一、背景

金融和重要領域國密改造是我國大力推進自主國產密碼應用的重要政策。2011年3月,人民銀行釋出了《關於推進金融IC卡應用工作的意見》,開始全面啟動我國金融IC卡遷移，要求2015年起銀行業金融機構髮卡銀行卡均應為金融IC卡。2014年11月3日，人民銀行印發了《關於進一步做好金融IC卡應用工作的通知》，要求自2015年4月1日起，各發卡銀行新發金融IC卡應符合PBOC3.0規範。相較於PBOC2.0，PBOC3.0規範的核心內容是要求支援國產密碼演算法。

按照人民銀行和密碼管理部門的部署，河南某商業銀行被選定作為金融IC卡國密改造試點，這也是國內第一家按照PBOC3.0規範建設的商業銀行IC卡系統，主要針對髮卡系統、受理系統、核心交易系統、金鑰管理系統及ATM、POS機等交易終端進行國密改造，要求支援SM2/SM3/SM4等國密演算法，用來開展金融IC卡借貸記、電子現金、電子錢包相關業務。

二、需求分析

按照PBOC3.0規範對金融IC卡國密改造的要求，結合該銀行實際業務情況，關鍵是如何運用國密演算法保證IC卡片髮卡和交易過程安全，其密碼應用安全體系建設主要有如下幾點：

1、建立一整套採用國密演算法的金融IC卡髮卡解決方案。

2、金鑰管理是國密改造的核心，需要建設符合PBOC3.0規範的金鑰管理系統，保證金鑰生命週期的安全。 

3、基於國密演算法,為金融IC卡交易過程中涉及的各業務系統提供密碼技術和應用安全服務。

三、解決方案

根據PBOC3.0規範、該銀行業務實際情況以及國密改造試點專項的目標和要求，本次國密改造試點專案採用了江南天安基於國密演算法和密碼行業相關標準開發的金融IC卡安全支撐系統等密碼產品和解決方案，實現了成功上線，保證了國密演算法在金融IC卡髮卡和交易過程的應用，為金融IC卡業務應用的安全性奠定了基礎：

1、金鑰管理系統

提供國密演算法和國際通用演算法的髮卡行證書申請、匯入、管理；認證中心根證書匯入；IC卡證書的簽發和管理；IC卡業務根金鑰的生成、匯出、管理、卡片子金鑰的生成等。

2、資料準備系統

提供卡片模板定義和管理；提供與金鑰管理系統互動，獲取卡片金鑰和證書資料；提供與IC卡業務系統互動，獲取卡片原始制卡檔案；按照卡片模板生成最終的制卡資料。

3、IC卡多應用髮卡系統

提供製卡資料解析；提供卡指令和卡資料組織拼接；提供卡片應用載入，提供應用個人化功能。

4、密碼服務平臺

提供國密演算法和國際演算法的終端金鑰生成、管理、更新介面；提供PIN的生成、轉加密、驗證介面；提供借貸記應用的ARQC\ARPC、指令碼MAC、指令碼加密等介面；提供8583報文傳輸的MAC計算、驗證等介面。

5、金融資料加密機

提供國密演算法和國際通用演算法的金鑰的生成和管理、提供業務所需的各類密碼運算介面。

四、實施效果

國密改造試點專案的成功和金融IC卡安全支援系統的上線，使該商業銀行金融IC卡系統成為國內第一家符合PBOC3.0規範並且正式商用的金融IC卡系統，為我國金融領域國產密碼改造的應用推廣打下了堅實基礎，並在銀行卡、社保卡、醫療健康卡、交通卡等IC卡金融應用領域的國產密碼應用領域起到了示範效應。