在我國銀行卡的發(fā)展歷程中，銀行磁條卡憑借技術簡單、推廣較易等優(yōu)勢獲得了快速發(fā)展，銀行卡已進入百姓日常生活中，成為當前使用最多的非現(xiàn)金支付工具。但隨著信息技術的高速發(fā)展，由于可輕易被全卡復制的劣勢，磁條卡無法從根本上防范被仿造，而被越來越多的犯罪集團所利用，對持卡人賬戶資金的安全造成了嚴重威脅。與此同時，集成電路和芯片的技術與應用逐漸成熟，銀行卡介質(zhì)由磁條向芯片過渡成為發(fā)展潮流。

　　近年來，人民銀行立足我國的實際情況，從解決人民群眾對安全、方便、快捷的金融支付服務的迫切需要入手，大力推進金融IC卡及其在公共服務領域應用，推動我國金融IC卡進入了發(fā)展的快車道。

　　作為銀行磁條卡的升級產(chǎn)品，金融IC卡以高安全性和多應用靈活性等優(yōu)點，開始得到更多持卡人的青睞。但需要指出的是，金融IC卡的高安全性并非“與生俱來”，而是建立在一套完備的安全體系之上的。如果這套安全體系設計得不科學、不嚴密、不合理，金融IC卡安全性就可能會受到影響?？傮w看來，金融IC卡安全體系的核心要素主要包括芯片類型、脫機數(shù)據(jù)認證模式、流程管理、多層次安全增進等。以下，筆者將結合國際上幾個經(jīng)典的IC卡安全事件作為案例來分析上述因素對金融IC卡使用安全性的重大影響，并介紹中國在這方面的實踐。

　　一、芯片類型的選擇

　　全球知名網(wǎng)站“YouTube”上曾播出過“不法分子持非接觸式讀卡器接近持卡人口袋中的非接觸式IC 卡來獲取卡片信息并仿制卡片”的視頻，這就是廣為人知的“MifareClassic 芯片”(以下簡稱M1 卡)破解事件。其實早在2008 年，普洛茨(德國研究員)和諾爾(美國佛吉尼亞大學在讀博士)指出，M1 卡的安全算法核心是一個16 字節(jié)的隨機數(shù)，可以通過反向工程，逐層分析邏輯電路單元，發(fā)現(xiàn)隨機數(shù)產(chǎn)生的規(guī)律，進而破解整個加密體系。那么，金融IC卡是否會受到M1 卡片安全事件的影響呢?這涉及到金融IC卡的芯片選擇問題。按芯片類型分類，IC卡可分為存儲卡和CPU 卡兩大類。存儲卡是一種早期IC 卡產(chǎn)品，只有單純的存儲數(shù)據(jù)，沒有安全保護機制，沒有數(shù)據(jù)的組織管理，通常存儲量也很小。而邏輯加密卡是相對普通存儲卡而言更安全的存儲卡，它通過硬件邏輯電路實現(xiàn)簡單的密碼訪問保護，在外部訪問邏輯加密卡的存儲單元之前，由邏輯電路對輸入的密碼數(shù)據(jù)的合法性進行校驗。但是，同一款邏輯加密卡的缺點在于，其被應用的越廣泛，硬件加密機制就越有可能被破解而公開。“YouTube”視頻中被破解的M1 就是一種被最廣泛使用的邏輯加密卡。由于邏輯加密卡技術實現(xiàn)難度較CPU 卡簡單，且價格低廉，曾廣泛應用于地鐵、公交、校園、停車場、門禁等許多領域。

　　而CPU 卡內(nèi)的集成電路包括中央處理器(CPU)、可編程只讀存儲器(EEPROM)、隨機存儲器(RAM)和只讀存儲器(ROM)等。如果把存儲卡比作U 盤，那么CPU 卡則相當于一臺沒有顯示器和鍵盤的電腦，通過讀寫控制與對稱、非對稱加密算法體系等技術措施，大大提高了卡片內(nèi)部數(shù)據(jù)防破解和竊取能力。

　　金融IC卡基于銀行信用的基本屬性，事關持卡人的資金安全，對芯片類型的選擇一直采取“就高不就低”的態(tài)度。不論是國際上通行的IC卡基礎規(guī)范 ——EMV 規(guī)范(EMV:Europay、MasterCard、Visa 首字母的連寫，特指最初由此三家銀行卡國際組織聯(lián)合制定的金融IC 卡標準)，還是我國實際應用的《中國金融集成電路(IC)卡規(guī)范》，都一直采用CPU 卡作為金融IC卡的芯片選型。

　　二、脫機數(shù)據(jù)認證模式的使用

　　英國是開展銀行卡芯片化遷移最早的國家，也是實施最快的國家之一。英國在推動此項工作的早期(2005 年之前)，在脫機交易中一直使用靜態(tài)數(shù)據(jù)認證(SDA)手段進行脫機認證。SDA 的安全度雖然比磁條高出很多，但罪犯分子還是很容易取得賬戶數(shù)據(jù)與銀行數(shù)字簽名以制作偽卡，離線交易的風險依然很高。隨著非接觸式支付應用和小額支付應用等脫機交易日益增多，英國境內(nèi)的偽卡欺詐損失并未得到很好的遏制。2004 年英國境內(nèi)偽卡欺詐損失金額仍高達1.06 億英鎊，打擊了英國推行金融IC卡工作的積極性。

　　借記/ 貸記應用是金融IC卡最主要的應用，其安全體系是由非對稱密鑰體系和對稱密鑰系統(tǒng)兩部分組成。非對稱密鑰體系主要用于借記/ 貸記應用交易流程中的脫機數(shù)據(jù)認證部分;對稱密鑰系統(tǒng)運用于借記/ 貸記應用聯(lián)機交易認證部分。在非對稱密鑰體系中，脫機數(shù)據(jù)認證又可分為靜態(tài)數(shù)據(jù)認證和動態(tài)數(shù)據(jù)認證。靜態(tài)數(shù)據(jù)認證由終端使用基于公鑰技術的數(shù)字簽名方案來完成，其目的是確認存放在IC 卡內(nèi)關鍵的靜態(tài)數(shù)據(jù)的合法性，并可以發(fā)現(xiàn)在卡片個人化以后對數(shù)據(jù)的未經(jīng)授權的改動?？ㄆ瑹o須具備非對稱算法的運算能力，所有計算都在終端完成，卡片成本較低，同時安全級別也較低。在早期芯片化遷移中，英國采用的技術標準是符合EMV96 規(guī)范的芯片卡UKIS 標準，卡片只能進行一次性個人化處理，采用靜態(tài)數(shù)據(jù)認證方式，終端密鑰長度為1280 位，卡片有效期為3年。

{$page$}

　　動態(tài)數(shù)據(jù)認證由終端使用基于公鑰技術的數(shù)字簽名方案來完成，其目的是認證存放在IC卡中的或由IC 卡生成的關鍵數(shù)據(jù)以及從終端收到的數(shù)據(jù)的合法性。這可以有效防止偽卡的產(chǎn)生。加載動態(tài)數(shù)據(jù)認證的卡片必須具備非對稱算法的運算能力，計算過程由卡片和終端共同完成，卡片成本較高，安全級別也高。2005 年以來，英國決定將靜態(tài)數(shù)據(jù)認證逐步轉(zhuǎn)變?yōu)閯討B(tài)數(shù)據(jù)認證，該國境內(nèi)偽卡欺詐損失金額隨之逐年大幅減少，2005 年下降到6380 萬英鎊，2007 年則降至3110 萬英鎊。

　　我國金融IC卡推廣過程中，充分借鑒了國際有關經(jīng)驗，引導各商業(yè)銀行只發(fā)行動態(tài)數(shù)據(jù)認證以上安全級別的卡片，在這個問題上避免了“走回頭路”。

　　三、流程管理

　　正如電腦會遭受攻擊一樣，CPU 卡亦然。2010 年2 月，劍橋大學的研究人員發(fā)現(xiàn)EMV 標準的一個重大安全漏洞，攻擊者可利用此漏洞發(fā)起中間人攻擊，對終端和IC 卡之間的通訊信息進行攔截和篡改，致使輸入任意PIN(個人識別碼，即人們?nèi)粘Ｋf的個人密碼)都能使用該IC 卡。具體而言，攻擊者通過使用一個電子設備作為支付終端和發(fā)卡機構后臺系統(tǒng)的“中間人”，阻止把PIN 發(fā)送到發(fā)卡機構的后臺系統(tǒng)，并向終端發(fā)送“PIN 校驗正確”的應答，這樣就使非持卡人在不知道卡片真實脫機PIN 的情況下順利完成交易。

　　這個案例啟示我們，IC卡作為一個安全載體，其安全特性不是獨立的，而是建立在一套完整的安全體系架構之上。一般而言，一個完整的IC卡安全體系包括IC 卡、支付終端、發(fā)卡機構、受理網(wǎng)絡以及持卡人5 個環(huán)節(jié)。任何一個中間環(huán)節(jié)安全出現(xiàn)問題都會對IC卡整個安全系統(tǒng)構成威脅。處于安全系統(tǒng)核心地位的IC 卡，本身提供了一個計算平臺，既能安全地保存信息，又能安全地進行各種計算。同樣，受理IC卡的支付終端，如常見的POS 和ATM 機，也必須是一個安全的計算平臺。受理終端不僅包含性能較高的處理器、內(nèi)存、顯示器、輸入設備和通信接口，還包括供終端獲取持卡人特征信息的密碼輸入鍵盤或生物特征傳感器(如指紋掃描器等)。發(fā)卡機構則通常負責提供卡片賬戶的后臺管理系統(tǒng)，將持卡人的特征信息與卡的功能特征相聯(lián)系(如校驗持卡人PIN 等)，起到認證機構或信任中介的作用。持卡人作為IC 卡的所有人，可以輸入PIN，或者一些存儲在發(fā)卡機構后臺系統(tǒng)或卡上的個人信息，從而進入卡認可的指定狀態(tài)。而受理網(wǎng)絡一般是公共網(wǎng)絡，在受理網(wǎng)絡上傳輸?shù)慕灰仔畔⒖赡鼙槐O(jiān)視和獲取。

　　因此，要確保和提升金融IC卡的安全性，就要運用全過程管理的理念，高度重視風險管理的整體設計和統(tǒng)籌規(guī)劃，從流程管理上考慮金融IC 卡應用與信息處理過程中各環(huán)節(jié)的有機結合，從整體角度研判薄弱環(huán)節(jié)、防范風險點。例如，我國金融IC卡應用不必擔心上述案例中提到的脫機PIN 驗證方式存在的安全隱患。在我國銀行卡聯(lián)網(wǎng)通用工作開展伊始，即采用了基于聯(lián)機PIN 的單信息方式，國內(nèi)金融IC卡交易也無需使用脫機PIN 的驗證方式。

　　四、安全體系

　　2010 年1 月，德國儲蓄銀行協(xié)會(DSGV)發(fā)表聲明稱，“千年蟲”發(fā)作的時間比預期晚了10 年，由于銀行IC卡的電腦芯片無法識別2010 年，導致持卡人在德國境內(nèi)和境外提款或付款時出現(xiàn)問題。受影響的金融IC卡包括該協(xié)會下的各銀行約2000 萬張“電子現(xiàn)金卡”(EC card)以及大約350 萬張信用卡。

　　此事件警示我們，金融IC 卡的安全性不是單維度的，而是一個內(nèi)在的、多層次的“綜合體”：一是機密性，防止未經(jīng)授權的信息獲取;二是完整性，防止未經(jīng)授權的信息更改;三是真實性，通過一系列技術手段驗證信息的真實性;四是持久性，指長時間信息保存的可靠性、準確性等。

　　事實上，金融IC卡的安全是自下而上的，從底層的芯片硬件安全，到中間層的芯片操作系統(tǒng)安全，一直到最上層的應用安全。在硬件層面，金融IC 卡芯片電路設計時采 用了較完善的保護措施，可以有效防止對 IC卡的物理攻擊。

　　在IC卡卡片制造過程中也采用了激光防偽標識、簽名條等輔助安全技術。在芯片操作系統(tǒng)層面，金融IC卡也提供了相應的安全措施，如IC 卡和終端設備通信的加密解密技術、IC卡和終端設備通信信息的認證技術等。目前在金融領域，IC 卡聯(lián)機交易和脫機交易過程中，均采用密鑰加密措施。在應用安全層面，不同的應用均處于各自的安全域中，應用與應用之間通過防火墻進行隔離以保證應用的安全獨立，應用本身也具有獨立和完整的應用安全體系。

　　為構建金融IC 卡安全體系，金融行業(yè)從自身做起，嚴把標準關和檢測關。一是標準關。即，在標準制定伊始，就慎重考慮流程設計的合理性與可行性，并在標準正式頒布前，采用試點方式對標準內(nèi)容進行符合性驗證。二是檢測關。所有商業(yè)銀行新發(fā)行的金融IC 卡都須經(jīng)過標準符合性與系統(tǒng)安全性檢測。這不僅可以保證卡片符合標準，同時，也從硬件、操作系統(tǒng)和應用三個層面保障卡片的安全性。值得一提的是，國家金融 IC 卡安全檢測中心項目于今年年初通過驗收，該中心現(xiàn)已具備全部31 項芯片級安全檢測能力和66 項COS(Chip Operating System)級安全檢測能力，填補了我國金融領域芯片安全檢測的空白。 

　　五、結論與下一步建議

　　總體看，我國金融IC卡充分借鑒了國內(nèi)外IC 卡發(fā)展經(jīng)驗。從芯片類型選擇、標準流程設計、安全體系管理以及安全性檢測體系等方面都充分考慮了安全性，為我國金融IC卡的系統(tǒng)安全性夯實了基礎。但是，金融IC 卡的整體體系安全還需各參與方和持卡人共同努力，補足短板，確保發(fā)卡和用卡安全。

　　為進一步加強我國金融IC卡安全體系建設，筆者建議下一階段應重點做好以下幾項工作：

　　一是加強對IC卡的安全性研究，緊密跟蹤國際IC卡技術與應用的最新趨勢，及時了解金融IC 卡安全應用的最新動態(tài)，對安全技術水平了然于胸，對安全威脅未雨綢繆。

　　二是進一步加強標準落地的檢測與認證工作，變“入門檢測”為“常規(guī)認證”，提升金融機構對最新標準的響應時間，防止因產(chǎn)品質(zhì)量等問題而引發(fā)的應用安全隱患。 

　　三是在解決“金融IC卡在部分國家(地區(qū))跨境使用，不得不應用脫機PIN 等已暴露安全問題”的認證手段時，要從限額控制、持卡人教育和合作受理單位安全管控等多方面入手，保障持卡人資金安全。同時，避免將脫機PIN與其他認證方式建立強關聯(lián)。

　　四是加強對持卡人用卡安全教育。如強調(diào)持卡人應妥善保管卡片和密碼，如保管不當也可能給持卡人帶來資金損失。如若鑰匙被盜，即便世上最安全的防盜門也將形同虛設。