一种基于金融IC卡的数据准备全自动化系统及方法

摘要

一种基于金融IC卡的数据准备全自动化系统及方法，涉及金融IC卡个人化技术领域，包括前台、数据库和后台，前台包括门户展现模块，用于提供人工配置界面；WEB管理模块，用于导入公共模板，配置各种模板及系统参数，存入数据库；后台包括：制卡数据处理模块，用于获取制卡数据，并生成制卡请求任务；任务调度模块，用于将每个制卡请求任务拆分成原子任务；原子任务处理模块，用于从密钥管理服务器中获取至少IC卡密钥证书信息生成个人化数据；数据准备文件生成模块，用于个人化数据合成数据准备文件，按目标地址发送到不同的个人化服务器。本发明不需要人工拷贝操作，降低工作量和成本，减少人为造成的风险，增强银行IC卡数据的安全性。

说明书

技术领域

本发明涉及金融IC卡个人化技术领域，具体来讲是一种基于金 融IC卡的数据准备全自动化系统及方法。

背景技术

随着经济、科技的发展，芯片卡已经渗透到我们生活中的每个角 落，在金融、电信、公共交通、公共事业、社会保障等多个行业领域 中，随处可见芯片卡的身影。随着各类卡片在国内的普及，越来越多 的行业应用需要同金融应用整合，于是，结合行业应用的银行IC卡 将逐渐成为亮点。芯片卡多应用，即将多个不同功能的应用放在同一 张卡片上。随着IC卡上应用的增加，也增加了制卡数据的种类。

传统的制卡方式为：由人将制卡数据拷贝到光盘，再将光盘中的 数据上传到个人化服务器，最后销毁光盘。这种制卡啊方式依赖人工 操作，拷贝数据的地方与个人化服务器通常不在一个地方，这个过程 会延长IC卡个人化的周期，工作量大且成本较高；同时，拷贝的光 盘如有遗失，数据容易泄露，将增加银行IC卡数据安全的风险。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于金 融IC卡的数据准备全自动化系统及方法，采用自动获取制卡数据转 换成数据准备文件的方式，不需要人工拷贝操作，降低工作量和成本， 减少人为造成的风险，增强银行IC卡数据的安全性。

为达到以上目的，本发明提供一种基于金融IC卡的数据准备全 自动化系统，分别与一个制卡数据服务器、一个密钥管理服务器、多 个个人化服务器网络连接；所述基于金融IC卡的数据准备全自动化 系统包括前台、数据库和后台，所述前台包括门户展现模块，用于提 供人工配置界面；WEB管理模块，用于导入公共模板、配置应用模 板、配置输出模板及系统参数，并存入数据库；所述后台包括：制卡 数据处理模块，用于从制卡数据服务器获取制卡数据，并生成制卡请 求任务；任务调度模块，用于将每个制卡请求任务拆分成原子任务； 原子任务处理模块，用于所述原子任务从密钥管理服务器中获取至少 IC卡密钥证书信息生成个人化数据；数据准备文件生成模块，用于 所述个人化数据合成数据准备文件，按目标地址发送到不同的个人化 服务器。

在上述技术方案的基础上，所述制卡数据处理模块根据配置的时 间周期定期从制卡数据服务器获取一批制卡数据，任务调度模块根据 配置的时间周期定期批量处理制卡请求任务。

在上述技术方案的基础上，所述制卡请求模块包括接口模块，作 为客户端定时向制卡数据服务器发送制卡数据请求报文。

本发明还提供一种基于上述系统的数据准备全自动化方法，包括 如下步骤：S1.配置获取制卡数据的时间周期，配置至少一个个人化 服务器的地址，并登陆WEB管理模块，配置应用模板和配置输出模 板；S2.制卡数据处理模块根据时间周期从制卡数据服务器上获取一 批制卡数据，并生成一批制卡请求任务，将制卡数据及相对应的制卡 存放在数据库；S3.任务调度模块根据时间周期定期从数据库中获取 所有制卡请求任务，由制卡请求任务找到对应的制卡数据，批量处理 制卡数据生成多个原子任务；S4.原子任务执行时，从密钥管理服务 器至少获取IC卡对称密钥证书信息，生成个人化数据；S5.将来自同 一个制卡请求任务的所有个人化数据合并，生成数据准备文件，按照 系统配置参数，将数据准备文件传输到对应的个人化主机。

在上述技术方案的基础上，所述S1中，配置应用模板和输出模 板的方法具体为：

S11.通过WEB管理模块从导入IC卡金融规范中定义的模板；

S12.设计输出模板，设计不同IC卡数据准备文件模板；

S13.根据公共模板定制应用模板，同时要关联到一个输出模板。

在上述技术方案的基础上，所述S3中制卡数据生成原子任务的 步骤为：

S31.查询制卡数据密钥，提取制卡数据的3个密钥值；

S32.读取制卡数据，循环按行进行解密；

S33.判断制卡数据是否读取结束，若读取结束将执行解密完成的 文件放到数据库作为待处理文件，进入S34；若读取没有结束，返回 S32；

S34.判断数据库中是否还有制卡数据，若是，则返回S31；若否， 则进入S35；

S35.从数据库读取一个待处理文件，调用密钥管理服务器提供的 应用程序编程接口，对文件体解密；

S36解析上述待处理文件名称，查询其对应的应用模板信息，按 照应用模板解析文件体，拆分成原子任务。

在上述技术方案的基础上，所述S35中的具体步骤为：

S351.任务调度模块与所述密钥管理服务器建立连接，从数据库 中读取与密钥管理服务器预约的传输密钥；

S352.产生随机数，由传输密钥和随机数算出会话密钥；

S353.产生报文，报文分为报文头和报文体，报文头包含随机数， 原子任务处理模块向密钥管理服务器发送请求的内容作为报文体；

S354.发送报文给密钥管理服务器，若发送失败，则重发报文， 直至成功；

S355.任务调度模块接收并解密密钥管理服务器返回的报文。

在上述技术方案的基础上，所述S5中，数据准备文件处理流程 为：

S51.从数据库中，至少获取进程执行的场次、时间信息，生成结 果文件的进程信息；

S52.判断是否已经到达进程执行场次点，若已经到达，进入S53； 否则进入S59；

S53.从数据库查询生成结果文件的任务信息；

S54.从查询结果中读取一条任务信息，若读取成功，进入S55； 若读取不成功，进入S56；

S55.判断此时任务信息是否全部完成，若没全部完成，返回S54； 若全部完成，进入S59；

S56.调用生成结果文件的函数，若结果文件生成成功，进入S57； 否则进入S58；

S57.更新对应的任务状态为：结果文件生成完成；

S58.更新对应的任务状态为：结果文件生成异常；

S59.结束本次轮询进入睡眠状态。

本发明的有益效果在于：

1.自动获取制卡数据转换成数据准备文件的方式，不需要人工操 作，可大大降低人工工作量，提高了IC卡个人化的效率，减少人为 造成的风险。

2.本发明的系统采用组件化开发，结构清晰，系统搭建成本低； 还可以通过增加不同模块的运行数量，来提高数据的准备速度。

3.本发明完全符合中国人民银行PBOC2.0规范标准；产品遵循 国家密码管理局的安全体系规范；支持标准借贷记、小额支付、电子 现金等应用的卡数据准备与管理。

附图说明

图1为本发明实施例基于金融IC卡的数据准备全自动化系统的 应用网络图；

图2为本发明实施例基于金融IC卡的数据准备全自动化的系统 图；

图3为本发明基于金融IC卡的数据准备全自动化方法的流程图；

图4为图3中制卡数据生成原子任务的流程图；

图5为图4中调用密钥管理服务器提供的应用程序编程接口对文 件体解密的流程图；

图6为图3中数据准备文件处理流程图。

附图标记：前台1，门户展现模块11，WEB管理模块12，数据 库2，后台3，制卡数据处理模块31，任务调度模块32，原子任务处 理模块33，数据准备文件生成模块34。

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

如图1所示，为本发明基于金融IC卡的数据准备全自动化系统 的应用网络图。本发明基于金融IC卡的数据准备全自动化系统支持 一个制卡数据服务器、多个个人化服务器的模式，确保通讯过程中文 件的安全与完整。数据准备系统对外与一个制卡数据服务器、一个密 钥管理服务器、多个个人化服务器之间通过网络连接。用户通过PC 机的WEB界面配置系统参数及模板等。数据准备系统按配置的时间 定时从制卡数据服务器获取制卡数据，应用密钥管理服务器解密，并 将生成的数据准备文件按配置的目的地址发到个对应的人化服务器。 密钥管理服务器、每个个人化服务器均设置加密机。

如图1和2所示，本发明基于金融IC卡的数据准备全自动化系 统包括前台1、数据库2和后台3，所述前台1包括门户展现模块11， 用于提供人工配置界面；WEB管理模块12，用于导入公共模板、配 置应用模板、输出模板及系统参数，并存入数据库2；所述公共模板 为各卡组织或行业组织定义的标准化模板，应用模板为为特定发卡机 构在特定公共模板上、修改部分域段来完成，为其个性化定制服务； 输出模板是数据准备文件模板。所述后台3包括：制卡数据处理模块 31，根据配置的时间周期定期从制卡数据服务器获取一批制卡数据， 并生成制卡请求任务；任务调度模块32根据配置的时间周期定期批 量处理制卡请求任务，用于将每个制卡请求任务拆分成原子任务；原 子任务处理模块33，用于所述原子任务从密钥管理服务器中获取至 少IC卡密钥证书信息生成个人化数据；数据准备文件生成模块34， 用于所述个人化数据合成数据准备文件，按目标地址发送到不同的个 人化服务器。

其中，所述制卡数据处理模块31包括接口模块，用以作为定时 向制卡数据服务器发送制卡数据请求报文，制卡数据服务器收到请求 后，把制卡数据分多次响应报文返回，最后一个响应报文有结束标志， 表明制卡数据已经发送完毕，用以生成一批制卡任务。所述原子任务 处理模33块也包括接口模块，在执行原子任务时，向密钥管理服务 器发送获取IC卡密钥信息的请求报文，密钥管理服务器收到请求后 返回IC卡密钥证书等信息，用以生成数据准备文件。所述数据准备 文件生成模块34同样包括接口模块，在制卡任务完成时，向个人化 服务器发送数据准备文件，个人化服务器收到数据准备文件可以开始 对IC卡进行个人化。

如图3所示，本发明基于金融IC卡的数据准备全自动化方法的 流程如下：

S1.配置获取制卡数据的时间周期，配置至少一个个人化服务器 的地址，并登陆WEB管理模块，配置应用模板和配置输出模板。

S2.制卡数据处理模块根据时间周期从制卡数据服务器上获取一 批制卡数据，并生成一批制卡请求任务，将制卡数据及相对应的制卡 存放在数据库。

S3.任务调度模块根据时间周期定期从数据库中获取所有制卡请 求任务，由制卡请求任务找到对应的制卡数据，批量处理制卡数据生 成多个原子任务。

S4.原子任务执行时，从密钥管理服务器至少获取IC卡对称密钥 证书信息，生成个人化数据。

S5.将来自同一个制卡请求任务的所有个人化数据合并，生成数 据准备文件，按照系统配置参数，将数据准备文件传输到对应的个人 化主机。

所述S1中，配置应用模板和输出模板的方法具体为：

S11.通过WEB管理模块从导入IC卡金融规范中定义的模板。

S12.设计输出模板，设计不同IC卡数据准备文件模板。

S13.根据公共模板定制应用模板，同时要关联到一个输出模板。

如图4所示，所述S3中制卡数据生成原子任务的步骤为：

S31.查询制卡数据密钥，提取制卡数据的3个密钥值，本实施例 中提取key1、key2、key3的密钥值；

S32.读取制卡数据，循环按行进行解密。

S33.判断制卡数据是否读取结束，若读取结束将执行解密完成的 文件放到数据库作为待处理文件，进入S34；若读取没有结束，返回 S32。

S34.判断数据库中是否还有制卡数据，若是，则返回S31；若否， 则进入S35。

S35.从数据库读取一个待处理文件，调用KMS(Key Management  Service，密钥管理服务)器提供的API(Application Programming  Interface，应用程序编程接口)对文件体解密。任务调度模块会一直 从数据库读取待处理文件，一次读取之后，不论成功与否，马上进行 再一次的读取，以保证能够实时读取到待处理文件。

S36解析上述待处理文件名称，查询其对应的应用模板信息，按 照应用模板解析文件体，拆分成原子任务。

如图5所示，本实施例中，S35中调用密钥管理服务器提供的应 用程序编程接口对文件体解密的具体步骤为：

S351.任务调度模块与所述密钥管理服务器建立连接，从数据库 中读取与密钥管理服务器预约的传输密钥TK。

S352.产生随机数Randreq，由传输密钥TK和随机数Randreq算 出会话密钥TKreq。

S353.产生报文，报文分为报文头和报文体，报文头包含所述随 机数Randreq，原子任务执行时，原子任务处理模块向密钥管理服务 器发送请求，该请求的内容作为报文体，即会话密钥TKreq加密作为 报文体。

S354.发送报文给密钥管理服务器，若发送失败，则重发报文， 直至成功。

S355.密钥管理服务器用随机数Randreq及传输密钥TK解密出报 文体，返回相应的IC密钥证书等信息。返回的报文格式与上述发送 的报文格式相同，同样分为报文头和报文体，且其内部数据与发送报 文中携带的请求数据相对应，报文头包含密钥管理服务器随机产生的 随机数Randrse，由传输密钥TK和随机数Randrse算出会话密钥 TKres，将IC卡密钥证书等信息用TKres加密作为报文体。任务调度 模块接收密钥管理服务器返回的报文，解密报文。

如图6所示，所述S5中，数据准备文件处理流程为：

S51.从数据库中，获取进程执行的场次、时间等信息，生成结果 文件的进程信息。

S52.判断是否已经到达进程执行场次点，若已经到达，进入S53； 否则进入S59。

S53.从数据库查询生成结果文件的任务信息。

S54.从查询结果中读取一条任务信息，若读取成功，进入S55； 若读取不成功，进入S56。

S55.判断此时任务信息是否全部完成，若没全部完成，返回S54； 若全部完成，进入S59。

S56.调用生成结果文件的函数，若结果文件生成成功，进入S57； 否则进入S58。

S57.更新对应的任务状态为：结果文件生成完成。

S58.更新对应的任务状态为：结果文件生成异常。

S59.结束本次轮询进入睡眠状态。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员 来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰， 这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细 描述的内容属于本领域专业技术人员公知的现有技术。