金融IC卡安全体系现状与实践建议之我见

　　流程管理

　　正如电脑会遭受攻击一样，CPU卡亦然。2010年2月，剑桥大学的研究人员发现EMV标准的一个重大安全漏洞，攻击者可利用此漏洞发起中间人攻击，对终端和IC卡之间的通讯信息进行拦截和篡改，致使输入任意PIN(个人识别码，即人们日常所说的个人密码)都能使用该IC卡。具体而言，攻击者通过使用一个电子设备作为支付终端和发卡机构后台系统的“中间人”，阻止把PIN发送到发卡机构的后台系统，并向终端发送“PIN 校验正确”的应答，这样就使非持卡人在不知道卡片真实脱机PIN 的情况下顺利完成交易。

　　这个案例启示我们，IC卡作为一个安全载体，其安全特性不是独立的，而是建立在一套完整的安全体系架构之上。一般而言，一个完整的IC卡安全体系包括IC卡、支付终端、发卡机构、受理网络以及持卡人5个环节。任何一个中间环节安全出现问题都会对IC卡整个安全系统构成威胁。处于安全系统核心地位的IC卡，本身提供了一个计算平台，既能安全地保存信息，又能安全地进行各种计算。同样，受理IC卡的支付终端，如常见的POS和ATM 机，也必须是一个安全的计算平台。受理终端不仅包含性能较高的处理器、内存、显示器、输入设备和通信接口，还包括供终端获取持卡人特征信息的密码输入键盘或生物特征传感器(如指纹扫描器等)。发卡机构则通常负责提供卡片账户的后台管理系统，将持卡人的特征信息与卡的功能特征相联系(如校验持卡人PIN等)，起到认证机构或信任中介的作用。持卡人作为IC卡的所有人，可以输入PIN，或者一些存储在发卡机构后台系统或卡上的个人信息，从而进入卡认可的指定状态。而受理网络一般是公共网络，在受理网络上传输的交易信息可能被监视和获取。

　　因此，要确保和提升金融IC卡的安全性，就要运用全过程管理的理念，高度重视风险管理的整体设计和统筹规划，从流程管理上考虑金融IC 卡应用与信息处理过程中各环节的有机结合，从整体角度研判薄弱环节、防范风险点。例如，我国金融IC卡应用不必担心上述案例中提到的脱机PIN 验证方式存在的安全隐患。在我国银行卡联网通用工作开展伊始，即采用了基于联机PIN的单信息方式，国内金融IC卡交易也无需使用脱机PIN的验证方式。

　　安全体系

　　2010年1月，德国储蓄银行协会(DSGV)发表声明称，“千年虫”发作的时间比预期晚了10年，由于银行IC卡的电脑芯片无法识别2010年，导致持卡人在德国境内和境外提款或付款时出现问题。受影响的金融IC卡包括该协会下的各银行约2000万张“电子现金卡”(EC card)以及大约350万张信用卡。

　　此事件警示我们，金融IC 卡的安全性不是单维度的，而是一个内在的、多层次的“综合体”：一是机密性，防止未经授权的信息获取;二是完整性，防止未经授权的信息更改;三是真实性，通过一系列技术手段验证信息的真实性;四是持久性，指长时间信息保存的可靠性、准确性等。

　　事实上，金融IC卡的安全是自下而上的，从底层的芯片硬件安全，到中间层的芯片操作系统安全，一直到最上层的应用安全。在硬件层面，金融IC卡芯片电路设计时采用了较完善的保护措施，可以有效防止对 IC卡的物理攻击。（点击下页）