李煜平

（上海華騰軟件系統(tǒng)有限公司，200233，上?！胃呒壒こ處煟?/p>

伴隨著銀行IC卡產(chǎn)業(yè)升級，非接觸式金融IC卡的發(fā)卡量將逐步增加，受理環(huán)境也會有很大改善，未來金融IC卡的脫機消費交易量將會有很大的增長。如何實現(xiàn)金融IC卡在城市軌道交通領(lǐng)域的應(yīng)用，是各發(fā)卡銀行和軌道交通公司共同關(guān)心的問題。

2005年3月，中國人民銀行正式頒發(fā)了《中國金融集成電路（IC）卡規(guī)范》（業(yè)內(nèi)簡稱“PBOC2.0”）。該規(guī)范補充完善了電子錢包和存折應(yīng)用，增加了與EMV（歐陸卡（Europay）、萬事達卡（MasterCard）、威士卡（VISA）聯(lián)系組織）標(biāo)準(zhǔn)兼容的借或貸記應(yīng)用，增加了非接觸式IC卡物理特性標(biāo)準(zhǔn)及電子錢包擴展應(yīng)用指南、借或貸記應(yīng)用個人化指南等內(nèi)容［1］。在此基礎(chǔ)上，為了拓展金融IC卡的行業(yè)應(yīng)用，2011年2月，中國銀聯(lián)制訂了《基于非接觸式小額支付的擴展應(yīng)用規(guī)范》。該規(guī)范制定了復(fù)合消費交易流程，明確了復(fù)合應(yīng)用個人化要求，為金融IC卡在城市軌道交通中的應(yīng)用提供了可能。

根據(jù)中國人民銀行規(guī)劃，國內(nèi)所有銀行將停止磁條卡的發(fā)放，新發(fā)卡全部為智能IC卡，因此，由磁條卡向PBOC2.0標(biāo)準(zhǔn)的智能卡發(fā)展的產(chǎn)業(yè)升級成為大勢所趨。新的金融IC卡以其便利的小額脫機支付優(yōu)勢，將逐步進入各行各業(yè)。城市軌道交通作為集中的小額支付領(lǐng)域，將是各金融IC卡進入的重點行業(yè)。實現(xiàn)金融IC卡在城市軌道交通中的應(yīng)用，既可以方便乘客便捷乘車，也減少了各城市軌道交通公司的發(fā)卡成本，避免資源浪費，具有良好的經(jīng)濟效益和社會效益。

1 金融IC卡總體應(yīng)用架構(gòu)

為實現(xiàn)金融IC卡在城市軌道交通中的應(yīng)用，需要城市軌道交通的AFC（自動售檢票）系統(tǒng)、清分中心，以及金融IC卡發(fā)卡行、收單行甚至銀聯(lián)等單位的共同配合。金融IC卡應(yīng)用系統(tǒng)一般性總體架構(gòu)如圖1所示。

在金融IC卡應(yīng)用系統(tǒng)建設(shè)初期，發(fā)卡行和收單行可能為同一銀行，此時所有清算均可以由發(fā)卡行完成，脫機交易文件及清算均不需要通過銀聯(lián)；但隨著可以受理的發(fā)卡行的逐步增加，最終需要由銀聯(lián)完成清算。

從清算角度而言，城市軌道交通整體作為一個商戶，通過清分中心與收單行接入銀聯(lián)清算體系，由銀聯(lián)完成與發(fā)卡行和收單行的資金清算；銀聯(lián)清算完成后，由收單行與清分中心完成清算，城市軌道交通各條線路間的清算由清分中心完成。收單行具體是接入中國銀聯(lián)還是地方銀聯(lián)，可依據(jù)收單行接入情況而定。

圖1 金融IC卡應(yīng)用總體架構(gòu)圖

以寧波軌道交通AFC和ACC（清結(jié)算中心）系統(tǒng)建設(shè)為例，根據(jù)規(guī)劃設(shè)計，寧波軌道交通開通運營時應(yīng)能受理寧波市民卡的金融IC卡。該卡采用TYPE A CPU卡，首次發(fā)放該卡的發(fā)卡行有中國建設(shè)銀行、鄞州銀行。按照系統(tǒng)總體結(jié)構(gòu)圖，寧波市民卡公司作為收單行完成與寧波軌道交通清分中心的對接，脫機消費文件由寧波市民卡公司接收并轉(zhuǎn)寧波銀聯(lián)，寧波銀聯(lián)通過中國銀聯(lián)轉(zhuǎn)發(fā)卡行，由發(fā)卡行最終完成脫機消費文件的交易合法性驗證，中國銀聯(lián)完成與各行的資金清算，寧波市民卡公司完成與寧波軌道交通的清算。

2 金融IC卡應(yīng)用分析

2.1 主要交易

2.1.1 進站

根據(jù)中國銀聯(lián)制定的非接觸式金融IC卡小額支付擴展應(yīng)用規(guī)范，持卡人使用非接觸式金融IC卡進城市軌道交通閘機時（檢票機），閘機將作如下處理：

（1）閘機讀卡器首先選擇和激活卡片，并通過AID（應(yīng)用標(biāo)示符）選擇判斷卡片是否支持復(fù)合消費交易［2］。

（2）閘機讀卡器發(fā)出命令查詢復(fù)合應(yīng)用，判斷卡片是否支持城市軌道交通收費應(yīng)用。如支持，則讀取此特定復(fù)合應(yīng)用專用數(shù)據(jù)，并根據(jù)數(shù)據(jù)進行處理，如處理結(jié)果為不允許進行進站交易，則提示持卡人；如處理結(jié)果允許進行進站交易，閘機讀卡器進行復(fù)合應(yīng)用消費交易，其中交易金額為0。

（3）閘機讀卡器更新交易標(biāo)志、進站時間、線路代碼、車站代碼、進站閘機代碼等字段，卡片緩存要更新的CAPP（復(fù)合應(yīng)用）記錄內(nèi)容。

（4）閘機讀卡器根據(jù)AFL（應(yīng)用文件定位器）記錄的內(nèi)容讀取與交易相關(guān)的記錄，卡片在返回最后一條記錄后，完成實際的CAPP數(shù)據(jù)更新。

（5）閘機讀卡器根據(jù)交易過程中卡片返回的數(shù)據(jù)，對卡片進行動態(tài)數(shù)據(jù)認(rèn)證。

（6）如果卡片通過認(rèn)證，閘機讀卡器生成進站交易報文發(fā)送閘機，閘機生成交易流水，并允許持卡人進站。

2.1.2 出站

持卡人使用非接觸式金融IC卡出城市軌道交通閘機時，閘機將作如下處理：

（1）閘機讀卡器首先選擇和激活卡片，并通過AID選擇判斷卡片是否支持基于非接觸小額支付的復(fù)合消費交易［2］。

（2）閘機讀卡器發(fā)出命令查詢復(fù)合應(yīng)用，判斷卡片是否支持城市軌道交通收費應(yīng)用。如支持，則讀取城市軌道交通收費復(fù)合應(yīng)用專用數(shù)據(jù)，并根據(jù)進出站站點代碼從票價表中獲取票價金額；如處理結(jié)果為不允許進行出站交易，則提示持卡人。

（3）閘機讀卡器更新城市軌道交通收費復(fù)合應(yīng)用專用數(shù)據(jù)，填寫出站交易時間、出站交易線路代碼、出站交易站點代碼、出站交易閘機代碼、交易金額，保留城市代碼、運營企業(yè)代碼、記錄格式版本號、進站交易時間、進站交易線路代碼、進站交易站點代碼、進站交易閘機代碼等字段記錄原值；卡片緩存要更新的CAPP記錄內(nèi)容，其中交易金額為票價金額。

（4）閘機讀卡器根據(jù)AFL記錄的內(nèi)容讀取與交易相關(guān)的記錄，卡片在返回最后一條記錄后，完成實際的CAPP數(shù)據(jù)更新。

（5）閘機讀卡器根據(jù)交易過程中卡片返回的數(shù)據(jù)，對卡片進行動態(tài)數(shù)據(jù)認(rèn)證。

（6）如果卡片通過認(rèn)證，閘機讀卡器生成出站交易報文發(fā)送閘機，閘機生成交易流水，并允許持卡人出站。

2.1.3 交易更新

當(dāng)IC卡因進出站邏輯發(fā)生混亂而不能正常使用時，應(yīng)當(dāng)進行交易更新。交易更新分為進站更新、出站更新、超時超程更新等。交易更新的規(guī)則由運營商制定。處于交易狀態(tài)的IC卡讀寫器收到該命令時，先根據(jù)規(guī)則和命令參數(shù)中的金額對IC卡進行扣款，然后根據(jù)命令參數(shù)確定的更新類型更改IC卡上相應(yīng)的進出站標(biāo)志，使IC卡能夠正常進站或出站。具體讀寫卡流程同進出站交易。

IC卡交易更新在BOM（半自動售票機）上完成。2.1.4 IC卡充值（圈存）

技術(shù)上，系統(tǒng)可以實現(xiàn)在BOM上對金融IC卡的聯(lián)機充值（圈存）交易。該交易最好由清分中心作統(tǒng)一接入和轉(zhuǎn)發(fā)，車站和線路中央只在網(wǎng)絡(luò)層傳輸報文。清分中心應(yīng)部署發(fā)卡行充值認(rèn)證前置，由該前置直接與發(fā)卡行通信，BOM收到發(fā)卡行充值報文后完成寫卡動作。

從交易成功率和安全角度考慮，一般不建議在BOM上實現(xiàn)對金融IC卡的充值。

2.2 脫機消費文件傳送

（1）文件生成。城市軌道交通閘機根據(jù)讀卡器發(fā)送的進出站報文信息，按照AFC線網(wǎng)規(guī)范打包生成脫機消費文件；票房售票機根據(jù)讀卡器發(fā)送的更新報文信息，按照AFC線網(wǎng)規(guī)范打包生成脫機消費文件。

（2）文件傳送。脫機消費文件傳送按以下流程完成：閘機或BOM→車站計算機→線路中央計算機→清分中心→收單行→銀聯(lián)→發(fā)卡行。若為行內(nèi)收單，則不用通過銀聯(lián)。

（3）交易驗證。發(fā)卡行收到脫機消費文件后對每筆交易進行交易證書驗證，驗證失敗的交易需查找原因并做人工調(diào)整。

2.3 交易清分

城市軌道交通清分中心收到脫機消費文件后，根據(jù)AFC線網(wǎng)規(guī)范解包并將交易記錄入庫，通過清分應(yīng)用系統(tǒng)對入庫記錄完成交易清分。金融IC卡交易同單程票和城市通卡的交易一樣，適用相同的清分規(guī)則。

2.4 資金清算

收單行、發(fā)卡行及銀聯(lián)間的資金清算按銀聯(lián)清算辦法執(zhí)行，城市軌道交通公司通過清分中心與收單行完成金融IC卡交易的資金清算，城市軌道交通路網(wǎng)各收益方的二級清算由清分中心完成。

2.5 難點分析

由于脫機交易的非實時性，系統(tǒng)的安全保障體系是應(yīng)用的主要難點。根據(jù)PBOC 2.0，發(fā)卡行發(fā)行金融IC卡時，卡片保存的密鑰有應(yīng)用密文密鑰、安全報文認(rèn)證密鑰、安全報文加密密鑰和卡片公私鑰對等。這些密鑰充分保證了卡片本身的安全，并且為卡片交易應(yīng)用、安全報文MAC（報文鑒別碼）計算、脫機數(shù)據(jù)認(rèn)證等提供了安全密鑰。金融IC卡在城市軌道交通中應(yīng)用時，系統(tǒng)需完成卡片合法性認(rèn)證、交易報文安全傳送、擴展應(yīng)用文件保護等安全措施。交易結(jié)束后，發(fā)卡行還需對每筆交易進行合法性驗證。

2.5.1 卡片認(rèn)證

閘機、票房售票機對金融IC卡卡片的認(rèn)證采用非對稱密碼體系，清分中心從收單行獲取認(rèn)證中心公鑰，以參數(shù)下發(fā)交易將公鑰下發(fā)到閘機和票房售票機，交易時以該公鑰完成簽名驗證。

2.5.2 公鑰密碼體系

公鑰密碼體系，又稱非對稱密碼體系。它使用二個密鑰，一個用于加密信息，另一個用于解密信息。這二個密鑰間滿足一定數(shù)學(xué)關(guān)系，用二個密鑰中的任何一個加密的數(shù)據(jù)，只能用另外一個進行數(shù)據(jù)解密。因此，可以保證任何收到該用戶公鑰的其它用戶，發(fā)送用此公鑰進行加密的數(shù)據(jù)，只有該用戶用自己的私鑰才能進行解密［3］。

2.5.3 擴展應(yīng)用文件保護

金融IC卡卡片擴展應(yīng)用文件的寫保護采用對稱密碼體系，密鑰保存在閘機及票房售票機的PSAM（終端消費安全存取模塊）卡中。由于該密鑰保護的是復(fù)合消費區(qū)，因此建議由城市軌道交通公司發(fā)行，甚至可與城市軌道交通單程票共用同一密鑰，這樣既節(jié)約投資也節(jié)省了機具的PSAM卡插槽。

2.5.4 安全報文傳送

數(shù)據(jù)完整性以及對發(fā)送方的認(rèn)證通過使用MAC來實現(xiàn)，數(shù)據(jù)的可靠性通過對數(shù)據(jù)域的加密來得到保證［4］。金融IC卡在城市軌道交通應(yīng)用時的安全控制，是整個金融IC卡系統(tǒng)安全控制的一部分。從已發(fā)行并投入脫機支付使用的金融IC卡使用情況來看，這些安全措施可以達到用戶的安全要求。

2.6 卡片結(jié)構(gòu)示例

支持復(fù)合消費應(yīng)用的金融IC卡卡片內(nèi)部結(jié)構(gòu)示例如圖2所示。

圖2 金融IC卡卡結(jié)構(gòu)示例圖

行業(yè)應(yīng)用信息的文件放在同一個應(yīng)用中，可以避免因應(yīng)用的切換消耗更多的時間。在卡片容量許可的情況下，可以在一張卡片上建立多個行業(yè)應(yīng)用信息文件，以實現(xiàn)同一張卡的跨行業(yè)跨地域使用。

3 系統(tǒng)改造分析

對于已投入運行的城市軌道交通AFC、ACC系統(tǒng)而言，要實現(xiàn)金融IC卡在城市軌道交通中的使用需完成部分系統(tǒng)改造。以上海為例，上海軌道交通建設(shè)起步早，目前已形成一定路網(wǎng)規(guī)模，為實現(xiàn)金融IC卡在上海軌道交通中的應(yīng)用，根據(jù)上述方案，系統(tǒng)改造工作主要有以下幾項內(nèi)容：

（1）擴展《城市軌道交通自動售檢票系統(tǒng)通用技術(shù)規(guī)范》，增加金融IC卡交易報文及脫機消費文件規(guī)范。

（2）與發(fā)卡行共同制定IC卡個人化擴展應(yīng)用文件規(guī)范。

（3）完成閘機、票房售票機的讀卡器改造，采用通過中國銀行卡檢測中心PBOC 2.0認(rèn)證的讀卡器。

（4）完成線路AFC及清分中心ACC軟件改造，ACC完成與收單行的對接，實現(xiàn)IC卡交易的資金清算、認(rèn)證中心公鑰下發(fā)、脫機文件傳送等。

由于金融IC卡的認(rèn)證采用非對稱密碼體系，交易的流程也比單程票和交通儲值卡復(fù)雜，因此，相對單程票和交通儲值卡而言，金融IC卡的進出站交易時長將高于前者?？s短交易時間的主要方法有：在保障安全的前提下，盡可能選用較短長度的公鑰；盡可能地簡化交易流程；提高新讀卡器的硬件配置，減少交易時長；提高卡片運算速度，縮短卡片響應(yīng)時間等。

4 結(jié)語

根據(jù)上述研究分析，可得出以下結(jié)論：

（1）通過一定的系統(tǒng)建設(shè)或改造，非接觸式金融IC卡可以實現(xiàn)在城市軌道交通行業(yè)的小額支付應(yīng)用。

（2）非接觸式金融IC卡在城市軌道交通行業(yè)的小額支付交易流程上，有安全控制并能實現(xiàn)多發(fā)卡方的資金清算。

（3）通過建立多個行業(yè)應(yīng)用信息文件，非接觸式金融IC卡可以實現(xiàn)跨行業(yè)跨地域使用。

［1］姜云兵，杜寧.基于非接觸式小額支付的擴展應(yīng)用規(guī)范［S］.上海：中國銀聯(lián)股份有限公司，2011.

［2］JR／T 0025.12—2010中國金融集成電路（IC）卡規(guī)范第1 部分：電子錢包和電子存折應(yīng)用卡片規(guī)范［S］.