關(guān)于金融IC卡國(guó)內(nèi)外檢測(cè)認(rèn)證內(nèi)容介紹
世界各國(guó)對(duì)銀行卡產(chǎn)品的檢測(cè)認(rèn)證管理均非常嚴(yán)格,無(wú)論是購(gòu)買(mǎi)銀行卡產(chǎn)品的銀行還是提供銀行卡產(chǎn)品的企業(yè)均要嚴(yán)格執(zhí)行統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。而進(jìn)入銀行卡網(wǎng)絡(luò)的產(chǎn)品是否符合統(tǒng)一的技術(shù)標(biāo)準(zhǔn),是由獨(dú)立于銀行和企業(yè)以外的第三方對(duì)銀行卡產(chǎn)品進(jìn)行功能檢測(cè)和安全評(píng)估等一系列檢測(cè)認(rèn)證,以保障銀行卡產(chǎn)品安全可靠和兼容通用。目前由Visa、MasterCard和JCB等國(guó)際組織聯(lián)合開(kāi)展的EMV產(chǎn)品檢測(cè)認(rèn)證最為成功,在全球的影響也最大。
1. 國(guó)際金融IC卡安全測(cè)試認(rèn)證情況
在IC卡安全測(cè)試認(rèn)證方面,國(guó)際上通常通過(guò)安全認(rèn)證的方式,對(duì)金融IC卡產(chǎn)品的安全性進(jìn)行評(píng)價(jià)和分級(jí),通過(guò)認(rèn)證機(jī)構(gòu)指定的專(zhuān)業(yè)安全檢測(cè)實(shí)驗(yàn)室對(duì)金融IC卡的安全性進(jìn)行檢測(cè)。目前國(guó)際上已有形成了較為成熟完善的金融IC卡安全認(rèn)證檢測(cè)體系,主要有CC認(rèn)證體系和EMVCo認(rèn)證體系兩類(lèi)。
EMV在IC卡及其終端機(jī)具應(yīng)用檢測(cè)認(rèn)證方面,要求國(guó)際銀行卡組織會(huì)員銀行發(fā)行和使用EMV卡及其受理終端機(jī)具必須符合統(tǒng)一的EMV標(biāo)準(zhǔn)。EMV產(chǎn)品提供商首先按照EMV標(biāo)準(zhǔn)設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)產(chǎn)品,然后提交EMV國(guó)際授權(quán)實(shí)驗(yàn)室根據(jù)EMV標(biāo)準(zhǔn)進(jìn)行嚴(yán)格的檢測(cè),檢測(cè)合格的產(chǎn)品由EMVCO頒發(fā)認(rèn)證證書(shū),國(guó)際銀行卡組織才準(zhǔn)許會(huì)員銀行采購(gòu)并進(jìn)入銀行卡交換網(wǎng)絡(luò),以確保銀行卡兼容通用和交易安全,維護(hù)持卡人和銀行的利益。
國(guó)際CommonCriteria 認(rèn)證體系(簡(jiǎn)稱(chēng)CC體系)認(rèn)證的產(chǎn)品范圍十分廣泛,其中智能卡是CC認(rèn)證的重要應(yīng)用領(lǐng)域之一。CC評(píng)估認(rèn)證工作已經(jīng)形成了相對(duì)成熟的流程和體系,針對(duì)不同的產(chǎn)品類(lèi)型CC認(rèn)可的實(shí)驗(yàn)室,選擇適當(dāng)?shù)臏y(cè)試依據(jù),開(kāi)展相關(guān)的評(píng)估測(cè)試工作。
根據(jù)國(guó)際銀行卡產(chǎn)品檢測(cè)認(rèn)證的成功經(jīng)驗(yàn),檢測(cè)和認(rèn)證是相輔相成、密不可分的。企業(yè)開(kāi)發(fā)出的產(chǎn)品,首先要到認(rèn)證機(jī)構(gòu)進(jìn)行注冊(cè),然后將產(chǎn)品提交檢測(cè)實(shí)驗(yàn)室進(jìn)行檢測(cè),取得檢測(cè)合格報(bào)告,最后獲得認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū),才能獲準(zhǔn)進(jìn)入市場(chǎng)。
2. 國(guó)內(nèi)金融IC卡安全測(cè)試認(rèn)證情況
在我國(guó)金融IC卡產(chǎn)業(yè)迅猛發(fā)展的背景下,中國(guó)銀聯(lián)本著對(duì)用戶和行業(yè)高度負(fù)責(zé)的態(tài)度建立銀聯(lián)芯片卡安全認(rèn)證體系,并在中國(guó)人民銀行的領(lǐng)導(dǎo)下組織銀行卡檢測(cè)中建立“國(guó)家金融IC卡安全檢測(cè)中心”,對(duì)銀聯(lián)品牌銀行卡所使用智能卡產(chǎn)品進(jìn)行集成電路安全檢測(cè)、嵌入式軟件安全檢測(cè)和應(yīng)用功能檢測(cè)。
其中銀聯(lián)芯片卡集成電路安全測(cè)試是三項(xiàng)測(cè)試的基礎(chǔ),集成電路芯片硬件和固件的安全性缺陷難以通過(guò)后天彌補(bǔ)。本測(cè)試主要考核集成電路產(chǎn)品抵抗侵入式攻擊、半侵入式攻擊和非侵入式攻擊的能力。測(cè)試從攻擊入手設(shè)立31個(gè)測(cè)試項(xiàng),全面評(píng)價(jià)送件產(chǎn)品的安全性。
本期我們主要簡(jiǎn)單介紹了一下金融IC卡國(guó)內(nèi)外檢測(cè)認(rèn)證內(nèi)容,下期我們將重點(diǎn)介紹“國(guó)家金融IC卡安全檢測(cè)中心”的情況,敬請(qǐng)關(guān)注、分享。