河南某商业银行金融IC卡国密改造安全建设方案
一、项目背景
2011年3月,中国人民银行发布了《关于推进金融IC卡应用工作的意见》,全面启动我国金融IC卡迁移,要求2015年起银行业金融机构发卡的银行卡均应为金融IC卡。2014年11月3日,人民银行印发了《关于进一步做好金融IC卡应用工作的通知》,要求自2015年4月1日起,各发卡银行新发卡的金融IC卡应符合PBOC3.0规范,相较于PBOC2.0规范,PBOC3.0规范的核心内容是支持国密算法。
河南某商业银行金融IC卡国密改造国内第一家按照PBOC3.0规范建设的商业银行IC卡系统,主要针对发卡系统、受理系统、核心交易系统、密钥管理系统及ATM、POS机等交易终端进行支持SM2/SM3/SM4等国密算法的改造,用来开展金融IC卡借贷记、电子现金、电子钱包相关业务。
金融IC卡国密改造的核心在于安全体系建设,需要解决如何运用国密算法保证卡片的发卡和交易过程的安全。
二、需求分析
江南天安根据PBOC3.0规范要求,以及该银行的业务实际,对改银行金融IC卡国密算法改造做了安全分析,安全体系建设主要有如下几点需求:
1、需要建设符合PBOC3.0规范的密钥管理系统,保证密钥生命周期的安全。
2、需要提供一整套的应用国产密码算法的金融IC卡发卡的安全解决方案。
3、需要为金融IC卡的交易过程中涉及的各业务系统提供基于国产密码算法的安全服务。
三、解决方案
江南天安根据PBOC3.0规范要求,以及该银行的业务实际,项目中应用江南天安金融IC 卡安全支撑系统,保证了国密算法在金融IC卡发卡和交易过程的应用,为金融IC卡业务应用的安全性奠定了基础:
1、密钥管理系统
提供国密算法和国际算法的发卡行证书申请、导入、管理;认证中心根证书导入;IC卡证书的签发和管理;IC卡业务根密钥的生成、导出、管理、卡片子密钥的生成等。
2、数据准备系统
提供卡片模板定义和管理;提供与密钥管理系统交互,获取卡片密钥和证书数据;提供与IC卡业务系统交互,获取卡片原始制卡文件;按照卡片模板生成最终的制卡数据。
3、IC卡多应用发卡系统
提供制卡数据解析;提供卡指令和卡数据组织拼接;提供卡片应用加载,提供应用个人化功能。
4、密码服务平台
提供国密算法和国际算法的终端密钥生成、管理、更新接口;提供PIN的生成、转加密、验证接口;提供借贷记应用的ARQC\ARPC、脚本MAC、脚本加密等接口;提供8583报文传输的MAC计算、验证等接口。
5、SJJ1310金融数据加密机
提供国密算法和国际算法的密钥的生成和管理、提供业务所需的各类密码运算接口。
四、实施效果
经过江南天安金融IC卡安全支持系统的上线,促使该商业银行的金融IC卡系统成为国内第一家正式商用的符合PBOC3.0规范,并且应用国密算法的金融IC卡系统。
