金融IC卡认证体系及其安全性分析.doc

Financial IC Card Authentication System and Its Security AnalysisFENG Zhi-xing, LI Jian-hua, WANG Yi-jun(Institute of Information Security Engineering, Shanghai Jiaotong University, Shanghai 200240, China)【Abstract】The inherent security of IC card is one of the main driving forces of the EMV migration abroad and the PBOC2.0 financial IC card migration at home. The paper discusses the four major parts of the security certification system IC card data authentication, cardholder identification, message security and transaction authentication, and ana-lyzes the security of this certification system.【Keywords】financial IC card; EMV; payment system; security message发卡方( Issuer)和收款方(Acquirer)。各实体间的认证体系包0 引言目前，世界各国在金融借、贷记卡应用领域都开始了程 度不同的 EMV 迁移。EMV 迁移是由 EuroPay、MasterCard、 Visa 3 大卡组织共同制定的用于金融支付系统的 IC 卡及读 卡终端的互操作规范，旨在于取代磁条卡，实现全球范围金 融 IC 卡的互操作。金融支付卡片采用 IC 卡的关键优势之一 是 IC 卡固有的安全性，这种安全性是传统磁条卡所不具备 的，也是国外 EMV 迁移和国内 PBOC2.0 金融 IC 卡迁移的 主要动力之一。标准的 IC 卡支付系统中有6 个主要的实体，即认证机构(CA)、持卡人(CardHolder)、卡片(Card)、终端( Terminal)、括 IC 卡数据认证、持卡人认证、交易认证和安全报文 4 个部分，其中 IC 卡数据认证主要包括静态数据认证(SDA)、动态数据认证(DDA)和复合动态数据认证(CDA)。1 静态数据认证静态数据认证(SDA)1由终端验证卡片中的静态数据的数字签名来完成，其目的是确认存放在金融IC卡中关键静态数据的合法性，可以发现在卡片个人化以后对卡内的发卡机构数据未经授权的改动，能有效地检测金融IC卡内关键静态数据的真实性。静态数据认证流程如下(见图 1)：收稿日期：2 0 08 -0 9-2 8作者简介：冯志兴，男，1980 年生，上海交通大学信息安全 学院硕士研究生，研究方向：信息安全；薛质，男，1971 年 生，上海交通大学信息安全学院教授，研究方向：计算机通信 网和信息安全方面的教学科研工作；王轶骏，男，1980 年生， 讲师，上海交通大学信息安全学院，研究方向：黑客攻防。信息经收单机构传送至终端管理系统。(6) 收单机构终端管理系统把根 CA 公钥 PCA、RID、根 CA 公钥索引及其他信息下载至终端。(7) 金融IC卡进行交易时，脱机静态数据认证过程如下：终端从卡片中读取发卡机构公钥证书及签名数据， 使用根 CA 公钥索引和 RID 找到根 CA 公钥 PCA，由 PCA 恢复3 复合动态数据认证 / 应用密文生成(CDA)金融 IC 卡复合动态数据认证 / 应用密文生成的整体过 程如下：(1) 与静态数据认证的(1)、(2)步相同。(2) 发卡机构密钥管理系统为每一张金融IC卡产生一对出发卡机构公钥 P 并验证其有效性。公私钥对 S 和 P ，并用发卡机构私钥 S 对 IC 卡公钥 PICC ICC进行数字签名，产生 IC 卡公钥证书。ICCI终端使用恢复的发卡机构公钥P 验证卡片签名数据II的有效性。(3) 发卡机构密钥管理系统将发卡机构公钥证书、IC卡公钥证书、IC 卡私钥、RID 以及根 CA 公钥索引传送至 发卡系统。(4) 发卡系统在个人化时将发卡机构公钥证书、IC卡公 钥证书、IC 卡私钥、RID 及根 CA 公钥索引写入卡片中。(5) 根 CA 将其公钥 PCA 、RID、根 CA 公钥索引及其 他信息经收单机构传送至终端管理系统。(6) 收单机构终端管理系统把根 CA 公钥 PCA、RID、根 CA 公钥索引及其他信息下载至终端。(7) 金融IC卡进行交易时的脱机复合动态数据认证过程 如下：终端从 IC 卡中读取发卡机构公钥证书、IC 卡公钥 证书、RID 及根 CA 公钥索引。终端使用 RID 和根 CA 公钥索引定位根 CA 公钥PCA，使用根 CA 公钥 PCA 验证发卡机构公钥证书的签名并恢2 标准动态数据认证在动态数据认证(DDA)过程中，终端验证卡片上的静态数 据以及卡片产生的当前动态交易数据的签名。DDA 能确认卡 片上的发卡机构应用数据自卡片个人化后没有被非法篡改，更 重要的是，DDA 还能确认卡片的真实性，防止卡片的非法复 制和伪造。金融 IC 卡标准动态数据认证整体过程说明如下：(1) 与静态数据认证的(1)、(2)步相同。(2) 发卡机构密钥管理系统为每一张金融IC卡产生一对 公私钥对 SICC 和 PICC，并用发卡机构私钥 SI 对 IC 卡公钥 PICC 进行数字签名，产生 IC 卡公钥证书。(3) 发卡机构密钥管理系统将发卡机构公钥证书、IC卡 公钥证书、IC 卡私钥、RID 以及根 CA 公钥索引传送至发卡 系统。(4) 发卡系统在个人化时将发卡机构公钥证书、IC卡公 钥证书、IC 卡私钥、RID 及根 CA 公钥索引写入卡片中。(5) 根 CA 将其公钥 PCA、RID、根 CA 公钥索引及其他 信息经收单机构传送至终端管理系统。(6) 收单机构终端管理系统把根 CA 公钥 PCA、RID、根 CA 公钥索引及其他信息下载至终端。复出发卡机构公钥 P 。I终端使用发卡机构公钥 P 验证 IC 卡公钥证书的签I名并恢复出 IC 卡公钥 PICC。终端生成一组不可预知数并与其他相关数据一并传 给 IC 卡。 IC 卡使用其自身的私钥 S ICC 对收到的终端数据用密码证明没有修改交易数据。交易认证的过程是终端将交易相关数据传送给 IC 卡，请求应用密码，IC 卡加密后生 成 8 字节的应用密码，返回给终端。终端和 IC 卡约定本次 交易的方式是：允许离线交易，拒绝在线交易认证、离线 交易或联机授权交易。对在线交易，卡片和发卡方的相互 认证采用对称密钥体制，而离线认证方式下，采用的是非 对称的密钥体制。两者结合，发挥了对称加密速度快和非 对称加密密钥便于管理的优势。2 所示的交互认证体系3。该体系在各个交互过程中的安全性如下：6 安全报文安全报文2目的是保证数据机密性、完整性以及发卡行 的有效性。对明文数据加密来保证数据机密性，用 MAC 来 验证消息完整性和发卡行有效性。数据加解密过程和生成 报文认证码 MAC 的过程如下：对数据的加密采用分组长度 为 64 位(8 字节) 分组加密算法，选择电子密码本(ECB)模 式。用加密过程密钥 KS 对任意长度的报文 MSG 加解密的 步骤如下。6.1 数据加解密(1) 按一定规则填充并分块 MSG，其结果被拆分为 8 字 节的块 X1，X2， 。(2) 用加密过程密钥KS以分组加密算法将块X1，X2， 加密为块 Y1，Y2， ，因此，当 i=1，2， 时，分别计算 Yi=ALG(KS)Xi。(3) 密文解密，当 i=1，2， 时，分别计算 Xi=ALG-1 (Ks)Yi，这里的 ALG 为 3DES 算法。为了得到原来的报文 MSG，将块 X1，X2 连接起来，如果使用了填充，从最后一 块X(k)中删除填充字节。6.2 生成 MAC 过程图2 各实体间的交互关系(1) 防止伪卡、伪终端：根据对于动、静态数据认证和组合动态数据认证的分析可以看出，在脱机方式下(即终端与收单方主机没有联机) ，终端可以很好地防范通过复制真卡中的数据得到的伪卡，以及卡片个人化后对于关键数据的非法改写，最大限度地避免了卡片欺诈，但无法避免伪终端欺诈。EMV 规范中规定若干次脱机交易后，强制卡片进行联机交易，在交易认证的过程中，卡片和收单方(或发卡方)主机可以进行相互认证，终端的认证由收单方完成。(2) 防止伪持卡人：终端通过在线PIN 认证、离线PIN认证和手写签名等多种方式中的一种或几种组合一起实现对持卡人认证。同时，允许发卡方扩充例如生物特征识别等方法作为持卡人认证方法。目前使用最为广泛的是通过在线 PIN 认证来认证持卡人，但其安全性能还不够高，如果未来能结合生物特征识别方法，则可以提高此环节的安全性能。(3) 防止收单方对终端交易数据的篡改，损害持卡人的(上接第 57 页)总之，根据 2000 年南湘浩提出的以 SPK(种子密钥)为基础的 CPK 算法建立的新的认证系统具有简便、易行、经 济和高效等优越特性，并且解决了密钥管理规模化和标识 与密钥的一一映射2大难题1。该算法可以实现从有限的种 子变量产生几乎“无限”的密钥对，解决了大型专用网中 大规模的密钥管理难题。图2 校园网管理系统组件2 CPK 的实施或运行CPK 认证系统一般由密钥生产中心、密钥管理中心、 注册管理中心、终端实体、资料库等组成。例如，在高校 网中，由学生在各院系凭学生证注册、各院系由专人将申 请送至密钥生产部，生产出密钥后送密钥管理中心并将密 钥做成 ID 证书发送至发行部进行发放。图 1 给出了 CPK 认证系统结构及校园网管理系统部署，图 2 为校园网管理系统组件。3结语高校数字化校园系统采用了 CPK 认证系统后，具有简便、易行、经济和高效等优越特性，还有密钥本身直接证明标识的真伪而无需第三方证明，运行费用低，特别适合 学校等非商业机构。而且，CPK 认证系统采用的 CPK 算法 就是标识公钥算法，具有破密难度大、超大规模密钥管理