1POS终端的关键软件设计
1.1通用CPU卡的密钥结构设计
通用CPU卡密钥管理系统是用来产生、保存、传递、分散、更新、销毁密钥的密钥管理工具.利用密钥系统完成POS机具所用SAM卡的生成和用户卡片的洗卡,洗卡是对出厂白卡进行主控密钥替换的过程.洗卡时进行以下操作:在生产商密钥(卡片主控密钥)的控制下,更新卡片主控密钥;利用卡片主控密钥,装载卡片维护密钥;利用卡片的维护密钥,更新卡片CDF区域的文件[3,4];在卡片主控密钥的控制下,装载应用主控密钥;在应用主控密钥的控制下,装载应用维护密钥;利用应用主控密钥,装载应用主工作密钥;利用应用维护密钥,安全更新卡片ADF区域的文件[5].下面给出与中国移动一卡通CPU卡与2.4GCPU卡规范兼容的CPU卡结构设计[6],密钥结构见图1.通用CPU卡片在发行时,建立一个ADF1脱机钱包应用,该应用做为一卡通应用的默认应用[2].如果一卡通用户需要其他的应用时,可根据需要自己建立其他的应用,其他应用在建立时都依赖卡片主控密钥,在卡片主控密钥的控制下装载该子应用下的应用密钥.
1.2M1卡的密钥结构设计
M1卡密钥体系的设计,总共使用了两组密钥,它们是扇区根密钥和传输密钥,这两组密钥都是8字节密钥,扇区密钥对特定的因子进行DES加密后产生M1卡的扇区密钥,而传输密钥对POS机的脱机交易报文进行一定方式的DES运算后得到报文验证码.M1和CPU卡的上述密钥结构设计,解决了引起卡片不能兼容使用的第一个问题.密钥载入是从用户密钥卡中读取与POS机相关的密钥文件,然后把密钥文件组装后,写入POS机内部的一个PSAM卡中.中国移动一卡通密钥系统的SAM卡生成由中国移动公司管理,只需装入POS机的另一个PSAM卡中.
1.3密钥系统对多钱包多应用的支持
密钥体系一共有3类密钥,分别是中国移动一卡通版CPU卡密钥、通用版CPU卡密钥和M1卡密钥,其中中国移动一卡通版CPU卡的密钥体系已经实现了多钱包多应用的功能,而且密钥管理系统可独立使用.M1卡的多钱包多应用的扇区密钥采用同一根密钥进行分散.CPU卡(SIM卡)的多钱包技术采用多个应用的方法来实现,也就是一个钱包对应一个应用.对于每个应用来说,相应的就需要有应用管理密钥(应用主控密钥和应用维护密钥)和针对不同功能的应用密钥,例如:联机钱包应用必须有联机交易鉴权密钥和联机交易TAC密钥,身份识别应用有身份识别密钥等.使用卡片主控密钥中的PIN码作为脱机钱包的PIN码.CPU卡(SIM卡)在用户处注册时,如果要建立除了ADF1以外的其他应用,首先要建立应用AD-Fx,然后在该应用下建立KEY文件,在KEY文件中添加应用主控密钥,应用主控子密钥由应用主控主密钥一级分散后得到,把得到的子主控密钥再在卡片主控密钥(发行密钥)的控制下以DES&MAC的方式载入.
1.4POS离线交易流水报文
为确保POS机在整个一卡通系统的通用性,POS机必须包含中国移动一卡通POS机的所有报文数据项[6],同时增加M1卡、通用CPU卡卡片种类信息,以增加其通用性(见表1).表1中的报文数据项确保了几种卡片交易的通用性[7],解决了卡片不能兼容使用的第二个问题.
1.5POS机离线交易流程
M1卡和通用CPU卡的离线钱包交易应用与中国移动一卡通的规范相对应,M1卡片的应用号为卡片的M扇区号,通用CPU卡片的n号应用对应M1卡片的n号扇区的应用,这些关键设计保证了不同卡片之间钱包应用的一致性,解决了卡片不能兼容使用的第三个问题.基于CPU卡和M1卡离线交易处理的关键流程分别见图2、图3.TAC码的计算方法:从交易报文的机具序列号开始,每8个字节为一组,一共分为7组,最后一组缺少的6个字节以0x800x000x000x000x000x00补齐,然后每组依次对应异或,共异或8次,得到一组8字节异或数据,然后把这组数据用通讯密钥加密,加密后的前4个字节作为通讯报文验证码.M1卡和通讯CPU卡的TAC用此方法计算.中国移动一卡通卡片CPU卡的TAC由卡片COS计算得到.POS检验CPU卡片的有效性主要通过检查卡片的启用标志、卡类别标志、应用序列号、启动日期、有效日期、日累计消费限额、逻辑卡号、日累计消费额和最后一次交易日期信息确定.卡片的黑名单验证则利用卡片的逻辑卡号到POS机的黑名单区查找卡片是否为黑名单[6].卡片钱包的有效性,主要根据卡片的余额是否超过系统规定的钱包最大余额数,以及是否足够支付当前的消费来判定[7].M1卡片钱包的有效性主要包含值块钱包的主块和备份块数据的合法性、应用状态块合法性、钱包的日消费限额和日消费次数、钱包应用的有效期、限次判定,卡片写应用的消费信息主要包括写入卡片的日累计消费额、写入卡片的日累计消费次数、写入卡片的最后一次交易时间、写入卡片的累计消费次数,卡片的存储交易记录主要更新卡片的扇区记录、存储卡片上传流水,把交易记录存储到1号块,原来1号块的记录转存到2号块.
2设计创新点
2.1用位图模式存储帐户黑白名单管理算法
离线POS机一般采用持卡人承担交易风险的模式,考虑到业务的需要,我们设计了离线交易的卡片帐户认证管理.为了实现离线状态下POS机对卡片的认证,需要解决卡片在POS机内的存储和查找问题.POS机一般采用单片机设计,存储空间比较小,不超过256K.如果在POS机内存储卡片的物理号,每个物理号为4个字节(移动2.4G卡为8个字节),100万张卡片占用4MB的空间,存储空间不够.新发行一张卡片下发到POS机,对卡片重新排序的时间为100×log(100)万次,因此,在POS机内按照卡片的物理卡号排序是无法实现的.为此,提出了一种在POS机内采用卡片逻辑卡号的黑白名单管理算法,将发行的IC卡按照逻辑卡号编码,写入卡片扇区.卡片逻辑卡号与POS机FALSH存储空间的存储位一一对应.大大节省了存储空间,100万张卡片只需要62K的存储空间.如果系统发行了n张卡,则在POS机内查找一个逻辑卡号的时间为O(n).新增一张卡片只需要对其逻辑卡相应存储区位写1操作,废止一张卡只需要将其相应存储位写0操作.
2.2移动一卡通系统的卡片结构和报文协议
改进了移动一卡通系统的卡片数据存储格式和通讯协议,使卡片按照应用分类存储交易流水,一旦出现账卡不一致,可通过卡片和POS机双方历史记录进行追溯,实现系统的自维护性.
3结语
采用上述设计的POS机,性能指标通过了相关测试[8],配套的多卡合一系统,在测试阶段,发行卡片数量为100万张,服务器连接2台交易前置机,每台交易前置机连接网关数量为4个,每个网关带32台POS机的情况下,POS机读卡响应时间在1s以内,系统下发到POS机卡片挂失信息的时间<5s,完成一笔交易,POS机读写卡片时间<2s,POS机交易数据传输到数据库系统的时间为25笔/s.采用该设计的应用系统运行良好.
作者:郭明超 单位:兰州大学 信息科学与工程学院
