内容简介
ICS 35.030GM
CCS L 80
中华人民共和国密码行业标准
GM/T 0106—2021
银行卡终端产品密码应用技术要求
Cryptograph application requirements for bank card terminal
2021-10-18发布
2022-05-01实施
国家密码管理局 发布
GM/T 0106—2021
目次
前言 ………………………………………………………………………………………………………Ⅲ
引言 …………………………………………………………………………………………………………IV
1 范围……………………………………………………………………………………………………1
2 规范性引用文件 ………………………………………………………………………………………1
3 术语和定义 ……………………………………………………………………………………………1
4 缩略语 …………………………………………………………………………………………………3
5 终端基本安全要求 ……………………………………………………………………………………3
5.1 概述 ………………………………………………………………………………………………3
5.2 终端基本要求 ……………………………………………………………………………………3
5.3 密码模块要求 ……………………………………………………………………………………4
6 终端密钥管理要求 ……………………………………………………………………………………4
6.1 密钥分类 ……………………………………………………………………………………4
6.2 通用管理要求 ……………………………………………………………………………………5
6.3 业务类密钥管理 ………………………………………………………………………………5
6.4 终端安全类密钥管理 ……………………………………………………………………………6
7 终端数据安全要求 ……………………………………………………………………………………6
7.1 概述 ………………………………………………………………………………………………6
7.2 密钥 ………………………………………………………………………………………………6
7.3 随机数 ……………………………………………………………………………………………6
7.4 软件和固件 ………………………………………………………………………………………7
7.5 账户数据 …………………………………………………………………………………………7
7.6 自检………………………………………………………………………………………………7
7.7 敏感功能使用授权 ………………………………………………………………………………7
7.8 联机交易报文 …………………………………………………………………………………7
7.9 脱机数据认证 ……………………………………………………………………………………7
7.10 出钞密码认证……………………………………………………………………………………8
8 密码算法正确性和性能要求 …………………………………………………………………………8
附录 A(规范性)支持SM4算法的PIN Block填充和加密方法……………………………………9
附录 B(资料性) ATM远程密钥装载(RKL)流程 …………………………………………………11
参考文献 ………………………………………………………………………………………………………14GM/T 0106—2021
银行卡终端产品密码应用技术要求
1 范围
本文件规定了银行卡终端产品上密码应用相关的技术要求,包括终端基本安全要求、终端密钥管理要求、终端数据安全要求以及密码算法正确性和性能要求。
本文件适用于银行卡终端产品上密码技术的应用,使用对象主要是与密码技术应用相关的银行卡终端产品设计、制造、使用等单位,以及需要对存量银行卡终端产品进行密码应用技术改造升级的相关单位。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T21078.1 银行业务 个人识别码的管理与安全 第1部分:ATM和POS系统中联机PIN处理的基本原则和要求
GB/T 21078.2 银行业务 个人识别码的管理与安全 第2部分:ATM和POS系统中脱机PIN处理的要求
GB/T27909(所有部分) 银行业务 密钥管理(零售)GB/T 32905 信息安全技术 SM3密码杂凑算法GB/T 32907 信息安全技术 SM4分组密码算法GB/T 32915 信息安全技术 二元序列随机性检测规范
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 32918.3—2016 信息安全技术 SM2椭圆曲线公钥密码算法 第3部分:密钥交换协议GM/T 0008 安全芯片密码检测准则GM/T 0028—2014 密码模块安全技术要求GM/Z 4001 密码术语
JR/T 0025.6 中国金融集成电路(IC)卡规范 第6部分:借记/贷记应用终端规范
JR/T 0025.7 中国金融集成电路(IC)卡规范 第7部分:借记/贷记应用安全规范JR/T 0055(所有部分) 银行卡联网联合技术规范
JR/T 0120.1 银行卡受理终端安全规范 第1部分:销售点(POS)终端
JR/T 0120.3 银行卡受理终端安全规范 第3部分:自助终端
JR/T 0120.5 银行卡受理终端安全规范 第5部分:PIN输入设备
ANSI X9.24(所有部分) 零售金融业务 对称密钥管理
3 术语和定义
GM/Z 4001和GM/T 0028界定的以及下列术语和定义适用于本文件。
3.1
现金处理模块 cash handling module自动柜员机(ATM)的出钞模块或现金循环模块。