详解SM系列算法金融IC卡应用现状、难题及建议 - 中国一卡通网
用户名密码 [免费注册] [找回密码] 推广技巧 发布求购 建商铺  发产品  会员体制比较  
 

详解SM系列算法金融IC卡应用现状、难题及建议

来源:中国一卡通网  作者:不详  发布时间:2014-09-19 14:29:04  字体:[ ]

关键字:金融IC卡  SM  支付系统  POS机  

摘   要:为更好适应金融IC卡跨行业多应用需求,兼容最新国际标准,推动金融lC卡与网络支付和移动支付的融合发展,中国人民银行在推动金融IC卡推广应用工作快速发展的同时,同步开展了《中国金融集成电路(IC)卡规范》(PBOC2.0)的增补与修订工作,并于2013年2月5日正式发布JR/T 0025-2013《中国金融集成电路(IC)卡规范(V3.0)》(PBOC3.0)。PBOC3.0定义了我国自主研制的SM2(非对称算法)、SM3(杂凑算法)、SM4(对称算法)在金融IC卡安全领域的应用。

  (4)密管系统:兼容SM系列算法,在现有密管系统中增加SM系列对称、非对称算法接口;改造发卡行CA卡片证书签发功能、银行业务系统的接口模块。

  (5)数据准备系统:涉及IC卡公私钥证书申请、IC卡UDK申请、传输加密模块、发卡参数、制卡模版、数据分组模版等内容。

  4.互联网支付终端系统改造

  PBOC3.0金融IC卡互联网支付终端系统是支持互联网支付应用的基础架构,采用CA认证安全体系,通过安全通道技术确保交易安全。此部分的SM系列算法改造由两部分构成:CA系统改造、支付流程改造,分别参照相关改造内容执行。

  5.终端改造

  (1)POS改造。POS应用程序遵循PBOC3.0SM系列算法相关规范,终端硬件改造主要有3种方案。一是PSAM方式,主要针对存量 POS升级,市面终端可改造比率为90%,成本较低,但需添加机具与SAM模块认证的金融管理流程,该方案适用于实验环境,完成部分演示功能,由于SAM 模块认证方式在读SAM卡时可能被攻击,导致数据泄露,故不推荐大规模商用;二是整机替换方式,即替换密码键盘主机板硬件,主要针对新增POS,涉及开模、定制基板、开发等流程,改造成本较高;三是软件升级实现方式,通过在原POS机主板芯片中写入SM系列算法、升级应用程序实现,改造成本较低,部分厂商可以实现。

  (2)ATM改造。除升级软件外,在硬件层面,仅需对现有ATM密码键盘、主机板等进行更换。前期调研发现,大多数ATM设备算法模块都集成在键盘,密码键盘在ATM设备中属于标准件,目前已有ATM密码键盘厂商完成了双算法键盘的储备。

  (3)互联网终端改造。与POS终端改造类同,需在设备中添加SM系列算法模块,并遵循SM系列算法相关规范。

  6.扩展应用所需相关支持

  PBOC3.0新增扩展应用采用对称加密算法,目前各芯片和卡商尚未推出符合PBOC3.0并认证通过的卡片产品。扩展应用采用SM系列算法,除了芯片商、卡商、机具外,还需行业应用方同步支持。

  综上所述,在整个改造方案中,卡片、系统和终端设备的改造不存在技术瓶颈,除扩展应用外行业应用暂无需改造。但是由于SM系列算法金融IC卡应用为一个系统工程,资金投入大,协调难度高,且存在技术风险,项目实施仍然存在困难。

  四、SM系列算法应用难题

  1.应用工作无直接效益,存在技术不确定性

  在前期调研访谈中,各商业银行对SM系列算法应用普遍表现出谨慎态度。原因主要有两点:一是SM系列算法应用与银行生产经营活动无直接关联,投入大但无直接经济效益。二是系统和受理环境改造工程量大、繁琐复杂,费时费力,同时商业银行刚刚按要求完成IC卡系统开发上线和受理环境改造工作,系统和设备尚未经受大规模应用检验,SM系列算法应用需对系统和终端进行再次升级,稳定运行压力较大。

  2.涉及面广

  SM系列算法在金融领域的应用推广涉及产品生产、产品检测服务、标准制订等多个环节。

  (1)将金融领域安全IC卡和密码关键产品产业化。包括高性能双界面金融IC卡芯片、金融数据密码机、签名验签服务器、POS、ATM、密码芯片、浏览器等,同时要求关键产品均要支持SM2/SlVl3/SM4等算法并达到相应运算速度和技术规范。

  (2)须建立针对金融领域密码关键产品的检测服务。建设金融数据密码机、签名验签服务器、智能IC卡、智能密钥等产品的检测平台,实现密码功能、密码管理机制、密码正确性、协议正确性,以及对SM2/SM3/SM4等密码算法的侧信道攻击防御能力及性能检测,具备超过50Gbps的SM4算法测试能力,40000次/秒的SM2算法测试能力,以及200款产品的年检测能力,同时支持高性能双界面金融IC卡芯片的第三方量产测试服务。

  (3)须修订金融领域多种安全标准。须对金融数据密码机、签名验证服务器、服务器密码机、金融IC卡、智能密钥、动态令牌等标准进行修订,对金融IC卡、网上银行、移动支付、电子认证等金融密码应用相关标准进行修订,并同时修订相应检测标准、等级保护要求和测评标准。

  3.认识不一,进度不一

  SM系列算法在金融领域推广应用的整条产业链包括CFCA、芯片、COS、银行相关系统、POS、ATM、银联相关系统等。目前,产业链各环节对SM系列算法在金融领域推广应用的前景和市场需求认识不一,导致在技术准备和产品生产进度上存在差别。特别是POS和ATM供应商的单品销售量较低,新品认证费偏高,推广积极性不高。

  4.银行改造投入较大

  算法推广应用涉及银行发卡系统、受理环境改造,关联厂商多,前期开发、测试、验证和试用阶段投入较大。如在湖南省全面推广SM系列算法,按全省 23万台 POS、1.2万台ATM(截至2012年底)的受理环境规模和千万级别的金融IC卡发卡规模测算,费用成本达数亿元。

  5.组织协调难度大

  算法推广涉及的参与方众多,各方利益诉求不同、工作进度不一,协调难度较大。同时,供应商分布在全国各地,沟通和协调渠道不畅、成本较高、过程较慢,影响工作进度。

  6.银行相关知识和人才储备不足

  SM系列算法对银行业来说是新事物,银行相关知识和人才的储备略显不足,对新概念、新课题、新标准的理解和消化尚需时日。

  五、解决方法和建议

  1.审慎推动,验证为主

  以“审慎推动”为原则、以“技术验证”为目的进行SM系列算法的前期试用工作。一是要在保证试点效果的前提下控制应用规模,采用双算法兼容现有机具,做到整体风险可控;二是要边改造边验证,及时发现问题和风险,积极稳步推进。

  2.统一组织,协调立场

  建议成立由人民银行分支机构为总牵头方和总监管方的SM系列算法应用领导机构,科技处为具体执行机构,成员包括中国银联、试点银行、产业链供应商。人民银行分支机构全面负责和掌控SM系列算法应用工作进程,协调各方立场,控制应用风险,中国银联和试点银行全力配合,定期召开现场或网络例会,降低应用试点协调难度。

  3.计划部署,周密安排

  在金融IC卡受理环境改造工作中,人民银行分支机构已摸索总结出一套行之有效的方法,取得了一定成绩,培养了一支队伍,积累了大量经验。人民银行分支机构可充分借鉴金融IC卡受理环境改造经验,利用先发优势,做到计划合理、安排周到、抽查及时、风控到位,推进SM系列算法在银行后台的应用和受理环境的改造。

  4.加强培训,锻炼队伍

  人民银行分支机构要加强相关自主培训或邀请厂商技术专家授课。同时,还可以搭建SM系列算法金融IC卡应用模拟实验环境,供学员实验技术、加深理解,尽快培养一支“瞳技术、熟标准”的队伍,凭借人才和技术储备,降低应用风险。

  5.相关建议

  试点期间终端设备采购量较小,厂商尚未开展产品的送检工作,试点阶段是否强制要求终端设备通过银行卡检测中心检测和SM系列算法认证尚未明确,建议根据项目落地技术和时间需求,与银行卡检测中心及国家密码管理局协商,允许试点银行先期采购并使用未经认证的终端设备,进而在试点工作中逐步优化完善产品并送检,以此降低相关厂商投入成本,提高其参与积极性。

更多

新闻投稿合作邮箱:yktchina-admin@163.com    字体[ ] [收藏] [进入论坛]

推荐文章

论坛热帖