一卡通系统解决方案 - 图文(7)

一卡通系统解决方案

3.8.5. 多机构互联 3.8.5.1.

技术实现

构建覆盖各机构的统一网络体系，是一卡通应用的重要环节。

一般情况下，分支机构通过各自所在地的网络运营商接入互联网，使用VPN(虚拟隧道专用网络)技术进行总部和分支机构之间的网络互联。VPN隧道可视作总部和分支机构的专用数据通道，在开放的互联网上虚拟出逻辑隔离的数据通道，可有效保障跨地域异构网络之间的通信安全性。

分支机构的局域网络内，同样可以使用VLAN技术建设其内部专用的一卡通网络，这样，在总部和分支机构内，就建立了一个用于一卡通应用的专用“局域网”。通过这种组网方式，可以认为跨地域组织之间的一卡通应用是置于一个专属的大局域网，各地的常规办公网络和一卡通系统是隔离开来的，互不影响。

3.8.5.2. 组网方式

1) 各个分支机构配置一台服务器，作为一卡通系统在本区域的前置服务器，

承载数据汇集和预处理，以及和数据中心的数据交换； 2) 在总部网络出口处配置一台VPN网关，分支机构通过VPN技术，安全

访问总部的数据中心。 3) 总部和各分支机构可以通过租用运营商光纤或其它方式实现接入互联

网，建议总部选用高带宽的专线网络（IP固定、带宽独享）。 4) 总部和各分支机构内，采用VLAN技术实现虚拟的一卡通专网，可保障一卡通系统数据通信的安全和带宽。

31

一卡通系统解决方案

3.8.5.3. 网络拓扑示意图

32

一卡通系统解决方案

3.9. 智能卡选型

3.9.1. 选型概述

M1卡、CPU卡、金融IC卡、NFC手机卡等都属于IC卡，但是具有不同的属性和特性。

M1卡是上一代IC卡，采用简单的逻辑加密技术，存储空间较小，但成本较低。

CPU卡是真正意义上的“智能”卡，卡内的集成电路包括中央处理器（CPU）、EEPROM、随机存储器(RAM)、以及固化在只读存储器（ROM）中的片内操作系统(COS)。CPU卡由于具有微处理功能，使得在加密级别、交易速度以及数据抗干扰方面远远高于M1卡。

金融IC卡是由银行发行的银行卡，除了保有金融账户识别功能外，卡片内置独立的芯片，其卡空间可以被分配和加密后应用在一卡通体系内的消费、身份识别等场景，与银行卡的金融账户是完全独立的，实现了“银行卡”和“一卡通”的二合一。

NFC手机卡就是插入手机使用的SIM卡，随着IC卡技术的发展，内置了独立的芯片，同样，在保有手机号码入网的基础功能上，增加了可以被分配和加密的空余卡空间，实现了“手机卡”和“一卡通”的二合一。目前，三大运营商均推出了NFC手机一卡通的自有品牌，分别是中国移动的“和包”、中国联通的“沃支付”和中国电信的“翼支付”。

所以，金融IC卡和NFC手机卡在本质上都可以看作是一张CPU卡，拥有芯片级操作系统和硬件级加解密功能，拥有较大的存储空间，可以作为“一卡通”的人机交互的载体。

下表从多维角度对比了各种智能卡：

M1卡 CPU卡 金融IC卡 加密方式 逻辑加密 硬件加密 硬件加密 存储空间 1K ≥8K ≥8K 成本较低 高安全，客户自主发卡 高安全，与银行卡二合一 优势 劣势 空间小，有安全风险 银行发卡，客户二次发卡 NFC手机卡 硬件加密 ≥64K 高安全，与手机卡二合一，限定运营商 支持空中发卡、空中圈存 33

一卡通系统解决方案

3.9.2. 金融IC卡介绍

银联卡，就是发卡行识别码（BIN）经中国银联分配和管理，按照中国银联制定的银联卡业务规则和技术标准发行，卡面带有“银联”标识的银行卡。目前中国银联各成员机构发行的主要是“62”卡号开头的银联卡。

通常，银行卡卡号的前六位是用来表示发卡银行（机构）的，称为发卡行识别码（Bank Identification Number ，缩写为BIN）。目前全球通用银行卡BIN号由ISO（国际标准化组织）负责分配。2002年10月以来，中国银联向ISO申请了一批6字头BIN，并陆续分配给各家成员机构（发卡银行）使用。

3.9.2.1. PBOC标准银行IC卡概述

为了应对EMV迁移，人民银行早在2002年就开始对EMV迁移进行认真研究，并结合国内外银行IC卡现状和国内实际，制定了“先标准、后试点，先收单、后发卡，先外卡、后内卡”的发展策略。明确了在积极应对EMV迁移的同时，更应大力发展具有自主知识产权的银行IC卡产品。

根据上述情况，人民银行抓紧制订《中国金融集成电路(IC)卡规范》(简称PBOC2.0规范)并于2005年3月发布，之后相继批准了宁波、北京等地开展银联标准IC卡应用试点，希望以此推动国内银行IC卡的发展。

? 快捷性：采用非接触式刷卡，支付快捷。

? 便利性：卡内的电子钱包可以用于各类消费环境，真正做到“一卡在手，

生活无忧”。 ? 广泛性：同时具备金融功能和行业应用功能，既可以用于公共交通、行政事业性收费等领域，也可由一卡通服务提供商二次加密，应用在教育、企事业单位内部消费。 ? 扩展性：可对其进行个性化处理，并可进行应用下载。 ? 标准统一：采用最新金融标准，同时兼容各行业应用标准。

? 安全性：CPU智能IC卡可采用中国人民银行QPBOC2.0密钥体系（适用

于“闪付 Quickpass”功能）或标准国密密钥体系（适用于二次发卡的行业应用功能）。

3.9.2.2. 金融IC卡业务介绍

借记/贷记（传统银行卡账户）

34

一卡通系统解决方案

? 定位：实现银行卡的借记/贷记功能，是一种全新的、高安全的支付手

段，可以完全取代磁条卡。 ? 说明：借贷记产品可以实现磁条卡的所有功能，尽管在满足一定的条件

下可以脱机授权，但国内目前要求全部联机。 电子钱包（行业应用账户）

? 定位：完成满足各行业特定需求的脱机消费功能，与银行卡业务无关。 ? 说明：需要对金融IC卡空余卡空间进行二次加密。 电子现金（银行卡的“闪付”账户）

? 定位：在借记/贷记应用的基础上具备脱机小额支付的功能。利用借记/

贷记应用的计数器，构造卡片中的“余额”概念，确保对脱机风险的完全控制，防止从持卡人账户中透支余额；卡片可以无透支风险地脱机使用，直到划入的金额用完或再充值。 ? 说明：须使用银行专用自助设备进行充值，消费时不需要进行密码验证，

不记名、不挂失。

35