金融IC卡通用数据存储应用业务需求书介绍

WelcometoHUAWEITechnologiespresentation金融IC卡通用数据存储应用业务需求介绍中国银联产品创新部2011.1目录金融IC卡多应用情况金融IC卡数据存储规范情况金融IC卡多应用数据存储规范的业务需求探讨金融IC卡未来应用领域门禁系统会员卡网络登录电子票务代金券优惠券电子病历忠诚积分金融IC卡多应用困惑?谁的青春我做主,引发二次发卡问题?为什么IC卡项目联名发卡上总是1+12,能否找到一种商业方法彻底解决二次发卡或多次发卡问题.想说爱你不容易,合作代价居高不下问题?与银行合作发点门禁卡、会员卡、代金券、优惠券、电子票和积分卡等普通业务，需要我建设联合发卡系统、密钥管理中心、数据准备系统、个人化系统、会员管理系统这么多系统，还要我经过那么多安全检测，难道吃点猪肉非要杀头猪吗？是否你就是我的唯一,业务模式太复杂问题?相同业务，每家银行业务模式和技术标准都不一样，合作伙伴不知道怎么做？目录金融IC卡多应用情况金融IC卡数据存储规范情况金融IC卡通用数据存储应用的业务需求探讨通用存储标准的目的为发卡者提供一个公共的开放平台–发卡行可以积极的拓展行业用户–减小或消除发卡行在业务开拓时的技术障碍，保护发卡行投资–快速的推动对智能卡多应用市场的开发通用化方面–提供一个开放的平台，尽量满足行业应用的特点和需求，–定义应用参与方之间的认证和安全机制，–保护各行业应用的独立性和私密性，互操作性方面–详细定义智能卡多应用的技术细节，不同应用开发商开发的应用可以相互兼容，–创建和支持一个智能卡多应用的技术规范，–使NATIVE卡都可以在多应用上具备开放的功能。通用存储标准的现状•国际–VISA的VS3规范：《VisaSmartSecureStoragespecification》，–MasterCard的MODS规范：–《MasterCardOpenDataStorageTechnicalSpecification》•国内-中国银联的SMAS:《金融IC卡多应用存储规范1.0》(2006年)----但是，都没有具体推广成功VISA智能安全存储的特点（VS3）•以发卡行为中心为VASP服务•Cell、CellGroup的概念–CellEF–CellGroupDF–TOC目录•基于ISO7816文件系统实现•支持发卡后的非支付应用的添加删除操作万事达卡开放数据存储规范的特点（MODS）•以持卡人为中心•容器(Container)的概念–Container应用(AID标识)–Object数据对象(Tag标识)–容器的操作：Create/Delete;Lock/Unlock–对象的操作：Create/Read/Delete/Update•目录服务万事达卡开放数据存储规范的特点（MODS）•以发卡行为中心•采用容器和对象的概念•目录服务•整合提炼容器与对象的操作•支持开放平台或非开放平台金融IC卡多应用存储规范---基本原则3、容器在现实中…•楼宇、娱乐场所•城市、村庄•IC卡(MF、DF、EF等对象)•JavaCard（Applett对象,JCRE是管理Applet的容器)金融IC卡多应用存储规范---基本概念3、容器（Container）（1）ADFObject金融IC卡多应用存储规范---基本概念3、Container（2）•物理对应一个卡上的DF•AID标识定义•专用指令支持容器的操作金融IC卡多应用存储规范---基本概念3、Container（3）创建对象1我想放一个“对象”，可以吗？Issuer2可以，这是房间钥匙3INSERTOBJECT金融IC卡多应用存储规范---基本概念3、Container（4）存取对象1我想改一个“对象”的地址信息，可以吗？2OK，这是AC3ACCESSOBJECT金融IC卡多应用存储规范---基本概念3、对象Object（1）•基本信息持卡人信息，Owner信息等可公开信息•敏感信息点数、金额或座位信息等机密信息•权限信息对象的使用、修改、删除条件金融IC卡多应用存储规范---基本概念ShortSI_Cipher(TRuningEnvre,TAPDUObjectao){TKOkey=re.reference(OID);TRNDrnd=re.getChallengeObject();TDOdata=re.reference(OID_DATA);…..return0x9000;}3、Object（2）对象的种类及关系密钥对象KeyObject(KO）数据对象DataObject(DO)引用保护接口对象(APDUObject)金融IC卡多应用存储规范---基本概念Object（3）结构定义OIDAttribOACContent对象标识符属性对象的存取条件内容金融IC卡多应用存储规范---基本概念对象标识符OID（1）•定义采用ASN.1的定义•树状结构，容易扩充12122312311313321322银联非支付应用票务类积分类电影院商店…电信商家金融IC卡多应用存储规范---基本概念OID（2）•OID最后一个域的内容规定为对象标识号•对象标识号取值范围为0－2551.21.311.1.11.2.840.113549.12A864886F70D013D82370101pkcs-1应用-1OID的存储格式金融IC卡多应用存储规范---基本概念属性Attrib•标识对象类型和属性（2字节）87654321xx如果是密钥对象,定义密钥的用途111x定义00：数据对象01：计算对象10：密钥对象11：APDU对象允许外部认证1x允许内部认证允许计算签名允许校验签名保留Byte1KO:Byte287654321定义xxxxx密钥长度xxx密钥属性000:PINKey001:3DESKey010:MacKey011:Enc&MacKey100:PublicKey101:PrivateKey110:RFU111:RFU金融IC卡多应用存储规范---基本概念对象存取条件OAC引用条件删除条件1.引用(Reference)2.删除(Delete)•对象的使用条件(AC)（2字节）•对象操作AC值域定义值定义01－FEFFFree对象编号Never金融IC卡多应用存储规范---基本概念对象实体Content（1）•自定义应用数据项的格式数据项使用条件列表ACL自定义数据项•数据项使用条件列表(ACL)TAGaclLENaclTag1ACTag2ACTag3AC….注：如果Tag是自定义模板，则所有模板内的数据项受模板的AC保护•自定义数据项TAGcontentLENcontentTAGaclLENaclACLT1L1V1T2L2V2T3L3V3….金融IC卡多应用存储规范---基本概念Content（2）•自定义应用数据项的操作1.读/加(Read/Increase)2.写/减(Update/Decrease)•数据项的使用条件(AC)（2字节）RIACUDACAC值域定义值定义01－FEFFFree对象编号Never•密钥的使用条件(AC)（2字节）COUNTERUpdateAC21345678Counter定义最大值初始值金融IC卡多应用存储规范---基本概念积分应用示例1.21.311.1.1000003701571039300029006“88Shop”930F91010292022710基本信息1.21.311.1.28003000370167102FF03501011223344556677889900112233445566维护密钥1.21.311.1.38002000370167102FF03501011223344556677889900112233445566管理密钥自定义应用数据Tag意义90商户91VIP级别92发卡机构代码93模板94集点数积分对象1.21.311.1.4400003700B71039205069404000086A01.21.311.1.58003000370167102FF03501011223344556677889900112233445566加值密钥1.21.311.1.68003000370167102FF03501011223344556677889900112233445566减值密钥金融IC卡多应用存储规范---基本概念Container示意1.21.311.1.11.21.311.1.21.21.311.1.31.31.311.1.21.31.311.1.1192.168.79.168.1192.168.79.168.2192.168.79.168.3•只有同类才可引用，否则在引用时报6A88金融IC卡多应用存储规范---基本概念SMAS的指令•InsertObject•AccessObject•ListApplicationClass金融IC卡多应用存储规范---基本概念InsertObject•定义对象•将对象写入容器时必须得到容器创建时设置的条件•可创建多个DO、KO或AO金融IC卡多应用存储规范---基本概念InsertObject-formatCLAINSP1P2LcData80/844000P1：76543210XXDataType:10:ObjectData01:AuthenticDataother:RFUxxModeforAuthenticObject:10:Install01:Update0000RFUAuthenticDATA：OID+CryptoMsgObjectDATA：OID+Attrib+OAC+Contents金融IC卡多应用存储规范---基本概念AccessObject•存取、修改对象内的数据项•删除对象金融IC卡多应用存储规范---基本概念AccessObject-formatCLAINSP1P2LcData80/844200P1：76543210Mode:001:Reference010:Delete011:Read100:Update101:Increase110:Decrease10000RFUDataforRead/Write:OID+TAGDataforReference/Delete:OID金融IC卡多应用存储规范---基本概念目录金融IC卡多应用情况金融IC卡数据存储规范情况金融IC卡通用数据存储应用的业务需求探讨金融IC卡多应用数据存储规范—业务范围身份识别：门禁卡会员卡折扣卡积分计划：商户积分银行积分银联积分电子优惠券：打折券优惠券代金券电子票务：火车票交通票公园票电影票演出票金融IC卡多应用数据存储规范注：可探讨大型数据存储，如电子病历等金融IC卡多应用数据存储规范—业务需求集体宿舍合租单间别墅楼房精装修房间复式楼房电子优惠券特点：价值不高，商户要求简单；信息安全性要求不高；随意性强，可互联网或手机方便下载；数据存储要求：能存储即可无需私有密钥身份识别卡：特点：信息准确性要求高；信息安全性一般；需要在一定场所或设备开通；信息不经常变动；数据存储要求：要安全存储，并保证不经常变动，合法验证者才能读出信息或验证信息电子票务或代金券：特点：信息真实性要求高；信息安全性要求高；信息变动较快，一次性使用；信息价值较高；数据存储要求：能安全存储，信息可更新和废除，需一条私有维护密钥电子票务或积分计划：特点：信息准确性要求高，票务或身份信息不经常变动，而相关部分信息属性常变动，如计数器、打票状态等；信息安全性要求高；数据存储要求：能安全存储，信息可更新和废除，需要多条维护密钥特殊电子票务或积分计划：特点：信息安全要求高；独立意识强；数据存储要求：能安全存储，信息可更新和废除，需要应用主控制密钥和多条维护密钥；信息安全性建议商户确定：信息真实性，可通过信息后签名保证；信息是否可读，可选择加密保存和铭文保存；数据存储是商户需要验证和安全存储信息,与个人信息存储设备完全不同;数据存储模式与商户经营业务和业务模式息息相关;数据存储安全要求和商户存储信息价值相关;数据存储