金融IC卡基础知识培训.ppt

金融IC卡基础应用培训 天用唯勤内部培训使用 IC卡的定义与类型 IC卡的定义： 就是所谓的集成电路卡，全称为： Integrated Circuit(s) Card ，即在一张塑料卡片上嵌入一个或多个集成电路芯片，这些芯片中存储与处理相关的交易信息数据。 IC卡的常见类型： 存储器卡：集成电路芯片只提供基础的信息存储功能，相关的访问接口是全开放的，任何掌握了这个访问接口标准的读写卡设备都可以对这些数据进行读取和改写操作。这种卡片的特点是：成本低，存储容量大，安全标准低（与常见的银行磁条卡的安全标准相同）。 逻辑加密卡：集成电路芯片除了提供基础的信息存储功能外，还设置了访问密码，外部读写卡设备在使用预定义的访问接口进行数据操作时需要提供该密码。这种卡片的特点是：成本较低，存储容量大，安全标准较低。日常生活中常用的IC电话卡、公交卡等很多都是使用这种卡。 智能卡：集成电路芯片中内置了一个小型的专用操作系统：COS（CARD OS，卡片操作系统）。外部读写设备不能通过接口直接访问芯片中存储的数据，只能通过COS所提供的访问接口向COS发出交易请求，COS会处理交易请求后返回处理结果数据给外部读写设备。这样就可以在COS中实现对于交易信息的全面的安全认证处理，保证交易的安全性。与磁条卡、存储器卡、逻辑加密卡相比，智能卡中存放的数据外部不能直接访问，必须通过COS进行处理，COS会按照相关的规范检查本次交易是否安全，只有安全的交易才可以继续处理，就如同卡片拥有了“智能”可以自行决定交易的处理结果。 金融IC卡一定是智能卡 金融应用要求高度的安全性，所以金融IC卡一定是使用智能卡。 金融IC卡与金融磁条卡的差异 金融磁条卡 使用卡片表面粘贴的磁条来存储信息，磁条中可以保存三个磁道信息，金融应用一般是使用二、三磁道来存储信息。磁条中只保存有应用信息，没有密钥信息。 磁条中的磁道信息是全开放的，任何一个可以读取磁条信息的设备都可以完整地提取一张磁条卡中的磁道信息 安全性低，容易被复制。磁条信息是全开放的，很容易被非法的设备提取后进行复制，在交易过程中只能依靠交易密码来保证交易的安全。现实生活中，一旦交易密码被其他人知道就很容易通过伪造磁条卡来进行非法交易，安全性较低。 成本低，银行发卡时可以不考虑卡片成本，也不会向持卡人收取卡片成本。 金融IC卡： 使用智能卡（集成电路芯片）来存储信息。芯片中同时存储应用信息与密钥信息，通过密钥信息进行交易过程中的安全认证处理。 芯片中的信息不能被外部直接访问，只能向COS发起交易来访问，这些交易都需要由COS使用存储在芯片中的密钥依据应用规范进行安全认证，相关的信息每次都会变动。外部只能获得交易过程中的应用信息，所以即使外部截获了这些信息也无法复制出金融IC卡 安全性高。还没有发现被复制。在现实生活中，即使帐户密码被其他人知道也无法通过伪造IC卡来进行非法交易，安全性高 成本高，银行发卡时一般会向持卡人收取卡片成本。这称为阻碍金融IC卡发展的主要障碍。 1.0规范的安全机制－对称密钥 符合人民银行1.0规范的金融IC卡使用对称密钥 什么是对称密钥：认证与被认证方使用相同的密钥，称为对称密钥，对称密钥使用DES算法（三次DES算法） 金融IC卡的所使用的对称密钥 发卡行负责产生主对称密钥组，这些主对称密钥将由发卡行进行安全保管（一定不能泄漏） 发卡行发卡时，依据主对称密钥使用用户卡的卡号进行分散处理（实际就是采用三次DES算法以卡号作为加密密钥对主密钥进行加密处理），结果产生出每张卡片都不一样的子对称密钥写入用户卡的芯片区。 后续的交易中，用户卡使用写入到芯片区中的子对称密钥进行必要的身份认证；发卡行拥有主对称密钥，可以在每次交易时依据交易的卡号采用发卡时的DES算法计算出对应该卡的子对称密钥，然后可以使用该子对称密钥完成与用户卡片的身份认证。 1.0规范的安全机制－双向认证 传统的磁条卡只支持联机交易，在交易中由发卡行主机系统验证持卡人的密码来认证交易的合法性，这种做法存在明显的弱点 发卡行缺乏对于卡片真伪性的验证，磁条卡的唯一保证就是用户密码，所以很容易出现用户密码被窃取后的伪造磁条卡的非法交易 用户密码必须由发卡行的后台系统进行验证，所以磁条卡只能支持联机交易处理（交易信息必须实时发送到发卡行主机系统，发卡行主机系统处理后将处理结果实时返回到受卡终端，然后受卡终端依据发卡行主机系统的响应决定是接受还是拒绝该交易） 金融IC卡使用双向认证的机制来保证交易的安全 交易时用户卡片可以认证外部的交易环境是否非法。卡片对交易受理环境进行验证，保证卡片一定是在经过发卡行授权的交易环境中发生交易，防止卡片被伪造的交易终端所使用。 交易时发卡行系统（交易受理环境）对用户卡进行验证。保证本次参与交易的用户卡一定是发