论文部分内容阅读
摘要:本文首先对国产密码算法进行了简要分析,探讨了国产密码算法实施所存在的突出问题,最后指出了金融IC卡系统国产密码算法的实施路径,望能为此领域研究有所借鉴。
关键词:金融IC卡;国产密码算法;路径
国产密码算法是我国科研人员经过不懈努力所研发的一种拥有完全自主知识产权的密码算法,使用简便,且安全性高,已得到国密局的认可、接受与推广。当前,国家密码管理局为了更好的维护各领域安全,已经对外发布了诸多密码算法,以此为我国的信息安全提供切实保障。在以国家为主导的各类型行业中,大部分选用的是由国家密码管理局所提供的密码算法,这种情况已经成为今后发展趋势。本文就金融IC卡国产密码算法的使用作一探讨。
1.国产密码算法概述
针对国产密码算法而言,其主要包含三大类,分别为对称密码算法(SM4)、杂凑算法(SM3)与非对称密码算法(SM2)。(1)SM2。针对国产SM2算法来讲,其实际是由国家密码管理局所编制与开发的一种以椭圆曲线理论为基础,更具实用价值的非对称算法,同时还是对ECC椭圆曲线算法的一种深层次优化。从总体上来讲,SM2算法无论是在具体性能上,还是在安全性上,均一致于ECC算法,乃是现阶段各种已知公钥体制架构当中对各比特能够提供最高加密强度的一种算法。(2)SM3。针对此种算法而言,其又被称之为散列算法,国产SM3算法针对那些已经给定长度(k)的消息,经过迭代压缩、填充与选裁,能够生成具体的杂碎值,其长度通常是256比特。当将此算法组合于非对称算法时,可以实现数字签名功能。(3)SM4。针对国产SM4算法来讲,从根本层面来分析,其即为一种分组算法,其分组长度通常为128比特,而其具体的密钥长度则可达到128比特。无论是密钥扩展算法,还是加密算法,均选用的是32轮非线性迭代结构。而与加密算法相比较,解密算法有着与之相同的结构,只是有着相反的轮密钥的使用顺序。
2.国产密码算法实施中所存在的突出问题
(1)缺乏以国产密码算法为基础的市场化产品。要想使项目得以顺利实施,需要有能够为国产密码算法提供支持的硬件加密机、数字证书系统、UsbKey及芯片卡等。现阶段,国产密码算法自公开到现在时间并不长,能够为国产密码算法提供支持的产品并不多,因而难以为银行系统实施国产密码算法的改善与升级提供全面支持。(2)可供参考的实施标准且不健全。当前,还没有比较健全的以国产密码算法为基础的金融IC卡技术标准。在完善标准时,需不断的对金融IC卡的交易流程与交易模型,实施大量且繁杂的模型验证,最终才能形成更加实用、可行且完善的国产密码算法标准。依据中国人民银行的最新安排,与金融IC卡相关联的PBOC3.0标准,需要在2020年才能完成修订。(3)国产密码安全性仍需要提升。有观点指出,若算法不进行公开,那么便较难对算法的安全性进行准确评估。且因公开的算法会得到更多人的关注,因而一些有或无组织的密码,会对单位或个人进行供给。
3.金融IC卡系统国产密码算法的具体实施分析
3.1金融IC卡发卡系统的升级与改造
改造金融IC卡发卡系统,从根本上来讲,就是改造能够为国产密码算法提供支持的个人化支持与双算法芯片卡数据准备进行改造。而能够实现双算法的金融IC卡个人化,从基础层面来分析,就是以认证检测机制、支持双算法智能芯片卡、国密算法接口及双算法智能卡标准为基础来实现的。(1)算法基础。针对能够为双算法智能芯片提供支持的算法来讲,其基础层由两部分组成,其一为我国自研的国密算法,其二是国际标准密码算法。针对国际标准密码算法而言,除了有3DES标准对称密钥体系之外,还有以RSA算法为基础的非对称密钥体系,当前,此类算法在该领域中已得到广泛应用,为国内外信息安全提供了较好保护。针对国产密码算法来讲,其以SM2算法为基础,多用作认证与数据签名,而其终端为SM3,其能够为支付芯片签名相应交易数据的完整性进行校验,此外,对于SM4算法来讲,其多用于计算报文认证码、PIN加密等。国产密码算法利用上述算法体系,来为信息安全提供切实保障,现阶段,此算法体系已趋向成熟,安全性高,且已经得到国密局的支持与认可。(2)设备基础。针对设备基础层来讲,其乃是整个双算法金融IC卡硬件支持核心构成,其主要由两部分构成,其一为硬件加密机,其二是双算法金融智能IC卡。金融智能IC能够同时兼容双算法,但需同时拥有国际与国内对应的协处理器。(3)个人化系统改造。针对金融IC卡个人化来讲,其主要由两部分构成,其一为个人化系统,其二是数据准备系统。此系统支持国际密码算法,且已经比较成熟,但针对国产算法来讲,要想获得支持,需要依据国产算法的具体标准,对个人化系统以及数据准备实施相应改造。在整个智能IC卡数据准备与个人化系统结构当中,针对数据准备系统而言,需要依据加密机接口的实际情况,开展针对性改造;而对于个人化系统而言,则需依据硬件加密机接口,开展国产算法支持框架下的改造;而对于个人化指令来讲,则需依据卡片对应的接口,实施相应改造。而基于标准层面来分析,金融IC卡无论数个人化系统,还是数据准备,均需要改造双算法框架下的芯片智能IC卡。依据国密算法的基本实现路径,需改造数据准备系统发卡行的公钥证书。
3.2受理环境的改造
基于支持双算法下,改造金融IC卡的受理環境,多围绕主机密文校验系统,以及受理终端实施改造。针对金融IC卡所对应的受理终端环境来讲,其主要包含ATM、POS、柜面与自助终端等多渠道,改造受理终端,多指的是对终端支持以标准层面双算法为基础的交易流程的改造,除此之外,还对保障交易安全的国产非对称密钥体系所对应的动态数据认证进行改造;而对于主机密文校验系统来讲,其主要对能够为国产算法提供支持的主机脚本生成与密文校验进行改造。针对虚拟自助终端、网银、ATM等受理终端来讲,各个应用系统均需依据双算法的标准与规范,修改交易流程;针对ATM、POS等设备,需对卡片实施脱机数据认证,此外,还需依据国产SM2算法,改造终端,使其能够为国产非对称算法体系提供支持。
4.结语
综上,基于当前环境下,在对金融支付产业发展不造成影响的情况下,可以与金融IC卡支付相结合,并强化此领域的应用实践,在算法得到国际接纳,且得到工程实践检验,对国际互联互通不造成影响的前提下,在推广支持国密算法,提升金融IC体系的完整性与安全性。
参考文献:
[1]阳青松,王志斌.长沙银行国产密码金融IC卡商用起航[J].金融电子化,2015(3):82-84.
[2]蔡兵,舒波,何国建.国密算法在金融IC卡及移动支付中的应用与思考[J].金融电子化,2015(5):57-59.
[3]廖敏飞.金融IC卡EEPROM和Flash存储介质浅析[J].中国信用卡,2015(6):54-56.
作者简介:周庆亮,出生年月:19890701,性别:男,民族:汉,籍贯(精确到市):天津市,当前职务:工程师,当前职称:助理工程师,学历:本科,研究方向:智能卡.
关键词:金融IC卡;国产密码算法;路径
国产密码算法是我国科研人员经过不懈努力所研发的一种拥有完全自主知识产权的密码算法,使用简便,且安全性高,已得到国密局的认可、接受与推广。当前,国家密码管理局为了更好的维护各领域安全,已经对外发布了诸多密码算法,以此为我国的信息安全提供切实保障。在以国家为主导的各类型行业中,大部分选用的是由国家密码管理局所提供的密码算法,这种情况已经成为今后发展趋势。本文就金融IC卡国产密码算法的使用作一探讨。
1.国产密码算法概述
针对国产密码算法而言,其主要包含三大类,分别为对称密码算法(SM4)、杂凑算法(SM3)与非对称密码算法(SM2)。(1)SM2。针对国产SM2算法来讲,其实际是由国家密码管理局所编制与开发的一种以椭圆曲线理论为基础,更具实用价值的非对称算法,同时还是对ECC椭圆曲线算法的一种深层次优化。从总体上来讲,SM2算法无论是在具体性能上,还是在安全性上,均一致于ECC算法,乃是现阶段各种已知公钥体制架构当中对各比特能够提供最高加密强度的一种算法。(2)SM3。针对此种算法而言,其又被称之为散列算法,国产SM3算法针对那些已经给定长度(k)的消息,经过迭代压缩、填充与选裁,能够生成具体的杂碎值,其长度通常是256比特。当将此算法组合于非对称算法时,可以实现数字签名功能。(3)SM4。针对国产SM4算法来讲,从根本层面来分析,其即为一种分组算法,其分组长度通常为128比特,而其具体的密钥长度则可达到128比特。无论是密钥扩展算法,还是加密算法,均选用的是32轮非线性迭代结构。而与加密算法相比较,解密算法有着与之相同的结构,只是有着相反的轮密钥的使用顺序。
2.国产密码算法实施中所存在的突出问题
(1)缺乏以国产密码算法为基础的市场化产品。要想使项目得以顺利实施,需要有能够为国产密码算法提供支持的硬件加密机、数字证书系统、UsbKey及芯片卡等。现阶段,国产密码算法自公开到现在时间并不长,能够为国产密码算法提供支持的产品并不多,因而难以为银行系统实施国产密码算法的改善与升级提供全面支持。(2)可供参考的实施标准且不健全。当前,还没有比较健全的以国产密码算法为基础的金融IC卡技术标准。在完善标准时,需不断的对金融IC卡的交易流程与交易模型,实施大量且繁杂的模型验证,最终才能形成更加实用、可行且完善的国产密码算法标准。依据中国人民银行的最新安排,与金融IC卡相关联的PBOC3.0标准,需要在2020年才能完成修订。(3)国产密码安全性仍需要提升。有观点指出,若算法不进行公开,那么便较难对算法的安全性进行准确评估。且因公开的算法会得到更多人的关注,因而一些有或无组织的密码,会对单位或个人进行供给。
3.金融IC卡系统国产密码算法的具体实施分析
3.1金融IC卡发卡系统的升级与改造
改造金融IC卡发卡系统,从根本上来讲,就是改造能够为国产密码算法提供支持的个人化支持与双算法芯片卡数据准备进行改造。而能够实现双算法的金融IC卡个人化,从基础层面来分析,就是以认证检测机制、支持双算法智能芯片卡、国密算法接口及双算法智能卡标准为基础来实现的。(1)算法基础。针对能够为双算法智能芯片提供支持的算法来讲,其基础层由两部分组成,其一为我国自研的国密算法,其二是国际标准密码算法。针对国际标准密码算法而言,除了有3DES标准对称密钥体系之外,还有以RSA算法为基础的非对称密钥体系,当前,此类算法在该领域中已得到广泛应用,为国内外信息安全提供了较好保护。针对国产密码算法来讲,其以SM2算法为基础,多用作认证与数据签名,而其终端为SM3,其能够为支付芯片签名相应交易数据的完整性进行校验,此外,对于SM4算法来讲,其多用于计算报文认证码、PIN加密等。国产密码算法利用上述算法体系,来为信息安全提供切实保障,现阶段,此算法体系已趋向成熟,安全性高,且已经得到国密局的支持与认可。(2)设备基础。针对设备基础层来讲,其乃是整个双算法金融IC卡硬件支持核心构成,其主要由两部分构成,其一为硬件加密机,其二是双算法金融智能IC卡。金融智能IC能够同时兼容双算法,但需同时拥有国际与国内对应的协处理器。(3)个人化系统改造。针对金融IC卡个人化来讲,其主要由两部分构成,其一为个人化系统,其二是数据准备系统。此系统支持国际密码算法,且已经比较成熟,但针对国产算法来讲,要想获得支持,需要依据国产算法的具体标准,对个人化系统以及数据准备实施相应改造。在整个智能IC卡数据准备与个人化系统结构当中,针对数据准备系统而言,需要依据加密机接口的实际情况,开展针对性改造;而对于个人化系统而言,则需依据硬件加密机接口,开展国产算法支持框架下的改造;而对于个人化指令来讲,则需依据卡片对应的接口,实施相应改造。而基于标准层面来分析,金融IC卡无论数个人化系统,还是数据准备,均需要改造双算法框架下的芯片智能IC卡。依据国密算法的基本实现路径,需改造数据准备系统发卡行的公钥证书。
3.2受理环境的改造
基于支持双算法下,改造金融IC卡的受理環境,多围绕主机密文校验系统,以及受理终端实施改造。针对金融IC卡所对应的受理终端环境来讲,其主要包含ATM、POS、柜面与自助终端等多渠道,改造受理终端,多指的是对终端支持以标准层面双算法为基础的交易流程的改造,除此之外,还对保障交易安全的国产非对称密钥体系所对应的动态数据认证进行改造;而对于主机密文校验系统来讲,其主要对能够为国产算法提供支持的主机脚本生成与密文校验进行改造。针对虚拟自助终端、网银、ATM等受理终端来讲,各个应用系统均需依据双算法的标准与规范,修改交易流程;针对ATM、POS等设备,需对卡片实施脱机数据认证,此外,还需依据国产SM2算法,改造终端,使其能够为国产非对称算法体系提供支持。
4.结语
综上,基于当前环境下,在对金融支付产业发展不造成影响的情况下,可以与金融IC卡支付相结合,并强化此领域的应用实践,在算法得到国际接纳,且得到工程实践检验,对国际互联互通不造成影响的前提下,在推广支持国密算法,提升金融IC体系的完整性与安全性。
参考文献:
[1]阳青松,王志斌.长沙银行国产密码金融IC卡商用起航[J].金融电子化,2015(3):82-84.
[2]蔡兵,舒波,何国建.国密算法在金融IC卡及移动支付中的应用与思考[J].金融电子化,2015(5):57-59.
[3]廖敏飞.金融IC卡EEPROM和Flash存储介质浅析[J].中国信用卡,2015(6):54-56.
作者简介:周庆亮,出生年月:19890701,性别:男,民族:汉,籍贯(精确到市):天津市,当前职务:工程师,当前职称:助理工程师,学历:本科,研究方向:智能卡.