金融社保卡产品技术带来的变化与挑战

　　一、引言

　　2011年8月30日，人保部副部长胡晓义在国新办新闻发布会上表示社保卡将加载金融功能。社保卡具有信息记录、信息查询、业务办理等基本功能的同时，可作为银行卡使用，具有现金存取、转账、消费等金融功能。可以说，从社保卡转变为具有金融功能的金融社保卡已成为大势所趋。

　　本文着重分析从普通社保CPU卡到具有金融功能的金融社保卡，社保卡及其发行环境需要进行哪些主要的功能变化与提升，未来又可能将面临哪些进一步的挑战？我们又将如何应对？

　　二、社保卡到金融社保卡的主要功能变化

　　1、 卡片应用的变化

　　从社保卡到金融社保卡，用户端感受最明显的变化就是一卡多应用，社保卡所能使用的业务应用功能明显增多。社保卡从原来只具有医疗、养老等社保功能发展为可进行医疗等费用的结算、养老金领取、社会保险费缴纳、现金存取、代发社保与工资、电子银行等多种功能。这些应用功能的支持，主要来自卡片从单一社保应用系统环境（SSSE）拓展为对金融支付系统环境（PSE）的多应用支持。随着业务的进一步发展，卡片应用也会逐步增多，功能将更为强大。

　　卡片应用的可能发展路径为：从标准社保应用功能发展为社保应用+借记应用功能，再发展为社保应用+借记应用+电子病历应用+民政类应用，其后随着信息安全认证逐步进入生活，会出现社保应用+借记应用+电子病历应用+民政类应用+信息安全认证应用（如CA类应用）的合一，几年后随着物联网应用在家庭、办公等地点逐步普及开来，还很可能会出现社保应用+借记应用+电子病历应用+民政类应用+信息安全认证应用+物联网组合应用的多应用组合卡。

　　2、卡片容量的变化

　　在单一社保功能时期，社保卡数据区以8K、16K为主，程序区空间也多在50K以内。加载金融功能后， 8K、16K数据区及64K以内的程序区已经明显不能满足要求，卡片数据空间32K已成为最小基本配置。随着电子病历、民政应用、信息安全认证应用等多应用的逐步加入，卡片数据空间还会向48K、64K、128K进行扩展，同时程序空间也将由64K以下向128K、256K等更大容量发展。

　　3、卡片安全的变化

　　随着从单一社保应用发展到具备金融等多种应用，对卡片的安全性要求也提高很多，主要的变化为：

　　1） 应用数据的安全隔离及密钥安全注入管理新要求：由于一张卡内包含多个应用，卡片的多应用隔离和密钥的安全注 入管理都关乎使用者的业务使用安全性。

　　应用安全隔离：卡片需要实现多个逻辑独立的应用，并需要做好各应用间的安全隔离设计实现。

　　密钥安全注入与管理：卡片包含卡片主控密钥和应用环境主控密钥。卡片主控密钥用于创建社保应用系统环境和金融支付系统环境，并装载上述两个系统环境的环境主控密钥。完成系统环境创建和密钥装载后，卡片主控密钥对各应用环境将不再拥有控制权，而由应用各自的环境主控密钥控制。这种密钥管理模式有效保证了社保应用、金融应用、民政等其他应用的各自独立安全管理，避免了应用交叉管理带来的安全问题。

　　2） 新增RSA等加解密算法：单一社保卡主要使用国密算法SSF33、DES等算法，而金融PBOC功能中需要使用RSA算法。目前国内各省使用的RSA算法以从最初的1024位逐步提升到1152位，将来还会发展到2048位。

　　3）芯片的安全抗攻击能力要求进一步增强：由于社保卡加入金融功能后，黑客攻击的利益驱动力增大，所以对芯片的抗攻击能力要求增强。芯片需要在防范非侵入式攻击（如SPA、DPA、电压操纵、电磁分析等）、半侵入式攻击（如 SPI、SFA、DFA、光攻击等）以及侵入式攻击方面提供更加完善的抗攻击手段。芯片需要具有watchdog、温度检测、光检测、工作电压检测、工作频率检测等相关保护机制，并在芯片的布线防护层等版图布局设计等方面采取更强的安全应对措施。

　　4、卡片数据传输方式的变化

　　单一社保卡采用接触式数据传输接口，而拓展到金融、民政服务等领域后，由于银行非接触式小额支付业务、公交等非接触式业务应用的实际需求，卡片有从单一接触式CPU卡拓展到既支持接触式接口又支持非接触式接口的双界面卡或双芯片卡的需求。但由于双界面芯片卡的价格较高，且国内双界面芯片在商用成熟度、大容量支撑等方面还面临一些难题和挑战，因此双界面金融社保卡的推广只适合部分区域少量使用。

　　5、卡片发行流程的变化

　　加入金融功能后，除原有社保卡的社保信息写入等个人化过程，还新增了金融功能的预个人化、个人化制卡过程，卡片的发行流程变得更加复杂。

　　下图是金融社保卡的制卡发行流程举例：
 

　　三、未来可能面临的进一步挑战与应对

　　1. 未来金融功能使用国密安全算法的挑战与应对

　　由于目前金融银行卡使用的是国际通用的RSA算法，但RSA的安全性存在很大的问题，国外也出现了一些破解的案例。所以，今后在金融等涉及国家安全的重大产品领域，使用国密算法SM2替代RSA将存在较大的可能。目前看SM2算法比RSA算法不仅速度快，而且安全性提高很多，所以未来一旦需要在金融领域使用SM2算法，就需要金融社保卡端芯片实现SM2算法，POS终端、金融业务系统端也都要做好相应的应对准备。

　　2. 业务应用下载与更新的挑战与应对

　　随着社保卡业务应用与金融应用、民政应用、安全认证应用的结合与应用拓展，已发出的卡片很可能会根据新业务应用推广的需要，在使用中进行应用添加、更新。

　　而社保卡目前均采用Native COS，不同卡商的卡片COS各不相同，卡片具有各卡商自己的私有指令，卡片的发行指令、卡片安全管理、文件更新等方面具有很大的差异，没有统一的应用下载、安装、更新与删除机制。

　　在金融银行卡方面，目前以使用JAVA卡为主。而卡片能否有效支持JAVA，主要取决于CPU处理速度和SRAM的空间大小等芯片配置情况以及对应的JAVA虚拟机运行效率。从目前国内采用EEPROM存储区的接触式芯片配置情况看，目前能较好支持JAVA的芯片主要为大唐微电子的32K接触式芯片。该芯片具有8K SRAM（一般SRAM小于6K，则较难有效支持JAVA），基于该芯片的JAVA卡成为国内通过银行测试的首批国内接触式EEPROM金融IC卡，而其他国内卡商目前基于EEPROM的接触式芯片多数SRAM在6K以下（CPU处理器目前多为8位），较难实现高效的JAVA卡。

　　从以上分析可以看出，未来金融社保卡在进行业务拓展时，很有可能会遇到卡片在用户使用中需要进行新应用下载或已有应用的更新的业务新需求的挑战。

　　解决这一问题的方法有两种：一是可通过制定统一的卡片应用下载、更新流程、指令与接口，解决这一问题；二是通过采用既支持社保应用Native COS实现又支持金融等应用的JAVA COS实现的新型卡片解决这一难题。

　　3. 国内芯片安全认证能力的挑战与应对

　　社保卡结合金融功能时，对芯片的安全性要求更高。由于金融社保卡要求内置国密SSF33等算法，所以要求使用国产芯片。

　　目前金融银行卡方面，国内银行主要认可的芯片安全资质是国际CC EAL4+认证和EMVCO认证，但由于金融社保芯片内有SSF33等国密算法，不能直接送交国际EAL、EMVCO认证。因此，金融社保芯片尚缺乏有效的芯片安全检测机构进行认证。

　　随着将来金融社保芯片在金融应用、民政功能应用等业务的拓展与推广，基于利益驱使，黑客将进一步提升芯片攻击手段，这就对芯片的国内安全检测水平产生挑战，急需国内建立具有更高检测水平的金融芯片安全资质认证机构。

　　应对的方法：国内芯片厂家在不断提升自身芯片安全防护机制的同时，努力支持国内银行卡检测中心等检测认证机构进一步提升芯片安全检测水平。