張寶全，徐李仙，周 楓，張少泉，陳先富

（1. 昆明理工大學 信息工程與自動化學院，云南 昆明 650500; 2. 電子科技大學 計算機科學與工程學院，成都 611731; 3. 云南電網(wǎng)有限責任公司 電力科學研究院，云南 昆明 650217）

PBOC 3.0標準IC卡的安全體系研究與驗證

張寶全1,3，徐李仙2，周 楓1，張少泉3，陳先富3

（1. 昆明理工大學 信息工程與自動化學院，云南 昆明 650500; 2. 電子科技大學 計算機科學與工程學院，成都 611731; 3. 云南電網(wǎng)有限責任公司 電力科學研究院，云南 昆明 650217）

隨著科技的進步，經(jīng)濟的發(fā)展，全球金融交易越來越頻繁，而針對金融交易的安全事故也屢見不鮮。為了規(guī)范金融交易市場，國際上指定了一系列的標準和規(guī)范。在我國，中國人民銀行基于國際EMV標準，制定了金融IC卡的標準和規(guī)范——PBOC標準。本文致力于研究基于目前我國最新的金融IC卡標準PBOC 3.0的安全體系，使用金融 IC卡做驗證，并給出相應(yīng)的實驗結(jié)果。在研究的過程中，本文從脫機數(shù)據(jù)認證著手，同時涉及到應(yīng)用密文和發(fā)卡行驗證、卡片的安全、密鑰管理體系和安全機制。由靜態(tài)數(shù)據(jù)認證出發(fā)，到標準動態(tài)數(shù)據(jù)認證，再到快速數(shù)據(jù)認證，層層推進。從最后設(shè)計出驗證PBOC 3.0金融IC卡脫機數(shù)據(jù)認證的驗證平臺，并驗證了一些IC卡的安全性。

信息安全；金融IC卡；PBOC 3.0；靜態(tài)數(shù)據(jù)認證；動態(tài)數(shù)據(jù)認證；快速數(shù)據(jù)認證

0 引言

隨著經(jīng)濟和科技的快速發(fā)展，金融交易越來越普遍。在交易過程中，現(xiàn)金的使用越來越少，而金融IC卡的使用越來越多，包括儲蓄卡，信用卡等金融交易工具。為了規(guī)范金融交易市場，國際上制定了IC卡規(guī)范——EMV規(guī)范[1]。我國基于EMV規(guī)范，由中國人民銀行制定了一系列的PBOC規(guī)范，目前最新版本為PBOC 3.0標準規(guī)范。

關(guān)于銀行卡被盜刷的事情屢見不鮮，其中一部分原因在于銀行卡在制作的過程中安全體系不夠完善。然而伴隨著IC卡的大量使用，磁條卡基本已經(jīng)退出金融交易的市場，這種盜刷的現(xiàn)象越來越少。IC卡相比磁條卡真的有那么安全嗎？IC卡在安全體系方面的完善究竟體現(xiàn)在哪些方面？這些問題值得研究。

在國外，來自劍橋大學的研究人員發(fā)現(xiàn) EMV協(xié)議的一個重大安全漏洞，使得攻擊者能夠容易的發(fā)起中間人攻擊，無論在終端機上輸入何種密碼，都能夠使用芯片卡[2]。而在我國，基于PBOC 3.0的研究也不少，包括通用存儲的研究，在軌道交通行業(yè)的研究等，但是尚未分析標準本身的安全。然而，從安全的角度研究標準，分析其安全體系并做出驗證尤為重要。

1 PBOC 3.0金融IC卡概述

金融IC（Integrated Circuit）卡是以芯片作為核心介質(zhì)的銀行卡。IC卡比磁條卡容量大，具有足夠的容量存儲密鑰，數(shù)字證書，指紋等信息，其工作原理類似單片機，具有多種功能，給人們帶來了很多便利。一般主要由相關(guān)機構(gòu)按照國家相關(guān)金融標準要求采用集成電路生產(chǎn)，并由銀行實名發(fā)給持卡人[3]。金融IC卡支持刷卡消費、存現(xiàn)取現(xiàn)、銀行轉(zhuǎn)賬、電子錢包等功能，甚至還有的支持eID身份認證等功能[4]。金融IC卡不像磁條卡那么容易復(fù)制和竊取卡片信息，安全性能極大的提高了。目前金融IC卡在國內(nèi)外使用廣泛，已經(jīng)逐漸替代了傳統(tǒng)的磁條銀行卡。

1.1 PBOC 3.0標準概述

國內(nèi)，金融 IC卡遵循中國人民銀行發(fā)布的PBOC標準在全國建立了三級秘鑰管理系統(tǒng)。這三級管理系統(tǒng)如下：（1）第一級秘鑰管理系統(tǒng)是中國人民銀行總行；（2）第二級秘鑰管理系統(tǒng)是各大商業(yè)銀行總行和中國人民銀行各中心支行；（3）第三級秘鑰管理系統(tǒng)是各大商業(yè)銀行地區(qū)分行[5]。于是各家商業(yè)銀行在開發(fā)銀行卡系統(tǒng)時就有了統(tǒng)一的標準。

PBOC 3.0結(jié)合了世界的高新技術(shù)和信息安全標準，不管是底層標準還是加密算法都大大改善，在保證卡片與終端（ATM、刷卡機等）的交互兼容性的前提下同是加入了移動支付等多方面的應(yīng)用場景，金融支付的安全性也大大提高。PBOC3.0金融IC卡標準和規(guī)范共包括14個部分（原PBOC2.0的第1部分：錢包存折卡片、第2部分：錢包存折應(yīng)用、第 9部分：錢包存折擴展已刪除），涉及到 IC卡與終端接口、借記貸記應(yīng)用卡片、借記貸記應(yīng)用終端、借記貸記應(yīng)用安全、借記貸記應(yīng)用安全、借記貸記應(yīng)用個人化指南、非接觸式IC卡通訊、非接觸式IC卡支付、基于借記貸記應(yīng)用的小額支付、電子現(xiàn)金雙幣支付應(yīng)用、IC卡互聯(lián)網(wǎng)終端、借記貸記應(yīng)用安全增強等眾多組成部分[6]。

1.2 PBOC 3.0安全體系概述

關(guān)于PBOC 3.0金融IC卡的安全體系的介紹主要集中在規(guī)范和標準的第7部分和第17部分。在標準中第7部分主要介紹了有關(guān)安全體系的脫機數(shù)據(jù)認證、應(yīng)用密文和發(fā)卡行認證、卡片的安全、終端的安全、密鑰的管理體系、安全機制、認可的算法、報文的安全等。隨著金融IC卡的不斷升級和完善，有關(guān)安全體系的升級也是其中的重要內(nèi)容，所以新制定了第17部分，對以前的借貸記應(yīng)用的安全規(guī)范進行了擴展，用以支持 SM2、SM3和SM4等密鑰算法在借記/貸記應(yīng)用中的使用[7]。

PBOC 3.0脫機數(shù)據(jù)認證，這是一種刷卡設(shè)備等終端采用公鑰技術(shù)來驗證卡片數(shù)據(jù)的方法，脫機數(shù)據(jù)認證通常有2種組成形式：靜態(tài)數(shù)據(jù)認證（static data authentication, SDA）和動態(tài)數(shù)據(jù)認證（Dynamic data authentication, DDA）[8]。靜態(tài)數(shù)據(jù)認證主要是指刷卡設(shè)備等終端驗證卡片芯片上靜態(tài)存儲數(shù)據(jù)的合法性，確?？ㄆ洗鎯Φ臄?shù)據(jù)沒有遭到非法篡改[9]。動態(tài)數(shù)據(jù)認證除了可以驗證卡片上的靜態(tài)數(shù)據(jù)沒有被篡改外，還可以驗證該卡片是不是非法復(fù)制的偽造卡，從而保證終端收到的卡的數(shù)據(jù)的合法性。如果脫機數(shù)據(jù)認證成功，刷卡設(shè)備等終端才會與卡片聯(lián)機進行交易，倘若脫機數(shù)據(jù)認證失敗，則終端拒絕執(zhí)行交易。表1列出了SDA和DDA的比較。

表1 SDA和DDA的比較Tab.1 Comparison of SDA and DDA

1.3 PBOC 3.0簽名算法概述

脫機數(shù)據(jù)認證中應(yīng)用的簽名方案主要有兩種：一種是可逆的非對稱加密算法，另外一種是不可逆的哈希算法。而本文中將這兩種方法結(jié)合在一起使用，簽名的過程中首先使用哈希算法取原文的哈希值，然后使用非對稱加密算法對哈希值進行加密。驗證的過程中先使用公鑰解密，然后對原文使用相同的哈希算法，比對哈希值是否一致，如果一致則驗證通過。

數(shù)字簽名的產(chǎn)生過程如下：首先計算報文 Msg的 20字節(jié)的 HASH值 H：=Hash[MSG]。然后將Msg拆分為兩個部分：MsgL||MsgR。MsgL為 Msg最左端的N-22字節(jié)構(gòu)成，MsgR由剩下的字節(jié)構(gòu)成。接著定義兩個字節(jié)：B：=‘6A’，E：=‘BC’，定義N個字節(jié)的塊X=(B || MsgL || H || E)。最終的數(shù)字簽名為S= Sign(SK)[X]，SK為私鑰。

數(shù)字簽名的驗證過程如下：首先檢查數(shù)字簽名值S是否由N個字節(jié)構(gòu)成。接著由恢復(fù)算法得到N字節(jié)的 X=Recover(PK)[S]，PK為公鑰。接著把 X分塊X=(B || MsgL || H || E)，其中B和E為1個字節(jié)，H為20字節(jié)，MsgL為N-22字節(jié)。然后檢查B是否為“6A”，E是否為“BC”，最后得到原文 Msg=MsgL||MsgR，并檢驗哈希值 Hash(Msg)是否正確。只有當所有的數(shù)據(jù)都正確時，簽名數(shù)據(jù)才正確。

2 靜態(tài)數(shù)據(jù)認證

靜態(tài)數(shù)據(jù)認證是為了確認 IC卡上的靜態(tài)數(shù)據(jù)是否合法，是PBOC脫機數(shù)據(jù)認證中最基本的數(shù)據(jù)認證，具體來說包括了驗證發(fā)卡行公鑰證書和靜態(tài)簽名數(shù)據(jù)的合法性。靜態(tài)數(shù)據(jù)認證過程中的發(fā)卡行公鑰證書和靜態(tài)數(shù)據(jù)的結(jié)構(gòu)圖如圖1所示。

在認證中心私鑰安全的情況下，認證中心認證過的發(fā)卡行公鑰不能隨意偽造。發(fā)卡行寫進IC卡上的重要數(shù)據(jù)都是用發(fā)卡行公鑰進行簽名的。因此，終端驗證卡上這些被簽名的數(shù)據(jù)是否被篡改，在得知IC卡的相關(guān)參數(shù)后，使用讀卡器讀取IC卡上的相關(guān)參數(shù)，使用認證中心的公鑰驗證發(fā)卡行的公鑰證書。當發(fā)卡行的公鑰證書正確時，使用發(fā)卡行的公鑰驗證 IC卡上的靜態(tài)數(shù)據(jù)的正確性，完成基于PBOC 3.0金融IC卡脫機數(shù)據(jù)認證流程中的最基礎(chǔ)步驟[10]。因為惡意攻擊者沒有辦法拿到發(fā)卡行的私鑰，所以也沒有辦法在修改了IC卡上的重要數(shù)據(jù)之后冒充發(fā)卡行對修改后的數(shù)據(jù)進行簽名，這就保證了 IC卡上的數(shù)據(jù)沒有被惡意攻擊者篡改或者重新寫入。靜態(tài)數(shù)據(jù)認證的流程大致分為三個流程，即：獲取認證中心公鑰，獲取發(fā)卡行公鑰證書，驗證簽名的靜態(tài)應(yīng)用數(shù)據(jù)。下面對于這三個步驟做詳細的介紹，它的詳細流程圖如圖2所示。

圖1 SDA證書和公鑰體系結(jié)構(gòu)Fig.1 SDA certificate and public key architecture

圖2 靜態(tài)數(shù)據(jù)認證詳細流程圖Fig.2 Static data authentication detailed flow chart

關(guān)于讀取IC卡中的關(guān)鍵數(shù)據(jù)，以及數(shù)據(jù)的具體標簽含義，數(shù)據(jù)的構(gòu)成，可參看相關(guān)標準和規(guī)范。脫機數(shù)據(jù)認證過程中使用的數(shù)據(jù)項的具體含義和相關(guān)結(jié)構(gòu)可參看PBOC3.0相關(guān)標準中借記貸記應(yīng)用安全規(guī)范部分。根據(jù)公鑰模和指數(shù)生成公鑰對象的關(guān)鍵代碼如代碼1所示，使用公鑰的對象對數(shù)據(jù)進行解密如代碼2所示。

/**

* 代碼1：根據(jù)公鑰的模和指數(shù)生成公鑰的對象

* @param exponent 用字符串表示的公鑰的指數(shù)的值

* @param modulus 用字符串表示的公鑰的模的值

* @return 公鑰的對象

* @throws Exception

*/

public static PublicKey getPublicKey(String exponent,String modulus) throws Exception

{

BigInteger b1 = new BigInteger(modulus, 16)；

BigInteger b2 = new BigInteger(exponent, 16)；

KeyFactory keyFactory = KeyFactory.getInstance

("RSA")；

RSAPublicKeySpec keySpec = new RSAPub

licKeySpec(b1, b2)；

return keyFactory.generatePublic(keySpec)；

}

/**

* 代碼2：使用公鑰的對象對數(shù)據(jù)進行解密

* @param encryptedString 被加密的數(shù)據(jù)的byte型表示

* @param pubKey 用于解密的公鑰對象

* @return 解密后的數(shù)據(jù)

* @throws Exception

*/

public static byte[] decrypt(byte[] encryptedString,

PublicKey pubKey) throws Exception

{

Cipher cipher = Cipher.getInstance("RSA/ECB/NoPadding")；

cipher.init(Cipher.DECRYPT_MODE, pubKey)；

byte[] deBytes = cipher.doFinal(encryptedString)；

return deBytes；

}

在這次脫機數(shù)據(jù)認證過程中使用的IC卡，因為簽名的靜態(tài)數(shù)據(jù)認證失敗，如圖3所示，所以得出結(jié)論，該卡不是合法的IC卡。到這里，靜態(tài)數(shù)據(jù)認證的整個過程已經(jīng)完成。

圖3 靜態(tài)數(shù)據(jù)認證結(jié)果Fig.3 Static data authentication result

3 標準動態(tài)數(shù)據(jù)認證

標準動態(tài)數(shù)據(jù)認證簡稱標準DDA，它主要包括靜態(tài)的數(shù)據(jù)的認證，IC卡公鑰證書的認證，簽名的動態(tài)數(shù)據(jù)的認證。相比靜態(tài)數(shù)據(jù)認證，標準的動態(tài)數(shù)據(jù)認證增加了IC卡公鑰證書的認證、簽名的動態(tài)數(shù)據(jù)的認證。通過標準DDA認證，不僅能驗證一張IC卡是否合法，還能驗證該卡是否被復(fù)制。

DDA中，終端發(fā)送一個偽隨機數(shù)給IC卡，金融IC卡用自己的私鑰將收到的隨機數(shù)進行簽名，并將簽名后的數(shù)據(jù)發(fā)給刷卡設(shè)備等終端。終端利用IC卡的公鑰解密數(shù)據(jù)，得到的隨機數(shù)與之前發(fā)送給IC卡的隨機數(shù)進行比對校驗，如果校驗通過，則認為該卡片不是一張復(fù)制卡。

IC卡私鑰是存儲在 IC卡的安全區(qū)域，偽卡通過復(fù)制是不能得到真卡的IC卡私鑰的，因此，偽卡沒有了私鑰，無法假冒真卡的身份對終端發(fā)過來的隨機數(shù)進行簽名；還有，終端發(fā)給卡的隨機數(shù)是無法預(yù)知的，這就避免了偽卡利用真卡以前生成的簽名數(shù)據(jù)來冒充真卡（重放攻擊）。以上兩點說明：利用 IC卡私鑰進行簽名的隨機數(shù)可以充分證明一張卡不是偽卡。DDA認證的總體流程如圖4所示。

在標準動態(tài)數(shù)據(jù)認證過程中，動態(tài)的簽名數(shù)據(jù)由卡片生成，具體流程圖如圖5所示。

驗證過程中使用到的具體數(shù)據(jù)表參見中國金融集成電路（IC）卡規(guī)范第7部分：借記貸記應(yīng)用安全規(guī)范。根據(jù)實驗的結(jié)果可知本次實驗使用的IC卡是一張可信的卡，如圖6所示。

圖4 DDA整體流程圖Fig.4 DDA overall flow chart

圖5 標準動態(tài)數(shù)據(jù)認證流程圖Fig.5 Standard dynamic data authentication flow chart

圖6 動態(tài)簽名數(shù)據(jù)驗證結(jié)果示意圖Fig.6 Dynamic signature data validation results

4 快速數(shù)據(jù)認證

快速數(shù)據(jù)認證即快速DDA認證，是為了適應(yīng)快速借記貸記而產(chǎn)生的一種認證方法。qPBOC（快速借貸/借記）用于非接觸式界面的電子現(xiàn)金交易，即所謂的“閃付”，這就要求有很高的交易速度，必然要求對標準的借記/貸記金融業(yè)務(wù)流程進行優(yōu)化和改善。在“閃付”交易業(yè)務(wù)流程中，要求1秒甚至更短時間內(nèi)完成交易。DDA作為一種可供選擇的方法，用于脫機預(yù)防偽卡[11]。qPBOC提供脫機數(shù)據(jù)認證支持SDA和fDDA，除此之外，它的動態(tài)簽名由GPO命令發(fā)起，不再使用內(nèi)部認證（INTERNAL AUTHENTICATE）命令，也不使用DDOL、SDA或fDDA（快速動態(tài)數(shù)據(jù)認證），也不再放在終端驗證結(jié)果（TVR）中聯(lián)機發(fā)送給發(fā)卡行，或通過聯(lián)機授權(quán)或清算密文進行保護[12]。fDDA對標準的DDA流程做了簡化，沒有驗證IC卡片上的靜態(tài)簽名數(shù)據(jù)，因為卡片上的IC卡公鑰證書由發(fā)卡行私鑰簽名，其核心思想和流程與標準的 DDA類似。在實驗的過程中，使用了一張支持 qPBOC流程的IC卡，驗證的結(jié)果如圖7所示。

圖7 快速動態(tài)數(shù)據(jù)認證結(jié)果示意圖Fig.7 Quick dynamic data authentication results

5 結(jié)束語

本文基于PBOC 3.0金融IC卡標準，研究了其安全體系，包括靜態(tài)數(shù)據(jù)認證、動態(tài)數(shù)據(jù)認證以及快速數(shù)據(jù)認證，對這些脫機數(shù)據(jù)認證的原理、目的和認證流程做了闡述，并通過實驗，給出了認證的結(jié)論，根據(jù)認證的結(jié)論得出卡的真?zhèn)?。同時，本文研究了金融IC卡安全體系中的簽名算法、加密算法和PKI技術(shù)。

但是關(guān)于金融 IC卡的安全體系還有很多需要研究的機制，目前還沒有完成涉及到PBOC 3.0金融IC卡安全機制的所有內(nèi)容的研究，今后將對PBOC 3.0金融IC卡有更加深入的認識。

[1] 中國人民銀行發(fā)布. 中國金融集成電路(IC)卡規(guī)范[M]. 中國金融出版社, 2013.

[2] 劉麗雅. 金融IC卡系統(tǒng)的設(shè)計和實現(xiàn)[D]. 成都: 電子科技大學, 2012, 1-3

[3] 蔡英玨. 基于PBOC 3.0金融IC卡的支付及通用存儲應(yīng)用系統(tǒng)的研究與實現(xiàn)[D]. 電子科技大學, 2015.

[4] 張蒙. 基于LINUX的PBOC3.0關(guān)鍵讀卡技術(shù)的研究與應(yīng)用[J]. 電子設(shè)計工程, 2015(8): 188-192.

[5] 蔡英玨. 基于PBOC 3.0金融IC卡的支付及通用存儲應(yīng)用系統(tǒng)的研究與實現(xiàn)[D]. 電子科技大學, 2015.

[6] 劉軒. 基于PBOC3.0的銀聯(lián)公交POS機的設(shè)計與實現(xiàn)[D].杭州電子科技大學, 2015.

[7] Wang G, Wang H, Liu H. Application and Prospect for New Technology of AFC system in Urban Rail Transit[J]. Urban Rapid Rail Transit, 2017.

[8] 徐琳, 溫蜜, 李晉國. 智能配電網(wǎng)中具有隱私保護的數(shù)據(jù)安全認證方案[J]. 電子技術(shù)應(yīng)用, 2015, 41(12): 98-101.

[9] Wang H, Jiang H, Zhu J. Railway Freight Escort Safety Monitoring System based on IC card[J]. Railway Computer Application, 2016.

[10] Guangjia H E, Xie G, Department P, et al. Application of financial IC Card in Railway Ticketing and Reservation System[J]. Railway Computer Application, 2015.

[11] 許威. 金融IC卡對稱密鑰離散機制應(yīng)用研究[J]. 中國金融電腦, 2015(2): 81-86.

[12] 方翔, 劉海, 江遠志. 一種新型IC卡讀卡器:, CN204143450U[P].2015.

Research and Verification of Security System of PBOC 3.0 Standard IC Card

ZHANG Bao-quan1,3, XU Li-xian2, ZHOU Feng1, ZHANG Shao-quan3, CHEN Xian-fu3
(1. Faculty of Information Engineering and Automation, Kunming University of Science and Technology, Kunming 650500, China;2. School of Computer Science and Engineering, University of Electronic Science and Technology of China, Chengdu 611731, China;3. Electric Power Research Institute, Yunnan Power Grid Company, Kunming 650217, China)

With the development of the economic and technology, as the global financial trading is more and more popular, the incident with the financial trading become an important topic. In order to standard the financial trading market, there are a series of standard and specification come out in the world. People's Bank of China make up with the PBOC 3.0 as the Chinese financial specification base on EMV standard. This paper researched the security system of PBOC 3.0 and verify the security of the financial IC card. At last, the paper will give the security conclusion of the IC card. In the research, this paper will start with verification of off-line data, including verifying application cryptograph and card issuer, the security of the card, key manage system and security mechanism. The security will include three aspects: static data authentication (SDA), Dynamic data authentication (DDA) and quick Dynamic data authentication (QDDA). Finally, this paper will design a verification platform about IC financial off-line data.

: Information security; Financial IC card; PBOC 3.0; SDA; DDA; QDDA

TP393.08

A

10.3969/j.issn.1003-6970.2017.10.009

本文著錄格式：張寶全，徐李仙，周楓，等. PBOC 3.0標準IC卡的安全體系研究與驗證[J]. 軟件，2017，38（10）：50-55

云南省科技人才和平臺計劃-科技領(lǐng)軍人才培養(yǎng)(項目編號：2017HA011)

張寶全(1991-)，男，云南曲靖人，碩士研究生，研究方向：網(wǎng)絡(luò)與信息安全；徐李仙(1991-)，女，云南曲靖人，碩士研究生，研究方向：網(wǎng)絡(luò)與信息安全。

周楓(1958-)，男，云南昆明人，碩士，副教授，研究方向：數(shù)據(jù)挖掘、信息抽取。