JR∕T 0120.5-2016 银行卡受理终端安全规范 第5部分:PIN输入设备(金融).pdf
《JR∕T 0120.5-2016 银行卡受理终端安全规范 第5部分:PIN输入设备(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0120.5-2016 银行卡受理终端安全规范 第5部分:PIN输入设备(金融).pdf(28页珍藏版)》请在咨信网上搜索。
1、 ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0120.52016 银行卡受理终端安全规范 第 5 部分:PIN 输入设备 Security specification for bank card terminals Part 5: PIN entry device 2016-09-06 发布 2016-09-06 实施 中国人民银行 发 布 JR/T 0120.52016 II 目 次 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 3 5 物理安全性要求 . 4 6 逻辑安全性要求 . 5
2、7 联机终端的安全要求 . 7 8 脱机终端安全要求 . 7 9 网络开放协议的安全要求 . 8 10 集成安全要求 . 10 11 设备安全管理 . 11 附录 A(规范性附录) 防窥挡板的设计标准 . 13 附录 B(规范性附录) 攻击分值计算公式 . 17 JR/T 0120.52016 III 前 言 JR/T 01202016银行卡受理终端安全规范由以下五个部分组成: 第1部分:销售点(POS)终端; 第2部分:受理商户信息系统; 第3部分:自助终端; 第4部分:电话支付终端; 第5部分:PIN输入设备。 本部分按照GB/T 1.12009 给出的规则起草。 本部分为银行卡受理终端安
3、全规范的第5部分。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会(SAC/TC 180)归口。 本标准负责起草单位:中国人民银行科技司、中国银联股份有限公司。 本部分起草单位:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、飞天诚信科技有限公司、无线网络安全技术国家工程实验室、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、信息产业信息安全测评中心。 本部分主要起草人:李伟、王永红、陆书春、李兴
4、锋、杜宁、陈则栋、曲维民、汤沁莹、王禄禄、吴永强、赵哲、贾铮、周皓、王兰、杜磊、李伟(中国银联)、张志波、潘润红、邬向阳、杨倩、刘运、谭颖、严伟锋、夏庆凡、王治纲、王伯铮、于华东、李同勋、冯健诚、代伟、钱菲、李穗申、李石超、顾才泉、侯智勇、张晓琪、高志民、高强裔、李超、高峰、周诗扬、孙茂增、马哲、尚可、胡盖、张俊江、蒋利兵、郭鑫、林眺、于海涛、白艳雷、李琴、宋铮、刘健、董晶晶。 JR/T 0120.52016 1 银行卡受理终端安全规范 第5部分:PIN输入设备 1 范围 本部分适用于所有受理银行卡终端完成PIN输入的设备或模块,本部分主要定义了该类设备基本的物理安全、逻辑安全以及相关安全管理
5、要求。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 JR/T 0001 银行卡销售点(POS)终端技术规范 JR/T 0002 银行卡自动柜员机(ATM)终端技术规范 ISO 9564 银行业务 个人标识号管理与安全(Financial services Personal Identification Number(PIN) management and security) ISO 11568 银行业 密钥管理程序(Banking-Key manageme
6、nt) ANSI X9.24 零 售 金 融 服 务 对 称 密 钥 管 理 ( Retail Financial Services-Symmetric Key Management) ANSI TR-31 通过对称算法密钥安全交换和密钥包规范(Interoperable Secure Key Exchange Key Block Specification for Symmetric Algorithms) 3 术语和定义 JR/T 0001和JR/T 0002中界定的以及下列术语和定义适用于本文件。 3.1 终端主密钥 terminal master key(TMK) 用于加密终端工作密钥
7、的密钥。 3.2 工作密钥 working key(WK) PIN加密密钥、MAC计算的密钥和磁道加密密钥,也称为数据密钥。在联机更新的报文中,对工作密钥应用终端主密钥(TMK)加密,形成密文后进行传输,适用于有人值守的小区和便民点、单位办公室和无集中收银的商品批发市场的商用收单场景。 3.3 泄漏 compromise 一种对系统安全的侵害,该侵害有可能导致敏感数据被非法获得。 JR/T 0120.52016 2 3.4 双重控制 dual control 通过两个以上的独立实体协同工作去保护敏感功能或信息的机制。 3.5 固件 firmware 在PIN输入设备内部与设备安全性相关所有程序
8、代码称为固件,固件应符合本规范的安全要求。 3.6 IC 卡读写器 IC card reader 用于对IC卡上的信息进行存取的设备。 3.7 数据完整性 data integrity 表明数据没有遭受以非授权方式所作的篡改或破坏的性质。 3.8 密钥管理 key management 整个密钥生命周期中对密钥和相关参数的操作,包括生成、存储、分发、注入、使用、删除、销毁和存档等。 3.9 脱机 PIN 验证 offline PIN verification 持卡人身份的验证方式,该方式通过终端和IC卡的交互来比较持卡人输入的PIN与IC卡芯片内存储的PIN是否一致来验证持卡人身份。 3.10
9、 联机 PIN 验证 online PIN verification 持卡人身份的验证方式,该方式将加密后的PIN值通过授权请求报文发送至发卡行,通过比较报文中PIN值与发卡行PIN值是否一致来验证持卡人身份。 3.11 逻辑安全性 logical security 设备在功能上抵御攻击的能力。 3.12 物理安全性 physical security 设备在物理构造上抵御攻击的能力。 3.13 防攻击 tamper-evident 能够提供被攻击证据的特性。 JR/T 0120.52016 3 3.14 抗攻击 tamper-resistant 提供物理保护以抵御攻击的特性。 3.15 反攻
10、击 tamper-responsive 针对已检测到的攻击自动反击以阻止攻击的特性。 3.16 攻击 tampering 对设备内部的探查或修改,或通过主动或被动的方法去探查或记录秘密数据的行为。 3.17 完整性 integrity 账户信息与交易数据未经授权不能改变的特性。 即数据在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱续、重放、插入等行为的破坏和丢失的特性。 3.18 可用性 availability 处理、 存储账户信息与交易数据的系统在规定条件下和规定时间内完成规定的功能的特性。 可用性的测度包括:抗毁性、生存性和有效性。 3.19 敏感性 sensitivity
11、资源所具有的一种特征,意味着该资源的价值或重要性,包含资源的脆弱性。 3.20 知识分割 knowledge split 把消息分割成许多碎片的方法。 分割后每一片所代表的信息足够小, 但是把这些碎片重新组合在一起就能重现信息。 3.21 PIN 输入设备 PIN entry device(PED) 输入PIN的设备机具。 3.22 加密密码键盘 encrypting PIN pad(EPP) 一种主要应用于无人值守终端(如ATM等)的PIN输入设备模块。 4 缩略语 JR/T 0120.1中界定的以及下列缩略语适用于本文件。 JR/T 0120.52016 4 EPP 加密密码键盘(Encr
12、ypting PIN Pad) PED PIN输入设备(PIN Entry Device) 5 物理安全性要求 5.1 入侵检测机制 PIN输入设备应具备防攻击性机制,保证设备在被攻击后立即处于不可操作状态,并自动立即擦除设备中存放的秘密信息。这些机制可以使设备抵抗如下物理攻击手段(包括但不限于):钻孔、激光、化学溶剂、通过外壳和通风口的探查。并且要求绕过这些机制插入PIN窃取装置或者获取敏感信息的可行方法至少需要26分(不包括对IC卡读写器的攻击)的攻击分值,其中实施攻击分至少13分。相关评分规则见附录B。 5.2 独立安全机制 设备的安全系统由至少两个以上的独立安全机制组成, 设备的单个安
13、全机制失效不会危及设备的安全。 5.3 内部访问响应 若允许访问PIN输入设备或IC卡读写器内部区域(如服务或维护等),则通过该区域插入PIN窃取装置是不可能的。设备内部设计可以保证(例如将敏感数据所在的组件由防攻击性和反攻击性机制保护)禁止直接访问PIN或者密钥等敏感数据,或设备安全机制可以在非法访问其内部区域时立即擦除敏感数据。 5.4 环境和操作条件改变的适应性 改变PIN输入设备的环境条件或操作条件不会影响其安全性 (例如操作电压或环境温度超出PIN输入设备范围)。 5.5 敏感功能或信息保护 敏感功能或敏感信息只能在PIN输入设备受保护的区域内使用。对敏感信息和敏感功能进行攻击和修改
14、至少需要26分的攻击分值(不包括对IC卡读写器的攻击),其中实施攻击分至少13分。 5.6 PIN 输入过程中可听到的音调 如果PIN输入时有声音提示,那么输入每一位PIN所发出的声音和输入其他位PIN所发出的声音应保持一致或声音随机,无法辨别。 5.7 PIN 输入过程中监控 即使在收银员或店员的协助下,通过监听PIN输入设备的声音、电磁辐射、能量消耗或其他任何可以从外部监听到的特征来探查PIN都至少需要26分的攻击分值,其中实施攻击分至少13分。 5.8 密钥识别分析 通过入侵或渗透PIN输入设备或IC卡读写器、 监测PIN输入设备或IC卡读写器的辐射 (包括能量波动)的方法获取在PIN输
15、入设备或IC卡读写器中存储的任何与PIN安全相关的密钥, 要求至少需要35分攻击分值,其中实施攻击分至少15分。 JR/T 0120.52016 5 5.9 非 PIN 数据输入提示信息物理安全 输入非PIN数据时设备显示的提示内容应在安全模块的控制下,对非PIN数据的攻击至少需要18分 攻击分值,其中实施攻击分至少9分。如果该提示内容是存储在安全模块内部,那么改变该提示内容会导致安全模块内密钥的擦除。 如果该提示内容是存储在安全模块外部, 那么设备安全机制要保证提示内容的完整性、正确使用和不被非法修改或使用(由厂商满足实现)。 5.10 移除检测(仅适用于 EPP) 安全组件不能擅自被拆除。
16、 如果要破坏或绕过该安全保护功能至少需要攻击分18分, 其中实施攻击分至少9分。 5.11 防偷窥保护(不适用于 EPP) PIN输入设备的设计应防止其他人对PIN输入的窥视,具体要求参考附录A。 5.12 独特外观(不适用于 EPP) PIN输入设备或IC卡读写器应经过合理设计,以保证无法利用在零售市场上可买到的商品组件来组装PIN输入设备或IC卡读写器。例如,特有的设备外壳。 5.13 磁条读卡器(适用于任何带有集成式磁条读卡器的有人值守式 POS-PED,EPP 可选) 在攻击分值低于16分(实施攻击分8分)的条件下,通过入侵PIN输入设备安装附加物、替代或修改磁条阅读器的磁头和相关软硬
17、件的方式,从而获取或修改磁道数据都是不可行的。 6 逻辑安全性要求 6.1 自检测试 PIN输入设备应具备自检功能,能够检查设备的固件、安全机制以及安全状态,自检在设备启动时进行并至少每天进行一次,设备每24小时内至少重新初始化内存。自检包括检查固件、针对篡改迹象的安全机制以及PED是否处于被攻破状态。一旦出现故障,PED及其功能会以安全的方式失去效用。 6.2 逻辑异常 PIN输入设备不应受异常逻辑的影响而泄露PIN的明文或其他敏感数据,这些异常逻辑包括但不限于:错误的命令序列、未知命令、错误模式下的命令和错误的参数。 6.3 固件认证 设备固件及对固件的任何改动都应经过严格的流程控制,以保
18、证固件中不含隐藏的非法功能。 6.4 固件更新 如果PIN输入设备固件能够进行更新,那么设备应通过加密机制验证更新固件的完整性和真实性。如果未确认其完整性和真实性,那么设备应拒绝进行固件更新或清除设备中所有的密钥。 6.5 输入 PIN 区别 JR/T 0120.52016 6 PIN输入设备在任何情况下都不显示或者泄漏PIN的明文。任何和PIN相关的数据应显示为无意义的字符(例如星号)或者输出无区别的信号等。同时应保证这些密码的输出只能输出至显示设备接口上,其他接口连接屏无法显示。 对于加密密码键盘,加密密码键盘从不向另外一个部件输出信息(比如,显示屏或设备控制器),从而能够对输入的PIN数
19、字进行区分。 6.6 内存清除 PIN输入设备应严格控制敏感信息的存在时间和使用次数。设备在下面任一情况应自动清空其内部保存的敏感信息: 交易已经完成; PIN输入设备等待持卡人或商户的响应超时。 6.7 敏感服务保护 设备的敏感服务用于访问敏感功能,敏感功能处理设备中如密钥、PIN和口令等敏感数据,使用设备的敏感服务应通过身份验证。进入或退出敏感服务不应泄露或改变设备中的敏感信息。 6.8 敏感服务限制 为保证设备的敏感服务不被非法使用, 应对设备敏感服务的范围和使用时间进行限制, 若超出服务范围和使用时间则PIN输入设备应退出敏感服务并返回到正常模式。 6.9 随机数 如果PIN输入设备产
20、生的随机数与敏感数据有关系,则设备中的随机数产生器应经过评估,以保证其产生的随机数无法被预测。 6.10 PIN 防穷举 PIN输入设备应具有防止利用穷举探测PIN值的特性。 6.11 密钥管理 PIN输入设备中执行密钥管理技术需要符合ISO 11568和/或ANSI X9.24。有关TDES密钥组的密钥管理技术符合ANSI TR-31。 6.12 加密算法测试 PIN输入设备采用的PIN加密技术应遵循ISO 9564。 6.13 对设备中任意数据加解密 不能利用PIN输入设备内的工作密钥(WK)或密钥加密密钥(KEK)去加密或解密其他任意的数据。PIN输入设备应强制使数据密钥 (指MAC密钥
21、和磁道加密密钥),密钥加密密钥和PIN加密密钥有不同的值。 6.14 明文密钥安全 PIN输入设备的机制应保证:不允许输出私钥或密钥以及PIN的明文;不允许用(可能)已经泄密的密钥去加密其他密钥或PIN;不允许把密钥明文从高安全的组件传送至低安全的组件中去。 JR/T 0120.52016 7 6.15 交易控制 输入其他交易数据的过程应和输入PIN的过程分开, 以避免PIN的明文意外显示。 如果其他交易数据和PIN是通过同一个键盘输入,那么输入其他交易数据和PIN时设备应有明显提示进行区别。 6.16 非 PIN 数据输入提示信息逻辑安全 6.16.1 改变用户界面提示攻击可能性分析 在未授
22、权情况下,改变非PIN数据输入时显示的提示内容危及PIN安全(例如:当输出信息不加密时提示输入PIN)的攻击至少需要18分的攻击分值,其中实施攻击分至少9分(由厂商满足实现)。 6.16.2 基于加密的控制 对于具有可变显示功能的PIN输入设备,设备的显示应在安全模块控制下进行,设备的控制机制应保证不能通过改变设备的显示内容来获得明文PIN,并且提供特有效的认证机制和合适长度的密钥。在设计设备密钥管理方式或其他安全控制机制时应采用双重控制和知识分割的原则 (允许第三方控制认证方法)。 6.16.3 设备多应用 如果设备支持多应用,应保证各应用间的相互独立,其中任何应用不能干扰其他应用和操作系统
23、,包括不能修改属于其他应用的数据对象。 6.17 操作系统 设备的操作系统中只能包含设备内部操作及服务应用软件, 操作系统应进行安全配置, 开通尽量少的权限设置。 6.18 集成指南 供应商应提供完整详细的安全引导指南,方便集成商将安全设备集成到终端中去。 7 联机终端的安全要求 联机终端应满足以下密钥替换要求: 如果PIN输入设备能够保存多个PIN加密密钥而且能够在外部选择, 那么设备安全机制应防止密钥被非法替换和使用。 8 脱机终端安全要求 8.1 防穿透保护 在要求攻击分值小于20分(实施攻击分10分)的情况下,任何渗透IC卡读写器从而附加、替换和修改IC卡读写器的软件或硬件,以获取或修
24、改任何敏感数据的攻击都是不可行的。 注:读卡器可能包含不同保护级别的区域,例如IC卡读写器接口本身区域和退卡的区域。 8.2 IC 卡读写器卡槽结构 JR/T 0120.52016 8 在插入IC卡时,IC卡读写器插槽应没有空间被装入PIN窃取装置,要增大设备空间来容纳这种窃取装置也是不可行的。IC卡和其他任何外物不可能同时驻留在IC卡读卡器插槽内。 在卡插入过程中, IC卡插槽的入口处可完全处于持卡人的监控下, 这样在插槽入口处的任何可疑物都可以被发觉。 8.3 IC 卡读卡器构造(连线) IC卡读写器的构造可以保证任何从IC卡读写槽到外部记录器或发射机 (外部窃取装置) 的连接线都可以被持
25、卡人观察到。 8.4 PIN 输入设备和 IC 卡读卡器间 PIN 传输保护 在PIN输入设备中传输时PIN的保护(至少满足下列的一条): 如果PIN输入设备和IC卡读写器没有集成在一起, 且验证持卡人方式为加密PIN验证, 那么在PIN输入设备和IC卡读写器之间传送的PIN BLOCK应通过IC卡上的加密密钥进行加密,或与ISO 9564加密要求保持一致; 如果PIN输入设备和IC卡读写器没有集成在一起, 且验证持卡人方式为明文PIN验证, 那么从PIN输入设备向IC卡读写器传送的PIN BLOCK应按照ISO 9564要求进行加密; 如果PIN输入设备和IC卡读写器集成在一起, 且验证持卡
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0120.5-2016 银行卡受理终端安全规范 第5部分:PIN输入设备金融 JR 0120.5 2016 银行卡 受理 终端 安全 规范 部分 PIN 输入 设备 金融
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。