GB/T 21078.2-2011
标准分类号
标准ICS号:
信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
中标分类号:综合>>经济、文化>>A11金融、保险
相关单位信息
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
标准简介
GB/T 21078.2-2011 银行业务 个人识别码的管理与安全 第2部分:ATM和POS系统中脱机PIN处理的要求
GB/T21078.2-2011
标准压缩包解压密码:www.bzxz.net
本部分规定了脱机PIN 处理的最低安全要求和在脱机环境下交换PIN 数据的标准方法。
本部分适用于要求脱机PIN 验证的卡发起的金融交易,也适用于那些负责在ATM 和收单方布放的POS终端中实施PIN 管理和保护技术的机构。
本部分不适用于下列情况:
a) 联机PIN 环境下的PIN 管理和安全,GB/T21078.1包含该项内容;
b) 核准的PIN 加密算法;
c) 在开放网络环境下使用PIN,GB/T21078.3包含该项内容;
d) 防止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的PIN 保护;
e) 非PIN 交易数据的私密性;
f) 保护交易报文,防止修改或替换,例如联机授权响应;
g) 防止PIN 或交易重放;
h) 特定的密钥管理技术;
i) IC卡是否接受加密PIN 的决策;
j) 非接触式IC卡。
GB/T21078.1—2007的第4章描述的PIN 管理的基本原则也适用于本部分。
与多应用IC卡相关的要求由发卡方负责,不包括在本部分内。
本部分适用于IC卡技术,但不局限于IC卡技术。
标准内容
ICS35.240,40
中华人民共和国国家标准
GB/T 21078.2—2011
银行业务
个人识别码的管理与安全Www.bzxZ.net
第2部分:ATM和POS系统中脱机PIN处理的要求
BankingPersonal identification number management and security-Part 2:Requirements for offline PIN handling in ATM and POS systems(IS0 9564-3:2003.M0D)
2011-12-30发布
中华人民共和国国家质量监督检验检疫总局中国国家标雅化管理委员会
2012-02-01实施
规范性引用文件
术语和定义
在 PIN 输人设备(PED)和 IC卡读卡器之间传输时的 PIN 保护5
物理安全
6 PIV BLOCK 格式
6.1概述
6. 2 格式2 的 PIN BLOCK
参考文献
TKNYKACA
GB/T 21078,2—2011
TTTKAONTKACA
GB/T21078《银行业务个人识别码的管理和安全》分为以下3个部分:一第1部分:ATM和POS系统中联机PIN处理的基本原则和要求;第2部分.ATM和POS系统中脱机PIN处理的要求:第3部分:开放网络中PIN处理指南。本部分为GB/T21078的第2部分。本部分按照GB/T1.1—2009给出的规则起草。GB/T 21078.2—2011
本部分修改果用IS09564-3:2003银行业务个人识别码的管理与安全第3部分ATM和POS系统中脱机PIN处理的要求(英文版)。本部分与JSO9564-3:2003的技术性差异为,根据国内的实际应用情况,将6.1中“应为每笔交易使用惟一密销”的要求扩腰为“应为每笔交易使用准一密钥或者定期更换加密密销”。有关技术性差异已编人正文并在其涉及的条款的页边空白处用垂直单线标识。本部分删除了ISO前言。
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会SAC/TC180)归口:本部分负资起草单位:中国金融电子化公司,本部分参加起草单位:中国工商银行、中国银行、交通银行、中国人民银行兴化市中心支行、中国银联股份有限公司。
本部分主要起草人:王平娃、陆书春、李曙光、贾树辉、赵志兰、仲志晖、王治纲、再平、周燕媚、张凡、费静、刘运、最芸、张艳。
TTTKANTKACA
GB/T 21078.2—2011
内置集成电路的金融交易卡在技术上已可使用IC卡进行脱机的PIN验证。目前发卡方可以选择脱机或者联机方式进行PIV验证。GB/T2107B的本部分为脱机处理PIN提出了明确的要求,脱机PIN验证不要求把持卡人的PIN发送到发卡方主机验证,因此通过网络进行PIN保护的相关安全要求不适用,但是,尽管PIN 可以脱机验证,许多通用的PIN保护原则和技术仍然适用,GB/T21078的本部分给出了对脱机类PIN处理的兵体要求,除非明确说明,GB/T21078,1—2007给出的PIN普理的基本原则适用于本部分。ISO10202的第6部分定义了使用IC卡进行持卡人验证的安全要求。应当指出,IS010202定义了对 IC卡自身的要求,而非对收单方 IC 卡接受设备的要求,因此可以看成是对 GB/T 21078 的补充。TT KANYKAcA
1范医
银行业务个人识别码的管理与安全GB/T 21078.2—2011
第2部分:ATM和POS系统中脱机PIN处理的要求
本帮分规定了脱机PIV处理的最低安全要求和在脱机环境下交换PIN数据的标准方法。本部分适用于要求脱机PIN验证的卡发起的金融交易,也适用于那些负责在ATM和收单方布放的 POS缝端中实施PIN管理和保护技术的机构。本部分不适用于下列情况:
a)联机PIN环境下的PIN管理和安全,GB/T21078,1包含该项内容;核准的PIN加密算法
在开放网络环境下使用PIN,GB/T21078.3包含该项内容;d)荫止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的PIN保护;非PIN交易数据的私密性
保扩交易报文,防止修改或替换,例如联机授权响应;防止PIN或交易重放;
h)特定的密销管理技术;
IC·F是否接受加密PIN的决策:i
j)非接触式I 卡。
GB/T21078.1—2007的第4章描述的PIN管理的基本原则也适用于本部分。与多应用I卡相关的要求由发卡方负责,不包括在本部分内。本部分适用于IC卡技术,但不局限于IC卡技术。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注期的引用文件,仅注日期的版本适用于本文作。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16649(所有部分)识别F带触点的集成电路卡(ISQ/IEC7816-1:1998,MOD)CB/T21078.1一2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求(IS()9564-1.2002,MOD)EMV2000支付系统的集成电路卡规范第2册:安全和密钥管理(4.0版)2000.12(EMV2000,Integrated Circuit Card Specification for Payment Systems, Book 2-Security and Key Management, Version4, 0,Decembcr,2000)
3术语和定义
GB/T21078.1一2007界定的以及F列术语和定义适用于本文件。3.1
集成电路(IC)integrated circnit (IC)按照GB/T16649中的规定,(典型的)嵌人在IC卡中的微处理器,TTTKONYKAA
GB/T 21078.22011
4在PIN输入设备(PED)和IC卡读卡器之间传输时的PIN保护C卡读卡器和PIN输人设备PD既可以升成两个独文的设备,也可以集成在一个设备中,见表1当IC卡读卡器和PEI)被集成为符合GB/T21078.1一2007的6.3要求的设备,而且以明文形式提交PIN给IC卡时PED不需要加密PIV。当PIN以明文形式通过未受保护的环境传输至IC卡读卡器并提交至IC卡时,应按照GB/T 21078.1—2007的要求对PIV加密。IC卡读卡器应解密FIN,并以明文形式提交给IC卡。当PIN以加密形式提交给IC卡时,无论是集成还是非集成的设备,PIN均应在一个符合GB/T21078.1—2007的6.3要求的设备内使用IC卡加密密钥加密。如果PIN被传输到一个符合GB/T21078.1一2007的6.3要求设备的外面,则它应该按照GB/T21078.1—2007的要求加密或使用IC卡加密密钥加密。5物理安全
本幸给出了对PED和 IC卡读卡器的物理安全的要求和建议。除以下情况外,对用于脱机PIN验证的 PED 的要求与在GB/T 21078.1-2007给出的要求相同。PED应是GB/T 21078.12007的6,3 定义的“物理安全设备”。否则,它至少应满足GB/T21078.1—2007的6.3对PED的要求。为了使收单方能够检测出PED上的攻击,FED自已应能向收单方验证它自已,即如果被攻击,它将不再能向收单方验证自已。
此外,如果PED用于处理联机的PIN交易(且符合GB/T21078.12007的要求),收单方应定期验证它的完辈性
配备IC卡读卡器的设备应满足 GB/T 21078.1—2007的 6.3对 PED的要求。IC卡读卡器的插卡槽:
a)当卡在IC卡读卡器里时.应设有空间容纳个泄漏PIN的恶意装置;b)应不能被扩大而为泄满PIN的恶意装置提供空间:c)其放置方式应让用广能及时发现有恶意装置和其相连。应提供必要的电子保护电路,以防止在C卡读卡器内安装窃听装置。表1根据本登和第4章的要求,总绪了对不同的整端配置及PI提交方式的PIN保护的要求。表 1 FIN 保护要求
IC卡读卡器和PED按照
PIN 提交方式
加密的 PIN BLOCK 提
交给卡
明文PIVBLOCK摄交
给IC 卡
注:参见EMV2000。
GB/T 21078.1-2007
的6.3要求集成为一个设备
IC 卡读卡器和 PED 设有按脱
GB/T 21078. 1--2007
的6.3要求巢成为一个设备
PINBLOCK在FED和IC卡读卡器之间,应按期GB/T 21078,1—2007的要求加密FIN BLEXCK 应该使用一个 IC 卡加密密销加密,热后提交给IC卡
不要求加密
或者快角一个I卡加密密期密
PLV BLUOCK 应该使用一个 IC 卡加密密钥加密,热后提交给IC卡
FLV BLOCK在 PED和 IC卡读卡器之间应按照GB/T21078.1-2007的要求加密6PIN BLOCK 格式
6.1概述
GB/T 21078.2—2011
IC 卡读卡器提交给 IC 卡的 PIN 包含在一个 PIN BIL.OCK 中,该块符合 6. 2 的要求。 这适用于 PIN 以明文的方式提交或使用一个IC卡的加密密钥如密后提交在 PED 和 IC 卡读卡器之间传输的加密 PIN 应使用 GB/T 2ID78. 1一2007 中规定的 PIN BLOCK 格式。当使用\格式2 的 PIN BLOCK\时,应为每笔交易使用惟-密钥或者定期更换加密密钥。6.2格式2的PNBLOCK
PINRI.OCK由2个部分连接构成:明PIN部分和填充部分:格式2PINBI.OC应使用下面格式:位:
其中:
C=控制域
NPIN 长度
P=PIN数字位
P/F-PIN数字位或填充位
F-填充位
P/FP/FF/FP/FP/FF/F
4位域,值为0010(2)
P/FF/F
4位二进制数,允许值为0100(4)到1100(12);4位域,允许值为0000(0)到1001<9);这些域由长度域决定;
4位域,值为1111(15)。
GB/T21078.2-2011
[1GB/T16790(所有部分】
参考文献
金融交易卡使用集成电路卡的金融交易系统的安全体系
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。