作时一应用一密不同的应用采用不同的密钥，保证如果一个应用的密钥被破解，不会影响到其他的应用。(3) 密钥不能被读出用户RF-SIM卡和PSAM卡中的密钥无法被读出，认证和加密均是在卡内部实现的，这样增加卡的安全性。采用国家行业密钥体系，卡密钥体系保证36、系统安全是一卡通系统成败的关键，是统一行业规范与管理的前提，能防止出现盗卡和伪卡的产生，保证持卡人的利益不受损害，对维护政府形象和社会稳定起到关键的作用。(4) 双向身份认证PSAM卡中存放消费主密钥和充值主密钥，可以根据用户RF-SIM卡的卡序列号分散得到用户的消费子密钥和充值子密钥。可以完成与用户RF-SIM卡之间的双向身份认证。(5) 交易认证码交易过程中生成消费交易认证码（使用消费交易认证密钥对CSN、交易金额、交易流水号、交易日期、交易时间、交易次数、司机号、POS机号等使用DES算法计算得到的TAC值）。交易认证码可以防止交易数据被篡改。(6) 中间结果不导出以上过程全部是在用户R37、F-SIM卡和PSAM卡内部完成，中间结果不能获取。(7) 数据加密所有出入用户RF-SIM卡和PSAM卡的数据加密处理。3. CPU卡硬件安全设计CPU卡内置8位CPU和硬件DES协处理器，芯片内置硬件DES协处理器，比普通的卡片的流加密技术具有更高的安全性。芯片和COS的协同安全技术为CPU卡提供了双重的安全保证。在RF-SIM卡的使用过程中，没有密钥的直接传输，无法通过侦听等方式截取密钥；同时COS内部设有密钥的最大重试次数，能防范对RF-SIM卡的恶意攻击。在以上规范标准基础上，因其高安全性，非常适合应用在电子钱包小额支付等金融领域，有效防止金融交易中出现的数据错误，保护消费者交易的私38、密性、安全性及个人利益不受损害。CPU卡内部采用国际公认的密钥安全管理机制，自身读写安全可靠。为了避免卡信息在应用级外界干扰信息造成的数据异常，在卡数据信息应用级采取如下措施。4. 卡密钥安全管理4.1. 卡密钥特征l 分级密码授权管理；l 一卡一密，一应用一密；l 硬件密钥存储和传输，安全可靠；4.2. 密钥管理系统的设计原则l 所有密钥的装载与导出都采用密文方式；l 密钥管理系统采用3DES加密算法，采用根密钥生成系统、主密钥生成系统、母卡生成系统和授权卡生成系统四级管理体制；l 在充分保证密钥安全的基础上，支持密钥的生成、注入、导出、备份、更新、服务等功能，实现密钥的安全管理；l 密钥受39、到严格的权限控制，不同机构或人员对不同密钥的读、写、更新、使用等操作具有不同权限；l 为保证密钥使用的安全，并考虑实际使用的需要，系统可产生多套主密钥，如果其中一套密钥被泄露或攻破，应用系统可立即停止该套密钥的并启用备用密钥，这样可尽可能的避免现有投资和设备的浪费，减小系统使用风险；l 用户可根据实际使用的需要，选择密钥管理子系统不同的组合与配置；l 密钥服务、存储和备份采用密钥卡或加密机的形式。5. PSAM卡和相关机具的管理保证整个一卡通系统的安全可靠性，用户RF-SIM卡与PSAM卡和相关机具的安全管理非常重要。一套合理的管理机制可以减少非法攻击者作案的可能性，增加伪造POS机具和用户RF-SIM卡的困难性。对RF-SIM卡的制卡、发卡、挂失、补卡、销卡、黑名单管理、对于PSAM卡的制卡和领用、对于POS终端和充值机具的领用等过程需制定一套严密完整的制度和实施方法,以保证一卡通系统的安全可靠性,保证结算中心、持卡人、中国移动的利益。