金融IC卡國產(chǎn)密碼算法使用研究

摘要：本文首先對國產(chǎn)密碼算法進行了簡要分析，探討了國產(chǎn)密碼算法實施所存在的突出問題，最后指出了金融IC卡系統(tǒng)國產(chǎn)密碼算法的實施路徑，望能為此領(lǐng)域研究有所借鑒。

關(guān)鍵詞：金融IC卡；國產(chǎn)密碼算法；路徑

國產(chǎn)密碼算法是我國科研人員經(jīng)過不懈努力所研發(fā)的一種擁有完全自主知識產(chǎn)權(quán)的密碼算法，使用簡便，且安全性高，已得到國密局的認可、接受與推廣。當前，國家密碼管理局為了更好的維護各領(lǐng)域安全，已經(jīng)對外發(fā)布了諸多密碼算法，以此為我國的信息安全提供切實保障。在以國家為主導(dǎo)的各類型行業(yè)中，大部分選用的是由國家密碼管理局所提供的密碼算法，這種情況已經(jīng)成為今后發(fā)展趨勢。本文就金融IC卡國產(chǎn)密碼算法的使用作一探討。

1.國產(chǎn)密碼算法概述

針對國產(chǎn)密碼算法而言，其主要包含三大類，分別為對稱密碼算法（SM4）、雜湊算法（SM3）與非對稱密碼算法（SM2）。（1）SM2。針對國產(chǎn)SM2算法來講，其實際是由國家密碼管理局所編制與開發(fā)的一種以橢圓曲線理論為基礎(chǔ)，更具實用價值的非對稱算法，同時還是對ECC橢圓曲線算法的一種深層次優(yōu)化。從總體上來講，SM2算法無論是在具體性能上，還是在安全性上，均一致于ECC算法，乃是現(xiàn)階段各種已知公鑰體制架構(gòu)當中對各比特能夠提供最高加密強度的一種算法。（2）SM3。針對此種算法而言，其又被稱之為散列算法，國產(chǎn)SM3算法針對那些已經(jīng)給定長度（k）的消息，經(jīng)過迭代壓縮、填充與選裁，能夠生成具體的雜碎值，其長度通常是256比特。當將此算法組合于非對稱算法時，可以實現(xiàn)數(shù)字簽名功能。（3）SM4。針對國產(chǎn)SM4算法來講，從根本層面來分析，其即為一種分組算法，其分組長度通常為128比特，而其具體的密鑰長度則可達到128比特。無論是密鑰擴展算法，還是加密算法，均選用的是32輪非線性迭代結(jié)構(gòu)。而與加密算法相比較，解密算法有著與之相同的結(jié)構(gòu)，只是有著相反的輪密鑰的使用順序。

2.國產(chǎn)密碼算法實施中所存在的突出問題

（1）缺乏以國產(chǎn)密碼算法為基礎(chǔ)的市場化產(chǎn)品。要想使項目得以順利實施，需要有能夠為國產(chǎn)密碼算法提供支持的硬件加密機、數(shù)字證書系統(tǒng)、UsbKey及芯片卡等?，F(xiàn)階段，國產(chǎn)密碼算法自公開到現(xiàn)在時間并不長，能夠為國產(chǎn)密碼算法提供支持的產(chǎn)品并不多，因而難以為銀行系統(tǒng)實施國產(chǎn)密碼算法的改善與升級提供全面支持。（2）可供參考的實施標準且不健全。當前，還沒有比較健全的以國產(chǎn)密碼算法為基礎(chǔ)的金融IC卡技術(shù)標準。在完善標準時，需不斷的對金融IC卡的交易流程與交易模型，實施大量且繁雜的模型驗證，最終才能形成更加實用、可行且完善的國產(chǎn)密碼算法標準。依據(jù)中國人民銀行的最新安排，與金融IC卡相關(guān)聯(lián)的PBOC3.0標準，需要在2020年才能完成修訂。（3）國產(chǎn)密碼安全性仍需要提升。有觀點指出，若算法不進行公開，那么便較難對算法的安全性進行準確評估。且因公開的算法會得到更多人的關(guān)注，因而一些有或無組織的密碼，會對單位或個人進行供給。

3.金融IC卡系統(tǒng)國產(chǎn)密碼算法的具體實施分析

3.1金融IC卡發(fā)卡系統(tǒng)的升級與改造

改造金融IC卡發(fā)卡系統(tǒng)，從根本上來講，就是改造能夠為國產(chǎn)密碼算法提供支持的個人化支持與雙算法芯片卡數(shù)據(jù)準備進行改造。而能夠?qū)崿F(xiàn)雙算法的金融IC卡個人化，從基礎(chǔ)層面來分析，就是以認證檢測機制、支持雙算法智能芯片卡、國密算法接口及雙算法智能卡標準為基礎(chǔ)來實現(xiàn)的。（1）算法基礎(chǔ)。針對能夠為雙算法智能芯片提供支持的算法來講，其基礎(chǔ)層由兩部分組成，其一為我國自研的國密算法，其二是國際標準密碼算法。針對國際標準密碼算法而言，除了有3DES標準對稱密鑰體系之外，還有以RSA算法為基礎(chǔ)的非對稱密鑰體系，當前，此類算法在該領(lǐng)域中已得到廣泛應(yīng)用，為國內(nèi)外信息安全提供了較好保護。針對國產(chǎn)密碼算法來講，其以SM2算法為基礎(chǔ)，多用作認證與數(shù)據(jù)簽名，而其終端為SM3，其能夠為支付芯片簽名相應(yīng)交易數(shù)據(jù)的完整性進行校驗，此外，對于SM4算法來講，其多用于計算報文認證碼、PIN加密等。國產(chǎn)密碼算法利用上述算法體系，來為信息安全提供切實保障，現(xiàn)階段，此算法體系已趨向成熟，安全性高，且已經(jīng)得到國密局的支持與認可。（2）設(shè)備基礎(chǔ)。針對設(shè)備基礎(chǔ)層來講，其乃是整個雙算法金融IC卡硬件支持核心構(gòu)成，其主要由兩部分構(gòu)成，其一為硬件加密機，其二是雙算法金融智能IC卡。金融智能IC能夠同時兼容雙算法，但需同時擁有國際與國內(nèi)對應(yīng)的協(xié)處理器。（3）個人化系統(tǒng)改造。針對金融IC卡個人化來講，其主要由兩部分構(gòu)成，其一為個人化系統(tǒng)，其二是數(shù)據(jù)準備系統(tǒng)。此系統(tǒng)支持國際密碼算法，且已經(jīng)比較成熟，但針對國產(chǎn)算法來講，要想獲得支持，需要依據(jù)國產(chǎn)算法的具體標準，對個人化系統(tǒng)以及數(shù)據(jù)準備實施相應(yīng)改造。在整個智能IC卡數(shù)據(jù)準備與個人化系統(tǒng)結(jié)構(gòu)當中，針對數(shù)據(jù)準備系統(tǒng)而言，需要依據(jù)加密機接口的實際情況，開展針對性改造；而對于個人化系統(tǒng)而言，則需依據(jù)硬件加密機接口，開展國產(chǎn)算法支持框架下的改造；而對于個人化指令來講，則需依據(jù)卡片對應(yīng)的接口，實施相應(yīng)改造。而基于標準層面來分析，金融IC卡無論數(shù)個人化系統(tǒng)，還是數(shù)據(jù)準備，均需要改造雙算法框架下的芯片智能IC卡。依據(jù)國密算法的基本實現(xiàn)路徑，需改造數(shù)據(jù)準備系統(tǒng)發(fā)卡行的公鑰證書。

3.2受理環(huán)境的改造

基于支持雙算法下，改造金融IC卡的受理環(huán)境，多圍繞主機密文校驗系統(tǒng)，以及受理終端實施改造。針對金融IC卡所對應(yīng)的受理終端環(huán)境來講，其主要包含ATM、POS、柜面與自助終端等多渠道，改造受理終端，多指的是對終端支持以標準層面雙算法為基礎(chǔ)的交易流程的改造，除此之外，還對保障交易安全的國產(chǎn)非對稱密鑰體系所對應(yīng)的動態(tài)數(shù)據(jù)認證進行改造；而對于主機密文校驗系統(tǒng)來講，其主要對能夠為國產(chǎn)算法提供支持的主機腳本生成與密文校驗進行改造。針對虛擬自助終端、網(wǎng)銀、ATM等受理終端來講，各個應(yīng)用系統(tǒng)均需依據(jù)雙算法的標準與規(guī)范，修改交易流程；針對ATM、POS等設(shè)備，需對卡片實施脫機數(shù)據(jù)認證，此外，還需依據(jù)國產(chǎn)SM2算法，改造終端，使其能夠為國產(chǎn)非對稱算法體系提供支持。

4.結(jié)語

綜上，基于當前環(huán)境下，在對金融支付產(chǎn)業(yè)發(fā)展不造成影響的情況下，可以與金融IC卡支付相結(jié)合，并強化此領(lǐng)域的應(yīng)用實踐，在算法得到國際接納，且得到工程實踐檢驗，對國際互聯(lián)互通不造成影響的前提下，在推廣支持國密算法，提升金融IC體系的完整性與安全性。

參考文獻：

[1]陽青松，王志斌.長沙銀行國產(chǎn)密碼金融IC卡商用起航[J].金融電子化，2015（3）：82-84.

[2]蔡兵，舒波，何國建.國密算法在金融IC卡及移動支付中的應(yīng)用與思考[J].金融電子化，2015（5）：57-59.

[3]廖敏飛.金融IC卡EEPROM和Flash存儲介質(zhì)淺析[J].中國信用卡，2015（6）：54-56.

作者簡介：周慶亮，出生年月：19890701，性別：男，民族：漢，籍貫（精確到市）：天津市，當前職務(wù)：工程師，當前職稱：助理工程師，學(xué)歷：本科，研究方向：智能卡.