1、北京创原天地科技有限公司北京创原天地科技有限公司市民卡技术方案市民卡技术方案 目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 公司概况北京创原天地科技有限公司成立于北京创原天地科技有限公司成立于20012001年,是由年,是由工工业和信息化部电信研究院新业务开发中心业和信息化部电信研究院新业务开发中心发展起来的高发展起来的高新技术开发企业。公司致力于应用信息安全、互联网增新技术开发企业。公司致力于应用信息安全、互联网增值业务、电子商务、移动互联网、电子政务等领域内的值业务、电子商务、移动互联网、电子政务等领域内的软件开发和系统集成,并为客
2、户提供信息安全咨询、培软件开发和系统集成,并为客户提供信息安全咨询、培训等服务。训等服务。核心管理团队创始人、董事长、总经理:刘辛越创始人、董事长、总经理:刘辛越中国通信标准化协会网络与信息安全技术工作委员会副主席中国通信标准化协会网络与信息安全技术工作委员会副主席国家商用密码应用技术体系研究总体工作组专家国家商用密码应用技术体系研究总体工作组专家全国信息安全标准化技术委员会委员全国信息安全标准化技术委员会委员 人员与组织结构管理团队:十多年电信管理团队:十多年电信/互联网增值业务、电子政务从业经验互联网增值业务、电子政务从业经验员工团队:正式员工员工团队:正式员工160160多人,本科以上多
3、人,本科以上93%93%,硕士以上,硕士以上30%30%,其中研发人员占其中研发人员占70%70%公司资质高新技术企业资质高新技术企业资质软件产品企业认定资质软件产品企业认定资质中华人民共和国电信与信息服务业务经营许可证中华人民共和国电信与信息服务业务经营许可证国家商用密码产品生产许可证国家商用密码产品生产许可证国家商用密码产品销售许可证国家商用密码产品销售许可证计算机信息系统集成企业资质计算机信息系统集成企业资质信息安全服务资质信息安全服务资质 加入的协会组织国家商用密码应用技术体系研究工作组成员国家商用密码应用技术体系研究工作组成员TD-SCDMATD-SCDMA产业联盟会员产业联盟会员W
4、APIWAPI产业联盟会员产业联盟会员中国通信标准化协会会员中国通信标准化协会会员全国信息安全标准化技术委员会成员单位全国信息安全标准化技术委员会成员单位 产品资质和证书通过了国密局的技术审查和鉴定通过了国密局的技术审查和鉴定获得了公安部产品销售许可获得了公安部产品销售许可取得了软件著作权取得了软件著作权 承担的国家项目国家科技国家科技支撑计划支撑计划 通信密码安全示范工程 商用密码应用技术体系研究 电子签名服务共性技术支撑体系与应用示范工程 TD-SCDMA应用技术研究与开发国家科技国家科技重大专项重大专项 宽带移动业务 关键技术开放式研究-移动支付业务信息安全保障关键技术研究科技部创新科技
5、部创新基金项目基金项目 基于安全SD卡的移动增值业务运营平台发改委发改委重大专项重大专项 国家网络信息安全外包服务平台工程 应用案例中国联通CA认证中心中国电信CA认证中心中国移动CA认证中心北京联通宽易通项目中国联通集团e盾项目广东、吉林、山东联通e盾业务系统河北电子政务系统中国联通集团3G上网卡中国联通集团移动办公上海海洋大学安全接入 应用案例电子商务平台海南电信电子商务平台电子商务平台、179接入系统、电子证券、电子银行陕西电信电子商务平台电子商务平台、179接入系统、电子证券浙江电信电子商务平台电子商务平台、163卡续款、电子缴费、电子商城山东网通电子商务平台电子商务平台、179接入系
6、统、电子证券、电子银行、电子报税山西网通电子商务平台电子商务平台、支付、证券、报税吉林网通电子商务平台电子商务平台、支付、电子证券、电子商城、彩票湖南电信电子商务平台江西电信电子商务平台 目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 2.业务设计目标业务设计目标l1.拥有独立的账户使用自有账户,可完成消费,与其它业务系统、第三方支付系统等的清/结算等。l2.支持两大类业务身份认证业务:身份证、医保卡、社保卡、电子钥匙、门禁卡、会员卡、员工证、学生证、入场券等支付业务:交通卡、手机钱包、积分卡、会员卡、电表卡等l3.支持支付功能远程支付:
7、在支付过程中,用户利用卡片或手机,基于移动通信网络,通过SMS、GPRS、WAP、STK等完成支付行为现场支付:在支付过程中,用户利用卡片或手机,通过近距离通信方式完成支付行为l4.支持多种业务模式支持自有业务,如公交卡应用等;支持其他业务系统的接入,允许其他业务系统将业务加载到我方发行的卡片中。支持使用卡(或手机)+读卡器充当远程支付业务的身份认证介质的功能。可作为使用自有账户或其它业务系统账户进行远程支付的安全支撑。功能类似于网上银行中使用的USBKEY。2.业务设计目标(续)业务设计目标(续)l5.卡片支持多应用实现一卡通用,一卡多用卡上可加载和支持第三方应用,如积分卡、公交卡、社保卡应
8、用等l6.支持多种终端形式标准卡、异型卡、贴片卡;手机终端、NFC终端、RF-SIM卡l7.利用PKI技术保证交易安全和用户身份安全为第三方业务系统提供安全保证通过加密保证交输数据的安全性通过签名实现交易抗抵赖 目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 3.系统架构系统架构 3.系统架构系统架构系统侧系统侧l资金帐户系统负责用户账户的建立和维护。l支付管理系统处理用户现场支付请求。管理用户、签约商户、合作银行、订单等。l清算结算系统完成与银行、第三方支付系统的对账、清分、调账和结算。完成与实体店的对账、清分和结算。l业务支撑管理模块
9、业务应用系统接入管理 业务管理和用户管理为支付类业务和认证类业务提供认证鉴权服务计费结算 3.系统架构系统架构系统侧系统侧l卡发行管理系统:负责用户卡及应用的发行,完成业务密钥及其它业务数据的罐装。支持在用户卡上装载多个应用。负责 PSAM卡的发行。l密钥管理中心:提供密钥的生成及管理功能,为不同的业务提供不同的密钥。如为电子钱包应用提供消费类密钥,为积分卡应用提供认证类密钥等。lPOS服务系统:负责POS的管理及交易信息的转发。3.系统架构系统架构终端侧终端侧l用户卡:=l用户卡支持多应用,不同的应用安全由不同的应用密钥保障,实现应用间的安全隔离。3.系统架构系统架构终端侧终端侧lPSAM:
10、终端安全认证模块,内置消费主密钥,在脱机消费过程中POS机调用PSAM卡的能力完成与用户卡上对应的应用的双向认证及关键交易信息的加密,保障交易的安全。lPOS:消费终端。目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 4.1资金账户系统资金账户系统-系统介绍系统介绍l系统介绍资金账户系统提供自有账户的建立与管理,提供账户资金的充值、消费、转账等服务资金账户系统是准金融机构管理系统,具备金融账户的一些基本特征和功能。4.2资金账户系统资金账户系统-设计目标设计目标l设计目标与支付业务处理服务系统分离,实现账户与资金的封闭管理,保证资金的安全
11、性。为支付管理系统提供账户及交易相关服务。具备完善的安全和风险管理机制,包括:系统安全和应用安全。4.3资金账户系统资金账户系统-系统结构系统结构l系统结构 4.4资金账户系统资金账户系统账户管理账户管理l账户分类个人用户:为用户开设的账户,可使用充值、消费、提现、转账等服务。商户用户:为商户开设的账户。l账户级别主账户:包括可提现部分和不可提现部分,一个主账户可附多个子账户。子账户:不可独立存在,必须绑定某个主账户,商户账户暂不支持子账户。4.4资金账户系统资金账户系统账户管理账户管理l主账户生命周期管理 4.4资金账户系统资金账户系统账户管理账户管理l子账户生命周期管理 4.4资金账户系统
12、资金账户系统账户管理账户管理l支付密码管理开户时,生成随机支付密码,短信通知给用户。支付密码以密文形式存储,并且不可逆。用户可发起修改、重置支付密码请求。对异常密码认证请求,系统自动进行密码锁定。锁定期后自动解锁,或由用户发起重置密码请求。密码认证在加密机中进行。l账户信息管理支持多条件查询账户信息,如:账户类型、账户状态、余额等。l资金交易管理系统保留指定周期内的交易记录,周期外的交易记录进行转移。提供周期内交易信息查询,可按多条件查询,如:账户、交易时间、金额、交易类型等。4.4资金账户系统资金账户系统系统管理系统管理l角色管理对操作员的角色管理:添加、修改、删除。角色是由权限组成的集合。
13、对角色分配相应操作权限,使管理员具有相应的操作权限。l操作员管理对操作员的管理,包括:添加、修改、注销。为操作员指定相应角色,使其具有对系统的操作权限。l审计管理对系统、用户、操作员的操作行为进行行为记录,并附有数据签名信息,提供对操作行为的监控及管理。l账务监管系统对账户的异常交易行为进行记录,操作员可查询对这些交易行为,进行监管。l数据配置管理系统相关业务参数的配置管理,如:账户单日支付次数、账户单笔支付金额、账户月支付次数、账户月消费累计限额等。目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 5.1清算系统清算系统-系统介绍系统介绍
14、l系统介绍u负责系统的出账、对账、调账、清分、及结算功负责系统的出账、对账、调账、清分、及结算功能。能。u管理系统各类账务文件。管理系统各类账务文件。u与其他业务系统(如其它电子钱包应用提供商)与其他业务系统(如其它电子钱包应用提供商)间的清间的清/结算。结算。u使用自有账户在其它业务系统商户(POS)上进行消费;u其它业务系统账户也可以在本系统商户(POS)上消费;u实现本系统与其它业务系统间的清/结算。5.2清算系统清算系统-系统结构系统结构l系统结构 5.3清算系统清算系统账务管理账务管理l出账对支付管理系统提供的交易明细文件进行分拣,照约定的格式生成对账文件,并发送到指定目录。l对账与
15、银行对账:获取银行的对账文件并进行对账,产生差错文件。与其他外系统对账:系统生成对账文件,供外部系统获取并进行对账,由外部系统产生差错文件。l调账根据与银行产生的差错文件,进行内部账务处理。根据与外部系统提供的差错文件,进行内部账务处理。5.4清算系统清算系统结算管理结算管理l清分 按商户、银行等实体的对账文件,分别计算交易总额和佣金等结算信息,生成清分报表l结算按约定结算周期,按财务要求根据清分报表生成结算文件l资金划拨根据和商户约定资金划拨时间,T+N天时往银行发送资金划拨指令,进行资金划拨,并对资金划拨成功后生成资金划拨清单。银行资金划拨:如果银行系统收到手机支付服务平台对商户资金划拨的
16、指令,便对商户进行资金划拨。内部资金划拨:处理内部资金划拨。5.5清算系统清算系统系统管理系统管理l角色管理对操作员的角色管理:添加、修改、删除。角色是由权限组成的集合。对角色分配相应操作权限,使管理员具有相应的操作权限。l操作员管理对操作员的管理,包括:添加、修改、注销。为操作员指定相应角色,使其具有对系统的操作权限。l审计管理对系统、用户、操作员的操作行为进行行为记录,并附有数据签名信息,提供对操作行为的监控及管理。l账务文件管理查询、下载系统产生的交易明细文件、对账文件、结算文件、差错文件。l数据配置管理系统相关业务参数的配置管理,如:账户单日支付次数、账户单笔支付金额、账户月支付次数、
17、账户月消费累计限额等。目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 l支持第三方业务系统的接入其它业务系统可使用本账户系统的账户进行消费;本业务系统也可使用其它业务系统的账户进行消费;允许其他业务系统将应用加载到本系统发行的卡片上。l提供鉴权服务:在建立业务账号绑定关系后,平台提供的为用户移动数字身份l提供数字身份服务,包括为用户提供个人数字身份,为商业平台提供商提供企业数字身份。数字身份由业务管理支撑系统建立和维护,数字身份包含认证鉴权系统分配唯一身份标识和唯一身份标识关联的数字证书。l提供签名认证服务:为用户以及商业平台提供基于数字
18、签名验证的认证服务6.1系统介绍系统介绍 6.2系统结构系统结构 6.3业务功能业务功能l第三方业务加载l第三方业务鉴权服务:利用已建立的关联关系,对用户访问商户的业务进行订购关系合法性鉴权的服务。l签名认证:接受用户和商户的签名认证请求,进行签名认证。l证书管理:负责代理用户和业务系统向CA中心申领证书,提供数字证书的相关服务,包括证书的申请、冻结和吊销等操作,并负责之后证书的更新、删除等管理操作。6.4管理功能管理功能l个人用户管理:提供个人用户的注册、审核、维护等功能。l商户管理:提供商户的注册、审核、维护等功能。l商户业务管理:提供商户业务的新增、删除、修改、查询等功能。目录目录l公司
19、简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 7.1系统需求系统需求密钥管理系统需求:密钥管理系统是IC卡应用系统的安全核心,在发卡系统、账户系统及其他自有业务系统提供密钥服务密钥服务它确保了IC卡中密钥管理和使用的安全性。保证密钥的产生、存储、传递、应用以及销毁的整个生命周期内的安全性。卡发行管理系统需求:发卡系统为整个业务提供卡片业务密钥及其他业务数据的加载。7.2系统结构系统结构密钥管理中心 7.2系统结构系统结构一级密钥管理中心密钥导出密钥生成安全支撑系统日志密钥备份/恢复服务支撑子系统管理子系统登录管理员/操作员管理日志审计统计分析二级中心
20、管理退出根密钥管理接口子系统制卡系统接口PSAM卡制卡子系统卡发行管理系统平台接口业务平台一级密钥管理中心支付系统接口支付管理系统 7.2系统结构系统结构二级密钥管理中心平密钥导入/导出密钥生成安全支撑系统日志密钥备份/恢复服务支撑子系统管理子系统登录卡发行管理管理员/操作员管理日志审计统计分析退出二级根密钥管理接口子系统制卡系统接口用户卡制卡子系统卡发行管理系统平台接口业务平台支付管理系统二级密钥管理中心支付系统接口 7.2系统结构系统结构卡发行管理系统 7.3功能介绍功能介绍 密钥中心平台由两级密钥管理中心组成,即一级密钥管理中心和二级密钥管理中心。一级密钥管理中心功能:密钥管理子系统 生
21、成一级根密钥,并实现根密钥的备份、恢复、分散、导出、销毁等功能。用户管理子系统 对系统中的各种用户进行管理,包括系统管理员、密钥管理员、发卡操作员等。二级密钥中心平台管理子系统 对二级密钥中心进行管理,包括更新、停用、启用等。7.3功能介绍功能介绍日志审计子系统 实现日志审计功能。统计分析子系统 实现统计分析功能。接口子系统 实现与支付管理系统、卡多应用支撑平台、发卡系统的接口功能,为其他系统提供密钥服务。7.3功能介绍功能介绍二级密钥管理中心功能:密钥管理子系统 生成二级根密钥,并实现根密钥的备份、恢复、分散、导出、销毁等功能。可导入一级密钥管理中心的一级业务密钥用户管理子系统 对系统中的各
22、种用户进行管理,包括系统管理员、密钥管理员、发卡操作员等。7.3功能介绍功能介绍二级密钥管理中心功能:日志审计子系统 实现日志审计功能。统计分析子系统 实现统计分析功能。接口子系统 实现与支付管理系统、多应用卡支撑平台、发卡系统的接口功能,为其他系统提供密钥服务。7.3功能介绍功能介绍发卡系统功能:PSAM卡制卡子系统 实现PSAM卡的制卡过程。PSAM卡管理子系统 对PSAM卡的发行、卡号等进行管理。用户卡制卡子系统 实现用户卡的制卡过程。用户卡管理子系统 对用户卡的发行、卡号等进行管理。目录目录l公司简介l业务需求l系统架构l资金账户系统l清算系统l业务支撑管理系统l卡管理系统l移动支付 8 移动支付移动支付随着中国移动、中国联通等移动支付平台的发展,卡片多应用技术正在不断地得到应用,目前中国移动与中国联通已分别制定了多应用技术的相应规范,其多应用平台也在同步建设,系统建成后可支持将第三方业务动态加载到运营商发行的公共卡片介质上。本系统支持运营商多应用技术规范,可支持将市民卡应用加载运营商提供的公共卡片介质上。
