- 1、本文档共28页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
目 次
前 言 II
1 范围 1
2 密钥管理与控制 1
2.1 安全管理基本要求 1
2.2 各层次密钥简介 2
2.3 密钥的产生 2
2.4 密钥的分发 3
2.5 密钥的存储 3
2.6 密钥的销毁 3
3 数据的加密处理 4
3.1 PIN的加密和解密 4
3.2 联机报文MAC的计算方法 6
3.3 顺序文件MAC的计算方法 10
3.4 互联网支付密码的加密和解密 10
4 新旧密钥切换 11
4.1 入网机构发起的申请重置密钥 11
4.2 CUPS发起的重置密钥 15
4.3 新旧密钥的切换处理(同步) 18
5 PBOC借/贷记标准IC卡安全说明 19
5.1 PBOC借/贷记标准IC卡的安全认证功能 19
5.2 ARQC的生成算法 19
参考文献 23
前 言
本标准对中国银联跨行交易网络中安全传输数据信息应达到的要求做了规定。包括数据传输安全要求、密钥管理方法和加密方法。
本标准由中国银联股份有限公司提出。
本标准由中国银联股份有限公司制定。
本标准起草单位:中国银联股份有限公司、国内入网机构。
本标准主要起草人:戚跃民、郭锐、郑澎、徐静雯、李洁、吴金坛、王力斌、苗恒轩、万高峰、陆尔东、蒋慧科、杜秉一、赵伟。
中国银联银行卡联网联合技术规范V2.1第4部分 数据安全传输控制规范
范围
本标准对中国银联跨行交易网络中安全传输数据信息应达到的要求做了规定,包括数据传输安全要求、密钥管理方法和加密方法。
本标准适用于所有加入中国银联银行卡信息交换网络的入网机构。
密钥管理与控制
安全管理基本要求
入网机构必须满足银联信息交换网络对数据安全传输控制方面的要求。
入网机构在与银联联网的接口建设中必须提供严格的系统安全保密机制,保障银联银行卡信息处理系统安全、稳定、可靠地运行,包括信息的存取控制、应用系统操作的安全、物理实体(机房、设备、通信网络、记录媒体等)的安全和安全管理制度等方面。
管理制度的基本要求
整个银行卡网络的数据安全保密,不仅仅需要技术上的支持,更需要在业务上制定和贯彻各机构间严格的密钥管理制度。基本要求是:
a) 采用安全可靠并且在银行卡交换系统中普遍采用的加密算法。
b) 密钥的存贮和交易信息的加密/解密在硬件加密设备中进行。
c) 遵循金融业数据安全保密的国家标准和国际标准。
d) 加强对人员的管理要求。
e) 定期更换密钥。
数据传输安全控制的基本要求
数据传输安全控制要求包括以下五个方面:
a) 密钥管理机制:在技术上实施严格和可靠的密钥分配过程。
b) 个人标识码(PIN)的加密及转换机制:不允许 PIN 的明码在通信线路上和人工可操作的存储媒体上出现。
c) 对交易报文作来源正确性鉴别的机制(MAC)。
d) 所有入网机构采用硬件加密装置。
e) 点对点的数据加解密网络机制。
硬件加密机的基本要求
硬件加密机的主要功能是对PIN加密和解密、验证报文来源的正确性以及存储密钥。所有这些操作都在硬件加密机中完成,以保证密钥和PIN的明码只出现在加密机中,防止泄露。硬件加密机应通过国家商用密码委员会的安全认证并被允许在国内金融机构中使用。此外还必须满足以下要求:
a) 支持单倍长(B64,在单倍长密钥算法中使用)和双倍长(B128,在双倍长密钥算法中使用)的密钥。
b) 支持本文中对PIN的规定,验证、转换PIN的密文。
c) 支持本文中对MAC的规定,验证和产生MAC。
d) 能对密钥作验证。
e) 受到非法攻击时,加密机内部保护的密钥自动销毁。
CUPS与入网机构主机均要求配置硬件加密机并对传输的数据进行加密。
CUPS与入网机构之间的数据加密和解密以单倍长密钥算法为基础。
数据加密传输环境的基本要求
交易数据由入网机构进入CUPS前应已经过加密处理,如PIN加密和MAC加密。入网机构从CUPS中得到的交易数据也应进行加密处理,如PIN加密和MAC加密。
数据加密传输环境
网络中CUPS的加密机与各入网机构加密机组成了一个点对点的数据加解密网络。CUPS与各联网入网机构分别约定数据密钥。
各层次密钥简介
在数据安全保密、传输机制中,密钥是关键数据。CUPS系统与每个入网机构之间约定的各层密钥都要求具有唯一性。
各层密钥的结构、生成方法、加密解密对象、存储地点、长度、被保护方式等如下表所示:
各层密钥表
序号 密钥名 缩写 层 原始生成方法 加密解密对象 存储地点 长度 保护方式 1 主密钥 MK 1 人工输入 成员主密钥 硬件加密机
机外分段分人保管 192bit 硬件设备保护 2 成员主密钥 MMK 2 人工输入 数据密钥 硬件加密机和主机 128bit/192bit 从硬件加密机输出时用主密钥加密 3 数据密钥(例如,PIN密钥和MAC密钥) P
您可能关注的文档
最近下载
- 完整八年级物理综合实践活动课教案.docx
- 高考英语一轮复习知识清单(全国通用):专题20 语法填空介词100题(精练)解析版.docx VIP
- 110kV〜750kV架空输电线路施工及验收规范.docx VIP
- 2021-2022年国家开放大学电大法学《实用法律基础》课程考试打印版完美打印版 英语网考资料.doc
- 奥迪A6电路图之发动机BAT.pdf
- 2023年4月自考02207电气传动与可编程控制器PLC试题及答案含解析.pdf
- 医院普外科课件.pptx
- 游戏策划方案-数值策划笔试题.docx VIP
- 高考英语一轮复习知识清单:专题08 语法填空不定式100题(全国通用)解析版.docx VIP
- drillwork2005操作手册.ppt
文档评论(0)