ICS35.030 CCS L 80 GM 中华人民共和国密码行业标准 GM/T0106-2021 银行卡终端产品密码应用技术要求 Cryptograph application requirements for bank card terminal 2021-10-18发布 2022-05-01实施 国家密码管理局 发布 GM/T0106—2021 目 次 前言 Ⅲ 引言 N 1范围 1 2规范性引用文件 .1 3术语和定义 ..1 4缩略语 3 5终端基本安全要求 .3 5.1概述 3 5.2终端基本要求 3 5.3密码模块要求 4 6终端密钥管理要求 4 6.1密钥分类 4 6.2通用管理要求 5 6.3业务类密钥管理 5 6.4终端安全类密钥管理6 7终端数据安全要求 6 7.1概述 6 7.2密钥 7.3随机数 6 7.4软件和固件 .7 7.5账户数据7 7.6自检 .7 7.7敏感功能使用授权7 7.8联机交易报文 7.9脱机数据认证 ..7 7.10出钞密码认证 8 8密码算法正确性和性能要求 8 附录A(规范性)支持SM4算法的PIN Block填充和加密方法9 附录B(资料性)ATM远程密钥装载(RKL)流程 11 参考文献 14 GM/T0106—2021 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本文件由密码行业标准化技术委员会提出并归口. 本文件起草单位:东方通信股份有限公司、福建联迪商用设备有限公司、恒银金融科技股份有限公 司、广电运通金融电子股份有限公司、长城信息产业股份有限公司、深圳市证通电子股份有限公司、国家 密码管理局商用密码检测中心. 本文件主要起草人:刘俐训、徐盛舟、戴永峰、罗伟、李大为、邓开勇、罗鹏、李国友、吕景丽、耿佳、 高志权、于海涛、雷正生、高晓飞、马兴旺. GM/T 0106—2021 引言 本文件描述了银行卡终端产品上的密码技术应用要求. 银行卡终端产品是受理银行卡业务的设备,包括自动柜员机(ATM)、销售点终端(POS)、移动销售 点终端(PO)等产品形态.这些设备中的账号、磁道信息、个人识别码和密钥等敏感数据的关系持卡 人资金安全,设备中这些数据的安全一般依赖于密码技术进行保护. 为了提高银行卡终端产品风险防控能力,进一步加强和保障持卡人隐私信息安全,助力金融支付业 务的安全发展,密钥技术在银行卡终端上的规范化应用应作为关键工作进行开展. 按照全面性原则,密码技术的规范化应用方法要适用于新设备并考虑存量旧设备,使之通过有条件 的升级改造也可以达到设备安全提升的目的. 目前具有指导银行卡终端产品进行密码技术规范化改造和升级的标准尚不完善,亟需提出标准化 文件. GM/T0106—2021 银行卡终端产品密码应用技术要求 1范围 本文件规定了银行卡终端产品上密码应用相关的技术要求,包括终端基本安全要求、终端密钥管理 要求、终端数据安全要求以及密码算法正确性和性能要求. 本文件适用于银行卡终端产品上密码技术的应用,使用对象主要是与密码技术应用相关的银行卡 终端产品设计、制造、使用等单位,以及需要对存量银行卡终端产品进行密码应用技术改造升级的相关 单位. 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件. GB/T21078.1银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN 处理的基本原则和要求 GB/T21078.2银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN 处理的要求 GB/T27909(部分)银行业务密钥管理(零售) GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32915信息安全技术二元序列随机性检测规范 GB/T32918(部分)信息安全技术SM2椭圆曲线公钥密码算法 GB/T32918.3一2016信息安全技术SM2椭圆...