ETC系統(tǒng)中金融IC卡安全性研究與實(shí)踐.pdf

1、隨著我國金卡工程的深入開展，銀行業(yè)掀起了金融IC卡取代磁條卡的升級(jí)浪潮，各種基于金融IC卡的行業(yè)應(yīng)用不斷推出。除了基本的存取款及刷卡消費(fèi)等功能外，金融IC卡還可以用于乘坐公交、便利店購物、醫(yī)院掛號(hào)等，十分方便。ETC交通卡是近年來出現(xiàn)的典型的銀行卡跨行業(yè)應(yīng)用，不同于以往由高速公路管理局進(jìn)行發(fā)卡，銀行與高管局合作推出具有ETC繳費(fèi)功能的金融IC卡，受到有車一族的歡迎。
　　金融IC卡的功能越來越強(qiáng)大，應(yīng)用也越來越普及，針對(duì)IC卡攻擊

2、的安全問題日益凸顯。金融IC卡安全的核心問題是交易信息的安全傳輸及IC卡與交易終端的認(rèn)證問題。本文以金融IC卡在ETC自動(dòng)收費(fèi)領(lǐng)域的應(yīng)用為切入點(diǎn)，聚焦ETC系統(tǒng)與銀行IC卡系統(tǒng)跨領(lǐng)域信息交換安全，通過對(duì)PBOC標(biāo)準(zhǔn)采用的加密算法的深入分析，結(jié)合國家商用密碼管理?xiàng)l例和國家金融領(lǐng)域信息安全建設(shè)總體要求，研究將國家商用密碼標(biāo)準(zhǔn)算法應(yīng)用到金融IC卡行業(yè)應(yīng)用信息保護(hù)當(dāng)中。同時(shí)，分析了ETC系統(tǒng)車載單元（OBU）與IC卡認(rèn)證協(xié)議過程的不足和潛在的攻

3、擊風(fēng)險(xiǎn)，給出了改進(jìn)方案和防范措施。論文的最后，結(jié)合作者所在單位XX銀行與XX省高速公路管理局聯(lián)合發(fā)行的“隴原交通卡”項(xiàng)目，討論了具體的實(shí)現(xiàn)方案。
　　本文的研究工作主要體現(xiàn)在以下幾個(gè)方面：
　　1.在深入分析比較PBOC2.0與PBOC3.0的基礎(chǔ)上，本文提出在ETC系統(tǒng)建設(shè)中采用PBOC3.0標(biāo)準(zhǔn)的必要性。由于PBOC3.0標(biāo)準(zhǔn)在行業(yè)內(nèi)并未強(qiáng)制推行，本文對(duì)國密算法在ETC儲(chǔ)值卡的信息安全保護(hù)方面提出了前瞻性的分析和應(yīng)用設(shè)計(jì)

4、，將SM2、SM3算法應(yīng)用于IC卡的合法性認(rèn)證，SM4算法用于交易報(bào)文的安全傳輸。
　　2.盡管現(xiàn)有ETC系統(tǒng)已采取多種技術(shù)手段防范盜卡者騙逃通行費(fèi)，但是從IC卡本體安全角度采取的措施較少。本文分析了ETC儲(chǔ)值卡遺失后存在的盜用風(fēng)險(xiǎn)，提出一種在OBU設(shè)備上增加PIN碼輸入功能以識(shí)別持卡人身份的設(shè)計(jì)方案。
　　3.針對(duì)增加PIN碼輸入環(huán)節(jié)的解決方案，進(jìn)一步分析了中間人攻擊可能造成的潛在影響，討論了方案的進(jìn)一步完善。