社保卡和金融卡结合面临的挑战
来源:中国一卡通网 作者:任强 发布时间:2012-02-17 09:53:55 字体:[大 中 小]
关键字:智能卡 社保卡 金融IC卡 Java cardTM
摘 要:本文通过比较发卡主体的不同,指出了:社保卡与哪一家银行的金融卡结合是难以合理解决的问题。通过对金融卡的进一步分析,指出了:在目前的模式下发放金融IC 卡,会重演磁条卡的无序竞争局面,难以为客户提供差异化的、有吸引力的服务。通过引入新的智能卡COS 技术,采用以发卡人为中心的发卡模式,借助于互联网和PKI 技术,金融IC 卡的功能可以体现为一个智能IC 卡应用,由用户(持卡人)决定是否下载使用。本文还进一步描绘了智能IC 卡在互联网领域的应用前景。指出了智能IC 卡可以作为“网络身份证”,为网络实名制提供有效的技术手段。
5 卡技术的创新
近几年来,国内和国外的一些厂商对卡技术进行了一些有意义的探索,取得了一些具有突破意义的成果。这些结果对未来智能卡技术的发展方向将产生重大影响。
5.1 实现了web 服务器的卡COS 技术
传统的智能卡COS 是APDU 命令的解释器。终端和卡有问有答,一步一步完成处理过程。多应用卡的COS 还兼顾应用维护和应用选择的工作。不管是何种卡片,终端和卡是主从设备的关系,终端需要运行一个客户端软件。客户端软件发送APDU 命令到卡片,进行认证或数据存取操作。因此,在传统的智能卡运营系统中,终端和终端中的软件起着至关重要的作用,终端和终端软件的安全对整个系统的安全也是至关重要的。一个卡上的不同应用,通常需要配合不同终端或终端软件方能工作。总之,传统的智能IC 卡虽然能够支持多应用,但终端及其软件的多样性使系统的部署趋于复杂,成本趋于昂贵。新型COS 设计成微型web 服务器,对外支持网络安全协议(TLS 协议)和网络应用协议(HTTP 协议),将卡变成网络中的节点(web 服务器),同时实现卡到卡,卡到其他服务器之间点到点的互连。
在这个新的领域,中国银联主导的N3 智能卡多应用平台和一些国外厂商主导的Java CardTMConnected 平台走在了前头。大唐微电子技术有限公司是中国银联N3 项目的最早和主要参与者,在标准制定和产品原型的研发方面都进行了大量的工作,取得了一些成绩。
实现了web 技术和网络协议的智能卡,连入网络。
智能IC 卡运营网络的组件包括:卡、终端浏览器和后台服务器(可以是通用的商业web 服务器,例如ApacheTM)。卡和浏览器以终端为宿主电脑,卡是这台电脑的一个本地web 服务器。浏览器以浏览本地服务器的方式运行卡上的应用。这种新型COS 的特点是:
◆ 终端与卡形成了标准的浏览器/ 服务器(Browser/Server)模式。客户端软件标准化了。浏览通过解析卡送出的HTML 和Javascript 网页,向用户提供服务及界面。
◆ 应用运行过程在卡内进行,生成HTML 和Javascript 网页向用户提供界面。秘密数据和重要的交易过程不再在终端硬件上执行。交易安全提高的同时,对终端安全性要求却降低了。
◆ 由于支持TLS 网络安全协议,卡和后台服务器可以通过TLS 进行双向认证和数据安全操作,避免了私有协议的复杂性和可能的安全隐患。
◆ 最为重要的,不同应用的个性化特征全部归并到智能卡应用中去了。对于不同的智能卡应用,不再需要个性化终端或个性化终端软件的支持。这会大大降低整个系统部署和维护的复杂性,降低系统部署的成本,增加了系统升级的灵活性。仔细分析会发现,传统系统的复杂性被归并到浏览器和卡COS 中去了。当然,卡还要支持多应用,如果要支持应用后下载,卡上需要运行虚拟机,这些已是卡界所熟知的概念。
5.2 以持卡人为中心的卡发行和运营理念
中国银联主导的N3 智能卡多应用平台提出了持卡人安全域的概念。第一次将持卡人放在主导的地位。如前所述,在以往的卡系统中,持卡人只能被动接受卡内应用,卡内应用的取舍,持卡人是没有决定权的,只有发卡商或其合作伙伴才有权利添加或删除卡内的应用。
持卡人安全域的引入,赋予持卡人增删卡上应用的权利。如果将持卡人安全域的概念扩展为整张卡片,则卡片完全由持卡人主导,持卡人可以决定何时增删何种应用。
这种新模式需要借助于互联网和PKI 技术的帮助。借助于互联网,一个国家,甚至几个国家和地区只有一个发卡商,发卡商直接面向用户发放带有PKI 证书的智能IC 卡。智能IC 卡的维护也是通过互联网完成的。用户得到的卡片,就像自己的“网络身份证”一样,可以使用它实名登陆网站;卡上最初只有一个卡维护应用。用户可以通过网络下载新的应用到自己卡上。
例如,我向发卡商申请了一张卡片,卡上只有一个预置的卡片维护应用。拿到卡片后,可以下载一个中国银行的借贷记应用和一个北京银行的借贷记应用。有了这两个应用,我就可以以中国银行客户和北京银行客户的身份进行刷卡消费。一段时间后,我对北京银行的服务不满意了,在核对清楚账单后,决定将北京银行的应用从卡上删除。
这种运营模式对用户和对银行都产生了好处。对用户的好处是显而易见的,银行为了挽留住用户,必然改进服务或对用户给出让利;对银行来说,在回避了发卡产生的巨额投资的同时,可实现金融IC 卡刷卡消费的全部功能。并且,对于中小银行来说,在无力进行大量投资的背景下,赢得了与大银行同台竞争的机会。
6 互联网应用领域
这些年来,互联网的应用已经渗入到我们生活的方方面面,网络购物、网上银行、网络交友、网上政务和民意调查等等,不可尽数。互联网在提高了社会成员之间沟通效率的同时,也暴露出一些社会道德,甚至法律所不能容忍的弊端。例如,网络“水军”和“钓鱼”网站。
出现这些问题的根本原因在于网络是一个“虚拟”社会,这个社会的成员被允许以虚拟的或者说假的身份进行网上活动,因此可以对自己的言行不负责任,如果犯了错误,也很难在现实社会中定位其身份。作个比喻,虚拟社会中的活动就像现实社会中的假面舞会,不同的是,虚拟社会中的“假面舞会”似乎永不会结束。
我们得承认,在开“假面舞会”的同时,我们在互连网上也要进行一些严肃的活动,例如,网上银行业务,在网上征集对一部法律的修改意见,以及网上投票等等。参加这些活动的人必须是现实社会中的自然人和合法的机构团体。对于民意征集和网上投票,要保证每个人或机构团体只有一次参入的机会。现在互联网提供的用户名和密码的方式不能满足这类应用的需要。
应该说,对于卡界,互联网被遗忘了,就像与我们关系最紧密的人,对我们最重要的东西,却常常被我们忽略了一样。在互联网应用中,唯一能够看到智能IC 卡影子的地方也就是USB key 或叫做U 盾,这是一些商业银行为网上银行客户所发放的。
U 盾的作用仅限于对用户的交易进行签名,它没有参与用户上网的整个过程。我们要说的是一种“网络身份证”,它像是用户电脑或手机的本地网络代理,它为用户完成与远程服务器的双向认证,以及所有交互数据流的加解密和校验。借助于PKI 技术,只有具有合法证书的网站我们才能登录;只有持合法证书(存储在网络身份证中)的用户才被允许登录网站。这样网站和用户都实现了网络实名。
有了网络身份证,网上民意调查,网上投票就能避免网络“水军”的干扰。网络银行的实现也变得简单易行,不再需要发放U 盾和制作浏览器插件。通过网络身份证实现的网上银行。网络身份证使用个人密码(PIN 码)保护,即使丢失,别人也难以盗用。
7 结束语
只要时间在流逝,社会就要进步,服务于社会的各种技术,当然包括智能IC 卡技术也在向前发展。每个社会阶段需要与之相当的技术来为其服务,超前的会被搁置,落后的会被淘汰。一些业界的专业人士也许认为,这里提到的新技术和新理念有些超前了,但是否超前,不是讨论出来的,是通过市场推广检验出来的。在传统的智能卡技术领域中,最具有代表性的是Java cardTM 2.2.x 及相关技术,笔者认为,在过去的十年,它超前了,没有被广泛使用;在目前的阶段,在将“多应用”和“虚拟机”的概念广泛传播之后,业已不再适应目前网络社会的需要。面对传统的Java 卡技术,国内业界的选择是:还是像过去一样,继续跟随?或者,至少应该问一句:廉颇老矣,尚能饭否?
新闻投稿合作邮箱:yktchina-admin@163.com 字体[大 中 小] [收藏] [进入论坛]