信息安全是近年來(lái)的熱門(mén)話(huà)題。從國(guó)家安全委員會(huì)的設(shè)立，到政府部門(mén)對(duì)Windows 8 操作系統(tǒng)及部分國(guó)外安全產(chǎn)品的禁用，都可見(jiàn)國(guó)家對(duì)信息安全的重視。與此同時(shí)，人民銀行也高度重視金融業(yè)的信息安全問(wèn)題，要求商業(yè)銀行堅(jiān)決貫徹“安全可控”的政策要求，以推動(dòng)金融機(jī)構(gòu)信息安全的發(fā)展。對(duì)商業(yè)銀行而言，隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)等新技術(shù)的實(shí)際應(yīng)用，也迫使其積極提升對(duì)信息安全的管理。但信息安全是一個(gè)非常廣泛的課題，如何尋找切入點(diǎn)，穩(wěn)步推進(jìn)安全可控進(jìn)程，是銀行亟待解決的問(wèn)題。

　　2010 年國(guó)家商用密碼管理辦公室陸續(xù)發(fā)布了SM 系列算法，并建立了一套完善的國(guó)產(chǎn)密碼產(chǎn)品安全檢測(cè)認(rèn)證體系，不僅為國(guó)產(chǎn)密碼算法的應(yīng)用奠定了基礎(chǔ)，也為安全可控創(chuàng)造了條件。根據(jù)有關(guān)要求，到2019 年末，銀行業(yè)金融機(jī)構(gòu)的信息技術(shù)安全可控率須達(dá)到75%。針對(duì)此目標(biāo)，對(duì)于大量采用國(guó)外技術(shù)的銀行機(jī)構(gòu)來(lái)說(shuō)難度很大。特別是在密碼算法方面，目前銀行大多采用國(guó)外密碼算法。商業(yè)銀行要全面更換國(guó)密算法，面臨著涉及系統(tǒng)多、投入大、協(xié)調(diào)難度高、缺乏相關(guān)專(zhuān)業(yè)知識(shí)和人才儲(chǔ)備等實(shí)際問(wèn)題，因此大都持謹(jǐn)慎和觀望的態(tài)度。

　　成都銀行在經(jīng)過(guò)大量的調(diào)研后，針對(duì)當(dāng)前銀行業(yè)發(fā)展的熱點(diǎn)，從銀行自身需求出發(fā)，結(jié)合未來(lái)銀行業(yè)IT 的發(fā)展要求，形成了一套基于國(guó)密算法，滿(mǎn)足全方位、多渠道、跨平臺(tái)的系統(tǒng)安全解決方案，以支撐銀行業(yè)務(wù)發(fā)展。

　　一、國(guó)密算法，安全基石

　　成都銀行首先制定了國(guó)密算法改造的主體框架，如圖1 所示。根據(jù)該主體框架，逐步實(shí)現(xiàn)國(guó)密算法的全面應(yīng)用。該主體框架涉及的各項(xiàng)工作范圍廣泛，既相對(duì)獨(dú)立，又緊密聯(lián)系。為此，該行擬優(yōu)先選擇金融IC 卡和移動(dòng)支付作為國(guó)密算法試點(diǎn)的突破口，計(jì)劃通過(guò)開(kāi)展遵循國(guó)密算法的金融IC 卡、網(wǎng)上銀行、一卡多應(yīng)用和移動(dòng)金融等業(yè)務(wù)的升級(jí)改造，以實(shí)現(xiàn)全新的安全便民服務(wù)目標(biāo)。

　　要完成國(guó)密算法的改造，首先需先對(duì)銀行的IC卡和網(wǎng)銀業(yè)務(wù)進(jìn)行全面梳理。通過(guò)對(duì)系統(tǒng)的改造，使整個(gè)業(yè)務(wù)系統(tǒng)中涉及加解密有關(guān)的各類(lèi)安全點(diǎn)，均采用國(guó)密算法實(shí)現(xiàn)，以有效消除使用國(guó)外密碼算法所帶來(lái)的金融安全風(fēng)險(xiǎn)。

　　其次，依托移動(dòng)金融安全可信公共服務(wù)平臺(tái)(MTPS)及可信服務(wù)管理系統(tǒng)(TSM)，采用支持國(guó)密算法的大容量金融IC卡芯片，實(shí)現(xiàn)金融IC 卡一卡多應(yīng)用及信息共享。同時(shí)，采用新一代多功能移動(dòng)互聯(lián)網(wǎng)終端模式，實(shí)現(xiàn)部分網(wǎng)銀和安全應(yīng)用分發(fā)功能，解決IC卡多應(yīng)用分發(fā)通道的安全性和便利性問(wèn)題。

　　最后，在移動(dòng)金融方面，該行希望通過(guò)移動(dòng)多應(yīng)用支付業(yè)務(wù)，擴(kuò)展金融IC 卡的應(yīng)用領(lǐng)域，將利民便民理念轉(zhuǎn)化為現(xiàn)實(shí)。該行移動(dòng)金融方面的國(guó)密改造思路是：在基于硬件安全可信單元(SE)模式下，采用國(guó)密算法，實(shí)現(xiàn)線(xiàn)上業(yè)務(wù)和線(xiàn)下業(yè)務(wù)的同步發(fā)展。其中，線(xiàn)上業(yè)務(wù)包括空中開(kāi)卡、空中圈存、在線(xiàn)支付和在線(xiàn)購(gòu)票等;線(xiàn)下業(yè)務(wù)包括電子現(xiàn)金、非接借貸記和相應(yīng)的公交、地鐵和醫(yī)療衛(wèi)生等行業(yè)應(yīng)用。

　　二、基礎(chǔ)一致，場(chǎng)景一體

　　該行在推進(jìn)國(guó)密算法在金融IC 卡領(lǐng)域的多向發(fā)展過(guò)程中，既采用了新的終端模式和受理平臺(tái)，又結(jié)合了原有的業(yè)務(wù)設(shè)施和技術(shù)儲(chǔ)備?；趪?guó)密算法在金融領(lǐng)域應(yīng)用中所涉及業(yè)務(wù)之間的關(guān)系如圖2 所示。

　　國(guó)密算法是整個(gè)業(yè)務(wù)安全的基矗其中，在IC卡芯片和移動(dòng)支付所采用的硬件SE 支持國(guó)密算法后，可將國(guó)密算法應(yīng)用到IC卡發(fā)卡、IC 卡交易、網(wǎng)銀和移動(dòng)支付等多個(gè)環(huán)節(jié)。通過(guò)改造IC卡發(fā)卡業(yè)務(wù)和受理渠道，將國(guó)密算法運(yùn)用到IC卡一卡多應(yīng)用模式中。通過(guò)與各方TSM 系統(tǒng)的對(duì)接，并依托原有的IC 卡管理系統(tǒng)、發(fā)卡系統(tǒng)及網(wǎng)銀系統(tǒng)，提升移動(dòng)支付模式的安全性和可用性。

　　要實(shí)現(xiàn)國(guó)密算法在IC卡和移動(dòng)支付中的運(yùn)用，有兩個(gè)難點(diǎn)需要突破：一是對(duì)IC 卡多應(yīng)用分發(fā)渠道的安全性進(jìn)行有效保護(hù)。該行計(jì)劃采用新的移動(dòng)互聯(lián)網(wǎng)終端，解決在非可控移動(dòng)終端環(huán)境下的應(yīng)用分發(fā)安全可控問(wèn)題。其主要功能包括安全認(rèn)證、IC 卡應(yīng)用分發(fā)以及電子現(xiàn)金圈存、基于PBOC 安全標(biāo)準(zhǔn)的線(xiàn)上線(xiàn)下支付和查詢(xún)等。二是實(shí)現(xiàn)基于安全可信單元SE 的移動(dòng)支付模式，以滿(mǎn)足《中國(guó)人民銀行關(guān)于推動(dòng)移動(dòng)金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見(jiàn)》的相關(guān)要求。

　　三、金融IC卡國(guó)密算法改造

　　隨著金融IC卡的廣泛應(yīng)用，對(duì)其安全性的要求凸顯。在金融IC卡領(lǐng)域應(yīng)用國(guó)密算法，能有效降低因國(guó)外密碼算法不可控所帶來(lái)的系統(tǒng)性金融安全風(fēng)險(xiǎn)。

　　該行根據(jù)自身的實(shí)際情況，經(jīng)充分調(diào)研和論證，選擇金融IC卡系統(tǒng)作為國(guó)密算法改造突破口。該行選擇金融IC卡作為國(guó)密算法應(yīng)用試點(diǎn)，主要是基于兩方面考慮。一是當(dāng)時(shí)該行金融IC 卡用戶(hù)數(shù)相對(duì)較少(約15 萬(wàn)客戶(hù))，項(xiàng)目實(shí)施的影響面相對(duì)可控;二是金融IC 卡系統(tǒng)，基本覆蓋了所有的密碼算法應(yīng)用場(chǎng)景，其改造的成功經(jīng)驗(yàn)對(duì)后期國(guó)密算法全面推廣具有較高參考價(jià)值。

　　1. 改造目標(biāo)

　　為使國(guó)密算法穩(wěn)步、全面應(yīng)用于金融IC卡系統(tǒng)，該行將系統(tǒng)改造工作分為三個(gè)階段，并制定了階段性目標(biāo)。

　　階段一：完成對(duì)金融IC卡系統(tǒng)的改造，使其具備發(fā)行基于PBOC3.0 標(biāo)準(zhǔn)的IC卡;同時(shí)，系統(tǒng)應(yīng)支持發(fā)行單國(guó)密算法金融IC 卡和優(yōu)先使用國(guó)密算法的雙算法金融IC卡。

　　階段二：完成國(guó)密算法的受理渠道改造，為支持國(guó)密算法金融IC卡提供安全、可靠和暢通的交易渠道，并搭建全行未來(lái)國(guó)密算法應(yīng)用的整體安全體系。

　　階段三：實(shí)現(xiàn)國(guó)密算法下的金融IC卡多應(yīng)用。

　　2. 改造要點(diǎn)

　　國(guó)密算法改造主要涉及IC 卡發(fā)卡和交易環(huán)節(jié)的改造。目前，該行已經(jīng)完成了發(fā)卡環(huán)節(jié)相關(guān)系統(tǒng)的改造。發(fā)卡環(huán)節(jié)所涉及的系統(tǒng)主要有密鑰管理系統(tǒng)、數(shù)據(jù)準(zhǔn)備系統(tǒng)、卡片個(gè)人化系統(tǒng)以及密碼機(jī)和密碼服務(wù)平臺(tái)。

　　(1) IC卡發(fā)卡環(huán)節(jié)改造

　　密鑰管理系統(tǒng)改造主要是增加國(guó)密算法密鑰的生成和管理功能。系統(tǒng)完成改造后，可同時(shí)生成兩套密鑰及證書(shū)。數(shù)據(jù)準(zhǔn)備系統(tǒng)改造主要是新增國(guó)密算法相關(guān)密鑰和證書(shū)數(shù)據(jù)的模板和參數(shù)，并調(diào)整接口參數(shù)以適應(yīng)雙算法要求?？ㄆ瑐€(gè)人化系統(tǒng)改造主要包括：支持國(guó)密算法的密鑰分發(fā);卡片支持寫(xiě)入國(guó)密算法相關(guān)密鑰和證書(shū)數(shù)據(jù);以及向卡片寫(xiě)入業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)時(shí)，其安全保護(hù)采用國(guó)密算法。

　　密碼機(jī)國(guó)密改造通過(guò)更換密碼設(shè)備完成，其內(nèi)容主要包括支持SM2/SM3/SM4 算法;支持國(guó)密算法的ARQC、ARPC、TC、MAC 計(jì)算、PIN 計(jì)算、簽名驗(yàn)簽和摘要計(jì)算等。

　　(2) IC卡交易環(huán)節(jié)改造

　　ATM 機(jī)具改造主要包括更換國(guó)密型號(hào)的密碼鍵盤(pán)以及算法，升級(jí)應(yīng)用的安全通信協(xié)議，使其支持國(guó)密算法。POS機(jī)具改造主要包括更換國(guó)密型號(hào)的外掛密碼鍵盤(pán)，或者采用國(guó)密認(rèn)證的PSAM 卡模塊、或者直接更換具備國(guó)密型號(hào)的POS 機(jī)。柜面國(guó)密改造要點(diǎn)為增加IC卡讀卡器對(duì)國(guó)密算法金融IC卡片的支持。ATMP/POSP 前置系統(tǒng)改造主要包括業(yè)務(wù)報(bào)文和系統(tǒng)接口改造。IC卡方面則通過(guò)采用大容量，且同時(shí)支持國(guó)密算法及國(guó)外密碼算法的芯片，為一卡多應(yīng)用做好儲(chǔ)備。

　　3. 改造進(jìn)展

　　目前，該行已完成了對(duì)原金融IC卡的發(fā)卡和密鑰管理等系統(tǒng)的改造，系統(tǒng)已具備發(fā)行國(guó)密算法的單算法IC卡和優(yōu)先使用國(guó)密算法的雙算法IC卡的能力。同時(shí)，該行正在對(duì)ATM 及POS 等機(jī)具進(jìn)行改造，以實(shí)現(xiàn)交易過(guò)程的國(guó)密應(yīng)用，確保系統(tǒng)交易和傳輸?shù)陌踩?。?duì)于第三階段目標(biāo)，該行已確定了實(shí)施的具體方案，預(yù)計(jì)在2015 年底完成。

　　四、一卡多應(yīng)用探索

　　該行計(jì)劃采用硬件SE 以及移動(dòng)互聯(lián)網(wǎng)終端，作為一卡多應(yīng)用的應(yīng)用分發(fā)、圈存及查詢(xún)等功能實(shí)現(xiàn)的載體，推動(dòng)金融IC卡一卡多應(yīng)用業(yè)務(wù)發(fā)展。

　　首先，該行在選擇金融IC卡方面，優(yōu)先采用大存儲(chǔ)容量且支持國(guó)密算法芯片的金融IC卡。目前64K 的IC 卡已無(wú)法滿(mǎn)足多應(yīng)用的集成空間要求，在本次國(guó)密算法改造過(guò)程中，該行計(jì)劃采用新款大容量IC卡，逐漸替換老款小容量IC卡，為實(shí)現(xiàn)IC卡的多應(yīng)用打好基矗

　　同時(shí)，為了滿(mǎn)足高安全性的用戶(hù)需求，重點(diǎn)考慮終端安全環(huán)境及安全分發(fā)途徑兩個(gè)方面的安全性，該行提出了移動(dòng)互聯(lián)網(wǎng)終端解決思路。在傳統(tǒng)移動(dòng)金融及IC 卡多應(yīng)用環(huán)境下，最終IC卡應(yīng)用的發(fā)行多依靠移動(dòng)終端操作系統(tǒng)調(diào)用SE 實(shí)現(xiàn)。為了實(shí)現(xiàn)應(yīng)用分發(fā)的安全可控，該行計(jì)劃依托目前高速發(fā)展的移動(dòng)互聯(lián)網(wǎng)終端技術(shù)，將近場(chǎng)通訊模塊內(nèi)置于移動(dòng)互聯(lián)網(wǎng)終端中，并內(nèi)置安全SE，這樣可實(shí)現(xiàn)三大功能。一是將其作為基礎(chǔ)UKEY，具備基本網(wǎng)銀認(rèn)證功能，在無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)部分網(wǎng)銀功能;二是與應(yīng)用分發(fā)的主要平臺(tái)保持安全認(rèn)證機(jī)制，防止各類(lèi)偽造攻擊發(fā)生;三是構(gòu)建安全SE 及COS(卡運(yùn)行系統(tǒng))，有效保障應(yīng)用分發(fā)承載平臺(tái)的安全可靠。

　　五、移動(dòng)支付安全探索

　　目前，移動(dòng)支付主要有硬件SE 和HCE(Host card emulation)兩種實(shí)現(xiàn)途徑。由于HCE 暫未得到有效論證，該行選擇SE 作為移動(dòng)支付的安全核心，以確保用戶(hù)的信息安全。

　　移動(dòng)金融安全設(shè)計(jì)實(shí)現(xiàn)的要點(diǎn)主要有：設(shè)計(jì)安全性較高的客戶(hù)端軟件，充分利用SE 進(jìn)行安全防控，建立安全的移動(dòng)金融客戶(hù)端與SE 雙向認(rèn)證機(jī)制，提供可靠的移動(dòng)金融客戶(hù)端與安全單元通訊機(jī)制。

　　該行采用支持國(guó)密算法的SD 卡以及SIM 卡，作為移動(dòng)安全支付憑證及存儲(chǔ)載體。其中，該行SD 卡模式采用柜面發(fā)放空白卡，空中激活的機(jī)制。目前系統(tǒng)已建成，并投產(chǎn)運(yùn)行，其發(fā)卡及卡激活流程如下：柜員在柜面系統(tǒng)中對(duì)客戶(hù)證件等信息進(jìn)行驗(yàn)證后，發(fā)放空白卡給客戶(hù);客戶(hù)通過(guò)APP 發(fā)起空中開(kāi)卡交易，并將請(qǐng)求發(fā)送至TSM 管理平臺(tái);TSM 管理平臺(tái)收到激活請(qǐng)求后，與人總行MTPS 系統(tǒng)進(jìn)行登記驗(yàn)證，建立可信通道;可信通道建立后，由TSM 管理平臺(tái)通過(guò)VPN線(xiàn)路轉(zhuǎn)發(fā)交易請(qǐng)求至該行的TSM 前置系統(tǒng);TSM 前置收到交易請(qǐng)求后，將請(qǐng)求轉(zhuǎn)發(fā)至銀行后臺(tái)業(yè)務(wù)系統(tǒng)，完成SD 卡個(gè)人化數(shù)據(jù)準(zhǔn)備，并返回TSM 管理平臺(tái);最后由APP 寫(xiě)入SD 卡中，完成SD 卡的空中發(fā)卡。

　　SIM 卡模式的發(fā)卡由運(yùn)營(yíng)商完成?？ㄆせ盍鞒膛cSD卡基本相同，只是TSM 管理平臺(tái)屬于不同的第三方。目前，該項(xiàng)工作正在推進(jìn)中。同時(shí)，該行希望通過(guò)將移動(dòng)支付與社區(qū)服務(wù)結(jié)合，為不同客戶(hù)群體提供安全、快捷的服務(wù)。下一步，該行計(jì)劃在移動(dòng)支付上新增征信查詢(xún)、電子發(fā)票和本地化的便民服務(wù)等功能，進(jìn)一步落實(shí)便民服務(wù)理念。