GBT21078.3-2011银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南.pdf 8页

'ICS35．240．40A11雷亘中华人民共和国国家标准GB／T21078．3—2011／ISO／TR9564-4：2004银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南Banking--Personalidentificationnumber(PIN)managementandsecurity--Part3：GuidelinesforPINhandlinginopennetworks2011-12-30发布(IS0／TR9564—4：2004，IDT)2012-02-01实施宰瞀鹳鬻瓣訾糌瞥星发布中国国家标准化管理委员会况19 标准分享网www.bzfxw.com免费下载前言GB／T21078．3—201i／xso／TR9564—4：2004GB／T21078({银行业务个人识别码的管理和安全》分为以下3个部分：——第1部分：ATM和POS系统中联机PIN处理的基本原则和要求；——第2部分：ATM和POS系统中脱机PIN处理的要求；——第3部分：开放网络中PIN处理指南。本部分为GB／T21078的第3部分。本部分按照GB／T1．12009给出的规则起草。本部分等同采用ISO／TR9564—4：2004((银行业务个人识别码的管理与安全第4部分：开放网络中PIN处理指南》(英文版)。本部分删除了ISO前言。本部分由中国人民银行提出。本部分由全国金融标准化技术委员会(SAC／TC180)归口。本部分负责起草单位：中国金融电子化公司。本部分参加起草单位：中国工商银行、中国银行、交通银行、中国人民银行兴化市中心支行、中国银联股份有限公司。本部分主要起草人：王平娃、陆书春、李曙光、贾树辉、赵志兰、仲志晖、王治纲、冉平、周燕媚、张凡、贾静、刘运、景芸、张艳。 标准分享网www.bzfxw.com免费下载GB／T21078．3—2011／iso／aal9564-4：2004引言开放网络环境是一个高风险的环境。对基于PIN的交易尤其是这样，因为发卡方或收单方对PIN输入设备都是无法控制的。在许多情况下，是持卡人来决定使用什么样网络访问设备。本部分提供了一个指南，以帮助支付系统的参与者在开放网络系统中减少PIN泄露带来的风险，以及防止在GB／T21078．1和GB／T21078．2涵盖的支付系统中随PIN泄露可能出现的欺诈。其目的是在开放网络环境中定义一个最小PIN安全准则。如果PIN在这种环境中的安全性不足，卡的数据也被泄露，则两者(卡数据和PIN)就有很高的可能性在ATM、POS或开放网络环境中被欺诈性地使用。鉴别机制的完整性取决于PIN和持卡人数据的机密性。在开放网络环境下，由于缺乏控制使得PIN的保护变得困难，因此，保护持卡人数据是必要的，这可以把在开放网络环境下卡数据盗用和PIN泄露造成的欺诈风险降到最小。Ⅱ 标准分享网www.bzfxw.com免费下载1范围GB／T21078．3—201lliSOITR9564—4：2004银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南本部分规定了在开放网络系统中PIN的处理指南；在发卡方及收单方没有直接对PIN管理进行控制的环境中，或在发生交易前PIN输入设备与收单方没有关系的情况下，为管理PIN和处理金融卡发起的交易提供金融业务安全措施的最佳实践。本部分适用于需要验证PIN的金融卡发起的交易，并适用于负责在开放网络系统中使用的终端和PIN输入装置中实施PIN管理技术的组织。本部分不适用于：——联机PIN环境下的PIN管理和安全，GB／T21078．1和GB／T21078．2包含该项内容；——核准的PIN加密算法；——防止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的PIN保护；——非PIN交易数据的私密性；——保护交易报文，防止修改或替换，例如联机授权响应；——防止PIN或交易重放；——特定的密钥管理技术；——由基于服务器的应用(例如：电子钱包)来访问并储存卡数据；——金融机构布放的、持卡人激活的、安全的PIN输入设备。2术语和定义下列术语和定义适用于本文件。2．1收单方acquirer从受卡方获得与交易相关的数据并将数据提交给交换系统的机构或其代理。2．2泄露compromise(密码学>对保密性和(或)安全性的破坏。2．3加密encipherment采用某种编码机制将文本翻译为未授权者不可理解的形式。2．4集成电路卡(IC卡)integratedcircuitcard(ICe)I卜1型卡，根据GB／T14916、GB／T15120、GB／T15694和GB／T17552的定义，其中嵌人了一个或多个集成电路。注：参见GB／T16649．1。2．5发卡方issuer拥有主账号所标识账户的机构。 标准分享网www.bzfxw.com免费下载GB／T21078．3—201WtSO／TK9564-4：20042．6网络访问设备(NAD)networkaccessdevice(NAD)个人计算机、机顶盒、移动电话、掌上电脑(PDA)、固网电话支付终端或其他可以访问开放网络的设备。2．7开放网络opennetwork传输数据的完整性和机密性不能保证的公共网络。示例：因特网、电话网。2．8个人识别码(PIN)personalidentificationnumber(PIN)客户持有的用于身份验证的代码或口令。2．9PIN输入设备(PED)PINentrydevice(PED)PIN键盘PINpadPIN输入键盘PINentrykeypad持卡人输入PIN的设备。2．10主账号(PAN)primaryaccountnumber(PAN)标识发卡方和持卡人信息的代码，由发卡方标识、持卡人标识和校验位组成，参见GB／T15694中的定义。3开放网络模型3．1网络模型21078．1和GB／T21078．2描述了在ATM(自动柜员机)或POS(销售点)环境下基于PIN交易(联机或脱机)的PIN的安全性。技术发展为在开放网络中使用基于PIN的金融交易提供了可行性。在开放网络环境中，网络访问设备与世界上任何一个拥有开放网络连接的商户发生交易，且该商户可以使用任意的开放网络设备收单。因此，当在开放网络交易中使用PIN来验证持卡人时，交易的收单方不能控制PIN输入设备。这与ATM和POS环境下，收单方独自负责PIN输入设备的运行和安全不同。3．2开放网络访问设备本部分详细说明了当使用PIN结合开放网络访问设备进行验证时，获得可接受的最低安全级别的方法。采用下面的支付流程：a)持卡人使用经由开放网络进行通信的网络访问设备与商户接触；b)商户与其收单方经由开放网络或常规的“商户一收单方”通信方式进行通信；c)收单方与发卡方使用常规的授权和结算网络进行通信。本部分描述在开放网络设备中的PIN输入方法的最低安全建议。因为涵盏到的所有设备都被假定为是不可信的，因此本部分提供了保护卡数据并且在开放网络设备中控制欺诈风险的方法。尽管非PIN的持卡人验证方法超出了本部分的范围，但并不意味着其他方法没有PIN方法合适。2 标准分享网www.bzfxw.com免费下载4开放网络设备中PIN的安全原则GB／T21078．3—201I／；SO／TR9564—4：20044．1概述PIN的安全原则是基于PIN的机密性，而不提供对磁条卡中数据的保护。在开放网络环境下，难以确保PIN的机密性。因此，为了最小化PIN泄露的潜在风险，本部分关注干通过禁止使用磁条访问设备来保护磁条数据。任何情况下，卡数据不应被保存在收单和发卡金融机构的系统以外的任何设备上。要保证系统的安全，核心是确保Ic卡释放的信息不足以制造出伪造的磁条卡，例如，通过确保磁条中的卡数据验证值和Ic卡环境中的不同。4．2卡数据源4．2．1IC卡在不存在读磁条能力的脱机PIN开放网络环境中，欺诈的风险被极大地降低，因为Ic卡为卡数据提供了足够的保护。因此，与GB／T21078．1和GB／T21078，2的要求相比，对提供健壮PIN安全的要求被降低了。4．2．2磁条卡不支持在开放网络环境下使用磁条卡．因为这样PIN会遭受GB／T21078．1和GB／T21078．2所描述环境中的安全风险。支持和不支持PIN的环境见表1。4．2．3手工PAN输入当手工输入卡数据时，网络访问设备(NAD)不应提示PIN输人。表1支持和不支持PIN的环境网络访问设备(NAD)联机PIN脱机PINIc卡不支持支持磁条不支持手工PAN输入不支持5最小可接受PED根据第4章的原则产生了表1中的支持环境。为了提供支持环境的功能，需要使用符合本章要求的最小可接受PED。最小可接受PED是一个网络访问设备(NAD)，包括一个Ic卡读卡器和一个能让持卡人输入PIN的设备。IC卡读卡器插槽应：a)当卡在Ic卡读卡器里时，应没有空间容纳一个泄露PIN的恶意装置；b)应不能被扩大而为一个泄露PIN的恶意装置提供空间；c)其放置方式应让用户能及时发现有恶意装置和其相连。3 GB／T21078．3—201IIISOITR9564—4．2004应提供必要的电子保护线路，以防止在IC卡读卡器内安装窃听装置。6连接到开放网络的脱机PIN处理设备的PIN安全6．1概述本部分支持的环境仅包括通过PED使用Ic卡。本章说明了在IC卡环境里的脱机PIN处理。6．2在开放网络访问设备中的脱机PIN验证当IC卡进行脱机PIN验证时，PIN通常以明文的方式从PED传输给IC卡。有些支付应用要求使用IC卡的公钥加密PIN后提交给IC卡。在此情况下，只有当网络访问设备能执行该加密时，交易才能完成。为了协助IC卡预防欺骗性访问，建议要求持卡人在交易之间移开IC卡，或者支付应用应要求在交易之间进行卡的物理复位。6．3对开放网络金融交易的一般建议在一个开放网络中使用IC卡时，强烈建议应指导持卡人全程控制对其IC卡的访问。例如，当持卡人的卡在网络访问设备(NAD)中时，他们离开卡的时间不应超过完成交易所需的时间。强烈建议建立起在网络访问设备(NAD)中使用的PED，以防止明文PIN离开PED(明文PIN被直接发送给IC卡除外)。4 GB／T21078．3—2011／ISO／TR9564-4：2004参考文献[1]GB／T14916--2006识别卡物理特性(ISO7810：2003，IDT)[2]GB／T15120--1994识别卡记录技术(GB／T15120--1994，ISO7811：1985，IDT)[3]G13／T15694．2一z002识别卡发卡者标识第2部分；串请和注册规程(Iso7812—2；2000，IDT)[4]GB／T16649．12006识别卡带触点的集成电路卡第1部分：物理特性(ISO7816—1：1998，IDT)[5]ISO／IEC7812—1：2000识别卡发卡者标识第l部分：编号体系[6]ISO／IEC7813：2001识别卡金融交易卡[7]ISO13491—1：1998银行业务安全的加密设备(零售)第1部分：概念、要求及评估方法5'