JR-T 0120.5—2016 银行卡受理终端安全规范 第5部分:PIN输入设备.pdf
- 文档编号:14660779
- 上传时间:2023-06-25
- 格式:PDF
- 页数:28
- 大小:705.98KB
JR-T 0120.5—2016 银行卡受理终端安全规范 第5部分:PIN输入设备.pdf
《JR-T 0120.5—2016 银行卡受理终端安全规范 第5部分:PIN输入设备.pdf》由会员分享,可在线阅读,更多相关《JR-T 0120.5—2016 银行卡受理终端安全规范 第5部分:PIN输入设备.pdf(28页珍藏版)》请在冰点文库上搜索。
ICS35.240.40A11JR中华人民共和国金融行业标准JR/T0120.52016银行卡受理终端安全规范第5部分:
PIN输入设备SecurityspecificationforbankcardterminalsPart5:
PINentrydevice2016-09-06发布2016-09-06实施中国人民银行发布JR/T0120.52016II目次1范围.12规范性引用文件.13术语和定义.14缩略语.35物理安全性要求.46逻辑安全性要求.57联机终端的安全要求.78脱机终端安全要求.79网络开放协议的安全要求.810集成安全要求.1011设备安全管理.11附录A(规范性附录)防窥挡板的设计标准.13附录B(规范性附录)攻击分值计算公式.17JR/T0120.52016III前言JR/T01202016银行卡受理终端安全规范由以下五个部分组成:
第1部分:
销售点(POS)终端;第2部分:
受理商户信息系统;第3部分:
自助终端;第4部分:
电话支付终端;第5部分:
PIN输入设备。
本部分按照GB/T1.12009给出的规则起草。
本部分为银行卡受理终端安全规范的第5部分。
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会(SAC/TC180)归口。
本标准负责起草单位:
中国人民银行科技司、中国银联股份有限公司。
本部分起草单位:
中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、飞天诚信科技有限公司、无线网络安全技术国家工程实验室、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、信息产业信息安全测评中心。
本部分主要起草人:
李伟、王永红、陆书春、李兴锋、杜宁、陈则栋、曲维民、汤沁莹、王禄禄、吴永强、赵哲、贾铮、周皓、王兰、杜磊、李伟(中国银联)、张志波、潘润红、邬向阳、杨倩、刘运、谭颖、严伟锋、夏庆凡、王治纲、王伯铮、于华东、李同勋、冯健诚、代伟、钱菲、李穗申、李石超、顾才泉、侯智勇、张晓琪、高志民、高强裔、李超、高峰、周诗扬、孙茂增、马哲、尚可、胡盖、张俊江、蒋利兵、郭鑫、林眺、于海涛、白艳雷、李琴、宋铮、刘健、董晶晶。
JR/T0120.520161银行卡受理终端安全规范第5部分:
PIN输入设备1范围本部分适用于所有受理银行卡终端完成PIN输入的设备或模块,本部分主要定义了该类设备基本的物理安全、逻辑安全以及相关安全管理要求。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
JR/T0001银行卡销售点(POS)终端技术规范JR/T0002银行卡自动柜员机(ATM)终端技术规范ISO9564银行业务个人标识号管理与安全(FinancialservicesPersonalIdentificationNumber(PIN)managementandsecurity)ISO11568银行业密钥管理程序(Banking-Keymanagement)ANSIX9.24零售金融服务对称密钥管理(RetailFinancialServices-SymmetricKeyManagement)ANSITR-31通过对称算法密钥安全交换和密钥包规范(InteroperableSecureKeyExchangeKeyBlockSpecificationforSymmetricAlgorithms)3术语和定义JR/T0001和JR/T0002中界定的以及下列术语和定义适用于本文件。
3.1终端主密钥terminalmasterkey(TMK)用于加密终端工作密钥的密钥。
3.2工作密钥workingkey(WK)PIN加密密钥、MAC计算的密钥和磁道加密密钥,也称为数据密钥。
在联机更新的报文中,对工作密钥应用终端主密钥(TMK)加密,形成密文后进行传输,适用于有人值守的小区和便民点、单位办公室和无集中收银的商品批发市场的商用收单场景。
3.3泄漏compromise一种对系统安全的侵害,该侵害有可能导致敏感数据被非法获得。
JR/T0120.5201623.4双重控制dualcontrol通过两个以上的独立实体协同工作去保护敏感功能或信息的机制。
3.5固件firmware在PIN输入设备内部与设备安全性相关所有程序代码称为固件,固件应符合本规范的安全要求。
3.6IC卡读写器ICcardreader用于对IC卡上的信息进行存取的设备。
3.7数据完整性dataintegrity表明数据没有遭受以非授权方式所作的篡改或破坏的性质。
3.8密钥管理keymanagement整个密钥生命周期中对密钥和相关参数的操作,包括生成、存储、分发、注入、使用、删除、销毁和存档等。
3.9脱机PIN验证offlinePINverification持卡人身份的验证方式,该方式通过终端和IC卡的交互来比较持卡人输入的PIN与IC卡芯片内存储的PIN是否一致来验证持卡人身份。
3.10联机PIN验证onlinePINverification持卡人身份的验证方式,该方式将加密后的PIN值通过授权请求报文发送至发卡行,通过比较报文中PIN值与发卡行PIN值是否一致来验证持卡人身份。
3.11逻辑安全性logicalsecurity设备在功能上抵御攻击的能力。
3.12物理安全性physicalsecurity设备在物理构造上抵御攻击的能力。
3.13防攻击tamper-evident能够提供被攻击证据的特性。
JR/T0120.5201633.14抗攻击tamper-resistant提供物理保护以抵御攻击的特性。
3.15反攻击tamper-responsive针对已检测到的攻击自动反击以阻止攻击的特性。
3.16攻击tampering对设备内部的探查或修改,或通过主动或被动的方法去探查或记录秘密数据的行为。
3.17完整性integrity账户信息与交易数据未经授权不能改变的特性。
即数据在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱续、重放、插入等行为的破坏和丢失的特性。
3.18可用性availability处理、存储账户信息与交易数据的系统在规定条件下和规定时间内完成规定的功能的特性。
可用性的测度包括:
抗毁性、生存性和有效性。
3.19敏感性sensitivity资源所具有的一种特征,意味着该资源的价值或重要性,包含资源的脆弱性。
3.20知识分割knowledgesplit把消息分割成许多碎片的方法。
分割后每一片所代表的信息足够小,但是把这些碎片重新组合在一起就能重现信息。
3.21PIN输入设备PINentrydevice(PED)输入PIN的设备机具。
3.22加密密码键盘encryptingPINpad(EPP)一种主要应用于无人值守终端(如ATM等)的PIN输入设备模块。
4缩略语JR/T0120.1中界定的以及下列缩略语适用于本文件。
JR/T0120.520164EPP加密密码键盘(EncryptingPINPad)PEDPIN输入设备(PINEntryDevice)5物理安全性要求5.1入侵检测机制PIN输入设备应具备防攻击性机制,保证设备在被攻击后立即处于不可操作状态,并自动立即擦除设备中存放的秘密信息。
这些机制可以使设备抵抗如下物理攻击手段(包括但不限于):
钻孔、激光、化学溶剂、通过外壳和通风口的探查。
并且要求绕过这些机制插入PIN窃取装置或者获取敏感信息的可行方法至少需要26分(不包括对IC卡读写器的攻击)的攻击分值,其中实施攻击分至少13分。
相关评分规则见附录B。
5.2独立安全机制设备的安全系统由至少两个以上的独立安全机制组成,设备的单个安全机制失效不会危及设备的安全。
5.3内部访问响应若允许访问PIN输入设备或IC卡读写器内部区域(如服务或维护等),则通过该区域插入PIN窃取装置是不可能的。
设备内部设计可以保证(例如将敏感数据所在的组件由防攻击性和反攻击性机制保护)禁止直接访问PIN或者密钥等敏感数据,或设备安全机制可以在非法访问其内部区域时立即擦除敏感数据。
5.4环境和操作条件改变的适应性改变PIN输入设备的环境条件或操作条件不会影响其安全性(例如操作电压或环境温度超出PIN输入设备范围)。
5.5敏感功能或信息保护敏感功能或敏感信息只能在PIN输入设备受保护的区域内使用。
对敏感信息和敏感功能进行攻击和修改至少需要26分的攻击分值(不包括对IC卡读写器的攻击),其中实施攻击分至少13分。
5.6PIN输入过程中可听到的音调如果PIN输入时有声音提示,那么输入每一位PIN所发出的声音和输入其他位PIN所发出的声音应保持一致或声音随机,无法辨别。
5.7PIN输入过程中监控即使在收银员或店员的协助下,通过监听PIN输入设备的声音、电磁辐射、能量消耗或其他任何可以从外部监听到的特征来探查PIN都至少需要26分的攻击分值,其中实施攻击分至少13分。
5.8密钥识别分析通过入侵或渗透PIN输入设备或IC卡读写器、监测PIN输入设备或IC卡读写器的辐射(包括能量波动)的方法获取在PIN输入设备或IC卡读写器中存储的任何与PIN安全相关的密钥,要求至少需要35分攻击分值,其中实施攻击分至少15分。
JR/T0120.5201655.9非PIN数据输入提示信息物理安全输入非PIN数据时设备显示的提示内容应在安全模块的控制下,对非PIN数据的攻击至少需要18分攻击分值,其中实施攻击分至少9分。
如果该提示内容是存储在安全模块内部,那么改变该提示内容会导致安全模块内密钥的擦除。
如果该提示内容是存储在安全模块外部,那么设备安全机制要保证提示内容的完整性、正确使用和不被非法修改或使用(由厂商满足实现)。
5.10移除检测(仅适用于EPP)安全组件不能擅自被拆除。
如果要破坏或绕过该安全保护功能至少需要攻击分18分,其中实施攻击分至少9分。
5.11防偷窥保护(不适用于EPP)PIN输入设备的设计应防止其他人对PIN输入的窥视,具体要求参考附录A。
5.12独特外观(不适用于EPP)PIN输入设备或IC卡读写器应经过合理设计,以保证无法利用在零售市场上可买到的商品组件来组装PIN输入设备或IC卡读写器。
例如,特有的设备外壳。
5.13磁条读卡器(适用于任何带有集成式磁条读卡器的有人值守式POS-PED,EPP可选)在攻击分值低于16分(实施攻击分8分)的条件下,通过入侵PIN输入设备安装附加物、替代或修改磁条阅读器的磁头和相关软硬件的方式,从而获取或修改磁道数据都是不可行的。
6逻辑安全性要求6.1自检测试PIN输入设备应具备自检功能,能够检查设备的固件、安全机制以及安全状态,自检在设备启动时进行并至少每天进行一次,设备每24小时内至少重新初始化内存。
自检包括检查固件、针对篡改迹象的安全机制以及PED是否处于被攻破状态。
一旦出现故障,PED及其功能会以安全的方式失去效用。
6.2逻辑异常PIN输入设备不应受异常逻辑的影响而泄露PIN的明文或其他敏感数据,这些异常逻辑包括但不限于:
错误的命令序列、未知命令、错误模式下的命令和错误的参数。
6.3固件认证设备固件及对固件的任何改动都应经过严格的流程控制,以保证固件中不含隐藏的非法功能。
6.4固件更新如果PIN输入设备固件能够进行更新,那么设备应通过加密机制验证更新固件的完整性和真实性。
如果未确认其完整性和真实性,那么设备应拒绝进行固件更新或清除设备中所有的密钥。
6.5输入PIN区别JR/T0120.520166PIN输入设备在任何情况下都不显示或者泄漏PIN的明文。
任何和PIN相关的数据应显示为无意义的字符(例如星号)或者输出无区别的信号等。
同时应保证这些密码的输出只能输出至显示设备接口上,其他接口连接屏无法显示。
对于加密密码键盘,加密密码键盘从不向另外一个部件输出信息(比如,显示屏或设备控制器),从而能够对输入的PIN数字进行区分。
6.6内存清除PIN输入设备应严格控制敏感信息的存在时间和使用次数。
设备在下面任一情况应自动清空其内部保存的敏感信息:
交易已经完成;PIN输入设备等待持卡人或商户的响应超时。
6.7敏感服务保护设备的敏感服务用于访问敏感功能,敏感功能处理设备中如密钥、PIN和口令等敏感数据,使用设备的敏感服务应通过身份验证。
进入或退出敏感服务不应泄露或改变设备中的敏感信息。
6.8敏感服务限制为保证设备的敏感服务不被非法使用,应对设备敏感服务的范围和使用时间进行限制,若超出服务范围和使用时间则PIN输入设备应退出敏感服务并返回到正常模式。
6.9随机数如果PIN输入设备产生的随机数与敏感数据有关系,则设备中的随机数产生器应经过评估,以保证其产生的随机数无法被预测。
6.10PIN防穷举PIN输入设备应具有防止利用穷举探测PIN值的特性。
6.11密钥管理PIN输入设备中执行密钥管理技术需要符合ISO11568和/或ANSIX9.24。
有关TDES密钥组的密钥管理技术符合ANSITR-31。
6.12加密算法测试PIN输入设备采用的PIN加密技术应遵循ISO9564。
6.13对设备中任意数据加解密不能利用PIN输入设备内的工作密钥(WK)或密钥加密密钥(KEK)去加密或解密其他任意的数据。
PIN输入设备应强制使数据密钥(指MAC密钥和磁道加密密钥),密钥加密密钥和PIN加密密钥有不同的值。
6.14明文密钥安全PIN输入设备的机制应保证:
不允许输出私钥或密钥以及PIN的明文;不允许用(可能)已经泄密的密钥去加密其他密钥或PIN;不允许把密钥明文从高安全的组件传送至低安全的组件中去。
JR/T0120.5201676.15交易控制输入其他交易数据的过程应和输入PIN的过程分开,以避免PIN的明文意外显示。
如果其他交易数据和PIN是通过同一个键盘输入,那么输入其他交易数据和PIN时设备应有明显提示进行区别。
6.16非PIN数据输入提示信息逻辑安全6.16.1改变用户界面提示攻击可能性分析在未授权情况下,改变非PIN数据输入时显示的提示内容危及PIN安全(例如:
当输出信息不加密时提示输入PIN)的攻击至少需要18分的攻击分值,其中实施攻击分至少9分(由厂商满足实现)。
6.16.2基于加密的控制对于具有可变显示功能的PIN输入设备,设备的显示应在安全模块控制下进行,设备的控制机制应保证不能通过改变设备的显示内容来获得明文PIN,并且提供特有效的认证机制和合适长度的密钥。
在设计设备密钥管理方式或其他安全控制机制时应采用双重控制和知识分割的原则(允许第三方控制认证方法)。
6.16.3设备多应用如果设备支持多应用,应保证各应用间的相互独立,其中任何应用不能干扰其他应用和操作系统,包括不能修改属于其他应用的数据对象。
6.17操作系统设备的操作系统中只能包含设备内部操作及服务应用软件,操作系统应进行安全配置,开通尽量少的权限设置。
6.18集成指南供应商应提供完整详细的安全引导指南,方便集成商将安全设备集成到终端中去。
7联机终端的安全要求联机终端应满足以下密钥替换要求:
如果PIN输入设备能够保存多个PIN加密密钥而且能够在外部选择,那么设备安全机制应防止密钥被非法替换和使用。
8脱机终端安全要求8.1防穿透保护在要求攻击分值小于20分(实施攻击分10分)的情况下,任何渗透IC卡读写器从而附加、替换和修改IC卡读写器的软件或硬件,以获取或修改任何敏感数据的攻击都是不可行的。
注:
读卡器可能包含不同保护级别的区域,例如IC卡读写器接口本身区域和退卡的区域。
8.2IC卡读写器卡槽结构JR/T0120.520168在插入IC卡时,IC卡读写器插槽应没有空间被装入PIN窃取装置,要增大设备空间来容纳这种窃取装置也是不可行的。
IC卡和其他任何外物不可能同时驻留在IC卡读卡器插槽内。
在卡插入过程中,IC卡插槽的入口处可完全处于持卡人的监控下,这样在插槽入口处的任何可疑物都可以被发觉。
8.3IC卡读卡器构造(连线)IC卡读写器的构造可以保证任何从IC卡读写槽到外部记录器或发射机(外部窃取装置)的连接线都可以被持卡人观察到。
8.4PIN输入设备和IC卡读卡器间PIN传输保护在PIN输入设备中传输时PIN的保护(至少满足下列的一条):
如果PIN输入设备和IC卡读写器没有集成在一起,且验证持卡人方式为加密PIN验证,那么在PIN输入设备和IC卡读写器之间传送的PINBLOCK应通过IC卡上的加密密钥进行加密,或与ISO9564加密要求保持一致;如果PIN输入设备和IC卡读写器没有集成在一起,且验证持卡人方式为明文PIN验证,那么从PIN输入设备向IC卡读写器传送的PINBLOCK应按照ISO9564要求进行加密;如果PIN输入设备和IC卡读写器集成在一起,且验证持卡人方式为加密PIN验证,那么PINBLOCK应通过IC卡上的加密密钥进行加密;如果PIN输入设备和IC卡读写器集成在一起,且验证持卡人方式为明文PIN验证,那么PINBLOCK在受保护环境(ISO9564)中传输时不需加密。
如果明文PIN在未受保护环境中从PIN输入设备传输至IC卡读写器,则PINBLOCK应按照ISO9564要求进行加密。
9网络开放协议的安全要求9.1IP和链路层要求为保证计算机网络相互连接通信安全,厂商应保证IP和链路层整体满足下列安全要求:
应准确识别出系统平台中开放协议定义的所有链路层选项;对IP层和链路层进行受攻击脆弱性评估,以保证IP层和链路层没有受攻击弱点。
通过以下方式实现:
根据安全文档进行评估;根据公共域的信息反馈进行评估;通过一些测试进行评估。
供应商应不断更新维护安全指南,描述IP层和链路层如何被使用。
安全指南提供给应用开发者、系统集成者以及终端用户如何使用的引导。
安全指南应保证IP层和链路层使用的安全性;IP协议的默认配置应与安全指南一致,如果设备进行配置更新,应采用密码授权形式进行更新,一旦认证不通过,应禁止更新。
9.2IP协议要求为保证计算机网络相互连接通信安全,IP协议应满足以下安全:
应清楚地识别出系统平台中定义的所有IP协议项;对IP协议执行脆弱性评估,保证使用IP协议无明显容易受攻击的弱点。
评估通过以下几种方式:
根据IP协议安全文档进行评估;JR/T0120.520169根据公共域信息反馈进行评估;通过一些测试进行评估。
供应商应维护安全指南,描述IP协议如何被使用。
安全指南为应用开发者、系统集成者和系统平台使用者提供安全处理操作的引导,应保证使用IP协议的安全性;IP协议的默认配置应与安全指南一致,如果设备进行配置更新,应采用密码授权方式的更新,一旦认证不通过,应禁止更新。
9.3安全协议要求为保证计算机网络相互连接通信安全,厂商应实现满足安全协议的功能要求,如SSL/TLS,IPSec协议等,同时作为一个整体满足下列安全要求:
应保证可以完全识别系统平台上开放协议定义的所有安全协议项;对安全协议进行脆弱性评估,以保证安全协议的使用不具有明显易受攻击弱点。
评估采用以下方式实现:
根据安全协议文档进行评估;根据公共域信息反馈进行评估;通过一些测试进行评估。
系统平台供应商应维护安全指南,描述安全协议如何被使用:
安全指南为应用开发者、系统集成者和系统平台使用者提供安全处理操作引导;应保证使用安全协议的安全性;安全指南应明确提出相关的安全协议是否能够作为金融应用或系统平台管理应用;安全指南应明确指出安全协议相关配置是否能应用于金融应用或系统平台管理应用。
协议的默认配置应与安全指南一致,如果设备进行配置更新,应采用密码授权更新,一旦认证不通过,应禁止更新;系统平台供应商应进行密钥管理安全指南的管理和维护,描述密钥和证书应如何被使用:
密钥管理指南为系统平台中的内部使用者、应用开发者、系统集成者和终端使用者提供密钥管理的安全引导;密钥管理安全指南要描述系统平台上所有密钥和证书的属性;密钥管理安全指南保证密钥和证书使用的安全。
安全协议应保证网络传输数据的保密性,加密机制采用适合相关算法的密钥长度,在安全模式下使用合理的密钥管理程序加密,如NISTSP800-21;安全协议为网络传输连接提供完整数据,采用MAC协议或数字签名实现数据完整性一致性,哈希算法采用SHA-224、SHA-256、SHA-384、SHA-512中的一种;安全协议对服务进行授权:
服务授权应使用对应相关算法合适的密钥长度;系统平台能够验证接收到公钥的有效性;系统平台能够验证接收到公钥的权限。
安全协议能够监控信息反馈,并对异常进行处理;安全协议利用随机发生器校验NISTSP800-22等。
9.4IP服务要求为保证计算机网络相互连接通信安全,厂商应实现IP服务的要求,如DNS、DHCP、HTTP、FTP等。
应完全识别系统平台中开放协议定义的IP服务项;JR/T0120.5201610对IP服务进行脆弱性评估,以保证IP服务中不包含明显的易受攻击弱点。
通过以下方式实现:
通过文档分析对服务安全性进行评估;根据公共域信息反馈进行评估;通过一些测试进行评估。
供应商应维护安全指南,描述IP服务如何被使用:
安全指南为应用开发者、系统集成者和系统平台使用者提供安全处理操作引导;应保证使用IP服务的安全性;安全指南应明确提出相关的IP服务是否能够作为金融应用或系统平台管理应用;安全指南应明确指出IP服务相关配置是否适用于金融应用或系统平台管理应用。
IP服务的默认配置应与安全指南一致,如果设备进行配置更新,应采用密码授权形式的更新,一旦认证不通过,应禁止更新;系统平台实现会话层管理:
系统平台保持对所有连接的跟踪,将活动的会话数量约束在最小必要范围值内;系统平台对会话设置时间限制,保证会话开放时间限制在一定范围内。
使用合理的安全协议保证IP服务的机密性和完整性,并实现对IP服务的密码授权和防止重复使用。
9.5安全管理要求供应商应维护安全指南,对系统平台的配置管理作相关描述:
安全指南为系统平台提供内部使用者、应用开发者、系统集成者和终端使用者提供安全使用引导;安全指南应覆盖整个系统平台,包括固件、应用软件、密钥和证书;安全指南应覆盖整个系统平台的生命周期,从设计开发、出厂、交付使用及操作过程安全指南应保证禁止未授权修改行为;安全指南应保证任何对已通过认证系统平台做影响安全性能修改,会导致系统平台标识符改变。
供应商推出安全维护的措施:
形成安全维护策略文档;通过周期执行易受攻击脆弱性评估,保证及时检测易受攻击的弱点,例如报告分析、公共域信息反馈和测试;应保证及时评估和分类最新发现的易受攻击弱点;应保证及时建立缓解最新发现漏洞影响的机制。
系统平台供应商对易受攻击的漏洞进行公开批露:
以文档形式保存相关漏洞信息;保证及时公布最新发现易受攻击漏洞的信息,包括标识符、标书信息和漏洞相关的评估;提供及时缓解漏洞危害的方法。
系统平台可以被更新,供应商应维护更新机制描述,提供更新是如何实现:
更新机制采用恰当的、被认证的安全协议保证系统平台信息的机密性和完整性,对服务进行授权并防止重复使用。
如果设备允许进行软件和配置更新,设备应采用加密授权,一旦授权不成功,则更新失败中止;系统平台供应商为应用开发者、系统集成者和终端使用者提供更新
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JR-T 0120.52016 银行卡受理终端安全规范 第5部分:PIN输入设备 JR 0120.5 2016 银行卡 受理 终端 安全 规范 部分 PIN 输入 设备
![提示](https://static.bingdoc.com/images/bang_tan.gif)