國密算法在金融IC卡及移動支付中的應用與思考

　　信息安全是近年來的熱門話題。從國家安全委員會的設立，到政府部門對Windows 8 操作系統及部分國外安全產品的禁用，都可見國家對信息安全的重視。與此同時，人民銀行也高度重視金融業的信息安全問題，要求商業銀行堅決貫徹“安全可控”的政策要求，以推動金融機構信息安全的發展。對商業銀行而言，隨著移動互聯網、云計算和大數據等新技術的實際應用，也迫使其積極提升對信息安全的管理。但信息安全是一個非常廣泛的課題，如何尋找切入點，穩步推進安全可控進程，是銀行亟待解決的問題。

　　2010 年國家商用密碼管理辦公室陸續發布了SM 系列算法，并建立了一套完善的國產密碼產品安全檢測認證體系，不僅為國產密碼算法的應用奠定了基礎，也為安全可控創造了條件。根據有關要求，到2019 年末，銀行業金融機構的信息技術安全可控率須達到75%。針對此目標，對于大量采用國外技術的銀行機構來說難度很大。特別是在密碼算法方面，目前銀行大多采用國外密碼算法。商業銀行要全面更換國密算法，面臨著涉及系統多、投入大、協調難度高、缺乏相關專業知識和人才儲備等實際問題，因此大都持謹慎和觀望的態度。

　　成都銀行在經過大量的調研后，針對當前銀行業發展的熱點，從銀行自身需求出發，結合未來銀行業IT 的發展要求，形成了一套基于國密算法，滿足全方位、多渠道、跨平臺的系統安全解決方案，以支撐銀行業務發展。

　　一、國密算法，安全基石

　　成都銀行首先制定了國密算法改造的主體框架，如圖1 所示。根據該主體框架，逐步實現國密算法的全面應用。該主體框架涉及的各項工作范圍廣泛，既相對獨立，又緊密聯系。為此，該行擬優先選擇金融IC 卡和移動支付作為國密算法試點的突破口，計劃通過開展遵循國密算法的金融IC 卡、網上銀行、一卡多應用和移動金融等業務的升級改造，以實現全新的安全便民服務目標。

　　要完成國密算法的改造，首先需先對銀行的IC卡和網銀業務進行全面梳理。通過對系統的改造，使整個業務系統中涉及加解密有關的各類安全點，均采用國密算法實現，以有效消除使用國外密碼算法所帶來的金融安全風險。

　　其次，依托移動金融安全可信公共服務平臺(MTPS)及可信服務管理系統(TSM)，采用支持國密算法的大容量金融IC卡芯片，實現金融IC 卡一卡多應用及信息共享。同時，采用新一代多功能移動互聯網終端模式，實現部分網銀和安全應用分發功能，解決IC卡多應用分發通道的安全性和便利性問題。

　　最后，在移動金融方面，該行希望通過移動多應用支付業務，擴展金融IC 卡的應用領域，將利民便民理念轉化為現實。該行移動金融方面的國密改造思路是：在基于硬件安全可信單元(SE)模式下，采用國密算法，實現線上業務和線下業務的同步發展。其中，線上業務包括空中開卡、空中圈存、在線支付和在線購票等;線下業務包括電子現金、非接借貸記和相應的公交、地鐵和醫療衛生等行業應用。

　　二、基礎一致，場景一體

　　該行在推進國密算法在金融IC 卡領域的多向發展過程中，既采用了新的終端模式和受理平臺，又結合了原有的業務設施和技術儲備。基于國密算法在金融領域應用中所涉及業務之間的關系如圖2 所示。

　　國密算法是整個業務安全的基矗其中，在IC卡芯片和移動支付所采用的硬件SE 支持國密算法后，可將國密算法應用到IC卡發卡、IC 卡交易、網銀和移動支付等多個環節。通過改造IC卡發卡業務和受理渠道，將國密算法運用到IC卡一卡多應用模式中。通過與各方TSM 系統的對接，并依托原有的IC 卡管理系統、發卡系統及網銀系統，提升移動支付模式的安全性和可用性。

　　要實現國密算法在IC卡和移動支付中的運用，有兩個難點需要突破：一是對IC 卡多應用分發渠道的安全性進行有效保護。該行計劃采用新的移動互聯網終端，解決在非可控移動終端環境下的應用分發安全可控問題。其主要功能包括安全認證、IC 卡應用分發以及電子現金圈存、基于PBOC 安全標準的線上線下支付和查詢等。二是實現基于安全可信單元SE 的移動支付模式，以滿足《中國人民銀行關于推動移動金融技術創新健康發展的指導意見》的相關要求。

　　三、金融IC卡國密算法改造

　　隨著金融IC卡的廣泛應用，對其安全性的要求凸顯。在金融IC卡領域應用國密算法，能有效降低因國外密碼算法不可控所帶來的系統性金融安全風險。

　　該行根據自身的實際情況，經充分調研和論證，選擇金融IC卡系統作為國密算法改造突破口。該行選擇金融IC卡作為國密算法應用試點，主要是基于兩方面考慮。一是當時該行金融IC 卡用戶數相對較少(約15 萬客戶)，項目實施的影響面相對可控;二是金融IC 卡系統，基本覆蓋了所有的密碼算法應用場景，其改造的成功經驗對后期國密算法全面推廣具有較高參考價值。

　　1. 改造目標

　　為使國密算法穩步、全面應用于金融IC卡系統，該行將系統改造工作分為三個階段，并制定了階段性目標。

　　階段一：完成對金融IC卡系統的改造，使其具備發行基于PBOC3.0 標準的IC卡;同時，系統應支持發行單國密算法金融IC 卡和優先使用國密算法的雙算法金融IC卡。

　　階段二：完成國密算法的受理渠道改造，為支持國密算法金融IC卡提供安全、可靠和暢通的交易渠道，并搭建全行未來國密算法應用的整體安全體系。

　　階段三：實現國密算法下的金融IC卡多應用。

　　2. 改造要點

　　國密算法改造主要涉及IC 卡發卡和交易環節的改造。目前，該行已經完成了發卡環節相關系統的改造。發卡環節所涉及的系統主要有密鑰管理系統、數據準備系統、卡片個人化系統以及密碼機和密碼服務平臺。

　　(1) IC卡發卡環節改造

　　密鑰管理系統改造主要是增加國密算法密鑰的生成和管理功能。系統完成改造后，可同時生成兩套密鑰及證書。數據準備系統改造主要是新增國密算法相關密鑰和證書數據的模板和參數，并調整接口參數以適應雙算法要求。卡片個人化系統改造主要包括：支持國密算法的密鑰分發;卡片支持寫入國密算法相關密鑰和證書數據;以及向卡片寫入業務數據和安全數據時，其安全保護采用國密算法。

　　密碼機國密改造通過更換密碼設備完成，其內容主要包括支持SM2/SM3/SM4 算法;支持國密算法的ARQC、ARPC、TC、MAC 計算、PIN 計算、簽名驗簽和摘要計算等。

　　(2) IC卡交易環節改造

　　ATM 機具改造主要包括更換國密型號的密碼鍵盤以及算法，升級應用的安全通信協議，使其支持國密算法。POS機具改造主要包括更換國密型號的外掛密碼鍵盤，或者采用國密認證的PSAM 卡模塊、或者直接更換具備國密型號的POS 機。柜面國密改造要點為增加IC卡讀卡器對國密算法金融IC卡片的支持。ATMP/POSP 前置系統改造主要包括業務報文和系統接口改造。IC卡方面則通過采用大容量，且同時支持國密算法及國外密碼算法的芯片，為一卡多應用做好儲備。

　　3. 改造進展

　　目前，該行已完成了對原金融IC卡的發卡和密鑰管理等系統的改造，系統已具備發行國密算法的單算法IC卡和優先使用國密算法的雙算法IC卡的能力。同時，該行正在對ATM 及POS 等機具進行改造，以實現交易過程的國密應用，確保系統交易和傳輸的安全。對于第三階段目標，該行已確定了實施的具體方案，預計在2015 年底完成。

　　四、一卡多應用探索

　　該行計劃采用硬件SE 以及移動互聯網終端，作為一卡多應用的應用分發、圈存及查詢等功能實現的載體，推動金融IC卡一卡多應用業務發展。

　　首先，該行在選擇金融IC卡方面，優先采用大存儲容量且支持國密算法芯片的金融IC卡。目前64K 的IC 卡已無法滿足多應用的集成空間要求，在本次國密算法改造過程中，該行計劃采用新款大容量IC卡，逐漸替換老款小容量IC卡，為實現IC卡的多應用打好基矗

　　同時，為了滿足高安全性的用戶需求，重點考慮終端安全環境及安全分發途徑兩個方面的安全性，該行提出了移動互聯網終端解決思路。在傳統移動金融及IC 卡多應用環境下，最終IC卡應用的發行多依靠移動終端操作系統調用SE 實現。為了實現應用分發的安全可控，該行計劃依托目前高速發展的移動互聯網終端技術，將近場通訊模塊內置于移動互聯網終端中，并內置安全SE，這樣可實現三大功能。一是將其作為基礎UKEY，具備基本網銀認證功能，在無線網絡環境下實現部分網銀功能;二是與應用分發的主要平臺保持安全認證機制，防止各類偽造攻擊發生;三是構建安全SE 及COS(卡運行系統)，有效保障應用分發承載平臺的安全可靠。

　　五、移動支付安全探索

　　目前，移動支付主要有硬件SE 和HCE(Host card emulation)兩種實現途徑。由于HCE 暫未得到有效論證，該行選擇SE 作為移動支付的安全核心，以確保用戶的信息安全。

　　移動金融安全設計實現的要點主要有：設計安全性較高的客戶端軟件，充分利用SE 進行安全防控，建立安全的移動金融客戶端與SE 雙向認證機制，提供可靠的移動金融客戶端與安全單元通訊機制。

　　該行采用支持國密算法的SD 卡以及SIM 卡，作為移動安全支付憑證及存儲載體。其中，該行SD 卡模式采用柜面發放空白卡，空中激活的機制。目前系統已建成，并投產運行，其發卡及卡激活流程如下：柜員在柜面系統中對客戶證件等信息進行驗證后，發放空白卡給客戶;客戶通過APP 發起空中開卡交易，并將請求發送至TSM 管理平臺;TSM 管理平臺收到激活請求后，與人總行MTPS 系統進行登記驗證，建立可信通道;可信通道建立后，由TSM 管理平臺通過VPN線路轉發交易請求至該行的TSM 前置系統;TSM 前置收到交易請求后，將請求轉發至銀行后臺業務系統，完成SD 卡個人化數據準備，并返回TSM 管理平臺;最后由APP 寫入SD 卡中，完成SD 卡的空中發卡。

　　SIM 卡模式的發卡由運營商完成。卡片激活流程與SD卡基本相同，只是TSM 管理平臺屬于不同的第三方。目前，該項工作正在推進中。同時，該行希望通過將移動支付與社區服務結合，為不同客戶群體提供安全、快捷的服務。下一步，該行計劃在移動支付上新增征信查詢、電子發票和本地化的便民服務等功能，進一步落實便民服務理念。