智能卡在銀行應(yīng)用中的安全控制
智能卡與磁條卡相比較,其優(yōu)勢不僅在于存儲容量的大幅度提高、應(yīng)用功能的加強和擴充,更重要的是CPU所提供的安全機制。在金融IC的安全機制中包括:認證功能、報文鑒別、交易驗證、電子簽名、安全報文傳送、應(yīng)用的獨立性、一整套的密鑰分散體系、密鑰的獨立性、先進的密鑰算法以及完備的密鑰管理系統(tǒng)。
由于CPU卡可以將密碼和加密算法保存在卡內(nèi),而且除密碼驗證方法外,還可借助隨機數(shù)和一些算法對密鑰進行認證,而密鑰保存在卡內(nèi),禁止讀出。這些安全機制大大提高了卡和系統(tǒng)的安全性。此外,采用內(nèi)SAM模塊,幫助POS及自助式終端設(shè)備完成密鑰的存放和算法的實現(xiàn),也使系統(tǒng)的安全性得到了進一步的提高,因此對脫機交易必須具有SAM模塊或安全芯片,才能保證系統(tǒng)的安全。
在柜員管理方面,由于CPU卡在安全控制方面的獨特設(shè)計, 用柜員CPU卡控制金融終端機的安全交易, 柜員的個人密鑰及信息被加密存放在CPU卡中,無法被盜用,在加密過程中,密鑰可以不出卡,安全級別最高,故CPU卡安全控管技術(shù)在POS等終端應(yīng)用中的推廣,將大大提高終端應(yīng)用的安全性。
智能卡的安全性具體表現(xiàn)在:
安全存儲:智能卡獨特的軟件硬件結(jié)構(gòu)增強了存儲密鑰的安全性,而且密鑰是以密文方式存儲在卡內(nèi),它只允許在符合條件時使用,否則根本無法讀出,這樣就杜絕了由于自己保管不善而泄漏密鑰的可能性。
安全使用:由于智能卡內(nèi)置了簽名認證、加密解密算法,因此密鑰的使用完全可以在卡內(nèi)完成,而且密鑰的每一次使用都需要驗證口令通過才可使用,杜絕了用戶在使用中泄漏密鑰的可能性,而存儲卡、磁卡則不能做到這一點。另外在智能卡上可以設(shè)置PIN口令保護,在使用過程中如果3次輸入錯誤的PIN碼,IC卡將被鎖死,需要解鎖碼解鎖,如果連續(xù)3次輸入錯誤的解鎖碼,IC卡則自動作廢,不可以再使用。
安全產(chǎn)生:一套完整的密鑰生成、密鑰分散體系是建立在密鑰完全可以控制在卡片內(nèi)產(chǎn)生的基礎(chǔ)上的。
根據(jù)金融交易中數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可鑒別性的安全控制原則,我們認為,利用智能卡技術(shù),在應(yīng)用中引進智能卡之間的雙向認證概念,可以使金融交易的安全性得到有效控制和保證。
1. 數(shù)據(jù)的保密性:對用戶密碼這一敏感數(shù)據(jù)需要加密傳輸,防止除接收方之外的第三方截獲密碼。
2. 數(shù)據(jù)的完整性:用消息認證碼防止非法用戶對金融交易報文的帳戶、金額、交易類型、主機的應(yīng)答處理等內(nèi)容,進行無意或惡意的假冒、篡改和刪除,防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù),保證交易報文完整。
3. 數(shù)據(jù)的可鑒別性:操作員對敏感數(shù)據(jù)進行電子簽名,如:交易帳號、交易金額、交易時間日期、交易終端號、交易流水號等進行有效的電子簽名,為銀行主機提供可靠的鑒別手段。
二、智能卡的應(yīng)用將能解決金融領(lǐng)域安全控制的一些問題
1. 操作員超權(quán)限違規(guī)操作
在管理上,對于個人管理的金融終端目前一般采用操作員密碼控制交易安全,為了工作方便,個人密碼有時就讓同事共享,在這種情況下,有可能會出現(xiàn)操作員超權(quán)限違規(guī)操作。
金融IC卡是充分利用其卡上的 "智能"特性,通過安全設(shè)置及存放各類密鑰與密碼、卡片與終端的認證、交易認證、電子簽名等,只要在金融終端上使用帶IC卡讀寫能力的金卡鍵盤,交易過程中增加操作員IC簽名能力, 超權(quán)限違規(guī)操作的隱患可以得到比較好的解決。
2. 金融磁卡使用過程中存在的問題
金融磁卡本身存在容易被復(fù)制的問題,只要讀出磁卡磁道上的信息,就可以在幾分鐘之內(nèi)復(fù)制出一張可以在商場POS、ATM等自助設(shè)備上使用的銀行卡。IC卡內(nèi)記錄的個人信息及密鑰可以被個人密碼、工作密鑰等安全保護,沒有被非法復(fù)制的可能。
另外,從在管理角度來看, 金融磁卡丟失后,非法持卡人在密碼輸錯的情況下可以臉不紅心不跳地說 "密碼記錯了" ,換個環(huán)境重新試密碼,而IC卡在脫機環(huán)境下還能夠有效控制非法持卡人試密碼次數(shù)。
從交易過程來看,雖然銀行能根據(jù)密碼鑒別持卡人的真實有效,但是對于磁卡人來說,他不能鑒別銀行的真實有效性,磁卡交易的安全控制集中在個人密碼上。由于交易報文可以分析,也就是說,在一些環(huán)節(jié)上,如果管理控制出了問題,磁卡人的密碼就是透明的。如果銀行內(nèi)部員工作弊,他可以通過分析POS或ATM交易報文,分析用戶的資金情況,分析用戶密碼等達到盜用用戶卡的目的。如果出現(xiàn)非法銀行或非法銀行端末設(shè)備,黑客可以獲得受騙磁卡人的磁道信息、個人密碼,從而達到非法制作金融磁卡,并在銀行真實環(huán)境取現(xiàn)的目的,如2001年廣東版<<金卡工程>>第二期報道的,第二宗假提款機金融詐騙在臺北出現(xiàn), 這宗金融詐騙通過在人口流動較大的臺北士林等鬧市放置冒充某私營銀行的流動提款機,騙取磁卡人的磁道信息和個人密碼,非法騙取上百人的四百多萬新臺幣。
金融IC卡是充分利用其卡上的"智能"特性,通過安全設(shè)置及存放各類密鑰與密碼、卡片與終端的認證、交易認證、電子簽名等,通過設(shè)計IC卡雙向認證的辦法來鑒別銀行和卡片的真實有效,同時密碼的修改、校驗等在只在卡內(nèi)進行,不用在網(wǎng)絡(luò)上傳輸。
3.信用的控制
信用卡透支或借記卡消費信貸的利息收入,也是銀行卡業(yè)務(wù)重要的收入來源。但目前國內(nèi)的個人信用水平相對懸殊,傳統(tǒng)的磁卡技術(shù)無法將每個持卡人的信用資料傳遞到特約商戶的交易環(huán)節(jié)以區(qū)別對待,主要是通過降低普遍的授信額度來控制風(fēng)險,這樣就抑制了大部分信用良好持卡人的信用消費。
與普通的磁條信用卡相比,由于能將余額和允許的透支額度存儲在IC卡芯片上,使客戶擁有一定的信用消費能力,使脫機消費成為可能,避免磁條卡出現(xiàn)的惡性透支現(xiàn)象。 IC卡可以安全地進行脫機交易,在IC卡內(nèi)部存儲有客戶基本資料(如姓名、證件類別、證件號)、帳戶余額、授權(quán)額度以及客戶的使用密碼PIN,在交易過程中,自動判別銀行IC卡的有效性,并記錄交易過程,無需復(fù)雜的人工授權(quán),這樣就簡化了交易過程,交易的安全性、速度和準確性也得以大大提高。此外,交易數(shù)據(jù)可用集中通訊方式與銀行交換數(shù)據(jù),對通訊的要求大大降低,有利于提高特約商戶接受銀行卡的熱情,從而擴大銀行卡的應(yīng)用領(lǐng)域,改善使用效果。
與以往的支付手段相比,金融智能卡以其獨到的安全特性,使得支付系統(tǒng)可以做到卡片不能被偽造,密鑰不會被泄漏,交易不會被篡改,銀行風(fēng)險降到最低??傊?,如果將使用IC卡作為銀行的一項長期投資來看,其回報前景是非常誘人的。
{$PAGE$}
三、智能卡應(yīng)用的安全設(shè)計
金融IC卡應(yīng)用系統(tǒng)的整體安全性是由主機、網(wǎng)絡(luò)、終端充分利用IC卡的安全機制而控制的。
一方面,應(yīng)用設(shè)計中需要注意以下幾個問題:
1.個人卡上的密鑰是絕對分散的,即每張卡上的密鑰各不相同。
2.存款和扣款必須使用不同的密鑰,存款必須是聯(lián)機的交易過程,須嚴格控制的是:存款密鑰絕對不能存放在終端內(nèi),因為通過應(yīng)用軟件來控制安全是無效的,對于終端有使用權(quán)的工程師來說,如果終端存有存款密鑰,可以等效于銀行的金庫。
3.終端和卡片之間需要雙向認證,終端需要檢查IC卡片的有效性,一個過期的和在黑名單上的IC卡應(yīng)拒絕執(zhí)行交易并鎖定卡片功能,同時卡片也需要認證終端。
4.對于金融IC卡的交易,在卡內(nèi)、終端內(nèi)及金融IC卡應(yīng)用系統(tǒng)主機上,均設(shè)有交易明細文件以備日后稽核。
另一方面,POS及自助式的終端設(shè)備在管理上不如主機和銀行系統(tǒng)內(nèi)部的專用網(wǎng)絡(luò)那樣容易實時監(jiān)控,IC卡的應(yīng)用則可大大提高終端設(shè)備在金融交易中的安全控制能力。下面我們結(jié)合新大陸電腦股份有限公司設(shè)計的NEWLAND 8100 POS和NEWLAND 8800卡自助終端來談一談終端領(lǐng)域的智能卡安全控制。
考慮到智能卡的未來無限的發(fā)展空間,新大陸的NEWLAND 8800卡自助設(shè)備在硬件設(shè)計上就具備了IC卡讀寫、PSAM卡、非接觸智能卡讀寫模塊,滿足查詢、改密、單據(jù)打印、卡充值、IC卡圈存、圈提、自助繳費等自助式客戶服務(wù)的需要,適用于銀行、證券交易所、電信大廳、校園、加油站、商場、超市等多種場所。另一款精心打造的IC精品NEWLAND 8100新型POS終端,采用專用的安全芯片,具備自毀功能,同時接收PSAM模塊,用于存儲金融交易的過程密鑰,具有極高的保密性;同時為了POS機具及操作員的安全管理,特別設(shè)計了操作員IC卡座,滿足柜員卡的應(yīng)用需要,可以在應(yīng)用系統(tǒng)的設(shè)計中,設(shè)計柜員CPU卡用以存儲POS及柜員的個人信息,以及簽到認證密鑰,用于生成隨機數(shù),加密傳輸密鑰等,從而達到真正有效的安全控管。
作為簽到申請密鑰的交易, 采用智能操作員卡, 在操作員卡的PIN通過后使用IC私有的交換密鑰申請工作密鑰, 使得交易密鑰得到有效的安全控制。
增加的PSAM卡控制模塊,是為了有效控制脫機交易:如扣款密鑰的安全性。由于加密簽名生成隨機數(shù)的過程都控制在卡片內(nèi),卡片與外界的交易接口單一,所有的交易在安全方面是可控制的。只要密鑰的個人化過程得到有效的安全控制,其功能特點上都將是不可仿真不可復(fù)制的。
對于用戶卡,如果丟失,不存在安全方面的問題。因為有個人PIN的保護,POS機具或自助卡終端在處理其存折交易過程時需要對持卡人的個人PIN進行校驗, 由于非法持卡人沒有合法密碼,連續(xù)3次或6次輸錯密碼后IC卡將自動鎖卡,而非法持卡人對IC的強行解鎖,只會導(dǎo)至IC卡的報廢。另外NEWLAND 8100 POS和NEWLAND 8800卡自助終端機具通過大容量空間的黑名單來管理非法持卡人持有的丟失卡和被盜卡。
NEWLAND 8100 POS和NEWLAND 8800卡自助終端中用來控制用戶IC卡的認證密鑰和扣款密鑰,保存在保密芯片或SAM卡上,在交易過程中,認證或扣款的密鑰運算都在保密芯片或SAM卡內(nèi)完成,從而防止了密鑰的泄露。保密芯片還具有自我保護的自毀功能,防止非法操作。對于保密芯片密鑰的安全管理,NEWLAND 8100 POS設(shè)計了獨立于應(yīng)用軟件模塊的專用的程序區(qū),用于POS終端的保密芯片密鑰的更改下載,而無需告訴應(yīng)用程序如何修改密鑰。同時NEWLand 8100 POS終端和NEWLAND 8800卡自助終端都具有安全的斷電保護功能,以確保交易記錄存儲的安全可靠性。
在IC卡交易之前,IC卡可以通過NEWLAND 8100 POS的安全芯片或SAM卡來驗證POS終端的合法有效性,同時POS驗證IC卡的合法有效性。由于POS終端不能非法產(chǎn)生有效的IC卡交易的電子簽名,故商戶也不可能修改已經(jīng)完成的交易數(shù)據(jù),同時不能偽造沒有用戶IC卡或用戶的IC卡交易失敗的交易數(shù)據(jù)。
對于脫機的IC卡改密、查詢余額、查交易明細,在IC卡及PSAM卡的支持下,交易過程控制在卡片內(nèi)進行。
四、產(chǎn)業(yè)現(xiàn)狀及應(yīng)用前景
銀行的信息化建設(shè)不僅僅是添置電腦和架設(shè)網(wǎng)絡(luò),事實上,智能卡這一領(lǐng)域及端末設(shè)備的智能卡環(huán)境建設(shè)也是信息化建設(shè)中一個很重要的部分。
利用一張便于攜帶的卡片來存儲數(shù)據(jù)信息的IC卡系統(tǒng),能夠替代很多用戶的復(fù)雜工作。IC卡內(nèi)存儲的數(shù)據(jù)使其可以作為紙幣、身份認證、密碼等事物的替代品,合多項功能為一體的方便性是終端個人用戶無法拒絕的。
IC卡系統(tǒng)在國內(nèi)市場上其實已經(jīng)不是新鮮事物,早在1993年,國內(nèi)便開始了"金卡工程"的建設(shè),其主要目的是實現(xiàn)銀行的智能卡式 "電子貨幣"系統(tǒng)。到目前為止,"金卡工程"已經(jīng)頗見成效,金融卡讀取系統(tǒng)被各銀行網(wǎng)點和零售企業(yè)廣泛采納,且金融卡片本身的應(yīng)用也已為個人消費者所接收。
由于智能卡的安全特性,它將為銀行業(yè)務(wù)帶來幾個方面的變化:1.安全的脫機交易,無需復(fù)雜的人工授權(quán),簡化了交易過程,降低了通信要求,有利于提高商戶的受卡熱情;2.提高了信用風(fēng)險的控制水平,有利于市場的開發(fā)和銀行卡業(yè)務(wù)的推廣;3.智能卡的安全體系,為網(wǎng)上消費、網(wǎng)上理財、網(wǎng)上證券等業(yè)務(wù)的安全控制提供了有力的保證,使得網(wǎng)上個人銀行業(yè)務(wù)出現(xiàn)了更多的商機。
據(jù)有關(guān)部門比較樂觀的預(yù)計,到2003年,大約一半的在線交易將利用智能卡技術(shù)以確保安全性。移動電話已經(jīng)采用了智能卡,對于銀行業(yè)務(wù)領(lǐng)域,銀行、零售商、個人用戶都很關(guān)心安全可靠的交易確認。促使法國開始從磁卡轉(zhuǎn)換到智能卡的初始原因是欺詐災(zāi)難,智能卡組織1999年5月的數(shù)據(jù)顯示自從法國使用智能卡10年來的欺詐率已經(jīng)下降了10倍,從1998年的0.18到1999年的0.018。在此期間交易次數(shù)從1998年的11.97億次到1999年的31.37億次,現(xiàn)在大約有3300萬張智能卡在法國流通。轉(zhuǎn)換到智能卡技術(shù)將減少卡欺詐尤其是偽造欺詐,同時智能卡也將為持卡者身份的校驗提供更多的機會。
我們期待著有一天我們的錢包里不再塞滿了各種各樣的卡,能用同一張雙接口卡(接觸/非接觸式)智能卡發(fā)動汽車,通過物理接觸進入辦公室,用這張卡安全登錄到計算機上,用電子錢包從食堂購買蛋糕,用這張卡在體操館證明身份。當然以上種種只是智能卡在新千年帶給我們的一些可能,更廣闊的應(yīng)用前景還需要我們大家一齊努力。