金融IC卡國產密碼算法使用研究

摘要：本文首先對國產密碼算法進行了簡要分析，探討了國產密碼算法實施所存在的突出問題，最后指出了金融IC卡系統國產密碼算法的實施路徑，望能為此領域研究有所借鑒。

關鍵詞：金融IC卡；國產密碼算法；路徑

國產密碼算法是我國科研人員經過不懈努力所研發的一種擁有完全自主知識產權的密碼算法，使用簡便，且安全性高，已得到國密局的認可、接受與推廣。當前，國家密碼管理局為了更好的維護各領域安全，已經對外發布了諸多密碼算法，以此為我國的信息安全提供切實保障。在以國家為主導的各類型行業中，大部分選用的是由國家密碼管理局所提供的密碼算法，這種情況已經成為今后發展趨勢。本文就金融IC卡國產密碼算法的使用作一探討。

1.國產密碼算法概述

針對國產密碼算法而言，其主要包含三大類，分別為對稱密碼算法（SM4）、雜湊算法（SM3）與非對稱密碼算法（SM2）。（1）SM2。針對國產SM2算法來講，其實際是由國家密碼管理局所編制與開發的一種以橢圓曲線理論為基礎，更具實用價值的非對稱算法，同時還是對ECC橢圓曲線算法的一種深層次優化。從總體上來講，SM2算法無論是在具體性能上，還是在安全性上，均一致于ECC算法，乃是現階段各種已知公鑰體制架構當中對各比特能夠提供最高加密強度的一種算法。（2）SM3。針對此種算法而言，其又被稱之為散列算法，國產SM3算法針對那些已經給定長度（k）的消息，經過迭代壓縮、填充與選裁，能夠生成具體的雜碎值，其長度通常是256比特。當將此算法組合于非對稱算法時，可以實現數字簽名功能。（3）SM4。針對國產SM4算法來講，從根本層面來分析，其即為一種分組算法，其分組長度通常為128比特，而其具體的密鑰長度則可達到128比特。無論是密鑰擴展算法，還是加密算法，均選用的是32輪非線性迭代結構。而與加密算法相比較，解密算法有著與之相同的結構，只是有著相反的輪密鑰的使用順序。

2.國產密碼算法實施中所存在的突出問題

（1）缺乏以國產密碼算法為基礎的市場化產品。要想使項目得以順利實施，需要有能夠為國產密碼算法提供支持的硬件加密機、數字證書系統、UsbKey及芯片卡等。現階段，國產密碼算法自公開到現在時間并不長，能夠為國產密碼算法提供支持的產品并不多，因而難以為銀行系統實施國產密碼算法的改善與升級提供全面支持。（2）可供參考的實施標準且不健全。當前，還沒有比較健全的以國產密碼算法為基礎的金融IC卡技術標準。在完善標準時，需不斷的對金融IC卡的交易流程與交易模型，實施大量且繁雜的模型驗證，最終才能形成更加實用、可行且完善的國產密碼算法標準。依據中國人民銀行的最新安排，與金融IC卡相關聯的PBOC3.0標準，需要在2020年才能完成修訂。（3）國產密碼安全性仍需要提升。有觀點指出，若算法不進行公開，那么便較難對算法的安全性進行準確評估。且因公開的算法會得到更多人的關注，因而一些有或無組織的密碼，會對單位或個人進行供給。

3.金融IC卡系統國產密碼算法的具體實施分析

3.1金融IC卡發卡系統的升級與改造

改造金融IC卡發卡系統，從根本上來講，就是改造能夠為國產密碼算法提供支持的個人化支持與雙算法芯片卡數據準備進行改造。而能夠實現雙算法的金融IC卡個人化，從基礎層面來分析，就是以認證檢測機制、支持雙算法智能芯片卡、國密算法接口及雙算法智能卡標準為基礎來實現的。（1）算法基礎。針對能夠為雙算法智能芯片提供支持的算法來講，其基礎層由兩部分組成，其一為我國自研的國密算法，其二是國際標準密碼算法。針對國際標準密碼算法而言，除了有3DES標準對稱密鑰體系之外，還有以RSA算法為基礎的非對稱密鑰體系，當前，此類算法在該領域中已得到廣泛應用，為國內外信息安全提供了較好保護。針對國產密碼算法來講，其以SM2算法為基礎，多用作認證與數據簽名，而其終端為SM3，其能夠為支付芯片簽名相應交易數據的完整性進行校驗，此外，對于SM4算法來講，其多用于計算報文認證碼、PIN加密等。國產密碼算法利用上述算法體系，來為信息安全提供切實保障，現階段，此算法體系已趨向成熟，安全性高，且已經得到國密局的支持與認可。（2）設備基礎。針對設備基礎層來講，其乃是整個雙算法金融IC卡硬件支持核心構成，其主要由兩部分構成，其一為硬件加密機，其二是雙算法金融智能IC卡。金融智能IC能夠同時兼容雙算法，但需同時擁有國際與國內對應的協處理器。（3）個人化系統改造。針對金融IC卡個人化來講，其主要由兩部分構成，其一為個人化系統，其二是數據準備系統。此系統支持國際密碼算法，且已經比較成熟，但針對國產算法來講，要想獲得支持，需要依據國產算法的具體標準，對個人化系統以及數據準備實施相應改造。在整個智能IC卡數據準備與個人化系統結構當中，針對數據準備系統而言，需要依據加密機接口的實際情況，開展針對性改造；而對于個人化系統而言，則需依據硬件加密機接口，開展國產算法支持框架下的改造；而對于個人化指令來講，則需依據卡片對應的接口，實施相應改造。而基于標準層面來分析，金融IC卡無論數個人化系統，還是數據準備，均需要改造雙算法框架下的芯片智能IC卡。依據國密算法的基本實現路徑，需改造數據準備系統發卡行的公鑰證書。

3.2受理環境的改造

基于支持雙算法下，改造金融IC卡的受理環境，多圍繞主機密文校驗系統，以及受理終端實施改造。針對金融IC卡所對應的受理終端環境來講，其主要包含ATM、POS、柜面與自助終端等多渠道，改造受理終端，多指的是對終端支持以標準層面雙算法為基礎的交易流程的改造，除此之外，還對保障交易安全的國產非對稱密鑰體系所對應的動態數據認證進行改造；而對于主機密文校驗系統來講，其主要對能夠為國產算法提供支持的主機腳本生成與密文校驗進行改造。針對虛擬自助終端、網銀、ATM等受理終端來講，各個應用系統均需依據雙算法的標準與規范，修改交易流程；針對ATM、POS等設備，需對卡片實施脫機數據認證，此外，還需依據國產SM2算法，改造終端，使其能夠為國產非對稱算法體系提供支持。

4.結語

綜上，基于當前環境下，在對金融支付產業發展不造成影響的情況下，可以與金融IC卡支付相結合，并強化此領域的應用實踐，在算法得到國際接納，且得到工程實踐檢驗，對國際互聯互通不造成影響的前提下，在推廣支持國密算法，提升金融IC體系的完整性與安全性。

參考文獻：

[1]陽青松，王志斌.長沙銀行國產密碼金融IC卡商用起航[J].金融電子化，2015（3）：82-84.

[2]蔡兵，舒波，何國建.國密算法在金融IC卡及移動支付中的應用與思考[J].金融電子化，2015（5）：57-59.

[3]廖敏飛.金融IC卡EEPROM和Flash存儲介質淺析[J].中國信用卡，2015（6）：54-56.

作者簡介：周慶亮，出生年月：19890701，性別：男，民族：漢，籍貫（精確到市）：天津市，當前職務：工程師，當前職稱：助理工程師，學歷：本科，研究方向：智能卡.