河南某商业银行金融IC卡国密改造安全建设方案.pdfVIP

河南某商业银行金融IC 卡国密改造安全建设方案 一、项目背景 2011 年 3 月,中国人民银行发布了《关于推进金融IC 卡应用工作的意见》,全面启动我 国金融IC 卡迁移,要求2015 年起银行业金融机构发卡的银行卡均应为金融IC 卡。2014 年11 月3 日，人民银行印发了《关于进一步做好金融IC 卡应用工作的通知》，要求自2015 年4 月 1 日起，各发卡银行新发卡的金融 IC 卡应符合 PBOC3.0 规范，相较于 PBOC2.0 规范， PBOC3.0 规范的核心内容是支持国密算法。 河南某商业银行金融 IC 卡国密改造国内第一家按照PBOC3.0 规范建设的商业银行 IC 卡 系统，主要针对发卡系统、受理系统、核心交易系统、密钥管理系统及ATM、POS 机等交易终 端进行支持SM2/SM3/SM4 等国密算法的改造，用来开展金融IC 卡借贷记、电子现金、电子钱 包相关业务。 金融IC 卡国密改造的核心在于安全体系建设，需要解决如何运用国密算法保证卡片的发 卡和交易过程的安全。 二、需求分析 江南天安根据PBOC3.0 规范要求，以及该银行的业务实际，对改银行金融IC 卡国密算法 改造做了安全分析，安全体系建设主要有如下几点需求： 1、需要建设符合PBOC3.0 规范的密钥管理系统，保证密钥生命周期的安全。 2、需要提供一整套的应用国产密码算法的金融IC 卡发卡的安全解决方案。 3、需要为金融IC 卡的交易过程中涉及的各业务系统提供基于国产密码算法的安全服务。 三、解决方案 江南天安根据PBOC3.0 规范要求，以及该银行的业务实际，项目中应用江南天安金融IC 卡安全支撑系统，保证了国密算法在金融 IC 卡发卡和交易过程的应用，为金融 IC 卡业务应 用的安全性奠定了基础： 1、密钥管理系统 提供国密算法和国际算法的发卡行证书申请、导入、管理；认证中心根证书导入；IC 卡 证书的签发和管理；IC 卡业务根密钥的生成、导出、管理、卡片子密钥的生成等。 2、数据准备系统 提供卡片模板定义和管理；提供与密钥管理系统交互，获取卡片密钥和证书数据；提供 与IC 卡业务系统交互，获取卡片原始制卡文件；按照卡片模板生成最终的制卡数据。 3、IC 卡多应用发卡系统 提供制卡数据解析；提供卡指令和卡数据组织拼接；提供卡片应用加载，提供应用个人 化功能。 4、密码服务平台 提供国密算法和国际算法的终端密钥生成、管理、更新接口；提供PIN 的生成、转加密、 验证接口；提供借贷记应用的ARQC\ARPC、脚本MAC、脚本加密等接口；提供8583 报文传输 的MAC 计算、验证等接口。 5、SJJ1310 金融数据加密机 提供国密算法和国际算法的密钥的生成和管理、提供业务所需的各类密码运算接口。 四、实施效果 经过江南天安金融 IC 卡安全支持系统的上线，促使该商业银行的金融 IC 卡系统成为国 内第一家正式商用的符合PBOC3.0 规范，并且应用国密算法的金融IC 卡系统。