随着电子信息技术的发展,智能卡产品在金融领域中的应用逐渐扩大,智能卡机具的安全性也越来越受到关注,其遭受到攻击的可能性也越来越大,典型的一类攻击就是通过对输入设备的攻击来窃取个人身份识别码(PIN,Personal Identification Number)。为对抗欺诈事件,防止上述攻击的发生,金融领域中使用的大量智能卡是基于持卡者身份识别功能以及卡校验功能为一体的系统,即通过持卡者将金融智能卡插入读卡器并输入个人身份识别码(PIN)来完成。为安全实现这些功能,消费者PIN码和鉴别系统的保密性和完整性必须得到保证。
一、智能卡在金融系统中的应用
银行卡是由金融机构发行的、具有支付功能的卡片。按照卡片信息载体的发展历程,银行卡经历了磁条卡起源和发展、IC卡引入以及IC卡发展的三个阶段。由于磁条卡只由背面的磁条记录卡号、姓名以及其他一些基本的帐户信息,给利用伪造卡进行欺诈带来可能性,因而磁条卡越来越不能满足广泛应用带来的安全性要求。智能卡便是在IC卡发展阶段出现的一类具有存储容量大、安全技术好等优点的IC卡,智能卡也称为CPU卡,已应用于多个领域,尤其在金融业方面。随着智能卡性能的日益提高、功能的日益完善,为降低不断增大的磁条卡应用风险和更好的拓展银行业务,在1993年,Europay、MasterCard、VISA三大信用卡国际组织就开始共同制订用于付款业务的智能卡通用规范平台, 最新版本EMv2000考虑了多应用的需要,更加完善了IC卡的安全体系,使之建立在非对称密钥体系与对称密钥体系相结合的基础上。
智能卡之所以具有较高的安全性,其原因除其自身从设计、制造到封装等各生命周期所具有的物理安全特性之外,本身所具有的逻辑安全特性也相当重要。其中一项较为重要的逻辑安全特性,即用户鉴别机制。就是通过对用户的访问控制机制验证持卡人的身份,减少智能卡被冒用的可能性。用户鉴别目前一般采用用户个人识别码(PIN)来确认持卡人是否合法,PIN码的明文应只存在于受硬件保护的设备中。持卡人利用读写设备键盘向智能卡输入PIN码,如果在一定的连续次数内没有输入正确的PIN码,卡就判定持卡人非法,并且自己锁定,禁止以后的操作。在验证过程中,不仅PIN码的比较在智能卡内部处理器进行,而且终端机和智能卡之间的传送也采用密文PIN码传送。这一安全机制的实现是通过个人身份识别码输入设备PED(Pin Entry Device with Integral Display),智能卡接口设备IFD(Smartcard Interface Device)或读卡器(Card Reader)和POS终端(POS Terminal)与智能卡共同完成的。
二、设备物理组成
个人身份识别码(PIN)在环境中可以进行输入、执行或以未加密的形式存在,这都离不开一个具备完整显示的PIN输入设备(PED)、一个智能卡接口设备(IFD)和一个POS终端(Terminal)。对于实际应用的此类金融产品,三者可以组合成一个物理组件,也可以是三个独立的物理组件,但共同拥有统一的物理外壳,下表列出了这三个组件五种不同的组合方式: 设备分类表 在上述5类设备中,A和C类由于PED和IFD(即PIN码输入设备和读卡器)已合并为一个组件,共用的物理外壳可以保证其之间传输数据持续的完整性和机密性,因而不需要对PIN码进行加密操作。其余三类设备,均需要对PIN码进行加密处理,当智能卡支持非对称密钥加密时,PIN码用对称密钥进行加密后传输到IFD,然后解密,再用智能卡的公钥重新加密;当智能卡不支持非对称密钥加密时,PIN码用对称密钥进行加密后传输到IFD,然后解密将明文传输给智能卡,IFD的物理外壳将保持其完整性和机密性。
三、脱机PIN码校验
具有嵌入式集成电路(IC)的金融交易卡,即智能卡在技术上已经可以通过脱机使用IC卡来实现PIN码的确认。发行商现在也可以任意选择对PIN码的校验是联机还是脱机进行。对PIN码进行脱机校验就是在终端支持脱机PIN码校验的前提下,持卡人的PIN码不需要传输到发行商后台来进行确认,正因如此使得许多经过互联网过程中要对PIN码进行的保护措施可以取消。
当终端支持脱机PIN码校验时,IFD和PED可以整合为单一设备或是两个独立设备。ISO 9564-3规定了如下几种情形: * 如果IFD和PED整合,且脱机PIN码以明文形式传递到卡,那么当明文PIN码直接从PED传递到IFD时,PED将不会对PIN码进行加密。 * 如果IFD和PED整合,且脱机PIN码以明文形式传递到卡,但脱机明文PIN码不直接从PED传递到IFD时,PED将对脱机的PIN码进行加密,再传输给IFD,IFD随后对PIN码进行解密再将明文传到卡中。 * 如果IFD和PED分离,且脱机PIN码以明文形式传递到卡,PED将对PIN码进行加密后传递到IFD,IFD随后对PIN码进行解密将明文传到卡中。 * 如果脱机PIN码以加密形式传递到卡中,PIN码的加密过程将在PED中进行或是在终端的一部分安全区域中进行。
四、PED产品的安全性要求
用户鉴别作为智能卡的一项重要逻辑安全机制的实现,离不开PED产品的安全性保证。市场上最常见的典型PED产品就是个人身份识别码输入键盘(Pin Pads)、ATM或POS终端产品,根据目前国际金融领域普遍遵守的PCI(Payment Card Industry)PED产品安全性要求V2.0,可将PED产品的安全性分为设备和设备管理两部分安全技术要求,以下将分别对这两部分内容进行介绍:
1.设备安全特征
此安全技术要求中规定的设备安全特征部分可进一步划分为核心内容,联机和脱机三部分。核心内容是要求所有PED设备必须要满足的物理安全特征和逻辑安全特征,其余要求则是分别针对联机或是脱机PED设备的。
设备的物理安全特征是阻止对设备的物理攻击的那些功能,所谓的物理攻击例如对设备的渗透性攻击来获得密钥或是向内部植入暴露PIN码的bug等。逻辑安全特征是确保PED产品排除一些不安全的功能或能力,如允许设备输出PIN码加密密钥明文的功能等。其中,核心安全技术要求中规定的所有PED产品必须满足的物理安全要求共11项,逻辑安全要求15项。
本文第3节中已经介绍了联机PED和脱机PED产品的区别,PCI PEDV2.0中专门针对这两类PED产品也规定了相应的安全技术要求。
2.设备管理安全特征
设备管理涉及PED的生产,管理,运输,存储和生命周期过程中的使用。如果设备没有被合理的管控,非授权的修改可能会对其物理或逻辑安全特性产生影响。PCI PEDV2.0中此部分安全要求只涉及生产过程中的设备管理以及在生产和内部密钥装载过程之间的设备管理安全要求。
五、结 语
个人身份识别码输入设备(PED)作为金融消费领域中重要的组件设备之一,其安全性越来越重要。国外比较大型的金融机构特别是金融卡组织分别制定了适应各自金融卡的个人身份识别码输入设备(PED)的安全要求,如CIRRUS(顺利卡)、MAESTRO(万事顺卡)等,但到目前为止国际上普遍认可和遵循的个人身份识别码输入设备(PED)的安全要求及其认证还是遵从PCI PED标准,虽然目前PED测评体系和测评实验室授权还是由Visa组织所维护,但应该在不久的将来也将会统一过渡到PCI安全标准委员会来负责。目前,我国还没有制定出个人身份识别码输入设备(PED)的统一的安全要求标准,同时相关的测评机构也比较少,一些此类设备的生产商为了验证产品的安全性只能到国外去进行PCI PED相关认证。目前中国信息安全产品测评认证中心正致力于此方面标准的研究工作。我们将在参考国外相关安全技术要求的同时,结合我国金融行业和PED产业的自身特点,制定出适应我国国情和产品特点的个人身份识别码输入设备(PED)的安全技术要求标准。
