金融IC芯片市场调查报告-EMV-EAL4+认证流程.doc

金融IC芯片市场调查报告一卡通世界-共享信息平台 推动互联互通受中国人民银行科技司委托，2011年8月11日，对国内、外IC芯片设计相关企业，国内、外金融IC卡检测、认证单位进行了有关“EMV迁移”的问卷调查。2011年5月24日，在全国金融IC卡工作会议上，中国人民银行行长助理李东荣先生表示，在“全国一盘棋”的原则下，必须坚持统一的顶层涉及和总体规划，各商业银行和中国银联要全面参与进来，扩大试点城市规范。五年后，以人民币为结算账户的银行卡将全部“换芯”变为金融IC卡。2011年6月初，银行卡由磁条向芯片过渡的“大迁移”正式开始。另据业内人士分析，如果能在2015年初完成银行磁条卡换“芯”，我国每年需要换芯的磁条卡与发行的新卡数量综合将达到7亿张左右。如此庞大的工程必然倍受关注：银行卡换“芯”能否像设想的那样，真正提高信息的安全性，切实保障金融信息安全？从调查中我们得到了答案。国内IC卡状况通过此次调查我们获悉，针对EMV迁移，国内许多知名金融IC芯片企业，如：北京同方微电子有限公司、上海华虹集成电路有限责任公司、上海华虹NEC、大唐微电子技术有限公司、上海复旦微电子集团股份有限公司等都有新产品推出。这些新产品在规格、容量上都达到了国际标准，并通过了国际、国内标准的安全认证。如下表：国际主流IC卡企业同时，我们也对英飞凌科技和恩智普两家国外金融IC芯片企业进行了调查。统计如下：行业信息此外，通过调查统计，我们还了解到，企业通通过金融IC芯片产品认证（从提交到通过认证）通常需要半年到一年的时间。谈及国内金融IC 芯片与国外同类产品相比，在安全、设计方面的特点和在芯片质量方面的保障，国内几家企业的总结如下：同方微电子：针对常见的旁路攻击、错误注入攻击以及物理攻击做了相应的保护措施。对加密协处理器以及算法库进行了防SPA/DPA处理，加入了光、温度、电压等多种传感器防止错误注入攻击。秉承Scalable、Structure、Security的3S设计理念，同平台下提供多种产品配置供用户选择，同平台产品可以做到零成本移植，安全性达到金融级别要求。公司有严格的质量检验验收规范，通过ISO9001质量保证体系来保障所有产品的质量安全。华虹设计：支持国产商密算法，可满足国内行业应用联名卡的需求。在设计方面，可满足国内跨行业多应用的需。在芯片质量方面，具备二代证与世博门票的质量控制经验，同类非接触芯片技术在世博门票应用中达到了PPM级的质量表现，远优于行业内平均水平12个数量级。华虹NEC：国家控股的生产代工厂商，自主可控的业内最领先的高可靠性代工工艺（业界首家量产的0.13微米嵌入式存储器工艺）在设计方面, 国内设计公司自主研发的IC卡产品，采用国密算法，具备高安全性！在芯片质量方面，从设计、制造、封装、测试在内的整个产业链自主可控。复旦微电子：从芯片的整体设计来说，复旦微电子的芯片在非接触射频技术及低功耗设计方面比较领先。金融IC卡芯片采用了平台化设计，即可支持接触式应用、非接触式应用，也可以支持双界面应用；数据存储器容量也有8K、16K及32K可选。即可满足纯金融IC卡的应用需求、也可满足包括金融社保IC卡等在内的多行业融合的应用需求。从芯片的安全性设计角度来说，复旦微电子的芯片对各种攻击均具进行了防护设计，包括抗功耗分析（SPA/DPA），抗温度攻击、光攻击、电压攻击、频率攻击等，抗差分错误分析等等。芯片支持多种密码算法，包括国际通用的安全算法：DES/3DES，RSA，SHA-1等算法，同时也支持国产商用密码算法：SSF33、SM1、SM2、SM3算法等，安全性可满足金融级别的要求。从芯片质量而言，复旦微电子使用了最先进的集成电路设计软件对芯片进行设计，并严格按照ISO9001质量体系的要求来保证产品的质量，能为客户提供及时有效的全面技术支持服务，其产品已达到国内外领先厂商的质量水平。 结合以上内容，针对EMV迁移，有关国内外企业金融IC卡的情况比较，我们进行了进一步总结分析。国内芯片企业与国外芯片企业在性能、安全、功能的差别（金融、EMV方面）1.接触式IC卡方面：目前国内的这几家芯片，主要有以下几个表现：接触式IC卡芯片方面，国内企业都有相应的产品，性能方面都差不多，能够做NATIVE卡，但还没有实现能够运行JAVA OS的芯片应用，未能满足未能符合GLOBALPLATFORM(GP)的规范，也没有通过EMV 1或者EMV 2的认证，相关芯片也没有正式通过国际CC认证；2.非接触式IC卡方面：非接触式IC卡芯片方面，国内企业都有相应的产品，性能方面都差不多。这些非接触芯片能够做NATIVE卡，但还没有实现能够运行JAVA OS的芯片应用，未能符合GP的规范，也没有通过EMV 1或者EMV 2的认证，相关芯片也没有正式通过国际CC认证。从了解的信息来看，国内企业的双界面芯片的性能与国外相比，有如下差距1.电源管理方面，芯片做双界面的切换，其中的不同工作模式的电源使用是不同的，这一点上，国外芯片做得非常好，比较稳定，国内芯片，电源管理方面，有些厂家还没很好解决； 2.安全方面，金融领域的几个中间评估认证，是衡量芯片硬件和软件（COS）方面的权威认证，硬件安全认证主要有EMV1认证和CC硬件认证，软件安全认证有EMV2认证和CC软件认证。 目前国内企业的芯片硬件基本都没有通过EMV1认证和CC硬件认证，而国外的一些芯片企业都通过了这两种硬件认证； 目前国内企业的芯片硬件之上的各种COS厂商的软件基本都没有通过EMV2认证，而国外一些企业的芯片都通过这种软件认证； 3.值得强调的是，国内芯片企业具有很容易获得SS算法的芯片认证，也就是国外一些企业目前无法获得的资质； 俗话说：“知己知彼，百战不殆”。让我们在调查的最后，一同来了解一下金融IC卡相关的资料：EMV认证的步骤和程序EMV规范由EMVCo负责制定、维护与升级，因此，EMV Level 1和Level 2的检测认证也由EMVCo负责组织，独立于VISA、MasterCard等银行卡跨国公司。EMVCo依据EMV规范，制定了关于EMV Level 1和Level 2检测认证的需求、测试流程及测试案例，并授权相关实验室进行测试，以保证产品可跨银行、跨地域、跨国界使用。企业先将测试报告提交给EMVCo，EMVCo评估后决定终端是否通过EMV Level 1和Level 2的测试认证。如果通过，EMVCo将颁发相应的认证证书，并将该产品公布在EMVCo网站上。另外，EMVCo还负责对EMV测试实验室进行管理监督。“一般来说，先由企业与EMVCo联系，从其处取得一个ID检测号，然后向其提交ICS文档和技术描述（检测产品与ICS文档必须是一致的）。EMVCo根据ICS文档确定产品检测项目，再将检测项目报给银行卡检测中心。这是正式的检测流程。EMVCo组织提供 EMV LEVEL 1 和 EMV LEVEL 2 认证.EMV Level 1 and Level 2认证 EMV Level 1 认证规范 - 受理卡片的插入而不引起机械部分的损坏. - 提供电源和时钟而不引起电器部分的损坏. - 确定支持的协议并与卡片进行通信. - 正确地下载卡片以利再用卡片. EMV Level 2认证规范 - 定义卡片借记卡信用卡交易的应用需求 - 定义卡片与终端间应用处理规范. - 卡片与终端的应用软件通常是可访问的. - 终端的应用软件可读取卡片应用列表. - 定义卡片持有者校验方法,比如密码验证.安全EAL4+的认证内容及规格CC是当前信息安全的最新国际标准。它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。CC定义了一套能满足各种需求的IT安全准则，共分为三部分：第一部分简介和一般模型；第二部分安全功能要求；第三部分安全保证要求。其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。 CC在第一部分描述了对安全保护框架（PP）和安全目标（ST）的要求。与传统的软件系统设计相比较，PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。CC在第二部分和第三部分，分别详细介绍了为实现PP和ST所需要的安全功能要求和安全保证要求，并对安全保证要求进行了等级划分（共分为七个等级）。对于安全功能要求，CC虽然没有进行明确的等级划分，但是在对每一类功能进行具体描述时，要求上还是有差别的。CC明确指出不在其范围的内容包括：与信息技术安全措施没有直接关联的属于行政管理的安全措施，虽然这类安全管理措施是技术安全措施的前提；信息技术安全性的物理方面；密码算法的质量评价。CC在对安全保护框架和安全目标的一般模型进行介绍以后，分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述，主要内容如下：1）安全功能要求CC将安全功能要求分为以下11类：安全审计类；通信类（主要是身份真实性和抗抵赖）；密码支持类；用户数据保护类；标识和鉴别类；安全管理类（与TSF有关的管理）；隐秘类（保护用户隐私）；TSF保护类（TOE自身安全保护）；资源利用类（从资源管理角度确保TSF安全）；TOE访问类（从对TOE的访问控制确保安全性）；可信路径/信道类。这些安全类又分为族，族中又分为组件。组件是对具体安全要求的描述。从叙述上看，每一个族中的具体安全要求也是有差别的，但CC没有以这些差别作为划分安全等级的依据。如果对CC的十一个安全类的内容稍加分析便可看出，其中的前七类的安全功能是提供给信息系统使用的，而后四类安全功能是为确保安全功能模块（TSF）的自身安全而设置的。因而可以看成是对安全功能模块自身安全性的保证。2）安全保证要求安全保证要求在对安全保护框架和安全目标的评估进行说明以后，将具体的安全保证要求分为以下8类：配置管理类；分发和操作类；开发类；指导性文档类；生命周期支持类；测试类；脆弱性评定类；保证的维护类。按照对上述8类安全保证要求的不断递增，CC将TOE分为7个安全保证级，分别是：第一级：功能测试级；第二级：结构测试极；第三级：系统测试和检查级；第四级：系统设计、测试和复查级；第五级：半形式化设计和测试级；第六级：半形式化验证的设计和测试级；第七级：形式化验证的设计和测试级。Common Criteria以7个安全评估等级，来界定安全性规范检测的结果。在国际相互承认协议（CCRA）的基础下，各国会承认EAL（Evaluation Assurance Level，简称EAL）等级14级的产品，至于EAL 5等级以上（包含EAL 5）的产品，由于属于军事等级的安全认证，因此各国有各各自的标准规范，并不会互通。针对多数商用产品的最高等级为EAL 4，若厂商送产品验证时，多增加EAL 5以上或其他不足功能的验证，在通过验证后，也只会标识为EAL 4+。若要在美国申请EAL 5至7级的产品验证，就必须由美国政府“国家安全局 (NSA)”来执行。 EAL验证需要较长的时间，光是EAL 1最初级的评估等级，测试、验证的工作就需要花费3个月，随的验证等级越高，所需要花费的时间就越久，以商用产品验证等级最高的EAL 4来说，一般而言起码需要1216个月的时间。也