物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

金融IC卡:學(xué)國際經(jīng)驗(yàn) 行中國實(shí)踐

作者:杜寧
來源:《金融電子化》
日期:2014-10-11 10:43:12
摘要:總體看來,金融IC卡安全體系的核心要素主要包括芯片類型、脫機(jī)數(shù)據(jù)認(rèn)證模式、流程管理、多層次安全增進(jìn)等。以下,筆者將結(jié)合國際上幾個經(jīng)典的IC卡安全事件作為案例來分析上述因素對金融IC卡使用安全性的重大影響,并介紹中國在這方面的實(shí)踐。
關(guān)鍵詞:磁條卡金融IC卡芯片

  在我國銀行卡的發(fā)展歷程中,銀行磁條卡憑借技術(shù)簡單、推廣較易等優(yōu)勢獲得了快速發(fā)展,銀行卡已進(jìn)入百姓日常生活中,成為當(dāng)前使用最多的非現(xiàn)金支付工具。但隨著信息技術(shù)的高速發(fā)展,由于可輕易被全卡復(fù)制的劣勢,磁條卡無法從根本上防范被仿造,而被越來越多的犯罪集團(tuán)所利用,對持卡人賬戶資金的安全造成了嚴(yán)重威脅。與此同時(shí),集成電路和芯片的技術(shù)與應(yīng)用逐漸成熟,銀行卡介質(zhì)由磁條向芯片過渡成為發(fā)展潮流。

  近年來,人民銀行立足我國的實(shí)際情況,從解決人民群眾對安全、方便、快捷的金融支付服務(wù)的迫切需要入手,大力推進(jìn)金融IC卡及其在公共服務(wù)領(lǐng)域應(yīng)用,推動我國金融IC卡進(jìn)入了發(fā)展的快車道。

  作為銀行磁條卡的升級產(chǎn)品,金融IC卡以高安全性和多應(yīng)用靈活性等優(yōu)點(diǎn),開始得到更多持卡人的青睞。但需要指出的是,金融IC卡的高安全性并非“與生俱來”,而是建立在一套完備的安全體系之上的。如果這套安全體系設(shè)計(jì)得不科學(xué)、不嚴(yán)密、不合理,金融IC卡安全性就可能會受到影響??傮w看來,金融IC卡安全體系的核心要素主要包括芯片類型、脫機(jī)數(shù)據(jù)認(rèn)證模式、流程管理、多層次安全增進(jìn)等。以下,筆者將結(jié)合國際上幾個經(jīng)典的IC卡安全事件作為案例來分析上述因素對金融IC卡使用安全性的重大影響,并介紹中國在這方面的實(shí)踐。

金融IC卡:學(xué)國際經(jīng)驗(yàn) 行中國實(shí)踐

  一、芯片類型的選擇

  全球知名網(wǎng)站“YouTube”上曾播出過“不法分子持非接觸式讀卡器接近持卡人口袋中的非接觸式IC 卡來獲取卡片信息并仿制卡片”的視頻,這就是廣為人知的“MifareClassic 芯片”(以下簡稱M1 卡)破解事件。其實(shí)早在2008 年,普洛茨(德國研究員)和諾爾(美國佛吉尼亞大學(xué)在讀博士)指出,M1 卡的安全算法核心是一個16 字節(jié)的隨機(jī)數(shù),可以通過反向工程,逐層分析邏輯電路單元,發(fā)現(xiàn)隨機(jī)數(shù)產(chǎn)生的規(guī)律,進(jìn)而破解整個加密體系。那么,金融IC卡是否會受到M1 卡片安全事件的影響呢?這涉及到金融IC卡的芯片選擇問題。按芯片類型分類,IC卡可分為存儲卡和CPU 卡兩大類。存儲卡是一種早期IC 卡產(chǎn)品,只有單純的存儲數(shù)據(jù),沒有安全保護(hù)機(jī)制,沒有數(shù)據(jù)的組織管理,通常存儲量也很小。而邏輯加密卡是相對普通存儲卡而言更安全的存儲卡,它通過硬件邏輯電路實(shí)現(xiàn)簡單的密碼訪問保護(hù),在外部訪問邏輯加密卡的存儲單元之前,由邏輯電路對輸入的密碼數(shù)據(jù)的合法性進(jìn)行校驗(yàn)。但是,同一款邏輯加密卡的缺點(diǎn)在于,其被應(yīng)用的越廣泛,硬件加密機(jī)制就越有可能被破解而公開?!癥ouTube”視頻中被破解的M1 就是一種被最廣泛使用的邏輯加密卡。由于邏輯加密卡技術(shù)實(shí)現(xiàn)難度較CPU 卡簡單,且價(jià)格低廉,曾廣泛應(yīng)用于地鐵、公交、校園、停車場、門禁等許多領(lǐng)域。

金融IC卡:學(xué)國際經(jīng)驗(yàn) 行中國實(shí)踐

  而CPU 卡內(nèi)的集成電路包括中央處理器(CPU)、可編程只讀存儲器(EEPROM)、隨機(jī)存儲器(RAM)和只讀存儲器(ROM)等。如果把存儲卡比作U 盤,那么CPU 卡則相當(dāng)于一臺沒有顯示器和鍵盤的電腦,通過讀寫控制與對稱、非對稱加密算法體系等技術(shù)措施,大大提高了卡片內(nèi)部數(shù)據(jù)防破解和竊取能力。

  金融IC卡基于銀行信用的基本屬性,事關(guān)持卡人的資金安全,對芯片類型的選擇一直采取“就高不就低”的態(tài)度。不論是國際上通行的IC卡基礎(chǔ)規(guī)范 ——EMV 規(guī)范(EMV:Europay、MasterCard、Visa 首字母的連寫,特指最初由此三家銀行卡國際組織聯(lián)合制定的金融IC 卡標(biāo)準(zhǔn)),還是我國實(shí)際應(yīng)用的《中國金融集成電路(IC)卡規(guī)范》,都一直采用CPU 卡作為金融IC卡的芯片選型。

  二、脫機(jī)數(shù)據(jù)認(rèn)證模式的使用

  英國是開展銀行卡芯片化遷移最早的國家,也是實(shí)施最快的國家之一。英國在推動此項(xiàng)工作的早期(2005 年之前),在脫機(jī)交易中一直使用靜態(tài)數(shù)據(jù)認(rèn)證(SDA)手段進(jìn)行脫機(jī)認(rèn)證。SDA 的安全度雖然比磁條高出很多,但罪犯分子還是很容易取得賬戶數(shù)據(jù)與銀行數(shù)字簽名以制作偽卡,離線交易的風(fēng)險(xiǎn)依然很高。隨著非接觸式支付應(yīng)用和小額支付應(yīng)用等脫機(jī)交易日益增多,英國境內(nèi)的偽卡欺詐損失并未得到很好的遏制。2004 年英國境內(nèi)偽卡欺詐損失金額仍高達(dá)1.06 億英鎊,打擊了英國推行金融IC卡工作的積極性。

  借記/ 貸記應(yīng)用是金融IC卡最主要的應(yīng)用,其安全體系是由非對稱密鑰體系和對稱密鑰系統(tǒng)兩部分組成。非對稱密鑰體系主要用于借記/ 貸記應(yīng)用交易流程中的脫機(jī)數(shù)據(jù)認(rèn)證部分;對稱密鑰系統(tǒng)運(yùn)用于借記/ 貸記應(yīng)用聯(lián)機(jī)交易認(rèn)證部分。在非對稱密鑰體系中,脫機(jī)數(shù)據(jù)認(rèn)證又可分為靜態(tài)數(shù)據(jù)認(rèn)證和動態(tài)數(shù)據(jù)認(rèn)證。靜態(tài)數(shù)據(jù)認(rèn)證由終端使用基于公鑰技術(shù)的數(shù)字簽名方案來完成,其目的是確認(rèn)存放在IC 卡內(nèi)關(guān)鍵的靜態(tài)數(shù)據(jù)的合法性,并可以發(fā)現(xiàn)在卡片個人化以后對數(shù)據(jù)的未經(jīng)授權(quán)的改動??ㄆ瑹o須具備非對稱算法的運(yùn)算能力,所有計(jì)算都在終端完成,卡片成本較低,同時(shí)安全級別也較低。在早期芯片化遷移中,英國采用的技術(shù)標(biāo)準(zhǔn)是符合EMV96 規(guī)范的芯片卡UKIS 標(biāo)準(zhǔn),卡片只能進(jìn)行一次性個人化處理,采用靜態(tài)數(shù)據(jù)認(rèn)證方式,終端密鑰長度為1280 位,卡片有效期為3年。

{$page$}

  動態(tài)數(shù)據(jù)認(rèn)證由終端使用基于公鑰技術(shù)的數(shù)字簽名方案來完成,其目的是認(rèn)證存放在IC卡中的或由IC 卡生成的關(guān)鍵數(shù)據(jù)以及從終端收到的數(shù)據(jù)的合法性。這可以有效防止偽卡的產(chǎn)生。加載動態(tài)數(shù)據(jù)認(rèn)證的卡片必須具備非對稱算法的運(yùn)算能力,計(jì)算過程由卡片和終端共同完成,卡片成本較高,安全級別也高。2005 年以來,英國決定將靜態(tài)數(shù)據(jù)認(rèn)證逐步轉(zhuǎn)變?yōu)閯討B(tài)數(shù)據(jù)認(rèn)證,該國境內(nèi)偽卡欺詐損失金額隨之逐年大幅減少,2005 年下降到6380 萬英鎊,2007 年則降至3110 萬英鎊。

金融IC卡:學(xué)國際經(jīng)驗(yàn) 行中國實(shí)踐

  我國金融IC卡推廣過程中,充分借鑒了國際有關(guān)經(jīng)驗(yàn),引導(dǎo)各商業(yè)銀行只發(fā)行動態(tài)數(shù)據(jù)認(rèn)證以上安全級別的卡片,在這個問題上避免了“走回頭路”。

  三、流程管理

  正如電腦會遭受攻擊一樣,CPU 卡亦然。2010 年2 月,劍橋大學(xué)的研究人員發(fā)現(xiàn)EMV 標(biāo)準(zhǔn)的一個重大安全漏洞,攻擊者可利用此漏洞發(fā)起中間人攻擊,對終端和IC 卡之間的通訊信息進(jìn)行攔截和篡改,致使輸入任意PIN(個人識別碼,即人們?nèi)粘Kf的個人密碼)都能使用該IC 卡。具體而言,攻擊者通過使用一個電子設(shè)備作為支付終端和發(fā)卡機(jī)構(gòu)后臺系統(tǒng)的“中間人”,阻止把PIN 發(fā)送到發(fā)卡機(jī)構(gòu)的后臺系統(tǒng),并向終端發(fā)送“PIN 校驗(yàn)正確”的應(yīng)答,這樣就使非持卡人在不知道卡片真實(shí)脫機(jī)PIN 的情況下順利完成交易。

  這個案例啟示我們,IC卡作為一個安全載體,其安全特性不是獨(dú)立的,而是建立在一套完整的安全體系架構(gòu)之上。一般而言,一個完整的IC卡安全體系包括IC 卡、支付終端、發(fā)卡機(jī)構(gòu)、受理網(wǎng)絡(luò)以及持卡人5 個環(huán)節(jié)。任何一個中間環(huán)節(jié)安全出現(xiàn)問題都會對IC卡整個安全系統(tǒng)構(gòu)成威脅。處于安全系統(tǒng)核心地位的IC 卡,本身提供了一個計(jì)算平臺,既能安全地保存信息,又能安全地進(jìn)行各種計(jì)算。同樣,受理IC卡的支付終端,如常見的POS 和ATM 機(jī),也必須是一個安全的計(jì)算平臺。受理終端不僅包含性能較高的處理器、內(nèi)存、顯示器、輸入設(shè)備和通信接口,還包括供終端獲取持卡人特征信息的密碼輸入鍵盤或生物特征傳感器(如指紋掃描器等)。發(fā)卡機(jī)構(gòu)則通常負(fù)責(zé)提供卡片賬戶的后臺管理系統(tǒng),將持卡人的特征信息與卡的功能特征相聯(lián)系(如校驗(yàn)持卡人PIN 等),起到認(rèn)證機(jī)構(gòu)或信任中介的作用。持卡人作為IC 卡的所有人,可以輸入PIN,或者一些存儲在發(fā)卡機(jī)構(gòu)后臺系統(tǒng)或卡上的個人信息,從而進(jìn)入卡認(rèn)可的指定狀態(tài)。而受理網(wǎng)絡(luò)一般是公共網(wǎng)絡(luò),在受理網(wǎng)絡(luò)上傳輸?shù)慕灰仔畔⒖赡鼙槐O(jiān)視和獲取。

金融IC卡:學(xué)國際經(jīng)驗(yàn) 行中國實(shí)踐

  因此,要確保和提升金融IC卡的安全性,就要運(yùn)用全過程管理的理念,高度重視風(fēng)險(xiǎn)管理的整體設(shè)計(jì)和統(tǒng)籌規(guī)劃,從流程管理上考慮金融IC 卡應(yīng)用與信息處理過程中各環(huán)節(jié)的有機(jī)結(jié)合,從整體角度研判薄弱環(huán)節(jié)、防范風(fēng)險(xiǎn)點(diǎn)。例如,我國金融IC卡應(yīng)用不必?fù)?dān)心上述案例中提到的脫機(jī)PIN 驗(yàn)證方式存在的安全隱患。在我國銀行卡聯(lián)網(wǎng)通用工作開展伊始,即采用了基于聯(lián)機(jī)PIN 的單信息方式,國內(nèi)金融IC卡交易也無需使用脫機(jī)PIN 的驗(yàn)證方式。

  四、安全體系

  2010 年1 月,德國儲蓄銀行協(xié)會(DSGV)發(fā)表聲明稱,“千年蟲”發(fā)作的時(shí)間比預(yù)期晚了10 年,由于銀行IC卡的電腦芯片無法識別2010 年,導(dǎo)致持卡人在德國境內(nèi)和境外提款或付款時(shí)出現(xiàn)問題。受影響的金融IC卡包括該協(xié)會下的各銀行約2000 萬張“電子現(xiàn)金卡”(EC card)以及大約350 萬張信用卡。

  此事件警示我們,金融IC 卡的安全性不是單維度的,而是一個內(nèi)在的、多層次的“綜合體”:一是機(jī)密性,防止未經(jīng)授權(quán)的信息獲取;二是完整性,防止未經(jīng)授權(quán)的信息更改;三是真實(shí)性,通過一系列技術(shù)手段驗(yàn)證信息的真實(shí)性;四是持久性,指長時(shí)間信息保存的可靠性、準(zhǔn)確性等。

  事實(shí)上,金融IC卡的安全是自下而上的,從底層的芯片硬件安全,到中間層的芯片操作系統(tǒng)安全,一直到最上層的應(yīng)用安全。在硬件層面,金融IC 卡芯片電路設(shè)計(jì)時(shí)采 用了較完善的保護(hù)措施,可以有效防止對 IC卡的物理攻擊。

  在IC卡卡片制造過程中也采用了激光防偽標(biāo)識、簽名條等輔助安全技術(shù)。在芯片操作系統(tǒng)層面,金融IC卡也提供了相應(yīng)的安全措施,如IC 卡和終端設(shè)備通信的加密解密技術(shù)、IC卡和終端設(shè)備通信信息的認(rèn)證技術(shù)等。目前在金融領(lǐng)域,IC 卡聯(lián)機(jī)交易和脫機(jī)交易過程中,均采用密鑰加密措施。在應(yīng)用安全層面,不同的應(yīng)用均處于各自的安全域中,應(yīng)用與應(yīng)用之間通過防火墻進(jìn)行隔離以保證應(yīng)用的安全獨(dú)立,應(yīng)用本身也具有獨(dú)立和完整的應(yīng)用安全體系。

  為構(gòu)建金融IC 卡安全體系,金融行業(yè)從自身做起,嚴(yán)把標(biāo)準(zhǔn)關(guān)和檢測關(guān)。一是標(biāo)準(zhǔn)關(guān)。即,在標(biāo)準(zhǔn)制定伊始,就慎重考慮流程設(shè)計(jì)的合理性與可行性,并在標(biāo)準(zhǔn)正式頒布前,采用試點(diǎn)方式對標(biāo)準(zhǔn)內(nèi)容進(jìn)行符合性驗(yàn)證。二是檢測關(guān)。所有商業(yè)銀行新發(fā)行的金融IC 卡都須經(jīng)過標(biāo)準(zhǔn)符合性與系統(tǒng)安全性檢測。這不僅可以保證卡片符合標(biāo)準(zhǔn),同時(shí),也從硬件、操作系統(tǒng)和應(yīng)用三個層面保障卡片的安全性。值得一提的是,國家金融 IC 卡安全檢測中心項(xiàng)目于今年年初通過驗(yàn)收,該中心現(xiàn)已具備全部31 項(xiàng)芯片級安全檢測能力和66 項(xiàng)COS(Chip Operating System)級安全檢測能力,填補(bǔ)了我國金融領(lǐng)域芯片安全檢測的空白。 

  五、結(jié)論與下一步建議

  總體看,我國金融IC卡充分借鑒了國內(nèi)外IC 卡發(fā)展經(jīng)驗(yàn)。從芯片類型選擇、標(biāo)準(zhǔn)流程設(shè)計(jì)、安全體系管理以及安全性檢測體系等方面都充分考慮了安全性,為我國金融IC卡的系統(tǒng)安全性夯實(shí)了基礎(chǔ)。但是,金融IC 卡的整體體系安全還需各參與方和持卡人共同努力,補(bǔ)足短板,確保發(fā)卡和用卡安全。

  為進(jìn)一步加強(qiáng)我國金融IC卡安全體系建設(shè),筆者建議下一階段應(yīng)重點(diǎn)做好以下幾項(xiàng)工作:

  一是加強(qiáng)對IC卡的安全性研究,緊密跟蹤國際IC卡技術(shù)與應(yīng)用的最新趨勢,及時(shí)了解金融IC 卡安全應(yīng)用的最新動態(tài),對安全技術(shù)水平了然于胸,對安全威脅未雨綢繆。

  二是進(jìn)一步加強(qiáng)標(biāo)準(zhǔn)落地的檢測與認(rèn)證工作,變“入門檢測”為“常規(guī)認(rèn)證”,提升金融機(jī)構(gòu)對最新標(biāo)準(zhǔn)的響應(yīng)時(shí)間,防止因產(chǎn)品質(zhì)量等問題而引發(fā)的應(yīng)用安全隱患。 

  三是在解決“金融IC卡在部分國家(地區(qū))跨境使用,不得不應(yīng)用脫機(jī)PIN 等已暴露安全問題”的認(rèn)證手段時(shí),要從限額控制、持卡人教育和合作受理單位安全管控等多方面入手,保障持卡人資金安全。同時(shí),避免將脫機(jī)PIN與其他認(rèn)證方式建立強(qiáng)關(guān)聯(lián)。

  四是加強(qiáng)對持卡人用卡安全教育。如強(qiáng)調(diào)持卡人應(yīng)妥善保管卡片和密碼,如保管不當(dāng)也可能給持卡人帶來資金損失。如若鑰匙被盜,即便世上最安全的防盜門也將形同虛設(shè)。

人物訪談