公交卡等现场离线消费，如何进行安全验证？交易流程是如何的？
2012-01-19 20:34:08   来源：   点击：

2 个答案

• 答案 1：

  这类IC卡一般分四个区

  只读区：包含卡片版本、卡号、密钥等等卡基础信息（不可修改）

  信息区：包括姓名、卡状态、是否密码验证、最大消费金额等用户基础信息（可修改）

  金额区：充值累计金额、消费累计金额、目前余额、流水数量等金额信息（可修改）

  流水区：交易时间、交易金额、业务类型、系统流水等流水信息（可修改）

  正常情况下，首先读取只读区进行卡信息校验，然后记录信息区信息，写入金额区和流水区。安全验证，主要集中在只读区的校验和信息区密码上，然后上传报文 一般报文含有： 报文头基础信息、处理类型代码、系统跟踪代码、返回代码、终端号、商户号、交易流水附加数据 交易后上传的报文会保证后期对账的安全，当然，这种离线消费卡，卡如果丢失后未及时挂失，基本没什么安全保证

• 答案 2：

  公交卡发展至今，经过了几代演进，从广泛使用的基于Mifare标准的M1卡，从现在如火如荼的CPU卡，由于M1卡系逻辑加密卡，安全控制相对较弱，因此，我主要谈一谈CPU卡。 CPU卡之所以脱颖而出，完全是因为它的高可扩展性和安全性。由于，CPU卡采用了一卡一密，想比传统的逻辑加密卡具有很大的优势，也就是说即使某一张cpu卡被破解了（当然这只是理论上的），你也没法攻破我的整个密钥系统。 至于交易流程，现场脱机支付如何保证安全性，下面将给你介绍一下。CPU卡消费过程中，是通过和刷卡终端互相交互而完成的。在刷卡终端里有卡运营商配备的安全认证模块，通常称之为SAM卡，大小类似于手机里的SIM卡。这个小小的SAM卡完成和CPU卡在消费过程中的互相认证，即不光是SAM卡完成对卡的认证；同样，卡片也能对SAM卡进行校验。从而确保交易过程中的安全性。另外，可能大家很关心，脱机消费都是以文件的形式将消费记录上传给一卡通公司，那么是否存在记录伪造的可能。答案是：不可能。因为在每一条消费记录里，都有一个鉴权码，这个鉴权码专业上称为TAC码。这个TAC码的计算是SAM卡根据卡号、交易时间、交易金额等交易信息，通过制定的密钥计算出来的。一般人由于不可能知道卡片的密钥，所以根本不可能进行伪造。即便伪造了一条交易记录上传到一卡通公司后，一卡通公司的清算系统也会将这条交易揪出来！所以根本无法作假。