淺析銀行應用中智能卡的安全控制

　一、智能卡的特點(diǎn)

　　智能卡與磁條卡相比較，其優(yōu)勢不僅在于存儲容量的大幅度提高、應用功能的加強和擴充，更重要的是CPU所提供的安全機制。在金融IC的安全機制中包括：認證功能、報文鑒別、交易驗證、電子簽名、安全報文傳送、應用的獨立性、一整套的密鑰分散體系、密鑰的獨立性、先進(jìn)的密鑰算法以及完備的密鑰管理系統。

　　由于CPU卡可以將密碼和加密算法保存在卡內，而且除密碼驗證方法外，還可借助隨機數和一些算法對密鑰進(jìn)行認證，而密鑰保存在卡內，禁止讀出。這些安全機制大大提高了卡和系統的安全性。此外，采用內SAM模塊，幫助POS及自助式終端設備完成密鑰的存放和算法的實(shí)現，也使系統的安全性得到了進(jìn)一步的提高，因此對脫機交易必須具有SAM模塊或安全芯片，才能保證系統的安全。

　　在柜員管理方面，由于CPU卡在安全控制方面的獨特設計, 用柜員CPU卡控制金融終端機的安全交易, 柜員的個(gè)人密鑰及信息被加密存放在CPU卡中，無(wú)法被盜用，在加密過(guò)程中，密鑰可以不出卡，安全級別最高，故CPU卡安全控管技術(shù)在POS等終端應用中的推廣，將大大提高終端應用的安全性。

　　智能卡的安全性具體表現在:

　　安全存儲：智能卡獨特的軟件硬件結構增強了存儲密鑰的安全性，而且密鑰是以密文方式存儲在卡內，它只允許在符合條件時(shí)使用，否則根本無(wú)法讀出，這樣就杜絕了由于自己保管不善而泄漏密鑰的可能性。

　　安全使用：由于智能卡內置了簽名認證、加密解密算法，因此密鑰的使用完全可以在卡內完成，而且密鑰的每一次使用都需要驗證口令通過(guò)才可使用，杜絕了用戶(hù)在使用中泄漏密鑰的可能性，而存儲卡、磁卡則不能做到這一點(diǎn)。另外在智能卡上可以設置PIN口令保護，在使用過(guò)程中如果3次輸入錯誤的PIN碼，IC卡將被鎖死，需要解鎖碼解鎖，如果連續3次輸入錯誤的解鎖碼，IC卡則自動(dòng)作廢，不可以再使用。

　　安全產(chǎn)生：一套完整的密鑰生成、密鑰分散體系是建立在密鑰完全可以控制在卡片內產(chǎn)生的基礎上的。

　　根據金融交易中數據的保密性、數據的完整性、數據的可鑒別性的安全控制原則，我們認為，利用智能卡技術(shù)，在應用中引進(jìn)智能卡之間的雙向認證概念，可以使金融交易的安全性得到有效控制和保證。

　　1. 數據的保密性：對用戶(hù)密碼這一敏感數據需要加密傳輸，防止除接收方之外的第三方截獲密碼。

　　2. 數據的完整性：用消息認證碼防止非法用戶(hù)對金融交易報文的帳戶(hù)、金額、交易類(lèi)型、主機的應答處理等內容，進(jìn)行無(wú)意或惡意的假冒、篡改和刪除，防止數據傳送過(guò)程中信息的丟失和重復，保證交易報文完整。

　　3. 數據的可鑒別性：操作員對敏感數據進(jìn)行電子簽名，如：交易帳號、交易金額、交易時(shí)間日期、交易終端號、交易流水號等進(jìn)行有效的電子簽名，為銀行主機提供可靠的鑒別手段。

　　二、智能卡的應用將能解決金融領(lǐng)域安全控制的一些問(wèn)題

　　1. 操作員超權限違規操作

　　在管理上，對于個(gè)人管理的金融終端目前一般采用操作員密碼控制交易安全，為了工作方便，個(gè)人密碼有時(shí)就讓同事共享，在這種情況下，有可能會(huì )出現操作員超權限違規操作。

　　金融IC卡是充分利用其卡上的 "智能"特性，通過(guò)安全設置及存放各類(lèi)密鑰與密碼、卡片與終端的認證、交易認證、電子簽名等,只要在金融終端上使用帶IC卡讀寫(xiě)能力的金卡鍵盤(pán)，交易過(guò)程中增加操作員IC簽名能力, 超權限違規操作的隱患可以得到比較好的解決。

　　2. 金融磁卡使用過(guò)程中存在的問(wèn)題

　　金融磁卡本身存在容易被復制的問(wèn)題，只要讀出磁卡磁道上的信息，就可以在幾分鐘之內復制出一張可以在商場(chǎng)POS、ATM等自助設備上使用的銀行卡。IC卡內記錄的個(gè)人信息及密鑰可以被個(gè)人密碼、工作密鑰等安全保護，沒(méi)有被非法復制的可能。

　　另外，從在管理角度來(lái)看, 金融磁卡丟失后，非法持卡人在密碼輸錯的情況下可以臉不紅心不跳地說(shuō) "密碼記錯了" ，換個(gè)環(huán)境重新試密碼，而IC卡在脫機環(huán)境下還能夠有效控制非法持卡人試密碼次數。

　　從交易過(guò)程來(lái)看，雖然銀行能根據密碼鑒別持卡人的真實(shí)有效，但是對于磁卡人來(lái)說(shuō)，他不能鑒別銀行的真實(shí)有效性，磁卡交易的安全控制集中在個(gè)人密碼上。由于交易報文可以分析，也就是說(shuō)，在一些環(huán)節上，如果管理控制出了問(wèn)題，磁卡人的密碼就是透明的。如果銀行內部員工作弊，他可以通過(guò)分析POS或ATM交易報文，分析用戶(hù)的資金情況，分析用戶(hù)密碼等達到盜用用戶(hù)卡的目的。如果出現非法銀行或非法銀行端末設備，黑客可以獲得受騙磁卡人的磁道信息、個(gè)人密碼，從而達到非法制作金融磁卡，并在銀行真實(shí)環(huán)境取現的目的，如2001年廣東版<<金卡工程>>第二期報道的，第二宗假提款機金融詐騙在臺北出現, 這宗金融詐騙通過(guò)在人口流動(dòng)較大的臺北士林等鬧市放置冒充某私營(yíng)銀行的流動(dòng)提款機，騙取磁卡人的磁道信息和個(gè)人密碼，非法騙取上百人的四百多萬(wàn)新臺幣。

　　金融IC卡是充分利用其卡上的"智能"特性，通過(guò)安全設置及存放各類(lèi)密鑰與密碼、卡片與終端的認證、交易認證、電子簽名等，通過(guò)設計IC卡雙向認證的辦法來(lái)鑒別銀行和卡片的真實(shí)有效，同時(shí)密碼的修改、校驗等在只在卡內進(jìn)行，不用在網(wǎng)絡(luò )上傳輸。

　　3.信用的控制

　　信用卡透支或借記卡消費信貸的利息收入，也是銀行卡業(yè)務(wù)重要的收入來(lái)源。但目前國內的個(gè)人信用水平相對懸殊，傳統的磁卡技術(shù)無(wú)法將每個(gè)持卡人的信用資料傳遞到特約商戶(hù)的交易環(huán)節以區別對待，主要是通過(guò)降低普遍的授信額度來(lái)控制風(fēng)險，這樣就抑制了大部分信用良好持卡人的信用消費。

　　與普通的磁條信用卡相比，由于能將余額和允許的透支額度存儲在IC卡芯片上，使客戶(hù)擁有一定的信用消費能力，使脫機消費成為可能，避免磁條卡出現的惡性透支現象。 IC卡可以安全地進(jìn)行脫機交易，在IC卡內部存儲有客戶(hù)基本資料(如姓名、證件類(lèi)別、證件號)、帳戶(hù)余額、授權額度以及客戶(hù)的使用密碼PIN，在交易過(guò)程中，自動(dòng)判別銀行IC卡的有效性，并記錄交易過(guò)程，無(wú)需復雜的人工授權，這樣就簡(jiǎn)化了交易過(guò)程，交易的安全性、速度和準確性也得以大大提高。此外，交易數據可用集中通訊方式與銀行交換數據，對通訊的要求大大降低，有利于提高特約商戶(hù)接受銀行卡的熱情，從而擴大銀行卡的應用領(lǐng)域，改善使用效果。

　　與以往的支付手段相比，金融智能卡以其獨到的安全特性，使得支付系統可以做到卡片不能被偽造，密鑰不會(huì )被泄漏，交易不會(huì )被篡改，銀行風(fēng)險降到最低�？傊�，如果將使用IC卡作為銀行的一項長(cháng)期投資來(lái)看，其回報前景是非常誘人的。

　　三、智能卡應用的安全設計

　　金融IC卡應用系統的整體安全性是由主機、網(wǎng)絡(luò )、終端充分利用IC卡的安全機制而控制的。

　　一方面，應用設計中需要注意以下幾個(gè)問(wèn)題：

　　1.個(gè)人卡上的密鑰是絕對分散的，即每張卡上的密鑰各不相同。

　　2.存款和扣款必須使用不同的密鑰，存款必須是聯(lián)機的交易過(guò)程，須嚴格控制的是：存款密鑰絕對不能存放在終端內，因為通過(guò)應用軟件來(lái)控制安全是無(wú)效的，對于終端有使用權的工程師來(lái)說(shuō)，如果終端存有存款密鑰，可以等效于銀行的金庫。

　　3.終端和卡片之間需要雙向認證，終端需要檢查IC卡片的有效性，一個(gè)過(guò)期的和在黑名單上的IC卡應拒絕執行交易并鎖定卡片功能，同時(shí)卡片也需要認證終端。

　　4.對于金融IC卡的交易，在卡內、終端內及金融IC卡應用系統主機上，均設有交易明細文件以備日后稽核。

　　另一方面，POS及自助式的終端設備在管理上不如主機和銀行系統內部的專(zhuān)用網(wǎng)絡(luò )那樣容易實(shí)時(shí)監控，IC卡的應用則可大大提高終端設備在金融交易中的安全控制能力。下面我們結合新大陸電腦股份有限公司設計的NEWLAND 8100 POS和NEWLAND 8800卡自助終端來(lái)談一談終端領(lǐng)域的智能卡安全控制。

　　考慮到智能卡的未來(lái)無(wú)限的發(fā)展空間，新大陸的NEWLAND 8800卡自助設備在硬件設計上就具備了IC卡讀寫(xiě)、PSAM卡、非接觸智能卡讀寫(xiě)模塊，滿(mǎn)足查詢(xún)、改密、單據打印、卡充值、IC卡圈存、圈提、自助繳費等自助式客戶(hù)服務(wù)的需要，適用于銀行、證券交易所、電信大廳、校園、加油站、商場(chǎng)、超市等多種場(chǎng)所。另一款精心打造的IC精品NEWLAND 8100新型POS終端，采用專(zhuān)用的安全芯片，具備自毀功能，同時(shí)接收PSAM模塊，用于存儲金融交易的過(guò)程密鑰，具有極高的保密性;同時(shí)為了POS機具及操作員的安全管理，特別設計了操作員IC卡座，滿(mǎn)足柜員卡的應用需要，可以在應用系統的設計中，設計柜員CPU卡用以存儲POS及柜員的個(gè)人信息，以及簽到認證密鑰，用于生成隨機數，加密傳輸密鑰等，從而達到真正有效的安全控管。

　　作為簽到申請密鑰的交易, 采用智能操作員卡, 在操作員卡的PIN通過(guò)后使用IC私有的交換密鑰申請工作密鑰, 使得交易密鑰得到有效的安全控制。

　　增加的PSAM卡控制模塊，是為了有效控制脫機交易：如扣款密鑰的安全性。由于加密簽名生成隨機數的過(guò)程都控制在卡片內，卡片與外界的交易接口單一，所有的交易在安全方面是可控制的。只要密鑰的個(gè)人化過(guò)程得到有效的安全控制，其功能特點(diǎn)上都將是不可仿真不可復制的。

　　對于用戶(hù)卡，如果丟失，不存在安全方面的問(wèn)題。因為有個(gè)人PIN的保護，POS機具或自助卡終端在處理其存折交易過(guò)程時(shí)需要對持卡人的個(gè)人PIN進(jìn)行校驗, 由于非法持卡人沒(méi)有合法密碼，連續3次或6次輸錯密碼后IC卡將自動(dòng)鎖卡，而非法持卡人對IC的強行解鎖，只會(huì )導至IC卡的報廢。另外NEWLAND 8100 POS和NEWLAND 8800卡自助終端機具通過(guò)大容量空間的黑名單來(lái)管理非法持卡人持有的丟失卡和被盜卡。

　　NEWLAND 8100 POS和NEWLAND 8800卡自助終端中用來(lái)控制用戶(hù)IC卡的認證密鑰和扣款密鑰，保存在保密芯片或SAM卡上，在交易過(guò)程中，認證或扣款的密鑰運算都在保密芯片或SAM卡內完成，從而防止了密鑰的泄露。保密芯片還具有自我保護的自毀功能，防止非法操作。對于保密芯片密鑰的安全管理，NEWLAND 8100 POS設計了獨立于應用軟件模塊的專(zhuān)用的程序區，用于POS終端的保密芯片密鑰的更改下載，而無(wú)需告訴應用程序如何修改密鑰。同時(shí)NEWLand 8100 POS終端和NEWLAND 8800卡自助終端都具有安全的斷電保護功能，以確保交易記錄存儲的安全可靠性。

　　在IC卡交易之前，IC卡可以通過(guò)NEWLAND 8100 POS的安全芯片或SAM卡來(lái)驗證POS終端的合法有效性，同時(shí)POS驗證IC卡的合法有效性。由于POS終端不能非法產(chǎn)生有效的IC卡交易的電子簽名，故商戶(hù)也不可能修改已經(jīng)完成的交易數據，同時(shí)不能偽造沒(méi)有用戶(hù)IC卡或用戶(hù)的IC卡交易失敗的交易數據。

　　對于脫機的IC卡改密、查詢(xún)余額、查交易明細，在IC卡及PSAM卡的支持下，交易過(guò)程控制在卡片內進(jìn)行。

　　四、產(chǎn)業(yè)現狀及應用前景

　　銀行的信息化建設不僅僅是添置電腦和架設網(wǎng)絡(luò )，事實(shí)上，智能卡這一領(lǐng)域及端末設備的智能卡環(huán)境建設也是信息化建設中一個(gè)很重要的部分。

　　利用一張便于攜帶的卡片來(lái)存儲數據信息的IC卡系統，能夠替代很多用戶(hù)的復雜工作。IC卡內存儲的數據使其可以作為紙幣、身份認證、密碼等事物的替代品，合多項功能為一體的方便性是終端個(gè)人用戶(hù)無(wú)法拒絕的。

　　IC卡系統在國內市場(chǎng)上其實(shí)已經(jīng)不是新鮮事物，早在1993年，國內便開(kāi)始了"金卡工程"的建設，其主要目的是實(shí)現銀行的智能卡式 "電子貨幣"系統。到目前為止，"金卡工程"已經(jīng)頗見(jiàn)成效，金融卡讀取系統被各銀行網(wǎng)點(diǎn)和零售企業(yè)廣泛采納，且金融卡片本身的應用也已為個(gè)人消費者所接收。

　　由于智能卡的安全特性，它將為銀行業(yè)務(wù)帶來(lái)幾個(gè)方面的變化：1.安全的脫機交易，無(wú)需復雜的人工授權，簡(jiǎn)化了交易過(guò)程，降低了通信要求，有利于提高商戶(hù)的受卡熱情;2.提高了信用風(fēng)險的控制水平，有利于市場(chǎng)的開(kāi)發(fā)和銀行卡業(yè)務(wù)的推廣;3.智能卡的安全體系，為網(wǎng)上消費、網(wǎng)上理財、網(wǎng)上證券等業(yè)務(wù)的安全控制提供了有力的保證，使得網(wǎng)上個(gè)人銀行業(yè)務(wù)出現了更多的商機。

　　據有關(guān)部門(mén)比較樂(lè )觀(guān)的預計，到2003年，大約一半的在線(xiàn)交易將利用智能卡技術(shù)以確保安全性。移動(dòng)電話(huà)已經(jīng)采用了智能卡，對于銀行業(yè)務(wù)領(lǐng)域，銀行、零售商、個(gè)人用戶(hù)都很關(guān)心安全可靠的交易確認。促使法國開(kāi)始從磁卡轉換到智能卡的初始原因是欺詐災難，智能卡組織1999年5月的數據顯示自從法國使用智能卡10年來(lái)的欺詐率已經(jīng)下降了10倍，從1998年的0.18到1999年的0.018。在此期間交易次數從1998年的11.97億次到1999年的31.37億次，現在大約有3300萬(wàn)張智能卡在法國流通。轉換到智能卡技術(shù)將減少卡欺詐尤其是偽造欺詐，同時(shí)智能卡也將為持卡者身份的校驗提供更多的機會(huì )。

　　我們期待著(zhù)有一天我們的錢(qián)包里不再塞滿(mǎn)了各種各樣的卡，能用同一張雙接口卡(接觸/非接觸式)智能卡發(fā)動(dòng)汽車(chē)，通過(guò)物理接觸進(jìn)入辦公室，用這張卡安全登錄到計算機上，用電子錢(qián)包從食堂購買(mǎi)蛋糕，用這張卡在體操館證明身份。當然以上種種只是智能卡在新千年帶給我們的一些可能，更廣闊的應用前景還需要我們大家一齊努力。

淺析銀行應用中智能卡的安全控制