基于EMV标准的金融IC卡交易的安全性研究与设计

【摘要】：金融IC(Integrated Circuit)卡是指应用在金融领域的IC卡,IC卡由于其强大的功能及高安全性已经在人们的日常生活中使用越来越广泛。由于传统磁条卡已不能满足安全需求,IC卡已逐渐替代磁条卡成为金融交易的首先载体。金融交易的全球化使得全球逐渐形成统一的交易标准,EMV标准由于其通用性及安全性成为全球通用的IC卡标准。1999年,EuroPay(于2002年与MasterCard合并)、MasterCard和VISA正式成立EMVCo组织并负责EMV标准的发展与制定。EMV标准的流行极大的促进了金融IC卡的发展,全球大部分国家已经或者正在由磁条卡向EMV卡“迁移”。EMV标准还可做为一个基本标准框架,各国或发卡机构可根据不同应用基于EMV标准制定各自标准,但都统一遵循EMV接口标准,仅在应用流程等方面做修改。如我国基于EMV标准制定了自有的PBOC规范。 EMV卡也称为密码芯片卡,即除了卡片本身安全性能提升外,卡片还有持卡者设定的个人识别码(PIN),在未输入正确PIN码时无法使用EMV卡进行交易或取现操作。然而在利益的驱使不,不法份子的犯罪手段也越来越高超,不少持卡人发现即使未泄露密码,遗失的EMV卡依然被盗用。2010年,剑桥大学科研人员发现使用中间人攻击方法能在未知PIN码的情况下盗用EMV卡,指出EMV标准存在安全漏洞。因此有必要对EMV标准进行深入研究,分析其中潜在的安全漏洞并设计出有效的安全机制。 EMV标准安全机制中使用的非对称加密算法为RSA算法,相比较于RSA,ECC算法有更高的安全性也更适用于IC卡等嵌入式设备上。且下一版本的EMV标准将支持ECC算法,我国的国密SM2算法也在实践中验证了ECC的高效安全性。 本论文做的研究工作及主要成果如下三点： 1)对EMV标准进行了深入研究,分析其安全体系。通过对标准中应用于借贷记的交易流程中每一步的数据安全与逻辑安全做了详尽分析并结合中间人攻击方法来探讨了其安全性,提出了解决方案。对我国的PBOC规范进行了类似分析,研究表明PBOC规范也无法抵抗中间人攻击,并设计了相应的改进方案,用软件模拟方法验证了其有效性。 2)本文针对椭圆曲线密码体系中标量乘运算计算量大且易受功耗分析攻击的问题,提出了一种抗功耗分析攻击的快速滑动窗口算法,在雅可比和仿射混合坐标系下采用有符号滑动窗口算法实现椭圆曲线标量乘计算,并采用随机化密钥方法实现抗功耗分析攻击,能兼顾效率与安全性。 3)基于ECC算法设计了一套适用于EMV标准的非对称密钥安全机制,包括数字签名机制ECDSA,密钥协商机制ECDH及公钥加密机制ECIES。