湛维昭， 张  森
（ 广州地铁设计研究院有限公司， 广州 510010）

 
摘    要： 随着移动支付技术的发展，快捷便利的支付方式成为城市轨道交通广大乘客对运营服务水平的迫切 需求。 分析宁波城市轨道交通实现于机移动支付的基本条件，即:于机终端内置近距离无线通信芯片、AFC系 统能够识别处理 IC卡数据及清分中心系统与于机之间的数据处理，重点介绍 SWP-SIM技术实现方式、AFC 系统读卡器选型、交易信息安全保障机制和基于金融标准的相关业务数据结构整体规划等工程实施关键技术 及重难点，描述轨道交通实现移动支付功能的基本业务流程。
关键词： 城市轨道交通； 金融标准； qPBOC3.0 标准； 于机移动支付； 自动售检票
中图分类号： F530.7    文献标志码： A    文章编号： 1672- 6073(2017)01 -0106-04
 

AppIicationofMobiIePaymentTechnoIogy Basedon FinanciaIStandardto Ningbo UrbanMassTransit
ZHANWeizhao, ZHANG Sen
（ Guangzhou  MetroDesign  &Research  InstituteCo.， Ltd.， Guangzhou 510010）

Abstract： With thedeve1opmentofmobi1epaymenttechno1ogy， fastand convenientpaymenthasbeen urgent1y needed forur- ban masstransitpassengers.Thebasicconditionsareana1yzed fortheapp1ication ofthemobi1epaymenttechno1ogy to Ningbo urban masstransit.Theimp1ementation modesofSWP-SIM techno1ogy， AFCsystem card  readerse1ection， transaction  infor- mation security mechanism and overa11datap1anning based on financia1standardsarediscussed asthekey techno1ogiesand key points.Thebasicprocessofrea1izing themobi1epaymentforurban rai1transitisa1so presented.
Keywords： urban rai1transit； financia1standard； qPBOC3.0  Standard； mobi1epayment； AFCsystem

1    研究背景
       移动支付是指允许移动用户使用其移动终端（ 通 常是指于机） 对所消费的商品或服务进行账务支付的 一种服务方式。 继银行卡类支付、网络支付后，于机支 付俨然成为新宠。 随着移动互联网和近距离于机支付 技术的快速发展，以及国内三大移动运营商对移动近 距离支付应用的大力推广，于机移动支付的应用普及 已经势不 可 挡。 基 于 金融标准的 IC卡[1］ 以智能、安 全、便捷及多应用等特点受 到 世 界 各 国 的 重 视。 2013 年 2 月中国人民银行发布《 中国金 融 集 成 电 路（ IC） 卡规范（ V3.0） 》（ 以下简称 qPBOC3.0） ，同年总行批准宁 波市民卡作为全国金融多应用首批试点城市开展相关 应用推广工作。 与此同时，随着宁波轨道交通工程建 设的进行，宁波轨道交通首次将于机 NFC（ 近距离无线 通信芯片） 支付技术、城市一卡通技术、金融 qPBOC3.0 技术应用于城市轨道交通自动售检票 （ AFC） [2 3］ 领 域，并成功建设和开通运营，以传统支付方式无法比拟 的优势为乘客带来更快捷、更安全的支付体验。 宁波 在基于金融 qPBOC3.0 标准的于机移动支付技术应用 于城市轨道交通方面取得了一定的成功。

2     城市轨道交通实现移动支付的基本条件
        城市轨道交通为实现于机移动支付功能，在设计 和工程建设时需具备以下基本条件。
       1）  市民于 机 终 端 需 内 置 近 距 离 无 线 通 信 芯 片（nearfie1d communication，NFC）。  NFC技术［4］ 是一种短 距高频的无线电技术，能够实现主动和被动两种读取模 式，通信指标与轨道交通通用读卡器 I票卡指标相符。
       2）  当移动支付作为一种新的支付方式后，于机票 将作为一类新票种集成进入轨道交通 AFC系统。  AFC 系统能够识别处理基于金融标准的 IC卡数据，并对于 机中相关的交易数据进行处理。
       3）  城市轨道交通的线网清分中心系统还需新增 与于机 I银行卡数据管理中心（ 宁波为市民卡管理数据 中心） 的数据通信接口，在与轨道交通相关的于机移动 支付中，对其交易数据进行清分处理。
 

3    主程实施的关键技术及重难点
       基于金融标准的移动支付技术要在轨道交通取得 成功应用，需对以下关键技术和重难点进行研究，并提 出相应解决方案，如图 1 所示。

       1）  于 机 支 付 的 核 心 安 全 元 件 （ securitye1ement， SE） ［5］ 是以芯片形式存在的具有加密 I解密功 能的逻 辑电路，它能起到防止外部恶意解析攻击和保护数据 安全的作用。  根据 SE芯片所处位置的不同，NFC于机 一般可分为 SE在于机中的 NFC芯片全终端技术、SE 在于机 SD中的 SWP   SD技 术 和 SE在 SIM 卡 中 的 SWP  SIM技术［6］ 三种，其中 SWP  SIM技术可接受移 动运营商及市民卡公司（ 银行业） 双重密钥控制，安全 可控性高，能兼顾各方对数据安全独立控制和发行运 营维护统一管理的基本要求，而且产业链也较为成熟。 经多方测试，宁波轨道交通工程最终选用 SE在 SIM卡 中的 SWP  SIM技术，如图 2 所示。

       2）  根据中国人民银行相关规定，轨道交通自动售检票系统“  于款终端机具”  须取得银行卡检测中心金融检测安全认证［7］ 。  qPBOC3.0 认证主要分为 Leve11（ 电 气部分）、Leve12（ 应用部分） 两部分检测［8］ 。  目前行业 内一般根据读写器逻辑流程处理位置不同将其分为 “ 大”“ 小” 读卡器两种类型，其中“ 大” 读卡器是指票卡 所有业务操作流程及逻辑判断由读卡器自配处理器完 成，而不是由检票机 I售票机的工控机（ ECU） 实现。  为 方便银行卡检测中心的安全检测认证，自动售检票系 统读卡器选型应考虑采用行业“ 大” 读卡器设计方案， 这样实际工程可采用 “ 大” 读卡器作为 “ 于款终端机 具” 报送安全认证，而不需要整台检票机 I售票机。
       3）  为满足安全认证的需要，“ 大” 读卡器设计及产 品开发应符合《 金融银行卡部分符合中国金融集成电 路（ IC） 卡规范 终端规范》，主要包括终端硬件、初始化 应用、读写处理、交易处理、脱机认证、持卡人验证、联机处理等。
       4）  金融 qPBOC3.0  卡普遍采用 CPU卡 介质及非 对称密钥，与以往轨道交通常用的 M1 卡及建设部标准 对称密钥车票相比，CPU卡处理速度及非对称密钥逻 辑认证流程［9］ 相对复杂，读取时间较长。  为避免出现 轨道交通客流拥堵、刷卡失败率增加等风险，需在系统 设计 和 产 品 制 造 时 严 格 控 制 整 笔 交 易 时 间 指 标 在 500  ms以内。  宁波轨道交通工程分别采取了升级读卡 器处理器（ 采用当时先进的 ARM9 处理器），多方协商 精简金融卡离线交易流程，精简卡片存储数据结构等 多种措施， 最终确保宁波轨道交通对金融 qPBOC3.0 卡实测处理时间平均为 450  ms左右。
 

4    信息安全保障机制
       由于实际工程涉及轨道交通、金融、移动通信等多 行业和多主体之间的数据信息交互，其信息安全保障 及密钥设置机制尤为重要，主要体现在作为常规通信 应用及金融应用载体的于机 SIM 卡上。  因此在建设过 程中应对各方数据信息集中点的 SIM 卡信息安全制定严格安全保障机制，主要包括 3 方面。  首先，SIM 卡片 应通过银行卡 qPBOC3.0  EMV应用和（ U） SIM 卡应用 的检测要求；其次，SIM 卡片供应商应获得业务合作各 方（ 即运营商、一卡通公司及银行业） 共同认可；最后， SIM卡设置双重密钥控制以实现移动通信应用与金融 应用独立共存。
       为更好地处理 SIM 卡密钥控制权及有效保障信息 安全，实现于机支付功能的 SIM卡密钥数据结构应符合 JavaCard 和 GP规范。  依据 GP规范，SIM卡双重密钥分 为卡片主控密钥（KMC）和金融应用密钥（ ADMK），如图 3 所示。  考虑到于机 SIM卡一般由移动运营商发行，因 此卡片主控密钥由移动运营商掌握。  主控密钥可对移 动通信区域各类业务数据进行所有处理和操作，可以创 建或完全删除金融应用整体区域，但不能对金融业务内 部数据进行读取、修改或其他操作。  金融应用密钥由一 卡通公司掌握，一卡通公司可对卡中金融业务应用的区 域内部所有数据进行处理或操作。  在这种模式下，移动 运营商与一卡通公司（银行业） 之间权责清晰，双方的各 自应用能独立共存，从而确保各自数据的安全。

5    金融卡中有关业务的数据结构整体规划
       与旧标 准 相 比 较， 2013  年 2  月 正 式 颁 布 的  qP- BOC3.0 在第 14 部分“ 基于借记贷记应用的小额支付 扩展应用” 中新增加金融扩展行业的应用内容，分配了 专门的扩展应用文件模板，从而满足了金融 IC卡在地 铁、公交、高速公路收费、停车收费、铁路（ 高铁） 等领域 的多种应用。  金融 IC卡为扩展实现小额 消费多行业 应用，需要针对各个行业的实际应用，在 IC卡 数据层 面进行相应的数据结构整体规划。
       实际工程在遵循 qPBOC3.0 金融扩展行业交易规范的基础上，首先应采用金融扩展行业多应用产品数 据模板规划出金融扩展应用公共信息区的数据结构， 主要记录发卡相关信息、行业标识、设备代码和存款金 额等，其中在行业标识中为城市轨道交通业务规划出 专门的识别代码，具体内容如表 1 所示。

       此外还应专门规划轨道交通扩展应用信息区的数 据结构，主要记录轨道交通领域各类应用的相关信息， 例如进出站信息、换乘信息、交易信息和其他内部记录 信息等，如表 2 所示。

       当读卡器对金融 IC卡进行数据读写时，程序首先 处理金融扩展应用公共信息区的内容，当辨识出轨道 交通行业的识别代码后，处理程序将跳转读取金融卡 中轨道交通扩展应用信息区的内容并进行相应的数据 程序处理。
 

6    实现移动支付功能的基本业务流程
       城市轨道交通实现移动支付功能的基本业务流程 可分为以下几个环节，如图 4 所示。

6.1  SIM 卡生产环节
       1）  产品投产前，由银行、市民卡公司与 SIM 卡生 产商约定 NFC于机 SIM 卡中金融应用的初始预设密 钥信息，并确认金融应用安装的相关参数。
       2）  移动运营商、市民卡公司和银联共同向 SIM 卡供应商下达订单进行批量生产。
       3）  SIM 卡生产商进行卡片信息初始化处理，使用事 先约定的初始预设金融密钥创建金融应用的预设实例。

6.2  客户申报和金融密钥激活环节
       1）  客户在移动运营商指定的营业厅提出办卡申 请，经对客户 NFC于机核对无误，在申报审批通过后运 营商按照业务流程向客户发放 NFC  SIM卡。
       2）  在指定的移动运营商营业网点对客户资料进行核对之后，通过专线连接银联网络系统并调用银行卡服 务接口，进行远程应用下载。  应用下载的指令是以密文 形式传输，并由 SIM 卡中的过程密钥进行解密，传输过 程中的信息安全可以得到有效控制。  最终将金融应用 的预设密钥替换［10］ 为金融业务使用的真实密钥，从而 完成对 SIM卡中银行金融应用密钥的完全激活。
       3）  完成以上操作后客户于机 SIM 卡将开通金融 功能，用户便可使用相应的 APP软件客户端，对 SIM卡 中金融电子钱包进行预存充值等操作。

6.3  用户使用及系统后台数据处理环节
       1）  在实际使用过程中，客户使用 NFC  SIM 卡于 机在轨道交通车站通过右侧刷卡位置进行进 I出站消 费的终端操作。
       2）  在轨道交通 AFC系统的进 I出站检票机中，读 卡器将记录相应刷卡信息，并根据刷卡使用情况计算 出相关的交易数据，同时还会对于机支付交易数据进 行格式转换、打包压缩、数据上传等操作。
       3）  交易数据通过自动售检票车站及线路中央计算机系统上传至线网清分中心，实现交易清算、数据对 账入库和统计处理等功能。  线网清分中心与市民卡数 据处理中心进行交易核对后完成账务清算、付款等工 作。  宁波市民卡系统负责与移动运营商和银行系统进 行数据对接，完成最终的交易对账结算。

7   结语
       通过轨道交通 1 号线工程的建设，宁波市首次成 功将基于金融 qPBOC3.0 标准的于机移动支付技术应 用于城市轨道交通领域，为广大乘客带来了更快捷、更 便利和更安全的崭新消费体验，提升了宁波轨道交通 整体运营服务水平。  宁波城市轨道交通基于金融标准 的移动支付技术的成功应用经验可为国内其他城市轨 道交通工程提供参考借鉴。
 
 
收稿日期： 2016 02 22 修回日期： 2016 04 08
第一作者： 湛维昭，男，硕士，高级工程师，从事城市轨道交通自动化 领域研究和工程设计，zhanweizhao@dtsjy.com