银行卡密钥安全管理指南

附件2银联卡密钥安全管理指南【磁条卡部分】V1.0二○○四年七月银联卡密钥安全管理指南1目录编写说明.........................................................3第一章概述.........................................................4第一节内容简介....................................................4第二节运用概述....................................................51.密钥体系与安全级别...............................................52.密钥生命周期的安全管理...........................................5第二章密钥生命周期安全管理.........................................8第一节密钥的生成...................................................81．加密机主密钥（MK）的生成.........................................82．成员主密钥（MMK）的生成.........................................10第二节密钥的分发与传输............................................121.密钥分发过程要求................................................122.密钥传输过程要求................................................123.密钥接收的要求..................................................13第三节密钥的装载和启用............................................141.基本要求........................................................142.注入过程........................................................14第四节密钥的保管..................................................161.基本要求........................................................162.与密钥安全有关的机密设备及密码的保管要求........................163.密钥组件的保管要求..............................................174.接收保管的过程..................................................175.密钥档案资料的保管..............................................18第五节密钥的删除与销毁...........................................191.失效密钥的认定..................................................192.密钥删除和销毁的方法............................................19第六节密钥的泄漏与重置...........................................21银联卡密钥安全管理指南21.可能被泄漏的密钥................................................212.密钥泄漏的核查..................................................233.密钥泄漏和被攻破情况的界定......................................24第三章银联卡受理终端及MIS系统密钥安全管理........................25第一节银联卡受理终端的密钥体系....................................251.终端主密钥（TMK）...............................................252.终端工作密钥（TWK）.............................................253.终端管理密钥（TGK）.............................................264.终端密钥的管理权限..............................................26第二节MIS商户的密钥安全要求.....................................271.MIS商户的密钥机制..............................................272.MIS商户密钥管理的权限..........................................29第三节各类终端设备的安全要求.....................................301.商户服务器的安全要求............................................302.收银POS一体机的安全要求........................................303.终端的密码键盘（PINPAD）.......................................304.终端密钥的注入设备..............................................31第四章设备安全管理...............................................331.硬件加密机（HSM）安全要求及管理.................................332.终端设备安全管理................................................343.设备的物理安全..................................................35第五章管理规定与监督检查.........................................371.组建密钥安全管理工作组..........................................372．密钥安全管理工作人员要求........................................373.审批制度........................................................404.应急措施........................................................405.监督............................................................40银联卡密钥安全管理指南3编写说明为配合《银联卡密钥安全管理规则》（以下简称《密钥规则》）的施行，中国银联结合工作实际同步制定《银联卡密钥安全管理指南》（以下简称《密钥指南》）。该指南参考国际组织有关密钥管理的经验做法，为中国银联、成员机构的银行卡跨行交易及发行、受理银联卡的联网机构、专业化服务机构等银行卡跨行网络参与方（以下简称银联卡网络参与方）的密钥管理提出安全管理建议，详细说明密钥生命周期、银联网络范围内的终端机具、硬件加密设备的安全管理措施。本指南编写人员：唐永芳、温永盛、张炼、薛东升、陈森、肖劲、李煜、杨家雏、钟锐等。唐永芳、温永盛总撰，风险管理部陈建总经理审稿，最后由李凌执行副总裁审定。在编写过程中，《密钥指南》充分吸收、采纳了中国银联技术管理部、业务管理部、总体设计组、国际业务部、银行卡信息交换总中心和各分公司及黄远昌、胡莹、王立新、孙平、郑澎、张立峰等提出的合理化建议。硬件加密机生产厂商和部分终端供应商也参与了《密钥指南》的讨论，给予了支持和配合。《密钥指南》经银行卡风险管理委员会一届一次会议审议通过。参加审议的委员：彭建寅、徐晓群、万宁、王一男、刘军、王毅、杨刚、刘立志、姜明、马榴柱、戴兵、杨晋、迟松、陈志宁、李和、汤森培、郑海清、田卓雅、林小桦、张浩、赵刚等。银联卡密钥安全管理指南4第一章概述第一节内容简介“一切秘密寓于密钥之中”，密钥管理是设计安全的密码系统所必须考虑的重要问题，数据加密、验证和签名等需要管理大量的密钥，这些密钥经加密后以密文形式发送给合法用户。《密钥指南》是参考国际组织有关密钥管理的知识、经验和相关标准，结合国内跨行交易中密钥的实际应用情况编写的指导性制度。在结构上分为概述、密钥生命周期安全管理、设备安全管理、管理规定和辅导检查等章节。在内容上遵循《密钥规则》中提出的基本要求,提出密钥生命周期中各环节的详细操作流程和推荐的具体做法，供各银联卡网络参与方参考。《密钥指南》适用于金融磁条卡对称加密算法的密钥管理，非对称密钥的相关内容将另行成册。本指南的适用范围和生效时限与《密钥规则》相同。《密钥指南》基于现有技术规范，尽可能地兼顾应用与维护的方便性，在最大程度上确保安全，体现适当的规定、适当的投入保证相对安全，但不可能完全避免所有的风险。经验做法仅属于推荐性质，力求整体提升密钥安全管理水平。中国银联并不承担成员机构具体实施中发生的问题及其影响。银联卡密钥安全管理指南5第二节运用概述1.密钥体系与安全级别按照使用范围和实际应用的不同，密钥划分为不同体系或类别，每个体系或类别都具有相应的功能与特点，须遵循不同的标准与要求。《密钥指南》仅适用于跨行交易网络中的密钥安全管理，行内的密钥体系、类别或安全管理方法不在其叙述的内容之列。银联卡网络的密钥根据实际使用情况划分成三层，三层密钥体系根据密钥的使用对象而形成，上层对下层提供保护和一定的维护功能，不同层的密钥不许相同，不能相互共享。加密机主密钥（MK），即本地主密钥是最重要的密钥，应按照《密钥规则》的有关要求施行最高级别或最严格的管理。成员主密钥（MMK）[或终端主密钥（TMK）]在硬件加密机以外的系统中存放和使用时，处于本地MK的保护之下。由于成员主密钥是参与交易双方机构共同生成且各自保存（或因地域原因交易机构完整持有成员主密钥组件），因此安全性存在互动、相互影响，同时更新频率较低，因此是最有可能被泄漏和攻击的密钥，需要相关方的共同维护与重视。工作密钥为最底层的密钥，因其数量庞大，需要用一定的管理设备（如终端密钥注入设备）加以辅助（详见第三章有关叙述）来确保安全。2.密钥生命周期的安全管理包括密钥的生成、传输、注入、保管、泄漏与重置、删除与销毁等内容。其任务就是在整个生命周期内严格控制密钥的使用，直到它们被销毁为止，并确保密钥在各个阶段或环节都不能出现任何纰漏。2.1密钥生成密钥必须随机或伪随机产生。其中随机指无法预知和重复；伪随机指由算法产生；密钥生成结果是一系列可以转换成二进制的数字。若需要人工产生密钥，允许产生密钥的方式有：丢硬币、摸彩球、掷骰子；不能用想象的方式生成各种密钥。密钥生成后，在硬件加密设备外部的明文形式必须由两段或两段以上的组银联卡密钥安全管理指南6件构成。2.2密钥传输密钥明文在传输时需采用