一、前言
金融電子化潮流,為國內基于互聯網進行的金融服務技術填補了一大缺口,中國銀聯支付網關集團2005年交易量已超過150億,但對于網路安全與虛擬貨幣的管理還是一個處于探討的階段,尤其在清華大學王曉云教授成功攻破網絡加密MD5和 SHA-1后,人民銀行對由鍵盤輸入銀行卡號和密碼的外國網上支付普遍的作法表示擔憂。
公安部從2004 年起向13 億多公民發放內置RFID(無線射頻)標簽的居民身份證,這是全球最大的RFID項目之一,中國銀聯網絡支付集團,研擬正運用中國二代身份證技術有關的,有自有知識產權的軟硬件加密方法`。
網上支付有一個特點,從表現上是IT領域,容易進入,但實質是金融行業,與金融有關的業務中有非常多的規則,也有很多非常敏感的事情,例如網絡安全的問題、信用卡套現、洗錢、非法集資等,問題的復雜性很高。很多網上支付的公司,在人民銀行即將頒布的《清算組織管理辦法》下,應該會有比較大的調整。沒有技術和安全機制的,很難真正在國內的網上支付個行業中立足。
由于人民銀行的清算政策和網上資金的監管還是處于空白狀態,第三方支付公司現在還在努力爭奪用戶中。不管是什么第三方,最終都要通過銀行, 一旦操作方式有問題,都會牽連到銀行,銀行承擔巨大風險,這是人民銀行最擔心的地方。同時,由于第三方支付公司本身的風險而牽連買賣雙方導致的損失,用戶處于最末端,風險才是最大的。人民銀行希望能夠對第三方支付公司的資金流向、業務流程全監控,這樣才能規避風險,但現在沒有相關法規能讓第三方支付公司受到合理的監控。而支付業務永遠是金融業務,做支付業務首先要拿到政策,
RFID首先將主要應用于居民身份證,如果將這個RFID號碼當成網上識別的一部分,然后和中國金融認證中心的1024位電子證書結合,在網上交易就非常安全。
但是普遍采納RFID還面臨許多挑戰,包括:RFID 各地已頒發的5千多萬張交通卡標準不兼容,是開放電子錢包跨行業跨區域運營面臨的挑戰。
有了二代身份證標準的為中心,目前已有3萬張卡 加上人民銀行的配合應用,政府是采納RFID最重要的推動力量。中國銀聯的介入成為密鑰交換中心,并在所有的POS加上RFID讀寫模塊,對推動電子支付的網上和網下業務是正的關鍵。正如過去二十年移動電話行業年收入增長率超過20%一樣,RFID 行業在中國有望沿用相同的成熟模式、實現長期可持續增長。
二、政策與方向
目前與中國銀聯支付網關共同開發線上(Internet) 的收款業務和小額支付電子錢包的離線支付及清算有一個叫www.eRMB.org 的公司提供了手機(非I /RFID /eNetmouse (hardware DES) /CFCA數字簽名PKI 射頻化的軟硬結合解決方案。由于網絡黑客及普遍的鍵盤木馬問題,人民銀行不支持鍵盤輸入銀行卡號、及密碼做為網絡銀行支付方法。
中國人民銀行的公告〔2005.10.26〕第 23 號電子支付指引(第一號)規定銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣。”的限制,就是要防范網上交易的風險.
三、虛擬賬號的加密防范與我國將來規劃的安全管理體系
國際RFID卡無論是在脫機交易還是聯機交易,或日終的交易結算過程中都要使用密鑰進行交易的認證。認證過程主要是使用存儲在交易認證服務器中的密鑰進行MAC計算,因此交易管理基本功能包括以下功能:
MAC/TAC計算服務:使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC或TAC(交易認證碼)計算,并將結果通過網絡輸出。
MAC/TAC校驗服務:使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC/TAC計算,并將計算結果與傳入的結果進行比較,如果結果相同,則返回新的MAC值或返回認證通過。
1、特殊保護密鑰
國際交易認證服務器中的密鑰:
通信密鑰保護密鑰:首次下載通訊主密鑰時用于保護通信主密鑰的下發;
通信主密鑰根密鑰:用來離散生成通信主密鑰的密鑰;
簽到主密鑰根密鑰:用來離散生成各個終端的簽到主密鑰的密鑰。
通信工作密鑰根密鑰:用來離散生成通信工作密鑰的密鑰。
2、完整性認證和密鑰下發安全機制:
聯機交易通訊過程中,通訊報文的防篡改性由通信工作密鑰保護,采用標準的3DES算法的MAC認證機制。
前置系統向終端(杜下發通訊主密鑰和簽到主密鑰的安全性,是從交易認證加密機中通過標準的3DES算法的加密導出來保證通訊過程中的密鑰的安全隱藏,加密密鑰存于交易認證服務器中,外界無法獲得。
POS終端的通訊主密鑰和簽到主密鑰的替換是用專用的密碼設備(密碼鍵盤)實現。
各個終端的通訊主密鑰的區分是通過用交易認證服務器中的根密鑰按各個終端號分散得到,此過程也是在交易認證服務器進行。
3、交易驗證過程
交易驗證服務器內存儲了從密鑰管理加密機中導入的多種相關密鑰,當聯機交易進行時,它從前置系統獲得實時的交易數據,用對應的密鑰對其進行驗證,然后通過前置系統將結果發給業務主機。由于交易驗證系統處理的是聯機交易,因此采用了雙機熱備的形式,以保證聯機的安全穩定。密鑰管理系統的交易驗證服務器為銀行前置系統安全驗證提供密鑰服務。
4、人民銀行三級密鑰管理體系
我國應用在EMV標準與國際卡接軌上加入了POBOC的自有加密法和管理體系,將來在全國PBOC金融RFID卡架構中,各級密鑰管理中心會利用密鑰管理系統來實現密鑰的安全管理。密鑰管理中心采用全國密鑰管理總中心、二級密鑰管理中心、成員行密鑰管理中心三級管理體制。整個安全體系結構主要包括三類密鑰:全國通用的消費/取現主密鑰GMPK、發卡銀行的聯機交易密鑰和發卡銀行的其他主密鑰。根據密鑰的用途,系統采用不同的處理策略。
GMPK是整個系統的根密鑰,只能由全國密鑰管理總中心產生和控制,并裝載到下發的PSAM卡中;BPK由全國密鑰管理總中心將GMPK根據二級密鑰管理中心機構代碼分散產生,并通過傳輸卡傳遞到二級密鑰管理中心;二級密鑰管理中心再根據成員銀行的機構代碼分散產生MPK,也通過傳輸卡傳輸到成員銀行密鑰管理中心,其他主密鑰由成員行自行產生。
5、密鑰管理中心與密鑰的傳遞
上述的三級密鑰分散流程確定了在管理上需要建立三級的密鑰管理中心:人民銀行總行的全國密鑰管理總中心(一級密鑰管理中心)、人民銀行分行或商業銀行總行的二級密鑰管理中心、發卡行的三級密鑰管理中心:
(1)全國密鑰管理總中心配備了SJY49一級密鑰管理系統、發卡設備和密鑰管理軟件,全國密鑰管理總中心在SJY49系統內,使用經國家主管部門審查通過的算法,生成全國通用的消費/取現主密鑰GMPK,并保存在SJY49系統中,系統還使用RFID卡進行密鑰的備份和恢復。全國密鑰管理總中心處理下屬二級密鑰管理中心的申請,使用二級機構的代碼分散GMPK得到BMPK,并用隨機生成的傳輸密鑰加密和簽名后,分段派發到多張密鑰傳輸卡中,同時將傳輸密鑰用二級機構的公鑰加密后也分段保存到多張傳輸卡中。密鑰傳輸卡使用PIN保護。密鑰傳輸卡通過安全的途徑傳遞到二級機構。另外全國密鑰管理總中心還進行PSAM卡的一次發卡,發卡系統從SJY49系統獲得密鑰服務。
(2)二級密鑰管理中心配備SJY49二級密鑰管理系統,二級密鑰管理中心向總中心申請領取BMPK等密鑰,密鑰經密鑰傳輸卡下發后,SJY49系統從卡中分段讀取傳輸密鑰和BMPK密文,并進行解密后將BMPK保存在SJY49系統中。二級密鑰管理中心處理下屬發卡行密鑰管理中心的申請,使用發卡行的代碼分散BMPK得到MPK,采用與密鑰管理總中心相同的方法生成密鑰傳輸卡,并傳遞到發卡行。
(3)發卡行密鑰管理中心配備SJY49三級密鑰管理系統、發卡設備、交易設備。發卡行密鑰管理中心向二級密鑰管理中心申請領取MPK等密鑰,采用與二級中心相同的方式得到MPK并保存在密鑰管理系統中。發卡行密鑰管理中心還需要生成本行的專有密鑰,這些密鑰保存在SJY49系統中。至此,發卡行SJY49系統中包含了所有電子存折/電子錢包應用所需的主密鑰(MPK、MLK、MULK、MTK、MRPK、MPUK、MUK、MAMK),發卡時,SJY49系統內部將MxxK根據用戶卡的應用序列號(卡號)分散得到DxxK,經用戶卡的傳輸密鑰加密后,通過網絡方式,傳輸給發卡系統,寫入到用戶卡中。同時,聯機密鑰也將傳遞至交易設備,為前置系統提供聯機交易驗證服務。
6、密鑰多版本多索引體系
為了降低密鑰泄漏導致的風險,金融RFID卡密鑰管理系統使用了密鑰的多版本和多索引技術。下面以消費密鑰為例說明密鑰的多版本和多索引技術是如何降低系統風險的:
消費密鑰總共有5x5=25個不同密鑰,在用戶卡中存放的是其中的同一版本的5個密鑰,在PSAM卡中存放的是其中的同一索引的5個密鑰,在交易時,使用的用戶卡和PSAM卡所共同擁有的密鑰,即圖中的交叉點的密鑰。任何一張用戶卡和任何一張PSAM卡之間必然存在這樣的一個密鑰。
當其中的一個密鑰泄漏時,可以將所有包含該密鑰PSAM卡銷毀,替換成其他索引的PSAM卡,這樣,該泄漏的密鑰不會在消費中再次使用,保證了交易的安全;由于只更換少量的PSAM卡,大量的用戶卡<
金融電子化潮流,為國內基于互聯網進行的金融服務技術填補了一大缺口,中國銀聯支付網關集團2005年交易量已超過150億,但對于網路安全與虛擬貨幣的管理還是一個處于探討的階段,尤其在清華大學王曉云教授成功攻破網絡加密MD5和 SHA-1后,人民銀行對由鍵盤輸入銀行卡號和密碼的外國網上支付普遍的作法表示擔憂。
公安部從2004 年起向13 億多公民發放內置RFID(無線射頻)標簽的居民身份證,這是全球最大的RFID項目之一,中國銀聯網絡支付集團,研擬正運用中國二代身份證技術有關的,有自有知識產權的軟硬件加密方法`。
網上支付有一個特點,從表現上是IT領域,容易進入,但實質是金融行業,與金融有關的業務中有非常多的規則,也有很多非常敏感的事情,例如網絡安全的問題、信用卡套現、洗錢、非法集資等,問題的復雜性很高。很多網上支付的公司,在人民銀行即將頒布的《清算組織管理辦法》下,應該會有比較大的調整。沒有技術和安全機制的,很難真正在國內的網上支付個行業中立足。
由于人民銀行的清算政策和網上資金的監管還是處于空白狀態,第三方支付公司現在還在努力爭奪用戶中。不管是什么第三方,最終都要通過銀行, 一旦操作方式有問題,都會牽連到銀行,銀行承擔巨大風險,這是人民銀行最擔心的地方。同時,由于第三方支付公司本身的風險而牽連買賣雙方導致的損失,用戶處于最末端,風險才是最大的。人民銀行希望能夠對第三方支付公司的資金流向、業務流程全監控,這樣才能規避風險,但現在沒有相關法規能讓第三方支付公司受到合理的監控。而支付業務永遠是金融業務,做支付業務首先要拿到政策,
RFID首先將主要應用于居民身份證,如果將這個RFID號碼當成網上識別的一部分,然后和中國金融認證中心的1024位電子證書結合,在網上交易就非常安全。
但是普遍采納RFID還面臨許多挑戰,包括:RFID 各地已頒發的5千多萬張交通卡標準不兼容,是開放電子錢包跨行業跨區域運營面臨的挑戰。
有了二代身份證標準的為中心,目前已有3萬張卡 加上人民銀行的配合應用,政府是采納RFID最重要的推動力量。中國銀聯的介入成為密鑰交換中心,并在所有的POS加上RFID讀寫模塊,對推動電子支付的網上和網下業務是正的關鍵。正如過去二十年移動電話行業年收入增長率超過20%一樣,RFID 行業在中國有望沿用相同的成熟模式、實現長期可持續增長。
二、政策與方向
目前與中國銀聯支付網關共同開發線上(Internet) 的收款業務和小額支付電子錢包的離線支付及清算有一個叫www.eRMB.org 的公司提供了手機(非I /RFID /eNetmouse (hardware DES) /CFCA數字簽名PKI 射頻化的軟硬結合解決方案。由于網絡黑客及普遍的鍵盤木馬問題,人民銀行不支持鍵盤輸入銀行卡號、及密碼做為網絡銀行支付方法。
中國人民銀行的公告〔2005.10.26〕第 23 號電子支付指引(第一號)規定銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣。”的限制,就是要防范網上交易的風險.
三、虛擬賬號的加密防范與我國將來規劃的安全管理體系
國際RFID卡無論是在脫機交易還是聯機交易,或日終的交易結算過程中都要使用密鑰進行交易的認證。認證過程主要是使用存儲在交易認證服務器中的密鑰進行MAC計算,因此交易管理基本功能包括以下功能:
MAC/TAC計算服務:使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC或TAC(交易認證碼)計算,并將結果通過網絡輸出。
MAC/TAC校驗服務:使用交易認證加密機內部保存的密鑰對傳入的數據進行MAC/TAC計算,并將計算結果與傳入的結果進行比較,如果結果相同,則返回新的MAC值或返回認證通過。
1、特殊保護密鑰
國際交易認證服務器中的密鑰:
通信密鑰保護密鑰:首次下載通訊主密鑰時用于保護通信主密鑰的下發;
通信主密鑰根密鑰:用來離散生成通信主密鑰的密鑰;
簽到主密鑰根密鑰:用來離散生成各個終端的簽到主密鑰的密鑰。
通信工作密鑰根密鑰:用來離散生成通信工作密鑰的密鑰。
2、完整性認證和密鑰下發安全機制:
聯機交易通訊過程中,通訊報文的防篡改性由通信工作密鑰保護,采用標準的3DES算法的MAC認證機制。
前置系統向終端(杜下發通訊主密鑰和簽到主密鑰的安全性,是從交易認證加密機中通過標準的3DES算法的加密導出來保證通訊過程中的密鑰的安全隱藏,加密密鑰存于交易認證服務器中,外界無法獲得。
POS終端的通訊主密鑰和簽到主密鑰的替換是用專用的密碼設備(密碼鍵盤)實現。
各個終端的通訊主密鑰的區分是通過用交易認證服務器中的根密鑰按各個終端號分散得到,此過程也是在交易認證服務器進行。
3、交易驗證過程
交易驗證服務器內存儲了從密鑰管理加密機中導入的多種相關密鑰,當聯機交易進行時,它從前置系統獲得實時的交易數據,用對應的密鑰對其進行驗證,然后通過前置系統將結果發給業務主機。由于交易驗證系統處理的是聯機交易,因此采用了雙機熱備的形式,以保證聯機的安全穩定。密鑰管理系統的交易驗證服務器為銀行前置系統安全驗證提供密鑰服務。
4、人民銀行三級密鑰管理體系
我國應用在EMV標準與國際卡接軌上加入了POBOC的自有加密法和管理體系,將來在全國PBOC金融RFID卡架構中,各級密鑰管理中心會利用密鑰管理系統來實現密鑰的安全管理。密鑰管理中心采用全國密鑰管理總中心、二級密鑰管理中心、成員行密鑰管理中心三級管理體制。整個安全體系結構主要包括三類密鑰:全國通用的消費/取現主密鑰GMPK、發卡銀行的聯機交易密鑰和發卡銀行的其他主密鑰。根據密鑰的用途,系統采用不同的處理策略。
GMPK是整個系統的根密鑰,只能由全國密鑰管理總中心產生和控制,并裝載到下發的PSAM卡中;BPK由全國密鑰管理總中心將GMPK根據二級密鑰管理中心機構代碼分散產生,并通過傳輸卡傳遞到二級密鑰管理中心;二級密鑰管理中心再根據成員銀行的機構代碼分散產生MPK,也通過傳輸卡傳輸到成員銀行密鑰管理中心,其他主密鑰由成員行自行產生。
5、密鑰管理中心與密鑰的傳遞
上述的三級密鑰分散流程確定了在管理上需要建立三級的密鑰管理中心:人民銀行總行的全國密鑰管理總中心(一級密鑰管理中心)、人民銀行分行或商業銀行總行的二級密鑰管理中心、發卡行的三級密鑰管理中心:
(1)全國密鑰管理總中心配備了SJY49一級密鑰管理系統、發卡設備和密鑰管理軟件,全國密鑰管理總中心在SJY49系統內,使用經國家主管部門審查通過的算法,生成全國通用的消費/取現主密鑰GMPK,并保存在SJY49系統中,系統還使用RFID卡進行密鑰的備份和恢復。全國密鑰管理總中心處理下屬二級密鑰管理中心的申請,使用二級機構的代碼分散GMPK得到BMPK,并用隨機生成的傳輸密鑰加密和簽名后,分段派發到多張密鑰傳輸卡中,同時將傳輸密鑰用二級機構的公鑰加密后也分段保存到多張傳輸卡中。密鑰傳輸卡使用PIN保護。密鑰傳輸卡通過安全的途徑傳遞到二級機構。另外全國密鑰管理總中心還進行PSAM卡的一次發卡,發卡系統從SJY49系統獲得密鑰服務。
(2)二級密鑰管理中心配備SJY49二級密鑰管理系統,二級密鑰管理中心向總中心申請領取BMPK等密鑰,密鑰經密鑰傳輸卡下發后,SJY49系統從卡中分段讀取傳輸密鑰和BMPK密文,并進行解密后將BMPK保存在SJY49系統中。二級密鑰管理中心處理下屬發卡行密鑰管理中心的申請,使用發卡行的代碼分散BMPK得到MPK,采用與密鑰管理總中心相同的方法生成密鑰傳輸卡,并傳遞到發卡行。
(3)發卡行密鑰管理中心配備SJY49三級密鑰管理系統、發卡設備、交易設備。發卡行密鑰管理中心向二級密鑰管理中心申請領取MPK等密鑰,采用與二級中心相同的方式得到MPK并保存在密鑰管理系統中。發卡行密鑰管理中心還需要生成本行的專有密鑰,這些密鑰保存在SJY49系統中。至此,發卡行SJY49系統中包含了所有電子存折/電子錢包應用所需的主密鑰(MPK、MLK、MULK、MTK、MRPK、MPUK、MUK、MAMK),發卡時,SJY49系統內部將MxxK根據用戶卡的應用序列號(卡號)分散得到DxxK,經用戶卡的傳輸密鑰加密后,通過網絡方式,傳輸給發卡系統,寫入到用戶卡中。同時,聯機密鑰也將傳遞至交易設備,為前置系統提供聯機交易驗證服務。
6、密鑰多版本多索引體系
為了降低密鑰泄漏導致的風險,金融RFID卡密鑰管理系統使用了密鑰的多版本和多索引技術。下面以消費密鑰為例說明密鑰的多版本和多索引技術是如何降低系統風險的:
消費密鑰總共有5x5=25個不同密鑰,在用戶卡中存放的是其中的同一版本的5個密鑰,在PSAM卡中存放的是其中的同一索引的5個密鑰,在交易時,使用的用戶卡和PSAM卡所共同擁有的密鑰,即圖中的交叉點的密鑰。任何一張用戶卡和任何一張PSAM卡之間必然存在這樣的一個密鑰。
當其中的一個密鑰泄漏時,可以將所有包含該密鑰PSAM卡銷毀,替換成其他索引的PSAM卡,這樣,該泄漏的密鑰不會在消費中再次使用,保證了交易的安全;由于只更換少量的PSAM卡,大量的用戶卡<
