ICS35.240.40 A11 JR 中华人民共和国金融行业标准 JR/T0098.4—2012 中国金融移动支付检测规范 第4部分:安全单元(SE)应用管理终端 China financial mobile payment-Test specifications- Part 4:Secure element (SE)application manage terminal 2012-12-12发布 2012-12-12实施 中国人民银行 发布 JR/T0098.4—2012 目次 前言 II 引言 . . III 1范围, .1 2规范性引用文件.. .1 3术语和定义.. ...1 4测试条件 2 5SE应用管理终端硬件要求检测....... 2 6SE应用管理终端软件要求检测. 6 7SE应用管理终端安全要求检测 ....9 8PIN输入设备安全检测 11 附录A(规范性附录)抗破坏能力.., 19 附录B(规范性附录)挡板设计标准. 21 附录C(规范性附录)攻击分值计算公式 25 I JR/T0098.4—2012 前言 《中国金融移动支付检测规范》标准由以下8部分构成: 第1部分:移动终端非接触式接口: 第2部分:安全芯片: 第3部分:客户端软件: 第4部分:安全单元(SE)应用管理终端: 第5部分:安全单元(SE)嵌入式软件安全: 第6部分:业务系统: 一第7部分:可信服务管理系统: —第8部分:个人信息保护. 本部分为该标准的第4部分 本部分按照GB/T1.1-2009给出的规则起草 本部分由中国人民银行提出. 本部分由全国金融标准化技术委员会(SAC/TC180)归口. 本部分负责起草单位:中国人民银行科技司、中国人民银行金融信息中心、中国金融电子化公司. 本部分参加起草单位:北京银联金卡科技有限公司(银行卡检测中心)、中金国盛认证中心、工业 和信息化部计算机与微电子发展研究中心(中国软件评测中心)、上海市信息安全测评认证中心、信息 产业信息安全测评中心、北京软件产品质量检测检验中心、中钞信用卡产业发展有限公司、上海华虹集 成电路有限责任公司、上海复旦微电子股份有限公司、东信和平智能卡股份有限公司、大唐微电子技术 有限公司、武汉天喻信息产业股份有限公司、恩智浦半导体有限公司. 本部分主要起草人:李晓枫、陆书春、潘润红、杜宁、李兴锋、张雯华、刘力慷、刘志刚、聂丽琴、 李晓、尚可、郭栋、熊文招、宋铮、李宏达、王冠华、胡一鸣、张晓、平庆瑞、张志茂、陈君、彭美玲、 李微、陈吉、程恒. II JR/T0098.4—2012 引言 随着移动支付新业务、新产品、新管理模式的不断涌现,移动支付业务越来越多的应用到生活的方 方面面,而良好的移动支付受理环境是移动支付业务发展的一个重要方面和前提条件.安全可靠的E 应用管理终端是移动支付业务发展的基础和保障. 本部分在收集、分析和评估E应用管理终端风险的基础上,对其硬件、软件和安全要求的检测要求 进行了规定. III JR/T0098.4—2012 中国金融移动支付检测规范 第4部分:安全单元(SE)应用管理终端 1范围 本部分定义了SE应用管理终端的硬件、软件和安全等的检测要求.SE应用管理终端的交易模型及流程、 交易报文的检测不在本部分进行规定. 本部分适用于从事移动支付终端检测工作的各相关单位. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文件. 凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. GB4943信息技术设备(包括电气事务设备)的安全 GB5007.1-2010信息技术汉字编码字符集(基本集)24点阵字型 GB5199信息交换用汉字15X16点阵字模集 GB9254信息技术设备的无线电骚扰极限值和测量方法 GB13000.1-1993信息技术通用多八位编码字符集(UCS)第1部分:体系结构与基本多文种平面 GB17625.1低压电气及电子设备发出的谐波电流限值(设备每项输入电流≤16A) GB18030信息技术中文编码字符集 GB/T17618信息技术设备抗扰度限值和测量方法 R/T0025.11中国金融集成电路(IC)卡规范第11部分:非接触式IC卡通讯规范 GA/T73机械防盗锁 GB228-1987金属拉伸实验方法 3术语和定义 下列术语和定义适用于本文件. 3.1 终端主密钥(TMK)terminal master key(TMK) 用于加密终端工作密钥的密钥, 3.2 工作密钥(WK)working key(WK) 通常指PIN加密密钥和MAC计算的密钥.工作密钥必须经常更新.在联机更新的报文中对工作密钥必须 用密钥加密密钥(KEK)加密,形成密文后进行...