GM/T 0106-2021 银行卡终端产品密码应用技术要求

ICS35.030

CCSL80

中华人民共和国密码行业标准

/—

GMT01062021

银行卡终端产品密码应用技术要求

Crtorahalicationreuirementsforbankcardterminal

ypgpppq

2021-10-18发布2022-05-01实施

国家密码管理局发布

中华人民共和国密码

行业标准

银行卡终端产品密码应用技术要求

/—

GMT01062021

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号()

2100029

北京市西城区三里河北街号()

16100045

网址:

pg

服务热线:

400-168-0010

年月第一版

20227

*

书号:·

1550662-36721

版权专有侵权必究

/—

GMT01062021

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………3

5终端基本安全要求………………………3

5.1概述…………………3

5.2终端基本要求………………………3

5.3密码模块要求………………………4

6终端密钥管理要求………………………4

6.1密钥分类……………4

6.2通用管理要求………………………5

6.3业务类密钥管理……………………5

6.4终端安全类密钥管理………………6

7终端数据安全要求………………………6

7.1概述…………………6

7.2密钥…………………6

7.3随机数………………6

7.4软件和固件…………………………7

7.5账户数据……………7

7.6自检…………………7

7.7敏感功能使用授权…………………7

7.8联机交易报文………………………7

7.9脱机数据认证………………………7

7.10出钞密码认证………………………8

8密码算法正确性和性能要求……………8

()………

附录规范性支持算法的填充和加密方法

ASM4PINBlock9

()()……………………

附录资料性远程密钥装载流程

BATMRKL11

参考文献……………………14

Ⅰ

/—

GMT01062021

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、

本文件起草单位东方通信股份有限公司福建联迪商用设备有限公司恒银金融科技股份有限公

、、、、

司广电运通金融电子股份有限公司长城信息产业股份有限公司深圳市证通电子股份有限公司国家

密码管理局商用密码检测中心。

:、、、、、、、、、、

本文件主要起草人刘俐训徐盛舟戴永峰罗伟李大为邓开勇罗鹏李国友吕景丽耿佳

、、、、。

高志权于海涛雷正生高晓飞马兴旺

Ⅲ

/—

GMT01062021

引言

本文件描述了银行卡终端产品上的密码技术应用要求。

,()、()、

银行卡终端产品是受理银行卡业务的设备包括自动柜员机ATM销售点终端POS移动销售

()。、、

点终端mPOS等产品形态这些设备中的账号磁道信息个人识别码和密钥等敏感数据的关系持卡

,。

人资金安全设备中这些数据的安全一般依赖于密码技术进行保护

,,

为了提高银行卡终端产品风险防控能力进一步加强和保障持卡人隐私信息安全助力金融支付业

,。

务的安全发展密钥技术在银行卡终端上的规范化应用应作为关键工作进行开展

,,

按照全面性原则密码技术的规范化应用方法要适用于新设备并考虑存量旧设备使之通过有条件

的升级改造也可以达到设备安全提升的目的。

,

目前具有指导银行卡终端产品进行密码技术规范化改造和升级的标准尚不完善亟需提出标准化

文件。

Ⅳ

/—

GMT01062021

银行卡终端产品密码应用技术要求

1范围

,、

本文件规定了银行卡终端产品上密码应用相关的技术要求包括终端基本安全要求终端密钥管理

、。

要求终端数据安全要求以及密码算法正确性和性能要求

,

本文件适用于银行卡终端产品上密码技术的应用使用对象主要是与密码技术应用相关的银行卡

、、,

终端产品设计制造使用等单位以及需要对存量银行卡终端产品进行密码应用技术改造升级的相关

单位。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/银行业务个人识别码的管理与安全第部分:和系统中联机

GBT21078.11ATMPOSPIN

处理的基本原则和要求

/银行业务个人识别码的管理与安全第部分:和系统中脱机

GBT21078.22ATMPOSPIN

处理的要求

/()()

所有部分银行业务密钥管理零售

GBT27909

/信息安全技术密码杂凑算法

GBT32905SM3

/信息安全技术分组密码算法

GBT32907SM4

/信息安全技术二元序列随机性检测规范

GBT32915

/()

所有部分信息安全技术椭圆曲线公钥密码算法

GBT32918SM2

/—:

信息安全技术椭圆曲线公钥密码算法第部分密钥交换协议

GBT32918.32016SM23

/安全芯片密码检测准则

GMT0008

/—密码模块安全技术要求

GMT00282014

/密码术语

GMZ4001

/():/

中国金融集成电路卡规范第部分借记贷记应用终端规范

JRT0025.6IC6

/():/

中国金融集成电路卡规范第部分借记贷记应用安全规范

JRT0025.7IC7

/()

所有部分银行卡联网联合技术规范

JRT0055

/:()

银行卡受理终端安全规范第部分销售点终端

JRT0120.11POS

/:

银行卡受理终端安全规范第部分自助终端

JRT0120.33

/银行卡受理终端安全规范第部分:输入设备

JRT0120.55PIN

()

所有部分零售金融业务对称密钥管理

ANSIX9.24

3术语和定义

/和/界定的以及下列术语和定义适用于本文件。

GMZ4001GMT0028

3.1

现金处理模块cashhandlinmodule

g

自动柜员机()的出钞模块或现金循环模块。

ATM

1