智能卡在银行应用中的安全控制
智能卡与磁条卡相比较,其优势不仅在于存储容量的大幅度提高、应用功能的加强和扩充,更重要的是CPU所提供的安全机制。在金融IC的安全机制中包括:认证功能、报文鉴别、交易验证、电子签名、安全报文传送、应用的独立性、一整套的密钥分散体系、密钥的独立性、先进的密钥算法以及完备的密钥管理系统。
由于CPU卡可以将密码和加密算法保存在卡内,而且除密码验证方法外,还可借助随机数和一些算法对密钥进行认证,而密钥保存在卡内,禁止读出。这些安全机制大大提高了卡和系统的安全性。此外,采用内SAM模块,帮助POS及自助式终端设备完成密钥的存放和算法的实现,也使系统的安全性得到了进一步的提高,因此对脱机交易必须具有SAM模块或安全芯片,才能保证系统的安全。
在柜员管理方面,由于CPU卡在安全控制方面的独特设计, 用柜员CPU卡控制金融终端机的安全交易, 柜员的个人密钥及信息被加密存放在CPU卡中,无法被盗用,在加密过程中,密钥可以不出卡,安全级别最高,故CPU卡安全控管技术在POS等终端应用中的推广,将大大提高终端应用的安全性。
智能卡的安全性具体表现在:
安全存储:智能卡独特的软件硬件结构增强了存储密钥的安全性,而且密钥是以密文方式存储在卡内,它只允许在符合条件时使用,否则根本无法读出,这样就杜绝了由于自己保管不善而泄漏密钥的可能性。
安全使用:由于智能卡内置了签名认证、加密解密算法,因此密钥的使用完全可以在卡内完成,而且密钥的每一次使用都需要验证口令通过才可使用,杜绝了用户在使用中泄漏密钥的可能性,而存储卡、磁卡则不能做到这一点。另外在智能卡上可以设置PIN口令保护,在使用过程中如果3次输入错误的PIN码,IC卡将被锁死,需要解锁码解锁,如果连续3次输入错误的解锁码,IC卡则自动作废,不可以再使用。
安全产生:一套完整的密钥生成、密钥分散体系是建立在密钥完全可以控制在卡片内产生的基础上的。
根据金融交易中数据的保密性、数据的完整性、数据的可鉴别性的安全控制原则,我们认为,利用智能卡技术,在应用中引进智能卡之间的双向认证概念,可以使金融交易的安全性得到有效控制和保证。
1. 数据的保密性:对用户密码这一敏感数据需要加密传输,防止除接收方之外的第三方截获密码。
2. 数据的完整性:用消息认证码防止非法用户对金融交易报文的帐户、金额、交易类型、主机的应答处理等内容,进行无意或恶意的假冒、篡改和删除,防止数据传送过程中信息的丢失和重复,保证交易报文完整。
3. 数据的可鉴别性:操作员对敏感数据进行电子签名,如:交易帐号、交易金额、交易时间日期、交易终端号、交易流水号等进行有效的电子签名,为银行主机提供可靠的鉴别手段。
二、智能卡的应用将能解决金融领域安全控制的一些问题
1. 操作员超权限违规操作
在管理上,对于个人管理的金融终端目前一般采用操作员密码控制交易安全,为了工作方便,个人密码有时就让同事共享,在这种情况下,有可能会出现操作员超权限违规操作。
金融IC卡是充分利用其卡上的 "智能"特性,通过安全设置及存放各类密钥与密码、卡片与终端的认证、交易认证、电子签名等,只要在金融终端上使用带IC卡读写能力的金卡键盘,交易过程中增加操作员IC签名能力, 超权限违规操作的隐患可以得到比较好的解决。
2. 金融磁卡使用过程中存在的问题
金融磁卡本身存在容易被复制的问题,只要读出磁卡磁道上的信息,就可以在几分钟之内复制出一张可以在商场POS、ATM等自助设备上使用的银行卡。IC卡内记录的个人信息及密钥可以被个人密码、工作密钥等安全保护,没有被非法复制的可能。
另外,从在管理角度来看, 金融磁卡丢失后,非法持卡人在密码输错的情况下可以脸不红心不跳地说 "密码记错了" ,换个环境重新试密码,而IC卡在脱机环境下还能够有效控制非法持卡人试密码次数。
从交易过程来看,虽然银行能根据密码鉴别持卡人的真实有效,但是对于磁卡人来说,他不能鉴别银行的真实有效性,磁卡交易的安全控制集中在个人密码上。由于交易报文可以分析,也就是说,在一些环节上,如果管理控制出了问题,磁卡人的密码就是透明的。如果银行内部员工作弊,他可以通过分析POS或ATM交易报文,分析用户的资金情况,分析用户密码等达到盗用用户卡的目的。如果出现非法银行或非法银行端末设备,黑客可以获得受骗磁卡人的磁道信息、个人密码,从而达到非法制作金融磁卡,并在银行真实环境取现的目的,如2001年广东版<<金卡工程>>第二期报道的,第二宗假提款机金融诈骗在台北出现, 这宗金融诈骗通过在人口流动较大的台北士林等闹市放置冒充某私营银行的流动提款机,骗取磁卡人的磁道信息和个人密码,非法骗取上百人的四百多万新台币。
金融IC卡是充分利用其卡上的"智能"特性,通过安全设置及存放各类密钥与密码、卡片与终端的认证、交易认证、电子签名等,通过设计IC卡双向认证的办法来鉴别银行和卡片的真实有效,同时密码的修改、校验等在只在卡内进行,不用在网络上传输。
3.信用的控制
信用卡透支或借记卡消费信贷的利息收入,也是银行卡业务重要的收入来源。但目前国内的个人信用水平相对悬殊,传统的磁卡技术无法将每个持卡人的信用资料传递到特约商户的交易环节以区别对待,主要是通过降低普遍的授信额度来控制风险,这样就抑制了大部分信用良好持卡人的信用消费。
与普通的磁条信用卡相比,由于能将余额和允许的透支额度存储在IC卡芯片上,使客户拥有一定的信用消费能力,使脱机消费成为可能,避免磁条卡出现的恶性透支现象。 IC卡可以安全地进行脱机交易,在IC卡内部存储有客户基本资料(如姓名、证件类别、证件号)、帐户余额、授权额度以及客户的使用密码PIN,在交易过程中,自动判别银行IC卡的有效性,并记录交易过程,无需复杂的人工授权,这样就简化了交易过程,交易的安全性、速度和准确性也得以大大提高。此外,交易数据可用集中通讯方式与银行交换数据,对通讯的要求大大降低,有利于提高特约商户接受银行卡的热情,从而扩大银行卡的应用领域,改善使用效果。
与以往的支付手段相比,金融智能卡以其独到的安全特性,使得支付系统可以做到卡片不能被伪造,密钥不会被泄漏,交易不会被篡改,银行风险降到最低。总之,如果将使用IC卡作为银行的一项长期投资来看,其回报前景是非常诱人的。
{$PAGE$}
三、智能卡应用的安全设计
金融IC卡应用系统的整体安全性是由主机、网络、终端充分利用IC卡的安全机制而控制的。
一方面,应用设计中需要注意以下几个问题:
1.个人卡上的密钥是绝对分散的,即每张卡上的密钥各不相同。
2.存款和扣款必须使用不同的密钥,存款必须是联机的交易过程,须严格控制的是:存款密钥绝对不能存放在终端内,因为通过应用软件来控制安全是无效的,对于终端有使用权的工程师来说,如果终端存有存款密钥,可以等效于银行的金库。
3.终端和卡片之间需要双向认证,终端需要检查IC卡片的有效性,一个过期的和在黑名单上的IC卡应拒绝执行交易并锁定卡片功能,同时卡片也需要认证终端。
4.对于金融IC卡的交易,在卡内、终端内及金融IC卡应用系统主机上,均设有交易明细文件以备日后稽核。
另一方面,POS及自助式的终端设备在管理上不如主机和银行系统内部的专用网络那样容易实时监控,IC卡的应用则可大大提高终端设备在金融交易中的安全控制能力。下面我们结合新大陆电脑股份有限公司设计的NEWLAND 8100 POS和NEWLAND 8800卡自助终端来谈一谈终端领域的智能卡安全控制。
考虑到智能卡的未来无限的发展空间,新大陆的NEWLAND 8800卡自助设备在硬件设计上就具备了IC卡读写、PSAM卡、非接触智能卡读写模块,满足查询、改密、单据打印、卡充值、IC卡圈存、圈提、自助缴费等自助式客户服务的需要,适用于银行、证券交易所、电信大厅、校园、加油站、商场、超市等多种场所。另一款精心打造的IC精品NEWLAND 8100新型POS终端,采用专用的安全芯片,具备自毁功能,同时接收PSAM模块,用于存储金融交易的过程密钥,具有极高的保密性;同时为了POS机具及操作员的安全管理,特别设计了操作员IC卡座,满足柜员卡的应用需要,可以在应用系统的设计中,设计柜员CPU卡用以存储POS及柜员的个人信息,以及签到认证密钥,用于生成随机数,加密传输密钥等,从而达到真正有效的安全控管。
作为签到申请密钥的交易, 采用智能操作员卡, 在操作员卡的PIN通过后使用IC私有的交换密钥申请工作密钥, 使得交易密钥得到有效的安全控制。
增加的PSAM卡控制模块,是为了有效控制脱机交易:如扣款密钥的安全性。由于加密签名生成随机数的过程都控制在卡片内,卡片与外界的交易接口单一,所有的交易在安全方面是可控制的。只要密钥的个人化过程得到有效的安全控制,其功能特点上都将是不可仿真不可复制的。
对于用户卡,如果丢失,不存在安全方面的问题。因为有个人PIN的保护,POS机具或自助卡终端在处理其存折交易过程时需要对持卡人的个人PIN进行校验, 由于非法持卡人没有合法密码,连续3次或6次输错密码后IC卡将自动锁卡,而非法持卡人对IC的强行解锁,只会导至IC卡的报废。另外NEWLAND 8100 POS和NEWLAND 8800卡自助终端机具通过大容量空间的黑名单来管理非法持卡人持有的丢失卡和被盗卡。
NEWLAND 8100 POS和NEWLAND 8800卡自助终端中用来控制用户IC卡的认证密钥和扣款密钥,保存在保密芯片或SAM卡上,在交易过程中,认证或扣款的密钥运算都在保密芯片或SAM卡内完成,从而防止了密钥的泄露。保密芯片还具有自我保护的自毁功能,防止非法操作。对于保密芯片密钥的安全管理,NEWLAND 8100 POS设计了独立于应用软件模块的专用的程序区,用于POS终端的保密芯片密钥的更改下载,而无需告诉应用程序如何修改密钥。同时NEWLand 8100 POS终端和NEWLAND 8800卡自助终端都具有安全的断电保护功能,以确保交易记录存储的安全可靠性。
在IC卡交易之前,IC卡可以通过NEWLAND 8100 POS的安全芯片或SAM卡来验证POS终端的合法有效性,同时POS验证IC卡的合法有效性。由于POS终端不能非法产生有效的IC卡交易的电子签名,故商户也不可能修改已经完成的交易数据,同时不能伪造没有用户IC卡或用户的IC卡交易失败的交易数据。
对于脱机的IC卡改密、查询余额、查交易明细,在IC卡及PSAM卡的支持下,交易过程控制在卡片内进行。
四、产业现状及应用前景
银行的信息化建设不仅仅是添置电脑和架设网络,事实上,智能卡这一领域及端末设备的智能卡环境建设也是信息化建设中一个很重要的部分。
利用一张便于携带的卡片来存储数据信息的IC卡系统,能够替代很多用户的复杂工作。IC卡内存储的数据使其可以作为纸币、身份认证、密码等事物的替代品,合多项功能为一体的方便性是终端个人用户无法拒绝的。
IC卡系统在国内市场上其实已经不是新鲜事物,早在1993年,国内便开始了"金卡工程"的建设,其主要目的是实现银行的智能卡式 "电子货币"系统。到目前为止,"金卡工程"已经颇见成效,金融卡读取系统被各银行网点和零售企业广泛采纳,且金融卡片本身的应用也已为个人消费者所接收。
由于智能卡的安全特性,它将为银行业务带来几个方面的变化:1.安全的脱机交易,无需复杂的人工授权,简化了交易过程,降低了通信要求,有利于提高商户的受卡热情;2.提高了信用风险的控制水平,有利于市场的开发和银行卡业务的推广;3.智能卡的安全体系,为网上消费、网上理财、网上证券等业务的安全控制提供了有力的保证,使得网上个人银行业务出现了更多的商机。
据有关部门比较乐观的预计,到2003年,大约一半的在线交易将利用智能卡技术以确保安全性。移动电话已经采用了智能卡,对于银行业务领域,银行、零售商、个人用户都很关心安全可靠的交易确认。促使法国开始从磁卡转换到智能卡的初始原因是欺诈灾难,智能卡组织1999年5月的数据显示自从法国使用智能卡10年来的欺诈率已经下降了10倍,从1998年的0.18到1999年的0.018。在此期间交易次数从1998年的11.97亿次到1999年的31.37亿次,现在大约有3300万张智能卡在法国流通。转换到智能卡技术将减少卡欺诈尤其是伪造欺诈,同时智能卡也将为持卡者身份的校验提供更多的机会。
我们期待着有一天我们的钱包里不再塞满了各种各样的卡,能用同一张双接口卡(接触/非接触式)智能卡发动汽车,通过物理接触进入办公室,用这张卡安全登录到计算机上,用电子钱包从食堂购买蛋糕,用这张卡在体操馆证明身份。当然以上种种只是智能卡在新千年带给我们的一些可能,更广阔的应用前景还需要我们大家一齐努力。