國密算法在金融IC卡及移動支付中的應(yīng)用與思考

　　信息安全是近年來的熱門話題。從國家安全委員會的設(shè)立，到政府部門對Windows 8 操作系統(tǒng)及部分國外安全產(chǎn)品的禁用，都可見國家對信息安全的重視。與此同時，人民銀行也高度重視金融業(yè)的信息安全問題，要求商業(yè)銀行堅決貫徹“安全可控”的政策要求，以推動金融機(jī)構(gòu)信息安全的發(fā)展。對商業(yè)銀行而言，隨著移動互聯(lián)網(wǎng)、云計算和大數(shù)據(jù)等新技術(shù)的實際應(yīng)用，也迫使其積極提升對信息安全的管理。但信息安全是一個非常廣泛的課題，如何尋找切入點，穩(wěn)步推進(jìn)安全可控進(jìn)程，是銀行亟待解決的問題。

　　2010 年國家商用密碼管理辦公室陸續(xù)發(fā)布了SM 系列算法，并建立了一套完善的國產(chǎn)密碼產(chǎn)品安全檢測認(rèn)證體系，不僅為國產(chǎn)密碼算法的應(yīng)用奠定了基礎(chǔ)，也為安全可控創(chuàng)造了條件。根據(jù)有關(guān)要求，到2019 年末，銀行業(yè)金融機(jī)構(gòu)的信息技術(shù)安全可控率須達(dá)到75%。針對此目標(biāo)，對于大量采用國外技術(shù)的銀行機(jī)構(gòu)來說難度很大。特別是在密碼算法方面，目前銀行大多采用國外密碼算法。商業(yè)銀行要全面更換國密算法，面臨著涉及系統(tǒng)多、投入大、協(xié)調(diào)難度高、缺乏相關(guān)專業(yè)知識和人才儲備等實際問題，因此大都持謹(jǐn)慎和觀望的態(tài)度。

　　成都銀行在經(jīng)過大量的調(diào)研后，針對當(dāng)前銀行業(yè)發(fā)展的熱點，從銀行自身需求出發(fā)，結(jié)合未來銀行業(yè)IT 的發(fā)展要求，形成了一套基于國密算法，滿足全方位、多渠道、跨平臺的系統(tǒng)安全解決方案，以支撐銀行業(yè)務(wù)發(fā)展。

　　一、國密算法，安全基石

　　成都銀行首先制定了國密算法改造的主體框架，如圖1 所示。根據(jù)該主體框架，逐步實現(xiàn)國密算法的全面應(yīng)用。該主體框架涉及的各項工作范圍廣泛，既相對獨立，又緊密聯(lián)系。為此，該行擬優(yōu)先選擇金融IC 卡和移動支付作為國密算法試點的突破口，計劃通過開展遵循國密算法的金融IC 卡、網(wǎng)上銀行、一卡多應(yīng)用和移動金融等業(yè)務(wù)的升級改造，以實現(xiàn)全新的安全便民服務(wù)目標(biāo)。

　　要完成國密算法的改造，首先需先對銀行的IC卡和網(wǎng)銀業(yè)務(wù)進(jìn)行全面梳理。通過對系統(tǒng)的改造，使整個業(yè)務(wù)系統(tǒng)中涉及加解密有關(guān)的各類安全點，均采用國密算法實現(xiàn)，以有效消除使用國外密碼算法所帶來的金融安全風(fēng)險。

　　其次，依托移動金融安全可信公共服務(wù)平臺(MTPS)及可信服務(wù)管理系統(tǒng)(TSM)，采用支持國密算法的大容量金融IC卡芯片，實現(xiàn)金融IC 卡一卡多應(yīng)用及信息共享。同時，采用新一代多功能移動互聯(lián)網(wǎng)終端模式，實現(xiàn)部分網(wǎng)銀和安全應(yīng)用分發(fā)功能，解決IC卡多應(yīng)用分發(fā)通道的安全性和便利性問題。

　　最后，在移動金融方面，該行希望通過移動多應(yīng)用支付業(yè)務(wù)，擴(kuò)展金融IC 卡的應(yīng)用領(lǐng)域，將利民便民理念轉(zhuǎn)化為現(xiàn)實。該行移動金融方面的國密改造思路是：在基于硬件安全可信單元(SE)模式下，采用國密算法，實現(xiàn)線上業(yè)務(wù)和線下業(yè)務(wù)的同步發(fā)展。其中，線上業(yè)務(wù)包括空中開卡、空中圈存、在線支付和在線購票等;線下業(yè)務(wù)包括電子現(xiàn)金、非接借貸記和相應(yīng)的公交、地鐵和醫(yī)療衛(wèi)生等行業(yè)應(yīng)用。

　　二、基礎(chǔ)一致，場景一體

　　該行在推進(jìn)國密算法在金融IC 卡領(lǐng)域的多向發(fā)展過程中，既采用了新的終端模式和受理平臺，又結(jié)合了原有的業(yè)務(wù)設(shè)施和技術(shù)儲備?；趪芩惴ㄔ诮鹑陬I(lǐng)域應(yīng)用中所涉及業(yè)務(wù)之間的關(guān)系如圖2 所示。

　　國密算法是整個業(yè)務(wù)安全的基矗其中，在IC卡芯片和移動支付所采用的硬件SE 支持國密算法后，可將國密算法應(yīng)用到IC卡發(fā)卡、IC 卡交易、網(wǎng)銀和移動支付等多個環(huán)節(jié)。通過改造IC卡發(fā)卡業(yè)務(wù)和受理渠道，將國密算法運(yùn)用到IC卡一卡多應(yīng)用模式中。通過與各方TSM 系統(tǒng)的對接，并依托原有的IC 卡管理系統(tǒng)、發(fā)卡系統(tǒng)及網(wǎng)銀系統(tǒng)，提升移動支付模式的安全性和可用性。

　　要實現(xiàn)國密算法在IC卡和移動支付中的運(yùn)用，有兩個難點需要突破：一是對IC 卡多應(yīng)用分發(fā)渠道的安全性進(jìn)行有效保護(hù)。該行計劃采用新的移動互聯(lián)網(wǎng)終端，解決在非可控移動終端環(huán)境下的應(yīng)用分發(fā)安全可控問題。其主要功能包括安全認(rèn)證、IC 卡應(yīng)用分發(fā)以及電子現(xiàn)金圈存、基于PBOC 安全標(biāo)準(zhǔn)的線上線下支付和查詢等。二是實現(xiàn)基于安全可信單元SE 的移動支付模式，以滿足《中國人民銀行關(guān)于推動移動金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見》的相關(guān)要求。

　　三、金融IC卡國密算法改造

　　隨著金融IC卡的廣泛應(yīng)用，對其安全性的要求凸顯。在金融IC卡領(lǐng)域應(yīng)用國密算法，能有效降低因國外密碼算法不可控所帶來的系統(tǒng)性金融安全風(fēng)險。

　　該行根據(jù)自身的實際情況，經(jīng)充分調(diào)研和論證，選擇金融IC卡系統(tǒng)作為國密算法改造突破口。該行選擇金融IC卡作為國密算法應(yīng)用試點，主要是基于兩方面考慮。一是當(dāng)時該行金融IC 卡用戶數(shù)相對較少(約15 萬客戶)，項目實施的影響面相對可控;二是金融IC 卡系統(tǒng)，基本覆蓋了所有的密碼算法應(yīng)用場景，其改造的成功經(jīng)驗對后期國密算法全面推廣具有較高參考價值。

　　1. 改造目標(biāo)

　　為使國密算法穩(wěn)步、全面應(yīng)用于金融IC卡系統(tǒng)，該行將系統(tǒng)改造工作分為三個階段，并制定了階段性目標(biāo)。

　　階段一：完成對金融IC卡系統(tǒng)的改造，使其具備發(fā)行基于PBOC3.0 標(biāo)準(zhǔn)的IC卡;同時，系統(tǒng)應(yīng)支持發(fā)行單國密算法金融IC 卡和優(yōu)先使用國密算法的雙算法金融IC卡。

　　階段二：完成國密算法的受理渠道改造，為支持國密算法金融IC卡提供安全、可靠和暢通的交易渠道，并搭建全行未來國密算法應(yīng)用的整體安全體系。

　　階段三：實現(xiàn)國密算法下的金融IC卡多應(yīng)用。

　　2. 改造要點

　　國密算法改造主要涉及IC 卡發(fā)卡和交易環(huán)節(jié)的改造。目前，該行已經(jīng)完成了發(fā)卡環(huán)節(jié)相關(guān)系統(tǒng)的改造。發(fā)卡環(huán)節(jié)所涉及的系統(tǒng)主要有密鑰管理系統(tǒng)、數(shù)據(jù)準(zhǔn)備系統(tǒng)、卡片個人化系統(tǒng)以及密碼機(jī)和密碼服務(wù)平臺。

　　(1) IC卡發(fā)卡環(huán)節(jié)改造

　　密鑰管理系統(tǒng)改造主要是增加國密算法密鑰的生成和管理功能。系統(tǒng)完成改造后，可同時生成兩套密鑰及證書。數(shù)據(jù)準(zhǔn)備系統(tǒng)改造主要是新增國密算法相關(guān)密鑰和證書數(shù)據(jù)的模板和參數(shù)，并調(diào)整接口參數(shù)以適應(yīng)雙算法要求?？ㄆ瑐€人化系統(tǒng)改造主要包括：支持國密算法的密鑰分發(fā);卡片支持寫入國密算法相關(guān)密鑰和證書數(shù)據(jù);以及向卡片寫入業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)時，其安全保護(hù)采用國密算法。

　　密碼機(jī)國密改造通過更換密碼設(shè)備完成，其內(nèi)容主要包括支持SM2/SM3/SM4 算法;支持國密算法的ARQC、ARPC、TC、MAC 計算、PIN 計算、簽名驗簽和摘要計算等。

　　(2) IC卡交易環(huán)節(jié)改造

　　ATM 機(jī)具改造主要包括更換國密型號的密碼鍵盤以及算法，升級應(yīng)用的安全通信協(xié)議，使其支持國密算法。POS機(jī)具改造主要包括更換國密型號的外掛密碼鍵盤，或者采用國密認(rèn)證的PSAM 卡模塊、或者直接更換具備國密型號的POS 機(jī)。柜面國密改造要點為增加IC卡讀卡器對國密算法金融IC卡片的支持。ATMP/POSP 前置系統(tǒng)改造主要包括業(yè)務(wù)報文和系統(tǒng)接口改造。IC卡方面則通過采用大容量，且同時支持國密算法及國外密碼算法的芯片，為一卡多應(yīng)用做好儲備。

　　3. 改造進(jìn)展

　　目前，該行已完成了對原金融IC卡的發(fā)卡和密鑰管理等系統(tǒng)的改造，系統(tǒng)已具備發(fā)行國密算法的單算法IC卡和優(yōu)先使用國密算法的雙算法IC卡的能力。同時，該行正在對ATM 及POS 等機(jī)具進(jìn)行改造，以實現(xiàn)交易過程的國密應(yīng)用，確保系統(tǒng)交易和傳輸?shù)陌踩?。對于第三階段目標(biāo)，該行已確定了實施的具體方案，預(yù)計在2015 年底完成。

　　四、一卡多應(yīng)用探索

　　該行計劃采用硬件SE 以及移動互聯(lián)網(wǎng)終端，作為一卡多應(yīng)用的應(yīng)用分發(fā)、圈存及查詢等功能實現(xiàn)的載體，推動金融IC卡一卡多應(yīng)用業(yè)務(wù)發(fā)展。

　　首先，該行在選擇金融IC卡方面，優(yōu)先采用大存儲容量且支持國密算法芯片的金融IC卡。目前64K 的IC 卡已無法滿足多應(yīng)用的集成空間要求，在本次國密算法改造過程中，該行計劃采用新款大容量IC卡，逐漸替換老款小容量IC卡，為實現(xiàn)IC卡的多應(yīng)用打好基矗

　　同時，為了滿足高安全性的用戶需求，重點考慮終端安全環(huán)境及安全分發(fā)途徑兩個方面的安全性，該行提出了移動互聯(lián)網(wǎng)終端解決思路。在傳統(tǒng)移動金融及IC 卡多應(yīng)用環(huán)境下，最終IC卡應(yīng)用的發(fā)行多依靠移動終端操作系統(tǒng)調(diào)用SE 實現(xiàn)。為了實現(xiàn)應(yīng)用分發(fā)的安全可控，該行計劃依托目前高速發(fā)展的移動互聯(lián)網(wǎng)終端技術(shù)，將近場通訊模塊內(nèi)置于移動互聯(lián)網(wǎng)終端中，并內(nèi)置安全SE，這樣可實現(xiàn)三大功能。一是將其作為基礎(chǔ)UKEY，具備基本網(wǎng)銀認(rèn)證功能，在無線網(wǎng)絡(luò)環(huán)境下實現(xiàn)部分網(wǎng)銀功能;二是與應(yīng)用分發(fā)的主要平臺保持安全認(rèn)證機(jī)制，防止各類偽造攻擊發(fā)生;三是構(gòu)建安全SE 及COS(卡運(yùn)行系統(tǒng))，有效保障應(yīng)用分發(fā)承載平臺的安全可靠。

　　五、移動支付安全探索

　　目前，移動支付主要有硬件SE 和HCE(Host card emulation)兩種實現(xiàn)途徑。由于HCE 暫未得到有效論證，該行選擇SE 作為移動支付的安全核心，以確保用戶的信息安全。

　　移動金融安全設(shè)計實現(xiàn)的要點主要有：設(shè)計安全性較高的客戶端軟件，充分利用SE 進(jìn)行安全防控，建立安全的移動金融客戶端與SE 雙向認(rèn)證機(jī)制，提供可靠的移動金融客戶端與安全單元通訊機(jī)制。

　　該行采用支持國密算法的SD 卡以及SIM 卡，作為移動安全支付憑證及存儲載體。其中，該行SD 卡模式采用柜面發(fā)放空白卡，空中激活的機(jī)制。目前系統(tǒng)已建成，并投產(chǎn)運(yùn)行，其發(fā)卡及卡激活流程如下：柜員在柜面系統(tǒng)中對客戶證件等信息進(jìn)行驗證后，發(fā)放空白卡給客戶;客戶通過APP 發(fā)起空中開卡交易，并將請求發(fā)送至TSM 管理平臺;TSM 管理平臺收到激活請求后，與人總行MTPS 系統(tǒng)進(jìn)行登記驗證，建立可信通道;可信通道建立后，由TSM 管理平臺通過VPN線路轉(zhuǎn)發(fā)交易請求至該行的TSM 前置系統(tǒng);TSM 前置收到交易請求后，將請求轉(zhuǎn)發(fā)至銀行后臺業(yè)務(wù)系統(tǒng)，完成SD 卡個人化數(shù)據(jù)準(zhǔn)備，并返回TSM 管理平臺;最后由APP 寫入SD 卡中，完成SD 卡的空中發(fā)卡。

　　SIM 卡模式的發(fā)卡由運(yùn)營商完成?？ㄆせ盍鞒膛cSD卡基本相同，只是TSM 管理平臺屬于不同的第三方。目前，該項工作正在推進(jìn)中。同時，該行希望通過將移動支付與社區(qū)服務(wù)結(jié)合，為不同客戶群體提供安全、快捷的服務(wù)。下一步，該行計劃在移動支付上新增征信查詢、電子發(fā)票和本地化的便民服務(wù)等功能，進(jìn)一步落實便民服務(wù)理念。