江苏移动苏宁电器企业一卡通技术方案.doc

苏宁电器企业一卡通技术方案中国移动通信集团江苏有限公司2010年5月目录1.项目概述51.1.项目背景51.2.总体目标51.3.建设思路和内容61.4.功能需求62.企业一卡通系统72.1.引言与概述72.1.1.一卡通系统设计指导原则82.1.2.参考资料92.2.总体设计方案92.2.1.系统框架102.2.2.企业“卡”选择112.2.3.一卡通系统及卡片密钥体系设计132.2.4.银行转账系统密钥介绍192.2.5.一卡通系统安全性设计202.2.6.一卡通系统开放性设计242.2.7.一卡通系统脱网、脱机性能262.2.8.一卡通卡帐不平处理的设计282.2.9.一卡通系统主要业务流程设计292.2.10.一卡通网络规划332.2.11.一卡通核心设备选型342.2.12.一卡通系统主要性能参数363.一卡通各系统设计方案373.1.一卡通核心平台383.1.1.一卡通数据中心383.1.2.综合前置机（数据交换平台）413.1.3.证书卡（密钥）管理系统433.1.4.身份管理系统493.1.5.照片采集系统503.1.6.综合业务513.2.金融服务类系统553.2.1.现金充值系统553.2.2.商务消费系统563.2.3.车载子系统603.3.身份识别类系统613.3.1.门禁、考勤管理子系统623.3.2.会议签到管理子系统633.3.3.停车场及大门车辆出入管理系统653.4.一卡通信息发布类系统703.4.1.网上查询系统703.4.2.电话查询子系统733.4.3.多媒体自助子系统753.4.4.移动短信平台773.5.一卡通流程整合类783.5.1.流程整合概述783.5.2.整合方案793.5.3.通道管理子系统823.5.4.一卡通系统与数字化企业的集成833.6.业务拓展类系统833.6.1.监控中心843.6.2.领导查询（数据分析）系统884.手机员工卡的特点904.1.RFRD-SIM卡主要功能914.2.通讯特征914.3.技术原理924.4.手机RFRD-SIM卡功能924.4.1.移动终端机功能924.4.2.超级VIP卡功能924.4.3.遥感距离可控924.4.4.手机支付功能934.4.5.空中充值934.4.6.OTA功能934.5.手机员工卡功能934.5.1.手机员工卡功能934.5.2.信息交互式管理功能934.5.3.打造个人移动终端：945.系统运行维护方案945.1.企业卡管理中心的组成945.2.企业卡使用模式945.3.主要岗位职责956.结算体系介绍977.项目实施方案987.1.项目实施的总体规划987.2.工程实施策略997.3.项目组的规划和人员组成1007.3.1.项目管理组织机构1007.3.2.岗位职责1007.4.前期准备工作1017.5.专网布线工程规划1027.5.1.施工标准1027.5.2.工程综合布线说明1037.6.现场安装工作1047.7.系统培训工作1057.7.1.培训目标及理念1057.7.2.培训方式1067.7.3.培训内容1077.7.4.培训计划1107.8.系统测试工作1107.8.1.测试标准1107.8.2.测试内容1107.8.3.测试流程1127.9.系统试运行方案1127.9.1.试运行准备1127.9.2.试运行1137.9.3.试运行结果评估1137.10.系统验收工作1137.11.系统移交工作1157.12.工期和质量保证措施1157.13.施工进度管理1167.13.1.施工进度管理概述1167.13.2.项目进度计划的编制1167.13.3.项目进度控制1177.14.控制项目实施中的风险1217.14.1.基础建设不配合1217.14.2.核心设备订货周期不足1227.14.3.设立组织机构滞后1237.14.4.第三方软件厂商不配合1237.14.5.需求调研风险1247.14.6.数据实施风险1247.14.7.培训和用户反馈1258.项目售后服务措施和承诺1258.1.服务保证体系1258.2.服务内容1258.3.服务方式1268.4.服务承诺1261. 项目概述1.1. 项目背景苏宁电器1990年创立于江苏南京，是中国3C（家电、电脑、通讯）家电连锁零售企业的领先者，是国家商务部重点培育的“全国15家大型商业企业集团”之一。截至2009年，苏宁电器连锁网络覆盖中国大陆30个省，300多个城市、香港和日本地区，拥有1000家连锁店，80多个物流配送中心、3000家售后网点，经营面积500万平米，员工12万多人，年销售规模1200亿元。品牌价值455.38亿元，蝉联中国商业连锁第一品牌。名列中国上规模民企前三，中国企业500强第54位，入选福布斯亚洲企业50强、福布斯全球2000大企业中国零售企业第一。信息化是零售业的核心竞争力。苏宁电器视信息化为企业神经系统，建立了集数据、语音、视频、监控于一体的信息网络系统，有效支撑了全国300多个城市、数千个店面、物流、售后、客服终端运作和十多万人的一体化管理，信息化建设先后入选中国商业科技100强、中国企业信息化500强（第44位）。依托苏宁SAP/ERP系统，B2B、B2C、OA、SOA、HR、BI、WMS、TMS、CRM、Call Center等信息应用系统，实现了“供应商、内部员工、消费者”三位一体“的全流程信息集中管理。此外，苏宁电器先后携手与IBM、微软、SAP、思科等国际知名IT企业开展信息系统建设战略合作，打造国际化智慧型企业。在此背景下，江苏移动拟建设苏宁电器企业一卡通系统。1.2. 总体目标企业一卡通建立以卡为媒介的、面向公司员工的综合性服务平台，覆盖身份识别、金融服务、信息服务、流程整合等领域，形成高效稳定、功能全面、扩展灵活、管理方便的新一代企业一卡通平台，实现“一卡多用、一卡通用” 的建设目标。通过新一代企业一卡通系统的建设有效降低管理成本，促进企业管理和服务水平的提升，有力推进企业信息化的全面建设。通过“企业一卡通”系统的建设，在全公司形成企业统一管理的信息平台，促进企业信息的标准化，构建起优良的数字空间和信息共享环境，在企业进一步实现资源数字化、数据传输网络化、用户终端智能化、结算管理集中化，管理决策科学化。1.3. 建设思路和内容“企业一卡通系统”的建设的原则为：“面向未来、统筹规划、分步(区)实施、先进实用、安全可靠、灵活扩展”。Ø 面向未来：建设开放性一卡通平台系统，平台具有强大的扩展性；系统整体设计符合金融标准；保证系统的先进性；Ø 统筹规划：完整性设计，后续扩展不需改变平台系统；Ø 分步(区)实施：按照分期实施，逐步过渡的方式，分成几个阶段来完成；Ø 先进实用：系统国内领先、并且符合实际使用需求；Ø 安全可靠：系统具有强大的安全性，运行稳定可靠；Ø 灵活扩展：系统平台下，子系统扩展灵活，满足各部门不同应用需求。整个系统以企业网为载体，作为整个数字化企业的核心应用项目，必须符合数字化企业的整体设计思想。不仅具有消费、身份认证、金融服务功能，还要具备相应的管理功能，保证整个系统的先进性、实用性、安全性和扩展性。1.4. 功能需求本项目提供苏宁电器公司内部身份认证、考勤、消费，以及衔接多个信息管理系统的功能，实现互“通”。苏宁电器“企业一卡通”项目整体工程主要由以下几部分组成：Ø 企业一卡通网络支撑平台：包括企业一卡通系统的物理（虚拟）专网建设、银行专用网络、移动网络建设等。Ø 一卡通应用支撑平台：在数字化企业统一身份认证平台、共享数据平台、信息门户平台的整体要求下建设一卡通系统平台；包括：一卡通金融软件平台（包含电子支付平台软件）、一卡通身份平台软件、证书卡（密钥）管理系统、综合前置机平台软件、身份管理子系统软件、信息录入子系统软件、照片采集系统、卡务管理系统软件、财务结算系统软件。Ø 一卡通信息发布类系统：网上查询系统、电话查询系统、触摸屏查询系统、移动短信平台；Ø 一卡通金融应用类系统：商务消费系统、车载系统等；Ø 一卡通身份识别类系统：门禁管理系统、通道机管理系统、考勤管理系统、会议签到系统；Ø 一卡通流程整合类系统：系统接入平台、通道机对接、医疗系统对接、超市系统对接等；Ø 一卡通业务拓展类系统：数字迎新系统、一卡通监控平台、数据分析软件等。2. 企业一卡通系统2.1. 引言与概述苏宁电器“数字化企业一卡通”构建在一卡通专网上，以确保金融数据的传输安全；其他应用项目仍依托现有的企业网进行建设。“企业一卡通系统”作为整个数字化企业的核心应用项目，设计上必须符合数字化企业的整体设计思想。因此，一卡通系统不仅仅是消费系统，还要具备管理功能，要与企业管理信息系统结合起来，不仅要考虑IC卡的类型、功能适合一卡通消费系统，更重要的是能适合未来的管理信息系统，能给企业管理信息系统提供更完善的服务。根据苏宁电器的实际情况，“数字化企业一卡通”项目应达到如下目标：Ø 实现公司内一卡代多卡，使工作证、门禁、饭卡等统一到“企业卡”。Ø 实现食堂就餐等企业消费的“以卡代币”。Ø 企业卡具有一定的前瞻性及先进性，支持多种类型的卡片，传统的Mifare系列的卡片，及新兴的手机卡。Ø 与财务管理系统对接，实现公司内各类收（发）费和财务信息查询。Ø 通过“数字化企业”项目，建立统一身份认证、统一信息查询及共享数据平台，基本实现资源数字化、传输网络化，用户终端智能化，管理结算自动化。2.1.1. 一卡通系统设计指导原则企业一卡通系统建设应紧密结合企业的实际情况，将其作为实现数字化企业建设的重要组成部分和重要基础工程，纳入企业数字化建设的整体规划之中。一卡通系统建设应遵循以下基本原则：Ø 统一规划、分步实施、逐步推广。Ø 实现高起点、大规模、入主流、跨越式的建设模式。Ø 统一领导、归口管理、共同建设。Ø 公司化运作、项目化管理、合作化开发。Ø 模式规范、持续发展。按照“一库”、“一卡”的一体化建设理念，建立公共数据平台、统一的身份认证中心、统一的信息门户及统一的管理应用中心，采用平台式、模块化的建设方法，实现三大骨干平台：一卡通网络平台、一卡通管理与服务平台、一卡通应用平台，适应与银行系统、企业原有的各类应用系统衔接和系统本身应用规模、应用层次不断扩大的衔接，将一卡通系统建设成一体化、开放式、标准化和用户自我建设扩展的系统，为真正意义上实现传统企业向数字化企业的“质的”转变奠定良好的基础。为保证一卡通建设的顺利进行，在建设策略上运用如下：Ø 先建框架（并行建设的前提）l 建设一卡通数据中心；l 前台业务企业卡服务中心；l 发行符合我公司信息化规划的企业卡；l 建立银行交易通道圈存系统；Ø 注重效果，增强建设信心l 目前使用卡片进行消费和识别的系统纳入一卡通，完成一卡通的一期建设目标；l 食堂、超市；2.1.2. 参考资料在系统设计时，充分考虑技术实现的合理性和业务划分的范围，将业务流程和组织机构分离，使系统不致因业务部门的组织结构变化而很大的修改。在进行软件开发时，应用程序严格遵循规范化、模块化和可复用的原则。遵循如下标准规范：l 核心平台以及应用子系统严格按照软件工程规范设计；l 数据格式采用金融标准的ISO8583格式的87版；l 财务系统报表符合财政部颁布的标准格式；l 底层通讯依据TCP/IP通讯协议；l 卡片规划符合中国金融集成电路（IC）卡应用规范；l 相关设备设计符合中华人民共和国电子行业标准，并通过国家强制性认证（即3C认证）；l 软件设计与开发规范l ISO9001：2000，ISO90013l ISO14443 TYPE Al IEEE 802.3标准l 在数据读取、数据传输、密钥分发等方面遵循中国移动Rf-sim手机卡的1.1B标准。l 军工产品GTB/Z 9001质量体系2.2. 总体设计方案苏宁电器 “企业一卡通”系统工程应遵循以下基本原则：1、统一规划、分步实施、逐步推广。2、实现高起点、大规模、入主流、跨越式的建设模式。3、统一领导、归口管理、共同建设。4、公司化运作、项目化管理、合作化开发。5、模式规范、持续发展。我们采用平台式、模块化的建设方法，实现一卡通系统应用平台，适应与银行系统、企业原有的各类应用系统衔接和系统本身应用规模、应用层次不断扩大的衔接，将数字化企业和一卡通系统建设成一体化、开放式、标准化和用户自我建设扩展的系统。2.2.1. 系统框架苏宁电器 “企业一卡通”系统工程是架构在企业网络上，利用计算机、网络设备、终端等设备，充分发挥网络优势，借助于卡片载体，实现先进的信息化管理的系统。整个系统采用三级平台结构：公共数据平台作为一级平台；应用平台作为二级平台；应用系统为三级平台。在开发工具方面，采用了拥有广泛业界支持的J2EE技术以及成熟的中间件工具，相应地缩短了开发时间，也有利于在任何操作系统和硬件配置上运行，保护用户现有的投资和便于系统的扩展。“企业一卡通”系统的整体结构如下图所示：2.2.2. 企业“卡”选择企业一卡通可以有多种IC卡的选择，根据企业一卡通的规模，比较常用的卡片为飞利浦系列的Mifare 1系列的逻辑加密卡和CPU卡。2.2.2.1. 逻辑加密卡飞利浦公司的Mifare-1智能(射频)卡采用先进的芯片制造工艺制作，内建有高速的CMOS EEPROM，MCU等。卡片上除了IC微晶片及一副高效率天线外，无任何其他元件，Mifare-1射频卡所具有的独特的Mifare RF（射频）非接触式接口标准已被制定为国际标准。射频卡标准操作距离为100mm和25mm （由读写器核心模块决定）。卡片与卡片读写器的通信速率高达106Kbit/s。Mifare-1智能(射频)卡上具有先进的数据通信加密并双向验证密码系统；且具有防重叠功能：能在同一时间处理重叠在卡片读写器天线的有效工作距离内的多张重叠的卡片。Mifare-1智能(射频)卡与读写器通信使用握手式半双工通信协议；卡片上有高速的CRC协处理器，符合CCITT标准。卡片制造时具有唯一的卡片系列号，没有重复。Mifare-1系列S50及S70卡上有多个扇区，每个扇区可以设定不同的读写密码。片上的数据读写可超过10万次以上；数据保存期可达10年以上，且卡片抗静电保护能力达2KV以上，飞利浦公司的Mifare-1卡，卡片严格遵守ISO/IEC14443-TYPE-A国际标准，符合中国人民银行颁布的中国金融集成电路(IC)卡规范，价格相对低廉，目前被广泛应用在企业卡上。2.2.2.2. CPU卡这种IC卡在卡片内部集成了卡上单片机系统，具有智能性。片内系统包括中央处理器CPU，程序存储器ROM，数据存储器EEPROM和RAM。ROM中还配有卡上操作系统软件COS(Chip operating system)，使微处理器具有数据加工和处理的能力，可以对读写数据进行逻辑和算术运算，能力很强。CPU卡上的微处理器执行COS监控程序，接收从读写器送来的命令和数据，分析命令后再对存储器进行控制或读写数据。由于这种卡具有智能，读写器不能对卡的存储信息直接进行操作，都要经过卡上的微处理器，所以保密性更强。这种IC卡存储的数据对外相当于一个黑盒子，保密性极强。目前CPU卡上用的微处理器一般为8位CPU，存储容量几十KB上下。此种智能卡常用于重要场合，作为证件和信用卡。CPU卡由于其高存储量和高保密性，出现虽然仅短短几年，就已经显示出巨大的优点和广泛的发展前景。CPU卡应用领域十分广泛，除覆盖了传统磁卡的全部功能外，还拓展到许多磁卡不能胜任的领域。随着现代电子技术的飞速发展，随着市场经济发展对CPU卡需求的扩大，CPU卡的应用将会迅速普及。CPU卡的结构性能也会不断改进，而CPU卡的开发与使用也会越来越方便。CPU卡加密性很好，但其价格成本较高，目前在企业卡应用上相对较少，但是在市场占有率上已经呈现上升的趋势。2.2.2.3. SIM卡SIM卡是（Subscriber Identity Module 客户识别模块）的缩写，也称为智能卡、用户身份识别卡，GSM（或CDMA、3G）数字移动电话机必须装上此卡方能使用。它在一电脑芯片上存储了数字移动电话客户的信息，加密的密钥等内容，可供GSM网络客户身份进行鉴别，并对客户通话时的语音信息进行加密。SIM卡的使用，完全防止了并机和通话被窃听行为，并且SIM卡的制作是严格按照GSM国际标准和规范来完成的，从而可靠的保障了客户的正常通信。您刚入网时得到的SIM卡是一张大卡，小卡是嵌在大卡上的，目前手机普遍使用小卡，您可以把小卡从大卡上取下使用。SIM卡在GSM系统中的应用，使卡和手机分离，SIM卡唯一标识一个客户。一张SIM卡可以插入任何一部GSM手机中使用，而使用手机所产生的通信费则自己记录在该SIM卡所唯一标识的客户帐上。SIM卡容量有8K、16K、32K、64K，其中16K以上的大容量的SIM卡统称为多功能STK卡。SIM卡采用A级加密方法制作，存储着用户数据、鉴权方法及密匙，可供GSM系统对用户身份进行鉴别。同时，用户通过它完成与系统的连接和信息的交换。手机使用的SIM卡就是CPU卡，因此SIM卡也符合一卡通的使用要求。但是因其属于接触类型读卡，单纯的卡片不适合应用在企业卡的使用环境上。2.2.2.4. RF-SIM卡SIM卡是接触式IC卡，需要安装在手机中才能使用，所以不能直接应用于企业一卡通中，要想使用必须使手机卡同一卡通终端设备可以进行无线通讯，现在比较成熟的技术有两种，一种是具有13.56M射频通讯的，另一种具有2.4G射频通讯的，他们被称作双介面卡，双介面CPU卡是真正的CPU卡，接触和非接触部分仅仅是卡片与外部通信的方式不同，接触部分使用电压，非接触部分使用电磁波通信。接触和非接触使用同一CPU管理同一EEPROM，两者的操做完全等效。这样双界面CPU卡继承了CPU卡的高度安全性，通过一系列的安全认证，加密，线路加密，线路保护，使卡片具有了高度安全性。摆脱了早期逻辑加密卡可能被攻击的情况，最大可能的保护了数据信息的安全。在这两种卡中又因为2.4G的SIM卡具有使用方便、手机兼容性好、支持运营商多，是企业一卡通运营中的最佳选择，现在这种卡称为RF-SIM卡。RF-SIM卡因为具有射频通讯，可以透过手机与企业卡终端进行无线通讯，代替原有企业卡的功能，并且还可以通过电信功能对卡进行多种控制，现在在企业中手机已经基本普及，将企业卡与手机卡二合一完全符合未来的卡使用趋势，减少了卡携带的负担和易损坏、易丢失的弊端，同时员工通过手机可实现与卡的互动。2.2.3. 一卡通系统及卡片密钥体系设计2.2.3.1. 密钥规划密钥管理体系中的密钥通常是分类规划与使用的，“一卡通”系统使用的密钥有：Ø 系统根密钥；代号：K根Ø 子系统工作密钥：子系统认证密钥（静态密钥）K静、子系统与数据中心数据传输加密密钥K交、子系统与数据中心数据传输签名密钥K签；Ø 银行转账系统相关密钥（与银行交换数据密钥K银交、持卡人银行敏感数据加密密钥K银PIN）；Ø 卡片一区一密，卡片相关密钥（扇区种子密钥K卡根、卡片扇区密钥K卡扇、卡片个人交易密钥根密钥K卡PIN根卡片个人交易密钥K卡PIN），由以上密钥组成“一卡通”系统的密钥体系。2.2.3.2. 系统根密钥介绍系统根密钥是整个密钥体系的基础，根密钥的生成必须由企业生成(2人以上输入)，其他密钥的生成依赖于根密钥。系统根密钥代号：K根.根密钥制作过程如下：用途生成存储传输使用K根用于产生其他密钥由企业生成(2人以上输入)由一卡通系统公司提供的证书卡管理系统生成。保存在PSAM卡上，由企业方安全保存。不传输。通过证书卡系统，再产生其他密钥，如下图所示。2.2.3.3. 系统根密钥管理流程系统根密钥由企业生成K根，通过密钥管理程序将K根写在PSAM卡内。管理中心将PSAM卡保管好，以备生成子系统工作密钥。2.2.3.4. 子系统工作密钥介绍子系统工作密钥有：子系统认证密钥（静态密钥）K静、子系统与数据中心数据传输加密密钥K交、子系统与数据中心数据传输签名密钥K签。用途生成存储传输使用K静 作为一卡通系统身份认证； 换取动态工作密钥由“一卡通”证书卡系统生成保存在各子系统PSAM卡上PSAM卡传递 在子系统签到时按照PKI机制进行认证； 签到后获得动态工作密钥。K签用于对传输的数据，生成数据摘要。由“一卡通”证书卡系统生成保存在各子系统PSAM卡上PSAM卡传递子系统通过MD5算法采用K签，进行数字签名，起到防抵赖作用。K交用于对传输数据的加密由“一卡通”综合前置机系统生成保存在各子系统PSAM卡上网络上加密传输子系统通过的DES算法采用K交，对数据进行加解密。2.2.3.5. 子系统密钥管理流程序号部门 流程1管理中心在证书卡管理系统，管理员通过K根PSAM卡为各个子系统产生工作密钥并存储在子系统PSAM卡上，其中包括前置机PSAM卡的制作。2各子系统终端机各子系统的管理员到管理中心领取本系统PSAM卡，回去后安装到子系统服务器上。3交易数据传输每日子系统通过子系统认证密钥（静态密钥）K静，获取当日的子系统与数据中心数据传输加密密钥K交；工作密钥加密算法和解密算法采用DES（ANSI X3.92:1981 数据加密算法）。传输交易数据时按银行加密标准对传输的数据进行加密。2.2.3.6. 卡片工作密钥介绍卡片相关密钥有（扇区种子密钥K卡根、卡片扇区密钥K卡扇、卡片个人交易密钥的根密钥K卡PIN根、卡片个人交易密钥K卡PIN），由以上密钥组成“一卡通”系统的密钥体系。用途生成存储传输使用K卡根用于分散卡片扇区密钥。由K根生成终端机：保存在PSAM卡上。发卡系统：保存在PSAM卡上不在网络上传输，由专业管理人员设置到PSAM卡上。发卡系统：分散卡片扇区密钥，对卡片控制扇区进行初始化；终端机：分散卡片扇区密钥，登录卡片K卡扇用于控制卡片扇区的登录权限由K卡根及分散因子通过密钥算法生成。卡片：保存在控制扇区终端机：根据种子密钥及卡片的分散因子动态生成不传输发卡系统：登录卡片扇区，对卡片数据扇区进行初始化；终端机：控制对卡片扇区的登录，判断卡片的合法性。K卡PIN根用于分散卡片上保存的一半个人密钥。由K根生成或由企业生成(2人以上输入)终端机：不保存。发卡系统：保存在PSAM卡中不在网络上传输，由专业管理人员设置到PSAM卡上。发卡系统：分散卡片的个人密钥，对卡片公用扇区密码块进行初始化；终端机：不使用。K卡PIN用于加密卡片的个人密码（PIN）由一卡通”系统生成终端机：保存一半（固定不变）卡片：保存另一半（变化）不传输发卡系统：合成固定和卡片变化的密钥后，对个人密码加密，对卡片公用扇区密码块进行初始化；终端机：合成终端机和卡片的密钥后，对个人密码加密，判断个人密码的合法性。2.2.3.7. 卡片密钥管理流程1、管理中心由K根或企业生成扇区种子密钥K卡根，通过密钥管理程序将扇区种子密钥写到在各子系统的PSAM卡上。各应用系统及应用终端从管理中心获得各自PSAM卡，即获得了卡片相关工作密钥。2、发卡中心Ø 卡片初始化。发卡系统利用PSAM卡中的K卡根对扇区种子密钥进行解密，产生扇区密钥对每张卡片进行初始化形成K卡扇。Ø 卡片注册。初始化后的卡片在发卡中心通过K卡根和K卡PIN根形成新的K卡扇，和K卡PIN。并在卡片各个扇区写入相应信息。3、终端机终端机在交易时，使用PSAM卡中的K卡根对扇区密钥种子密钥解密，用分散因子产生扇区密钥，验证卡片的登录权限。4、个人密码种子密钥和个人密码密钥管理Ø 管理中心企业生成个人密码种子密钥，密钥保存在发卡系统和各子系统的PSAM卡上内。各个子系统和各个应用终端在获得加密卡时即刻获得。Ø 发卡中心发卡系统利用PSAM卡上的K卡PIN根 形成个人密码种子密钥的密文写到卡片上。Ø 终端机，个人密码校验终端机在交易时，合成个人密码密钥后，对输入的个人密码明文加密，与卡片上保存的个人密码密文比较，判断个人密码是否正确。2.2.4. 银行转账系统密钥介绍银行转账系统相关密钥（与银行交换数据密钥K银交、持卡人银行敏感数据加密密钥K银PIN）；用途生成存储传输使用K银交用于加密传输的数据域，生成数据包的信息校验码（MAC）每天动态由银行获得保存在银行转账前置机的PSAM卡上在网络上按银行加密标准加密传输。对传输的交易数据进行加密/解密。K银PIN用于加密个人银行密码和银行卡信息（PIN，ID）每天动态由银行获得保存在圈存机的PSAM卡上。在网络上按银行加密标准加密传输。对传输的交易数据进行加密/解密2.2.4.1. 银行密钥管理流程Ø 转账前置机建立银行转账系统时由银行和集成商约定K银行静，并约定获得方式，最后是通过密钥管理程序写到银行转账前置机的PSAM卡上。每日系统在签到时，采用交易报文通过K银行静、到银行端获得K银交用于与银行交换数据的密钥；Ø 圈存机每日圈存机在签到时，采用交易报文通过K银行静、到银行端获得K银PIN用于加密持卡人的敏感数据。2.2.5. 一卡通系统安全性设计一卡通系统公司的企业一卡通系统整体安全性完全符合国家标准(GB 17859-1999)计算机信息系统安全保护等级划分准则，一卡通系统完全按第三级要求进行要求。一卡通应用系统安全性包括密钥管理体系、卡片的安全性、终端设备的安全性、数据的安全性以及应用软件的安全性几个方面，具体内容如下：2.2.5.1. 卡片的安全一、卡片的安全原则：Ø 卡片采用一区一密的加密机制、防止被盗滥用。Ø 加入公司专用标识，采用专用算法，有效地防止伪卡。Ø 采用DES专有混合算法，形成一套有效的卡片密钥管理机制。Ø 采用公共、独立的信息共享区，形成一种统一而又分而治之的数据管理策略。Ø 对系统内卡片采用分类管理，授予不同权限和功能，增强安全性。二、卡片内的安全管理：数据区密钥控制原则：卡片内采用每扇区密码控制的原则，即对不同的数据区采用不同的密钥进行控制。将数据区分为两类，一卡通数据区和个性化子系统数据区。一卡通系统数据区采用卡片注册时生成的密钥进行读写控制；对于个性化子系统，采用公司出厂密码，在建立该子系统时，更改该控制密码，可分为三类进行管理，由一卡通系统公司负责进行升级：根据一卡通系统公司一卡通系统密钥生成原则，可直接接入一卡通系统。由第三方进行升级：可以通过更换密钥，更改子系统扇区的读写密码，第三方产品提供最终的生成密钥给子系统专用读卡器，由读卡器控制该卡的读写权限。向第三方公开该数据块，全部由第三方控制读写。三、卡片的保护措施：Ø 杜绝恶性透支。Ø 挂失实时生效。Ø 限定钱包金额。Ø 实时更新黑名单。Ø 密码限额，大额消费启用个人密码。Ø 脱机消费限额：当卡片脱机消费时，分别采用不同的限额来启用个人密码、禁止消费，从而使丢失但来不及挂失的卡造成的损失最小。个人密码保密：在系统上操作员看不到持卡人的个人密码，保障了持卡人的权利。2.2.5.2. 终端的安全性每一台消费终端设备在出厂的时候都具有唯一的ID号，防止出现设备重复，另外，在消费终端投入使用的时候，必须经过商户卡进行POS机分组，定义相应的编号，并且连通系统后，获得相应的密钥才能够投入使用，否则无法进行使用。消费终端在进行完分组后，在没有商户卡的情况下是不能够被删除或者更换用户组的，同时商户也不能够被删除，只有通过商户卡，才可以进行相关的操作。而商户卡是分别由每个商户所掌管，并且商户卡是有密码保护的，这样可以保障设备的安全使用。对于各个子系统设备的接入，通过加密卡来进行安全保障，系统在断电后，如果想再接入系统，在重新启动后，必须通过向综合前置机签到取得相应的密钥后才能沟通如使用。对于读卡终端机具，支持中国人民银行PSAM卡规范。在圈存机、POS机中有中国人民银行认可的DS5002P加密模块，它具有防跟踪防破坏功能。保障数据安全可靠。对于接入系统的关键用途的计算机终端，通过安装PSAM加密卡来保障数据的安全，通过它来对数据加密解密。PSAM加密卡具有两种模式，对于台式计算机提供PCI方式的PSAM卡，对于便携式计算机提供USB方式的PSAM加密卡，此两种PSAM卡都可以在市面上找到，企业可以自行购买。终端pos机上配备PSAM插槽。计算机终端的PSAM卡密钥是通过提供给苏宁电器的证书卡加密程序，由苏宁电器自己生成，可以自行地进行证书卡的制作。所有接入企业一卡通系统的终端必须要经过苏宁电器一卡通应用软件系统注册后才能够接入到一卡通系统中使用。2.2.5.3. 数据传输的安全从传输协议方面，所有的传输采用金融报文交换格式ISO8583标准，经过MD5数字签名、DES、RSA等加密措施，防止非法截取、篡改、破译。所有接入都采用动态密钥进行签到、签退。对于在企业网上传输的卡号、密码等重要数据，系统直接采用Socket底层编程，在数据发送和接收时都采用数字签名的方式，保证不被更改。2.2.5.4. 应用软件的安全1、应用软件中不存放中心数据，而以数据中心为准，从而实现应用与数据处理分离，使得应用系统安全可靠。2、采用“事权分离”机制设计应用系统，用户管理、权限分级、程序资源、操作权限分配等方面设计了严密的机制；3、操作员登录控制： 4、所有操作日志跟踪，追溯责任人；5、数据存储采取数据集中的方式，数据库选择功能强大的数据库；2.2.5.5. 银行转账的安全企业一卡通系统采用设立银行转账前置机的方式，通过双网卡，保证企业一卡通专网和银行专网之间的隔离，租用电信专用DDN或光纤通道，确保银企间通讯的核心业务数据加密传递。一、路由器+防火墙硬件保障：银行端采用路由器加防火墙的硬件保障机制。通过防火墙可以过滤掉不安全的数据包，控制用户对系统的访问，实现集中的安全管理。Ø 在路由器上设置访问控制列表来过滤不符合应用需要的报文。Ø 在路由器的访问控制列表上仅配置与之相连的网卡能够收和发IP数据包。Ø 禁止TCP以外的任何服务。Ø 过滤除指定端口以外的报文。二、数据传输的安全措施：企业转账前置机与银行前置机之间数据采用金融业标准的MAC校验运算，MAC运算的DES密钥采用动态密钥，在每天建立连接签到时，由银行动态生成分配。密钥采用加密传输，敏感数据加密处理。公司内部自助转账终端与企业转账前置机之间采用DES加密，MD5数字签名，动态密钥。持卡人的银行卡密码由位于专用加密卡上的DS5002安全处理器进行金融标准的PIN加密处理，有效防止密码外泻，保护持卡人和银行利益。DS5002安全处理器具有防侦测、数据加密存储、数据自毁性等特点，可以有效防止不法分子对敏感数据的获取。三、屏蔽企业网内对银行的攻击：企业转账前置机采用双网卡，通过双网段的IP地址进行逻辑网段隔离。关闭转账前置机的IP转发路由功能，企业网内部的数据只能到达转账前置机的A网卡，而无法通过前置机的B网卡到达银行前置机。这样就屏蔽了企业网内部的攻击。企业转账前置机关闭远程管理维护功能，避免对其攻击，必要时可以采用软件防火墙。四、屏蔽企业前置机对银行内部的攻击：银行的前置机同样采用双网卡，关闭IP转发路由功能，这样就阻止了攻击数据到达银行网络内部，所有来自企业端（专线）的数据仅能到达1网卡，不能通过前置机的2网卡进入银行内部网络。银行前置机关闭远程登录等功能，防止非法远程登录。银行前置机只能响应规定好的转账交易。2.2.5.6. 系统纠错能力正常情况下，所有的消费流水回传到数据中心，同时在消费终端、商务网关上保存有交易流水纪录，这些交易记录可以和后台数据中心数据进行对比，当出现网络不通时，交易流水暂时保存在商务网关中，消费终端中也保存有交易流水记录，可以进行对账，当网络畅通时，再回传流水，当出现485网络故障时，消费终端可以进行脱机消费，交易流水保存在消费终端内，当网络恢复时数据正常回传进行对账。万一出现设备损坏，而且交易流水又没有正常回传的情况下，系统有自动对账、挂账机制，保障商户和消费者的利益不受到损失，同时保障系统账务和数据的准确。万一出现交易流水没有正常回传，我方系统采用独有的卡库对账机制。交易流水是由卡号、卡戳、卡余额、交易额、交易日期、时间等相关的信息组成的。当消费POS机坏了，造成数据丢失，则系统有的严格的查账机制。当系统进行日结时发现上传流水的流水号不连续，则后台中心数据库进行流水号的检测工作，将流水号不连续的记录同步到网关，再由网关将记录同步到各台消费POS机。当持卡人去消费贴卡时，POS机检测到此卡片有未上传的流水，系统会自动将检测到的片内的消费流水信息即时回传到一卡通后台，再由后台进行平账。2.2.6. 一卡通系统开放性设计企业一卡通系统是数字化企业建设中的一个重要子项目，在建设的过程中，必须服从于数字化企业的整体规划，实现企业一卡通系统与数字化企业共享数据中心无缝数据共享，充分体现系统的开放性。一卡通系统公司在全国实施了多家数字化企业企业一卡通系统，此次我们提供的企业一卡通系统均为一卡通系统公司的产品，一卡通系统的开放性还体现在应用软件的开放性、设备的开放性、卡片的开放性、密钥的开放性等，具体内容如下：2.2.6.1. 应用软件开放性企业一卡通系统的应用软件的使用权全部提供给苏宁电器，未来企业功能变更再增加应用软件的使用规模时，不额外再支付应用软件的费用，只需增加相关的硬件设备。同时控制应用软件规模的加密措施也对企业方完全开放，企业