金融IC卡根密鑰中心的建設(shè)

1、金融ic卡根密鑰中心的建設(shè)金融ic卡根密鑰中心的建設(shè)來(lái)源：本站原創(chuàng)作者：中國(guó)金融認(rèn)證中心總經(jīng)理季小杰中國(guó)金融認(rèn)證中心趙宇點(diǎn)擊次數(shù)：自2005年中國(guó)人民銀行頒布中國(guó)金融集成電路(ic)卡規(guī)范v2.0(以下簡(jiǎn)稱pboc2.0)以來(lái)，我國(guó)的銀行產(chǎn)業(yè)步入了一個(gè)嶄新的發(fā)展階段，以智能ic卡為載體的新型銀行卡已經(jīng)逐漸走向成熟。幾年來(lái)，中國(guó)金融認(rèn)證中心承擔(dān)了我國(guó)金融ic卡非對(duì)稱密鑰體系根密鑰中心(以下簡(jiǎn)稱根密鑰中心)的建設(shè)和運(yùn)營(yíng)任務(wù)。根密鑰中心建設(shè)的重要意義1.完成根密鑰中心建設(shè)是發(fā)卡行啟動(dòng)發(fā)卡工作的前提條件。pboc2.0標(biāo)準(zhǔn)通過(guò)采用非對(duì)稱加密算法實(shí)現(xiàn)了金融ic卡的防復(fù)制和防篡改特性，可以有效解決目前磁條

2、卡所面臨的安全問(wèn)題。pboc2.0標(biāo)準(zhǔn)中的非對(duì)稱密鑰體系可以概括為-兩級(jí)中心、三級(jí)密鑰的體系。整個(gè)密鑰體系由根密鑰中心和發(fā)卡行級(jí)密鑰中心組成，根密鑰中心是pboc2.0標(biāo)準(zhǔn)金融ic卡的密鑰根節(jié)點(diǎn)，是信任源，負(fù)責(zé)生成和管理根密鑰(可以理解為一級(jí)密鑰)，并為發(fā)卡行級(jí)密鑰中心簽發(fā)發(fā)卡行公鑰證書；發(fā)卡行級(jí)密鑰中心是發(fā)卡機(jī)構(gòu)用于生成和管理發(fā)卡行級(jí)密鑰(可以理解為二級(jí)密鑰)，并簽發(fā)本行所有ic卡中卡片公鑰證書。三級(jí)密鑰是指根密鑰(及對(duì)應(yīng)的自簽名公鑰證書)、發(fā)卡行級(jí)密鑰(及根密鑰簽發(fā)的發(fā)卡行公鑰證書)、卡片密鑰(及發(fā)卡行簽發(fā)的卡片公鑰證書)。根密鑰中心在建成投入使用后的第一項(xiàng)任務(wù)就是根據(jù)金融ic卡業(yè)務(wù)規(guī)則產(chǎn)

3、生非對(duì)稱的根密鑰對(duì)，然后用其中的私鑰對(duì)重要信息進(jìn)行數(shù)字簽名形成根ca公鑰文件，被簽名的重要信息包括：與該私鑰對(duì)應(yīng)的公鑰文件、服務(wù)標(biāo)示、有效截止日期、密鑰算法等等，習(xí)慣稱其為根ca公鑰文件。根密鑰對(duì)中的私鑰至關(guān)重要，一旦泄露將影響整個(gè)金融ic卡體系的安全性，它被妥善保存在安全的物理環(huán)境中，并配以嚴(yán)格的管理制度以保證其安全性；中國(guó)銀聯(lián)根據(jù)業(yè)務(wù)規(guī)則將根ca公鑰文件下發(fā)給各發(fā)卡銀行和收單機(jī)構(gòu)，用于驗(yàn)證下級(jí)發(fā)卡行公鑰證書的真實(shí)性。發(fā)卡行在發(fā)行金融ic卡時(shí)必須擁有發(fā)卡行密鑰中心。發(fā)卡行密鑰中心根據(jù)金融ic卡業(yè)務(wù)規(guī)則產(chǎn)生非對(duì)稱密鑰對(duì)，然后將其中的公鑰文件及重要信息組成發(fā)卡行公鑰輸入文件提交給根密鑰中心；根密

4、鑰中心采用根密鑰中私鑰對(duì)發(fā)卡行公鑰輸入文件進(jìn)行簽名，產(chǎn)生發(fā)卡行公鑰證書。發(fā)卡行在制作本行的金融ic卡時(shí)，每張卡片都會(huì)在卡片內(nèi)部產(chǎn)生卡片密鑰對(duì)，由發(fā)卡行密鑰對(duì)中私鑰對(duì)所有卡片逐一簽發(fā)卡片證書，卡片證書中包括卡片公鑰及相關(guān)重要信息。發(fā)卡行公鑰證書將和卡片公鑰證書都將被寫入卡片中。從整個(gè)金融ic卡的非對(duì)稱密鑰體系中不難看出，只有率先完成根密鑰中心的建設(shè)，才能讓發(fā)卡行啟動(dòng)發(fā)卡的相關(guān)工作。2.完成根密鑰中心建設(shè)是改造受理環(huán)境的必要條件。在pboc2.0標(biāo)準(zhǔn)中采用脫機(jī)數(shù)據(jù)認(rèn)證方式來(lái)完成終端對(duì)ic卡的認(rèn)證，脫機(jī)數(shù)據(jù)認(rèn)證具體包括兩種方法：靜態(tài)數(shù)據(jù)認(rèn)證和動(dòng)態(tài)數(shù)據(jù)認(rèn)證。靜態(tài)數(shù)據(jù)認(rèn)證簡(jiǎn)稱sda，在靜態(tài)數(shù)據(jù)認(rèn)證過(guò)程中

5、，終端驗(yàn)證卡片上靜態(tài)數(shù)據(jù)的合法性，sda能確認(rèn)卡片上的發(fā)卡行應(yīng)用數(shù)據(jù)自卡片個(gè)人化后沒(méi)有被非法篡改。動(dòng)態(tài)數(shù)據(jù)認(rèn)證簡(jiǎn)稱dda。在動(dòng)態(tài)數(shù)據(jù)認(rèn)證過(guò)程中，終端驗(yàn)證卡片上的靜態(tài)數(shù)據(jù)以及卡片產(chǎn)生的交易相關(guān)信息的簽名，dda能確認(rèn)卡片上的發(fā)卡行應(yīng)用數(shù)據(jù)自卡片個(gè)人化后沒(méi)有被非法篡改，dda還能確認(rèn)卡片的真實(shí)性，防止卡片的非法復(fù)制。dda可以是標(biāo)準(zhǔn)動(dòng)態(tài)數(shù)據(jù)認(rèn)證或復(fù)合動(dòng)態(tài)數(shù)據(jù)認(rèn)證/應(yīng)用密文生成(cda)。無(wú)論是靜態(tài)數(shù)據(jù)認(rèn)證還是動(dòng)態(tài)數(shù)據(jù)認(rèn)證，都是比較復(fù)雜的運(yùn)算過(guò)程，這里僅就靜態(tài)數(shù)據(jù)認(rèn)證的主要過(guò)程進(jìn)行介紹。金融ic卡進(jìn)行脫機(jī)交易的靜態(tài)數(shù)據(jù)認(rèn)證，受理終端完成過(guò)程：終端從卡片中讀取出發(fā)卡行證書及簽名數(shù)據(jù)，使用ca公鑰pca

6、恢復(fù)出發(fā)卡行公鑰；終端使用恢復(fù)的發(fā)卡行公鑰解密卡片簽名數(shù)據(jù)；終端將解密結(jié)果與卡片靜態(tài)數(shù)據(jù)進(jìn)行比對(duì)，保存比對(duì)結(jié)果；將驗(yàn)證結(jié)果返回給卡片。由此可見(jiàn)，只有根密鑰中心建設(shè)完成并且生成根密鑰，才能將根密鑰的公鑰文件裝載到收單機(jī)構(gòu)的終端設(shè)備中，使終端設(shè)備具備認(rèn)證ic卡的能力。根密鑰中心建設(shè)原則根密鑰中心的建設(shè)涉及很多重要工作，包括開發(fā)核心的應(yīng)用系統(tǒng)，建立配套的管理制度、制訂相應(yīng)的業(yè)務(wù)規(guī)則等等。金融ic卡根ca系統(tǒng)是我國(guó)金融ic卡非對(duì)稱密鑰管理體系中的核心應(yīng)用系統(tǒng)，也是根密鑰中心建設(shè)中最重要的部分。在該項(xiàng)目的前期論證階段就發(fā)現(xiàn)可供參考的國(guó)際經(jīng)驗(yàn)比較匱乏。雖然大家習(xí)慣稱金融ic卡非對(duì)稱密鑰體系中的密鑰中心為c

7、a，但這個(gè)ca與標(biāo)準(zhǔn)的pkica差別較大。因此，標(biāo)準(zhǔn)的pkica運(yùn)營(yíng)管理方法也沒(méi)有太多可借鑒之處。經(jīng)過(guò)詳細(xì)的研究和論證，結(jié)合我國(guó)銀行卡產(chǎn)業(yè)的具體情況，認(rèn)為金融ic卡根ca系統(tǒng)具有如下幾個(gè)特點(diǎn)：一是短時(shí)間內(nèi)系統(tǒng)承載量不會(huì)太大；二是系統(tǒng)的可擴(kuò)展性必須很強(qiáng)；三是對(duì)系統(tǒng)及密鑰的管理必須完善。為此，在建設(shè)根密鑰中心過(guò)程中應(yīng)該把握以下三條原則。1.以節(jié)約、高效為原則建設(shè)系統(tǒng)。首先已經(jīng)明確金融ic卡根ca系統(tǒng)的功能，即產(chǎn)生根密鑰、為發(fā)卡行提供發(fā)卡行公鑰證書服務(wù)、管理發(fā)卡行注冊(cè)信息等。以目前國(guó)內(nèi)銀行的數(shù)量和銀行卡服務(wù)品種來(lái)看，即使考慮到今后我國(guó)金融ic卡的國(guó)際化應(yīng)用，根ca系統(tǒng)在10年內(nèi)簽發(fā)證書的總量也不會(huì)超

8、過(guò)1萬(wàn)張，因此，金融ic卡根ca系統(tǒng)不需要配備太多硬件設(shè)備和存儲(chǔ)設(shè)備，只要滿足需求即可。2.必須讓系統(tǒng)具備很強(qiáng)的可擴(kuò)展性。金融ic卡根ca系統(tǒng)的可擴(kuò)展性必須很強(qiáng)，這是很多應(yīng)用系統(tǒng)都應(yīng)具備的通用技能。系統(tǒng)可擴(kuò)展性主要體現(xiàn)在三個(gè)方面：一是擴(kuò)展功能支持新密碼算法。隨著密碼技術(shù)的不斷發(fā)展，未來(lái)很可能出現(xiàn)替代現(xiàn)行密碼算法的新密碼算法，這就要求系統(tǒng)可以隨時(shí)新增功能模塊以支持新密碼算法。二是支持?jǐn)U展密鑰管理功能。隨著金融ic卡的不斷發(fā)展，需要系統(tǒng)增加根密鑰的管理功能，這就要求系統(tǒng)可以根據(jù)管理需要補(bǔ)充對(duì)密鑰進(jìn)行管理的功能。三是增加文件的模板。隨著金融ic卡功能的不斷多樣化、復(fù)雜化，可能需要對(duì)發(fā)卡行公鑰證書等重

9、要文件的模板進(jìn)行補(bǔ)充或調(diào)整，這就要求系統(tǒng)具備這方面的擴(kuò)展性。3.必須保證根密鑰中心的安全性。密鑰管理中心產(chǎn)生并且保存著金融ic卡非對(duì)稱密鑰體系的根密鑰，一旦根密鑰泄露后果將不堪設(shè)想，所有發(fā)卡行的公鑰證書都必須重新簽發(fā)，所有卡片中的證書也都必須重新簽發(fā)。因此，保護(hù)根密鑰的安全性至關(guān)重要。這就要求金融ic卡根ca系統(tǒng)具備完善訪問(wèn)控制功能。針對(duì)密鑰的關(guān)鍵操作必須嚴(yán)格控制，例如密鑰的產(chǎn)生、密鑰的備份、密鑰的恢復(fù)等關(guān)鍵操作，都必須在嚴(yán)格授權(quán)后、多人在場(chǎng)的情況下進(jìn)行，并進(jìn)行全程錄像。此外，金融ic卡根ca系統(tǒng)須放置在高安全的物理環(huán)境中，至少設(shè)置三道以上物理訪問(wèn)控制，且關(guān)鍵門禁應(yīng)為雙人開啟。除此之外，專業(yè)、可信的管理隊(duì)伍是必不可少的。根密鑰中心建設(shè)的實(shí)踐成果以上述三項(xiàng)系統(tǒng)建設(shè)為原則，我們于2005年底完成金融ic卡密鑰管理系統(tǒng)的建設(shè)工作。金融ic卡根系統(tǒng)放置在中國(guó)金融認(rèn)證中心運(yùn)營(yíng)機(jī)房中獨(dú)立的安全區(qū)域內(nèi)，與外界完全物理隔離、符合國(guó)家密碼管理局密碼硬件安全要求。中國(guó)金融認(rèn)證中心還制定了權(quán)限管理機(jī)制和系統(tǒng)操作管理辦法，建立了備份系統(tǒng)，確保數(shù)據(jù)的完整性和安全性。金融ic卡根ca系統(tǒng)投產(chǎn)4年多以來(lái)持續(xù)穩(wěn)定運(yùn)行，已經(jīng)為10余家發(fā)卡行提供數(shù)百次服務(wù)，成功為發(fā)卡行簽發(fā)公鑰證書300