PIN输入设备安全评估指南.pdf
《PIN输入设备安全评估指南.pdf》由会员分享,可在线阅读,更多相关《PIN输入设备安全评估指南.pdf(17页珍藏版)》请在三一文库上搜索。
1、 中 国 银 联 股 份 有 限 公 司 规 范 性 文 档 PIN 输入设备安全评估指南 Pin Entry Devices Security Evaluration Guide 2005-11-17 发布 2005-11-17 实施 中国银联股份有限公司中国银联股份有限公司 发布 发布 目 次 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 安全要求清单的使用 3 5 小结 4 附 录 A (规范性附录) 物理安全性要求. 5 附 录 B (规范性附录) 逻辑安全性要求 . 7 附 录 C (规范性附录) 联机安全要求 . 8 附 录 D (规范性附录) 脱机安全要求
2、. 9 附 录 E (规范性附录) 生产期间的设备安全管理要求 10 附 录 F (规范性附录) 初始密钥注入前的设备安全管理要求 11 附 录 G (规范性附录) 设备安全性承诺书 12 附 录 H (规范性附录) 设备安全性例外声明 13 I 前 言 本指南提出了 PIN 输入设备的安全评估要求。 本指南由中国银联股份有限公司提出,中国银联技术管理部归口管理。 本指南主要起草部门:中国银联技术管理部。 本指南主要起草人:刘钟、孙平、李煜、张威、黄发国、徐志忠、姜红。 II 1 PIN 输入设备安全评估指南PIN 输入设备安全评估指南 1 范围 本指南适用于中国银联直联终端的PIN输入设备,
3、是对该类设备准入的基本安全要求。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。 凡标注日期的引用文件, 对于标注日期 之后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,但是,鼓励根据本标准达成协议 的各方研究是否可使用这些引用文件的最新版本。 凡不标注日期的引用文件, 其最新版本均适用于本标 准。 银行卡联网联合技术规范 V2.0 银联卡密钥安全管理规则 ISO 9564-1 银行业务 个人识别码管理和安全 第1部分:PIN保护策略和技术 ISO 9564-2 银行业务 个人识别码管理和安全第2部分:核准的PIN加密算法 ISO 13491-1 银行业务
4、 安全加密设备(零售)第1部分:概念、需求及评估方法 ISO 13491-2 银行业务 安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单 3 术语、定义和缩略语 3.1 可变显示 Active Display 如果设备配置发生变化时显示的提示会发生改变,那么称该设备具有可变显示功能。 3.2 自动柜员机 Automated Teller Machine;ATM 是一种组合了多种不同金融业务功能的自助服务设备,持卡人可利用该设备所提供的服务完成存 款、取款、信息查询、代理业务等金融服务。 3.3 持卡人 Cardholder 卡的合法持有人,即与卡对应的银行帐户相联系的客户。 3.
5、4 泄漏 Compromise 一种对系统安全的侵害,该侵害有可能导致敏感数据被非法获得。 3.5 双重控制 Dual Control 通过两个以上的独立实体协同工作去保护敏感功能或信息的机制。 3.6 一次一密 Derived Unique Key Per Transaction 对每次交易都采用不同密钥的密钥管理方式, 以防止以往交易中泄漏的密钥被继续使用。 每次交易 的密钥由该次交易相关的数据通过算法生成。 3.7 密码键盘 Encrypting PIN Pad;EPP 用于保护PIN输入安全并对PIN进行加密的设备。 密码键盘应有明确的物理和逻辑定义, 并具有抗攻 击或防攻击特性的外壳
6、。 3.8 固件 Firmware 在PIN输入设备内部与设备安全性相关所有程序代码称为固件,固件必须符合本指南的安全要求。 3.9 IC 卡读写器 ICC Reader 用于对IC卡上的信息进行存取的设备。 3.10 数据完整性 Data Integrity 表明数据没有遭受以非授权方式所作的篡改或破坏的性质。 3.11 密钥管理 Key Management 整个密钥生命周期中对密钥和相关参数的操作,包括生成、存储、分发、注入、使用、删除、销毁 和存档等。 3.12 主密钥 Master Key 在二层密钥体系中,用于加密工作密钥的密钥称为主密钥。 3.13 特约商户 Merchant 与
7、收单行签有商户协议,受理银行卡的零售商、个人、公司或其他组织。 3.14 报文鉴别码 Message Authentication Code;MAC 是消息来源正确性鉴别的数据。 3.15 脱机 PIN 验证 Offline PIN Verificaiton 一种持卡人身份的验证方式,该方式通过终端和IC卡的交互来比较持卡人输入的PIN与IC卡芯片内 存储的PIN是否一致来验证持卡人身份。 3.16 联机 PIN 验证 Online PIN Verificaiton 一种持卡人身份的验证方式,该方式将加密后的PIN值通过授权请求报文发送至发卡行,通过比较 报文中PIN值与发卡行PIN值是否一致
8、来验证持卡人身份。 3.17 个人标识码 Personal Identification Number;PIN 即个人密码, 是在联机或脱机交易中识别持卡人身份合法性的数据信息, 在计算机和网络系统中任 何环节都不允许PIN以明文出现。 3.18 PIN 输入设备 PIN Entry Device;PED 对PIN进行加密处理以保护PIN安全的设备。PIN输入设备有明确的物理和逻辑定义,并具有抗攻击 或防攻击特性的外壳。 3.19 敏感数据(信息) Sensitive Data(Information) 必须防止被非法泄露、修改或破坏的数据,特别是明文PIN和加密密钥以及包含设计特点、状态信
9、息的数据。 2 3 3.20 敏感功能 Sensitive Functions 用于处理如PIN、密钥和口令等敏感数据的功能。 3.21 敏感服务 Sensitive Services 调用敏感功能的服务。 3.22 工作密钥 Working Key;WK 对通信各方收发的数据进行加密的密钥。 3.23 防攻击 Tamper-evident 能够提供被攻击证据的特性。 3.24 抗攻击 Tamper-resistant 提供物理保护以抵御攻击的特性。 3.25 反攻击 Tamper-responsive 针对已检测到的攻击自动反击以阻止攻击的特性。 3.26 攻击 Tampering 对设备内
10、部的探查或修改,或通过主动或被动的方法去探查或记录秘密数据的行为。 3.27 终端 Terminal 用于读取银行卡信息、发送交易指令的设备。包括银行磁条卡销售点终端(POS),商户收银系统 (MIS),自动柜员机(ATM)等。 3.28 无人看护受理终端 Unattended Acceptance Terminal 在无人看护环境下,由持卡人自助操作、能够读取和传输银行卡信息的设备,包括但是不限于以下 几种设备: 自动柜员机(ATM); 自动加油机; 自动发卡机。 3.29 知识分割 Knowledge Split 一种把消息分割成许多碎片的方法。 分割后每一片所代表的信息足够小, 但是把这
11、些碎片重新组合 在一起就能重现信息。 3.30 逻辑安全性 Logical Security 设备在功能上抵御攻击的能力。 3.31 物理安全性 Physical Security 设备在物理构造上抵御攻击的能力。 4 安全要求清单的使用 4.1 概述 本指南附录中所列出的安全要求清单由希望评估PIN输入设备可靠性的评估发起者使用,评估发起 者应该采用清单中的部分内容或者全部内容,用于: a) 认可系统供应商和参与方所选择的评估机构; b) 成立一个审核机构来审核已完成的审核清单。 4.2、4.3和4.4描述了三种评估方法。 4.2 非正式评估 在非正式评估后,一个独立的审核员应该为待评估设备
12、填写合适的安全要求清单。 4.3 准正式评估 在准正式评估中, 生产厂商或发起者应该向评估机构提供一台设备, 用于根据合适的安全要求清单 进行检测。 4.4 正式评估 在正式评估中, 生产厂商或发起者应该向一个有资质的评估机构提供一台设备, 以针对正式声明的 内容选择对应的安全要求清单进行评估。 5 小结 安全要求清单用于在预计风险较低的情况下,评估确定PIN输入设备与本指南附录中所列出的标准 要求的符合性。通常情况下,对安全符合性声明的验证不需要特殊知识或技能。 4 5 附 录 A (规范性附录) 物理安全性要求 表 A.1 物理安全性要求 PIN 输入设备必须符合下列相关的物理安全性要求。
13、PIN 输入设备必须符合下列相关的物理安全性要求。 设备同时符合联机和脱机验证标准,应满足 A1 要求或同时满足 A2 和 A3 的要求。 设备只符合联机验证标准,应满足 A2 要求。 设备只符合脱机验证标准,应满足 A3 要求。 A1 设备要同时符合联机和脱机验证标准,则厂商必须遵守 A1 中的所有条款。 A1.1 PIN 输入设备应具备防攻击性和反攻击性的机制,保证设备在被攻击后立 即处于不可操作状态,并自动擦除设备中存放的秘密信息。这些机制可以 使设备抵抗如下物理攻击手段(包括但不限于) :钻孔、激光、化学溶剂、 通过外壳和通风口的探查。 符合 不符合 不适用 A1.2 设备的安全系统由
14、至少两个以上的独立安全机制组成,设备的单个安全机 制失效不会危及设备的安全。 符合 不符合 不适用 A2 设备要符合联机验证标准,则厂商必须遵守 A2 条款之一。 A2.1 PIN 输入设备应具有如下防护机制,即一旦检测到任何可能的攻击,就立 即擦除设备中存放的秘密信息。要破坏该机制在经济上是不可行的。 符合 不符合 不适用 A2.2 对于为获取存放在设备内部的 PIN 而攻击设备的行为,PIN 输入设备应立 即使设备处于不可操作状态,或使设备严重毁坏而易被发现。 符合 不符合 不适用 A2.3 为获取存放在设备内部的PIN而攻击设备的行为需要设备从其正常位置移 开较长时间,因此设备被移走或移
15、回的行为将易被发现。 符合 不符合 不适用 A2.4 为获取存放在设备内部的 PIN 而攻击设备的行为在经济上是不可行的。 符合 不符合 不适用 设备要符合脱机验证标准,则厂商必须遵守 A3 中的条款。 A3 在没有特殊技能和装置的情况下,通过攻击 PIN 输入设备或 IC 卡读卡器 来修改设备软件或硬件,从而获得敏感数据的做法是不可行的,尝试该行 为将至少导致下列两种后果之一: (a)要求 PIN 输入设备或 IC 卡读写器从其正常位置移开较长时间,从而 该设备曾被移开的情况易被及时发现。 (b)PIN 输入设备或 IC 卡读写器的毁坏,导致设备处于不可操作状态或 设备毁坏严重易被商户和持卡
16、人发现。 符合 不符合 不适用 A4 如允许访问 PIN 输入设备或 IC 卡读写器内部区域, 则通过该区域探查 PIN 是不可能的。设备内部设计可以保证禁止直接访问敏感数据,或设备安全 机制可以保证在访问其内部区域时立即擦除敏感数据。 符合 不符合 不适用 A5 下列条件的改变不会危及 PIN 输入设备的安全: (a)环境条件; (b)操作条件; 例如, 将PIN输入设备置于标准操作温度或者操作电压范围以外的条件下。 符合 不符合 不适用 A6 敏感功能或敏感信息只能在 PIN 输入设备内受保护区域中存放。对敏感信 息和敏感功能进行攻击和修改在经济上是不可行的。 符合 不符合 不适用 A7
17、如 PIN 输入设备的键盘可用于输入非 PIN 数据,则设备至少符合 A7 中要求之一。 A7.1 输入非 PIN 数据时设备显示的提示内容应在安全模块的控制下。如果该提 示内容是存储在安全模块内部, 那么改变该提示内容会导致安全模块内密 钥的擦除。如果该提示内容是存储在安全模块外部,那么设备安全机制要 保证提示内容不被非法修改或使用。 符合 不符合 不适用 A7.2 在未授权情况下, 改变非 PIN 数据输入时显示的提示内容在经济上是不可 行的。 符合 不符合 不适用 A7.3 对于具有可变显示功能的 PIN 输入设备,设备的显示必须在安全模块控制 下进行, 设备的控制机制应保证不能通过改变
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PIN 输入 设备 安全 评估 指南
链接地址:https://www.31doc.com/p-5015477.html